Две стороны решки

Две стороны решки

- Сынок, когда вырастешь, кем будешь?
- Военным!
- Так ведь пока вырастешь, войн не будет!
- Тогда – милиционером!
- Так ведь и преступности не будет!
- Тогда – пожарным!
- Дома изобретут несгораемые…
- Пап, ну чего ты пристал? Всё равно что-то придумаю, лишь бы не работать.
Старый советский анекдот
У довольно большого процента потенциальных покупателей имеется стойкое непонимание разницы между информационной безопасностью и контролем рабочего времени. Вот и сегодня – опять: «это ж можно посмотреть, кто и сколько в контактах сидел?». Можно. Но «эта функция не нужна тебе, молодой падаван». Это не есть задача отдела информационной безопасности. Этим должны заниматься нормировщики, заставьте их. Аналогично – заявка вида «у нас всё безопасно, мы аську, скайп и одноклассников запретили» - говорит не о том, что с безопасностью всё хорошо, а, напротив, о том, что вероятность слива из этой организации выше, чем из организации, где не контролируется вообще ничего. Обосную.
Сначала по утечкам непредумышленным. Процент нечаянных утечек через эти каналы стремится к нулю, а вот разговоры за пивом, корпоративная почта и потери носителей данных – суммарно к единице. То есть запрет не даст вообще ничего. А может, даже наоборот. Наличие аськи имеет некий шанс уменьшить число пивных походов. И вообще, мы ограничили информацию на входе, а не на выходе, нюансы подхода.
Теперь по умышленным. Классический треугольник мошенничества состоит из давления, возможности и самооправдания. Фактором давления обычно являются или финансовые проблемы (а ограничивают обычно наименее оплачиваемых), или месть (например, за ограничение, ну, или по совокупности). Возможность, мы как бы не закрыли, о чём упоминалось ещё в прошлом абзаце. И наконец – самооправдание. Лучше чем «а не я эту войну первым начал» - работник не придумает. И будет прав и субъективно и даже объективно. И это самооправдание дали ему мы. Сами, добровольно.
Конечный вывод – ограничение доступа к интернет-ресурсам, не касающимся работы – усиливает  влияние двух из трёх негативных факторов, и не ослабляет оставшийся. Следствие – политика информационной безопасности и политика запрета сёрфинга в интернет – это вещи, которые не только не одно и то же, но и вовсе находятся в противоречии.
К слову, мнение о том, что запрет посещать любимый форум сподвигнет работника посвятить высвободившееся время работе – тоже ошибка. Если работник выполнял за шесть часов шесть задач, а оставшиеся два часа тратил на прочее – то после запрета прочего – он не станет выполнять восемь задач. Он потратит их на беседы с коллегами, звонки друзьям и близким (со своего телефона, благо стоимость минуты уже близка к нулю), перекуры и прочее. Не верите – включите с первого числа и посчитайте число банок израсходованного кофе. А может, даже будет выполнять пять или четыре, поскольку час он потратит на решение вопроса «а как же залезть куда мне надо». И решит, что характерно. Даже способом «принести из дома свой ноутбук и 3G».
В одной известной мне компании это тоже предусмотрели. Сотрудники в ранге ниже начальника отдела на входе сдавали личные телефоны и вообще, чуть ли не обыску подвергались. В интернете было запрещено всё, кроме корпоративной почты и корпоративного сайта. Помогло им это? Не очень. Не далее, как месяца четыре назад фирма благополучно издохла, что на фармацевтическом рынке сделать довольно сложно. Причина – слив конкурентам всей логистической цепочки и информации о том, что не все медикаменты, предлагаемые данным поставщиком, прошли должную процедуру регистрации. После чего – образцово-показательная атака по трём фронтам – встречное предложение вендорам, демпинг по крупным клиентам и легкий шмон по паре мелких, которые попытались сохранить верность. После чего злоинсайдера искать было уже некому да и незачем.
В одной из предыдущих статей мой коллега утверждал, что средняя цена утечки – четыре миллиона долларов. Может быть. Но я бы на них не ориентировался. Это в среднем по больнице. Мелкого собственника эти цифры избавят от страха: «я в безопасности, я столько потерять в принципе не могу». Очень крупного тоже могут не напрячь, у него от «бардака на угольных складах» может быть больше. Поэтому я буду оперировать относительными цифрами. Недополученная прибыль от «недостаточной активности» сотрудника может быть 10-30% от прибыли, приносимой конкретно этим сотрудником. А прямой убыток от утечки может быть в районе 80-100% полной стоимости компании. Вот и думаем, что стоит внедрять, контроль входа или контроль выхода. Рекомендую что-то одно, на ребре монета неустойчива…
P.S.А с «нерадивым» работником-то что делать? А одно из трёх. Или увольте, или терпите. Или примените его нерабочие интересы (история сёрфинга вам в помощь) на пользу фирме, дав ему задачу делать что-то интересное ему и полезное вам.
Alt text
Обращаем внимание, что все материалы в этом блоге представляют личное мнение их авторов. Редакция SecurityLab.ru не несет ответственности за точность, полноту и достоверность опубликованных данных. Вся информация предоставлена «как есть» и может не соответствовать официальной позиции компании.

Alert! Зафиксирована утечка экспертных знаний!

Собираем и анализируем опыт профессионалов ИБ

Подключитесь к потоку конфиденциальной информации!

СёрчИнформ

Взгляд на информационную безопасность от компании SearchInform и сторонних экспертов.