Так же и правила хорошей политики безопасности. Они твёрдые перед самодурством начальства. Они мягкие перед квалификацией айтишника. Когда надо для дела – они легко тают , текут и меняются под текущие потребности работы. Когда надо – они сопротивляются административному давлению и позволяют рядовому админу выдерживать прессинг хоть самого Гендиректора.
Достичь обоих качеств одновременно можно. Это вопрос тонкого баланса и золотой середины.
А для тех, кто не владеет дао информационной безопасности, остаётся простой метод – заворачивать свою политику во много слоёв бюрократических процедур. "Снаружи" их преодолеть будет сложно. А сам админ может и неформальноконфиги поправить. Но это – ещё раз подчёркиваю – путь дешёвой массовой поделки.