Почему не работают политики ИБ, а также наказания за их нарушения?!

Почему не работают политики ИБ, а также наказания за их нарушения?!

Наказание за нарушение ФЗ-152 хотят увеличить . Но это мало кого пугает - на различных мероприятиях по ИБ я регулярно слышу, что люди устали от темы ПДн. Столько лет мусолить тему защиты прав субъектов ПДн и самих ПДн и вот результат - всем по барабану на это важнейшее направление в области защиты информации. С внедряемыми политиками ИБ на предприятии ситуация аналогичная - написано их много, а работает их мало. Даже наказания мало кого пугают (хотя по линии ИБ наказаний-то почти и нет - так одни страшилки без реального применения).

И вот вчера, в самолете, я прочел заметку "Праздник непослушания". Автор - Лидия Матвеева, профессор факультета психологии МГУ, доктор психологических наук. Она объясняет, почему так происходит. Просто выполнять какие-либо требования некому! У нас исчезла традиция законопослушания. Свобода, как вседозволенность, преподносимая СМИ последние пару десятилетий, негативно сказалась на молодежи и среднем поколении. Они становятся все более непослушными и дерзкими; запреты их раззадоривают (чем моложе, тем сильнее), а не пугают или загоняют в рамки. Тоже происходит и с более старшим поколением, в которое вбивались в советское время нормы законопослушания, но последние годы и они выветриваются.

Что в итоге? Нежелание соблюдать любые нормы - в жизни, в работе. Хорошо, если это просто несоблюдение, которое не приводит к реализации той или иной угрозы. А если последствия несоблюдения норм более серьезны? Это же, кстати, является причиной и роста киберпреступности - нет боязни, нет разделения на черное и белое и есть задор. Результат специалистам знаком - рост киберпреступлений. А тут еще и неработающие статьи Уголовного Кодекса и не самое высокое желание правоохранительных органов в регионах заниматься расследованиями.

Что делать, спросите вы? Увы, простого рецепта тут нет. Государство столько лет ломало выстроенную систему воспитания и обучения молодежи, что и возвращаться в правильное русло надо долго. Нужна государственная программа повышения осведомленности в области компьютерной безопасности, чтобы детей со школьной скамьи учили правилам компьютерной гигиены. На корпоративном же уровне необходимо уходить от системы наказаний за соблюдение правил и политик ИБ - нужно внедрять еще и систему поощрения. Иными словами система мотивации должна быть не только со знаком минус, но и со знаком плюс.

ЗЫ. Попробуйте себе ответить на вопрос, как на вас повлияло увеличение штрафов за нарушение правил дорожного движения? Вы стали аккуратнее ездить и меньше нарушать? Или все осталось по-прежнему?
Alt text
Обращаем внимание, что все материалы в этом блоге представляют личное мнение их авторов. Редакция SecurityLab.ru не несет ответственности за точность, полноту и достоверность опубликованных данных. Вся информация предоставлена «как есть» и может не соответствовать официальной позиции компании.

Ищем баги вместе! Но не те, что в продакшене...

Разбираем кейсы, делимся опытом, учимся на чужих ошибках

Зафиксируйте уязвимость своих знаний — подпишитесь!