Почему наши политики безопасности не работают?

Почему наши политики безопасности не работают?

Очень часто во время чтения курсов или консультирования компаний по информационной безопасности поднимается тема политики безопасности. Политика является основой всей инфраструктуры безопасности, по сути, конституцией безопасности компании.

На вопрос «Есть ли у Вас политика информационной безопасности», 70% смело отвечают – есть. А вот на следующий мой вопрос «А насколько эта политика выполняется?», в 90% случаев я слышу «Ну, Вы понимаете…» или «У наших людей не тот менталитет, чтобы выполнять политики», или «частично…». Что значит «частично»? Каждый выполняет только то, что ему нравится? Или всеми выполняются только отдельные политики? Судя по ситуации в нашей стране следование политикам безопасности крайне наболевший вопрос. Эта статья будет посвящена этой проблеме и возможным решениям.
Миф первый. Мы написали, значит все сделали.
Первый вопрос, который Вы должны себе задать, если Вы понимаете, что политика безопасности в Вашей компании не работает, или работает не так как надо или хотелось бы «А что сделал менеджмент и отдел безопасности, чтобы она работала?». На этот вопрос в 90% случаев я получаю ответ: «Ну как, мы ведь ее написали…» Иногда отвечают, что «провели приказом по компании, выложили на сервер и всем разослали ссылку». Отлично! Эффект от такого способа распространения можно приблизить к рассылке спама. Любой пользователь воспримет письмо, содержащее информацию, которая может ему навредить (а наложение большого числа ограничений, явно навредит…), как нежелательное. Да Вы и сами знаете, что эффективность спама ниже десятой процента. Так и в этом случае: кто-то пропустит это письмо, кто-то сделает вид, что пропустил, кто-то прочитает первую страницу ради (не более) интереса и все. Затем, по прохождению некоторого времени отдел безопасности будет заниматься террористическими актами для хоть какого-то поддержания их документа в работе. Но это продлится 2-3 месяца, после чего отдел ИБ поймет, что продолжение войны дальше просто глупо. Вполне логично, что 10-20 человек (в лучшем случае) никак не смогут справиться с ордой в 200-1000 человек пользователей. Это физически невозможно. После чего отдел безопасности, подкрепленный полным безразличием со стороны руководства, положит печатную копию политики куда-нибудь на полку и забудет о ее существовании, а политика станет предметом мебели. Вот я вкратце описал судьбу большинства политик безопасности в странах СНГ. Второй вопрос. Зачем Вы ее писали? Для чего или для кого? Стоимость политик безопасности, в зависимости от величины компании, может варьироваться от тысяч долларов до десятков тысяч.
Неужели Вы потратили эти деньги, чтобы просто получить 50-300 страниц никому не нужного текста? Я думаю, что это дороговато для того, чтобы просто сказать менеджменту, что у нас ЕСТЬ политика безопасности.
Миф второй. Мы их заставим…
Давайте рассмотрим реакцию любого сотрудника на любое ограничение его прав и свобод. Образно это можно сравнить с прикладыванием усилий к любой материи. Результат будет в точности, как гласит третий закон Ньютона «Сила действия равна силе противодействия». Любое усилие сверху навязать политики безопасности будет встречено равным по силе отторжением. . Многие начальники и просто специалисты отделов информационной безопасности хотят, чтобы их боялись. Лично я не знаю, с чем это связано и не понимаю, зачем это нужно. Да, возможно страх является мотиватором для выполнения политик, но у него есть масса побочных эффектов. Приведу пару примеров. Сотрудник, которого заставляют выполнять какие-то правила под страхом наказания, будет выполнять работу именно так, чтобы удовлетворить требованиям начальства, но не больше, то есть про прирост производительности и личное стремление можно забыть. Кроме того, проявят себя люди, которые обладают сильными волевыми качествами и лидерскими способностями. Они принципиально не будут выполнять политики «из-под палки» и будут своим примером подстрекать остальных. Обычно, такие люди это начальники отделов либо работники с критичной для компании квалификацией, которые имеют определенное влияние на верхний эшелон управления и с их мнением принято считаться. Неподчинение таких сотрудников ставит вопрос о выполнении политик в тупик: заставить их нельзя, они обладают сильным чувством индивидуальности, а увольнение приведет к большим проблемам в работе компании. Понятно, что когда становится вопрос «или я или политики», то управление выберет то, что в данный момент более критично для бизнеса, а именно сотрудника. А самые умные и хитрые работники будут разбирать политики безопасности, искать в них дыры, а потом делать назло. Поэтому отдел информационной безопасности должен всячески избегать прямых конфронтаций и выяснений отношений через количество «служебок». Тем более, если в такой ситуации выиграет сотрудник, то «освободительное движение за права простого народа» тут же получит массовый характер и тогда судьба политики безопасности будет в точности, как я написал выше. Еще одним последствием принуждения будет падение лояльности к компании, ведь сотрудники тут же начнут сравнивать условия работы в разных компаниях и с высокой вероятностью перейдут к другому работодателю, даже на меньшую зарплату, но с «нормальными» условиями работы.
Миф третий. Мы обойдемся без обучения
Природа человека такова, что он достаточно консервативен и отторгает то, что не понимает. С политиками безопасности будет именно так. Раньше у бухгалтера был пароль 123, отличный короткий хорошо запоминающийся пароль, а теперь ей нужно придумать на 10 символов да еще из двух регистров, с цифрами и спецсимволами. Нам понятно, зачем это нужно, а ей? Естественно, не зная сути, бухгалтер отнесется к этой политике как к злой выдумке отдела безопасности. А как все было бы просто, если бы ей за 15 минут объяснили, что она хозяйка конфиденциальной и критичной для компании информации, а пароль такой необходим для того, чтобы его не смогли просто подобрать. А если еще и продемонстрировать на пальцах как подбирается пароль методом грубой силы, и сказать, что современные системы подберут ее трехзначный пароль менее чем за минуту, а каждый новый символ увеличивает защищенность пароля в 256 раз, то проблемы с пониманием и принятием отпадут, придет лишь осознание ответственности и необходимости правил. Каждый работник должен понимать, что правила пишутся не ради наличия правил, а каждое правило обосновано и логично. Еще один пример необходимости обучения, это формат и стиль написания политик. Далее я приведу несколько примеров политик безопасности. Ответственность за повреждение данных или программ пользователей. Компания использует системы контроля доступа и другие меры безопасности для защиты конфиденциальности, целостности и доступности информации, которая обрабатывается компьютерными и коммуникационными системами. Для выполнения этих целей, управление имеет право на:

  • ограничить или отменить любые права пользователей;
  • просматривать, копировать, удалять или изменять любую информацию, программу или системный ресурс, который подпадает под цели, указанные выше; * принимать любые другие меры, которые с точки зрения компании являются необходимыми для управления и защиты информации без уведомления пользователей.

Компания не несет ответственности за потерю или повреждение любых данных или программ пользователей в связи с выполнением целей безопасности. Пересылка чувствительной информации. Любое раскрытие конфиденциальной или приватной информации третьим лицам должно сопровождаться информацией о том, какая конкретно информация является чувствительной и какие ограничения накладываются на ее распространение. Собственность идей работников компании. Любое изобретение, процесс бизнеса или любая другая практическая идея, придуманная работником во время работы на компанию, которая в любой мере затрагивает бизнес компании, и была создана на базе информации, полученной из деятельности компании, или на базе ресурсов компании, является эксклюзивной собственностью компании. Если дать какому-нибудь работнику 100 страниц таких правил и сказать прочитать их все до конца, то обычно терпения хватает страниц на 10, и то запомнится из них первые две и последняя одна. На странице четвертой – пятой сотрудник начнет улыбаться и думать: «Интересно, это ж кто из отдела безопасности такой зануда, что все это написал?». Язык, которым пишутся политики, тяжел для восприятия, но это необходимость. Если писать в свободном стиле, то объем документа может увеличиться в несколько раз, а политики как раз следует писать по принципу «краткость – сестра таланта». Кроме того, сухость языка изложения политик исключает двусмысленность понятий и фраз. Поэтому давать политики на личное изучение работникам не эффективно. Да, работник скажет, что прочитал и все усвоил. Вы сделаете вид, что поверили и поставите птичку напротив его или ее фамилии, но мы ведь хотим другой результат. Еще одним факторам «за» обучение, является наличие дистанционных и мобильных сотрудников. Как их можно проконтролировать, если они работают вне площадей компании? Отправлять отдел безопасности на патрулирование или эскорт? В этом случае компания целиком и полностью полагается на ответственность и здравый смысл работников, а, не пройдя соответствующее обучение, они просто не будут знать, как реагировать на те или иные угрозы. Обучение призвано распространить осознание и необходимость политик внутри каждого работника и таким образом значительно ослабить отторжение изменений.
Миф четвертый. Менеджерам все можно
Статистика показывает, что на первых местах среди нарушителей политик безопасности находятся менеджеры среднего и верхнего звена и сами работники отделов ИТ. Менеджеры почему-то считают, что раз они находятся в руководстве компании, то имеют право не следовать общим правилам. Помимо значительного повышения рисков для компании (ведь раз это топ-менеджеры, они владеют и «топ» информацией, утечка которой может привести к крайне серьезным последствиям), игнорирование управленцами политик подбивает рядовых сотрудников также не выполнять политики безопасности. В этом случае играет обычное чувство справедливости и мысли о том, что любой сотрудник в компании не хуже других. Если не пресекать вольности менеджмента, то рано или поздно все подчиненные работники последуют примеру начальства и будут по-своему правы. На следующей странице приведен список ответов на вопрос «Что надо делать, чтобы политики безопасности заработали?»


Залишити коментар
Будь ласка, введіть ваше ім’я
Будь ласка, введіть коментар.
1000 символів

Будь ласка, введіть email
або Відмінити

Інші статті в категорії HR, менеджер з персоналу, рекрутинг IT, програмування, розробка Менеджмент, керування, KPI