среда, 11 сентября 2013 г.

Приучение к лотку и защита информации

Добрый вечер, дорогие читатели! Больше месяца я ничего не писала, пора исправляться. Хотела бы поговорить с вами о вечной проблеме - соблюдение сотрудниками норм информационной безопасности. Существует множество мнений: кнуты, пряники - классика. А сегодня пришла мне в голову забавная аналогия с приучением котенка к лотку. Давайте поразмышляем. В нашем случае цель - соблюдение сотрудниками правил ИБ (котенок ходит в лоток). Объект - сотрудники (котенок). Рассмотрим мою историю с котом-лотком в контексте информационной безопасности. Поехали :)

Начитавшись форумов, я решила, что посмотрю, какое место для туалета выберет себе котенок и туда поставлю лоток. Можно пойти от обратного и навязывать место, удобное хозяину, но мне кажется так дольше, да и надежда все-таки была на то, что кот не станет выбирать люстру или холодильник. Он поступил как настоящий интеллигент - в углу за мольбертом. Туда мы лоток и поместили. 
Информационная безопасность. Посмотрите, какие нарушения наиболее часто встречаются у сотрудников, как они работают, рисуйте схемы со стрелочками - откуда и куда перемещается информация. Вы можете придумать новые замудренные правила работы, но соблюдать их сотрудники станут очень не скоро. Асфальтируйте дорогу там, где были тропинки. 
Но этого оказалось мало. Кот ходил в то место, но возле лотка. Не совсем то, что мы хотим. Начинаем усаживать, караулить, пытаться объяснить ему - бесполезно. Привыкаем ходить с тряпкой и вытирать бесконечные лужи. Потом замечаем, что лоток стоял немножко в наклон, ставим его в то же место в устойчивое положение. Не терроризируем больше кота, ждем. На следующий день - победа, котенок ходит в туалет!:)
Информационная безопасность. Анализируйте статистику нарушений, поведение пользователей, если наметился сдвиг в лучшую сторону, но все же ситуация оставляет желать лучшего - "двигайте лоток" - чуть поменяйте правила. Безопасность - это всего лишь инструмент для сохранения бизнеса, задачи которого важнее всего.
Казалось бы, все решилось. Но тут меня подстерегал сюрприз. Котик почему-то решил, что ходить в туалет он будет исключительно по-маленькому, остальные свои дела нужно делать в укромных местах, там где не ступала швабра человека. Что было делать? По советам форумов укромные уголочки были застелены фольгой - она шуршит и не дает "сосредоточиться" (то что нужно!), также был обнаружен тайный ход из кухни в ванную, который котенком активно использовался, он был заделан. Но самое главное -был куплен второй лоток, наполнен шуршащим наполнителем. И вот это уже полная победа - лоток используется по прямому назначению :)
Информационная безопасность. Не обольщайтесь небольшой победой. Например, вы заблокировали самый популярный сайт и ежедневный интернет-трафик предприятия упал в разы. Вы ликуете, но! Через какое-то время трафик достигает прежнего значения, а явного сайта-лидера уже нет. Каждый нашел что-то по своим интересам, сайтов множество и фильтровать их нужно уже не вручную добавляя в список, а анализируя контент. Здесь Вы тоже сможете найти "тайный ход из кухни в ванную" - анонимайзеры. После того, как используемые сотрудниками прокси-сервера, будут добавлены в черный список, а на экранах у них появится грозное предупреждение о запрете доступа, объемы "левого" трафика начнут стремительно падать. 
Конечно, этот шутливый рассказ не даст вам исчерпывающих советов о том, как защищать информацию (этому нужно долго и нудно учиться в университете :)), да я и не ставила себе подобную задачу. Просто мне нравится использовать в своих рассуждениях наглядные примеры. Помнится мой учитель по программированию объяснял, что массив - это шкаф с ящиками, в которых может лежать что угодно, например, помидор:)


19 комментариев:

  1. Здорово!!!
    Мне очень понравилось такое сравнение! Как говориться: ни дать - ни взять
    Да и с утра прочитав настроение поднялось!
    Отпралюсь и дальше приучать своих котят, хотя за шкирку порой брать всё же буду)

    ОтветитьУдалить
    Ответы
    1. Спасибо, рада, что Вам понравилась статья! Успехов в воспитании котят..., т.е. сотрудников :)

      Удалить
    2. И еще вопрос - что Вы считаете наиболее действенным - профилактику, наказание или поощрение? Мне иногда кажется, что в безопасности с поощрением туговато, мы все как-то больше грозимся :)

      Удалить
    3. На счёт поощрения не уверен, что они действенны. Ведь после того, как мы скажем работнику "Молодец! Теперь ты делаешь всё правильно" - он скорее всего не подумает "Ух ты! Какой я молодец", реакция будет молчаливая и скорее всего похожа на "Ну наконец они от меня отстали". Поэтому если есть время и желание, то можно поощрять.
      Без наказаний не обойтись. Публичные порки - самый действенный метод объяснить, что нужно слушаться и нужно соблюдать. Ну тут нужно вовремя увидеть, чтобы публичность порки не заставила публику уйти в подполье (может быть попробовать немного скорректировать бизнес-процесс, чтобы предотвратить повторение ситуации).
      Остаётся профилактика, часто похожая на дрессировку), которая со временем может замылиться.
      Наиболее действенного не выделю. Безусловно нужно стремиться к конечной цели, но чтобы до неё дойти нужно до конца доводить более мелкие, а для этого подойдёт и профилактика, и наказание, и поощрение, и другие способы.

      Удалить
    4. Насчет показательных наказаний абсолютно согласна, сарафанное радио - наше все)

      Удалить
  2. >Конечно, этот шутливый рассказ не даст вам исчерпывающих советов о том, как защищать информацию

    так Вы сами в начале означили тему как "соблюдение сотрудниками норм информационной безопасности", всё в порядке:)

    Аналогия очень понравилась. Я ещё люблю делать рассылки вроде "в этом месяце мы посетили 3 ресурса, содержащих потенциально опасное ПО, и получили одно уведомление от бдительного сотрудника. Все три случая оказались баннерами, а ресурс по обращению мы заблокировали. Все молодцы".

    ОтветитьУдалить
    Ответы
    1. Спасибо за приятный отзыв! Профессиональный вопрос: как Вы относитесь к созданию черных списков сайтов: одноклассники, вконтакте, совместные покупки и т.д. и отслеживанию наиболее активных посетителей нерабочих ресурсов? Существует мнение, что запрещать что-либо бесполезно, если не хотят работать, то все равно найдут, чем заняться. Я в своей практике видела, что после блокирования наиболее популярных сайтов, люди начинают раньше домой уходить, а значит работа делается в срок, сотрудники не задерживаются - мы возвращаем в круг семьи отцов и матерей:) Что думаете?

      Удалить
  3. Сейчас у всех есть мобильные гаджеты, позволяющие торчать в рабочее время в любых соцсетях. Блокировка сайтов в корпоративной сети не заставит людей работать. Это не метод стимуляции ;)

    ОтветитьУдалить
    Ответы
    1. Согласна, но Интернет на телефоне (по крайней мере у женщин) есть еще не у всех, может я Вас удивлю, но у кого-то и дома его нет!:) Так вот для таких сотрудников все развлечения доступны только через рабочую сеть, с ними и боремся. Да и скорость мобильного Интернета зачастую такая низкая, что он скорее раздражает, чем развлекает.

      Удалить
  4. А я думал, что задачи иб - обеспечение иб, а не воспитание сотрудников и увеличение производительности труда... )))
    Наверное примеры неудачные, надо что-нибудь с паролями придумать...

    ОтветитьУдалить
    Ответы
    1. В точку! Воспитывать должен отдел HR, а стимулировать менеджмент, примерно так.

      Удалить
    2. Можно и с паролями придумать - про хранение на листочках. Или про хранение электронных ключей, тут уж на Ваше усмотрение :)
      Возможно кто-то из HR и должен воспитывать, но на практике это далеко не всегда так. Никто не заинтересован в том, чтобы сотрудники соблюдали ИБ больше, чем специалист по защите информации. Кстати кадровики такие же сотрудники и их так же надо обучать безопасным методам работы)

      Удалить
  5. Этот комментарий был удален администратором блога.

    ОтветитьУдалить
  6. С котятами все проблемы решаются если кошка их успела научить (обычно первые 1-2 месяца)

    Какая аналогия в ИБ?

    ОтветитьУдалить
    Ответы
    1. я думаю, что аналогия такая - если с самого начала безопасности, в том числе информационной, уделяется должное внимание, а это возможно при выполнении следующих условий:
      1. Поддержка руководства;
      2. Грамотные специалисты;
      3. Необходимые средства (время, деньги, человеческие ресурсы).
      Так вот если предприятие работает давно и в какой-то момент принимают специалиста по ИБ, то в начале ему будет очень сложно, потому что нужно менять укоренившиеся привычки и менталитет сотрудников.
      К счастью, я была в подобной ситуации - единственный специалист и организация ИБ с нуля, опыт большой, но если честно сказать - первый год ушел только на то, чтобы понять, кто как работает и установить отношения в коллективе, ну и на разработку необходимой документации. Все самое интересное началось потом, но это уже совсем другая история:) Спасибо за интересный вопрос, заставили меня поразмышлять!

      Удалить
    2. Ксения, свяжитесь со мной по электронной почте, пожалуйста (есть у меня в профиле), либо иным удобным Вам способом. У меня к Вам есть деловое предложение.

      Удалить
  7. А учитель все таки был мудрее. Может оказаться и помидор....

    ОтветитьУдалить