Самое слабое звено…

Когда мы говорим о самом слабом звене в информационной безопасности предприятия, сразу почему-то начинаем искать какие-то мифические дыры в периметре, вспоминаем наших пользователей, но почему-то никто не задумывается о … руководстве. 
Да-да, речь пойдет именно о руководящем звене, главных менеджерах компании. Почему-то в большинстве компаний они ведут себя как неприкасаемые. Особая каста. Типа он руководство и написанные правила должны выполнять все, кроме них самих.
Вспомню случай из своей практики – написали парольную политику. Определили, утвердили. И тут же посыпались упреки – нам неудобно, это неправильно, мы же VIP-сотрудники. Через некоторое время им разрешили определенные послабления. Прошло еще некоторое время и пароли уже не соответствовали написанным требованиям.
Следующий шаг –использование Интернет. Написали, утвердили. И понеслась. Откройте для VIP-сотрудников полный доступ в Интернет, чтобы без запроса могли музыку, видео и порно качать. А чуть позже – и нам откройте и нам.
Картина знакомая?
Также дело обстоит и с игрушками, и с установкой ПО. И для кого мы пишем все эти документы? Для себя?