Разбирая очередную Политику Безопасности Предприятия (именно так с Большой Буквы) и обнаружив там следующее:
Пользователям запрещается:
- запускать на рабочем месте программы развлекательного характера;
- копировать документы и информационные файлы с информацией непосредственно не относящейся к обязанностям работника;
…
- посещать ресурсы развлекательного характера;
- посещать ресурсы непосредственно не связанные с исполнением должностных обязанностей;
- пользоваться, с компьютеров компании, бесплатными сервисами сторонних организаций (mail.ru, yandex.ru, odnoklassniki.ru, vkontakte.ru и т.п.)
…
- использовать при авторизации на сторонних ресурсах логические имена и/или пароли используемые в корпоративной сети.
name='more'>
И так далее, список внушает уважение только своим размером. И тут я в очередной раз задал один простой вопрос: Но как Вы узнаете, что пользователь использует сочетания совпадающие с корпоративным логином и паролем, если он не посещает сторонние ресурсы, находясь на рабочем месте?
Разрабатывая политику безопасности или просто принимая решение запретить посещение какого либо ресурса или использование программы я предлагаю задуматься: А есть ли у Вас способы позволяющие проконтролировать и добиться выполнения этого требования?
Предполагать, что требование не посещать, например, вКонтакте, будет немедленно исполнено, потому что так сказал Chief security officer , бессмысленно и наивно. Как в прочем и предполагать, что по правильно оформленному Приказу, люди перестанут приносить на флэшках вирусы.
Некоторые психологи считают , что нарушение запретов является естественной чертой вида Homo Sapience. Наверное следует вспомнить, что особо выдающихся нарушителей "политики безопасности" законов церкви совсем недавно сжигали на кострах и как показала практика остановить получалось далеко не всегда. Так что попытки нарушения требований политики были и будут. Думаю эффективной политикой можно признать ту, которую нарушить не получается.
Вариантов реализации может быть принципиально 2:
1.Построение системы не позволяющей нарушить установленные правила и требования создавая условия, когда выполнение требований удобнее, чем их нарушение.
2.Создав эффективную карательную систему гарантирующую наказание за любое нарушение установленных правил. Примерно эта мысль посетила руководство нашей страны, когда какое-то время назад была развернута компания о неотвратимости наказания.
Во всех остальных случаях будут нарушения предписанных правил. И в принципе-то кажется, не столь принципиально, нарушается ли некоторыми пользователями установленные правила «по мелочи». Более того я слышал утверждение, что преодоление простой защиты – это тест на наличие мозгов: преодолел – мозги есть, не натворит больших бед, особенно если будет прятаться.
Но, к сожалению тут начинает работать еще одна теория психологов: Теория разбитых окон . И, к сожалению, можно утверждать с известной степенью уверенности, что за малым последует крупное…
Пользователям запрещается:- запускать на рабочем месте программы развлекательного характера;
- копировать документы и информационные файлы с информацией непосредственно не относящейся к обязанностям работника;
…
- посещать ресурсы развлекательного характера;
- посещать ресурсы непосредственно не связанные с исполнением должностных обязанностей;
- пользоваться, с компьютеров компании, бесплатными сервисами сторонних организаций (mail.ru, yandex.ru, odnoklassniki.ru, vkontakte.ru и т.п.)
…
- использовать при авторизации на сторонних ресурсах логические имена и/или пароли используемые в корпоративной сети.
name='more'>
И так далее, список внушает уважение только своим размером. И тут я в очередной раз задал один простой вопрос: Но как Вы узнаете, что пользователь использует сочетания совпадающие с корпоративным логином и паролем, если он не посещает сторонние ресурсы, находясь на рабочем месте?
Разрабатывая политику безопасности или просто принимая решение запретить посещение какого либо ресурса или использование программы я предлагаю задуматься: А есть ли у Вас способы позволяющие проконтролировать и добиться выполнения этого требования?
Предполагать, что требование не посещать, например, вКонтакте, будет немедленно исполнено, потому что так сказал Chief security officer , бессмысленно и наивно. Как в прочем и предполагать, что по правильно оформленному Приказу, люди перестанут приносить на флэшках вирусы.
Некоторые психологи считают , что нарушение запретов является естественной чертой вида Homo Sapience. Наверное следует вспомнить, что особо выдающихся нарушителей "политики безопасности" законов церкви совсем недавно сжигали на кострах и как показала практика остановить получалось далеко не всегда. Так что попытки нарушения требований политики были и будут. Думаю эффективной политикой можно признать ту, которую нарушить не получается.
Вариантов реализации может быть принципиально 2:
1.Построение системы не позволяющей нарушить установленные правила и требования создавая условия, когда выполнение требований удобнее, чем их нарушение.
2.Создав эффективную карательную систему гарантирующую наказание за любое нарушение установленных правил. Примерно эта мысль посетила руководство нашей страны, когда какое-то время назад была развернута компания о неотвратимости наказания.
Во всех остальных случаях будут нарушения предписанных правил. И в принципе-то кажется, не столь принципиально, нарушается ли некоторыми пользователями установленные правила «по мелочи». Более того я слышал утверждение, что преодоление простой защиты – это тест на наличие мозгов: преодолел – мозги есть, не натворит больших бед, особенно если будет прятаться.
Но, к сожалению тут начинает работать еще одна теория психологов: Теория разбитых окон . И, к сожалению, можно утверждать с известной степенью уверенности, что за малым последует крупное…
