 |
Недавно в наши светлые головы пришла новая идея: посмотреть не на данные, а на людей. На инсайдеров.
Помимо распределения утечек по различным каналам, носителям информации и стоимости должно быть их распределение по людям – должностям, ролям, стажу на одной должности, материальному положению и уровню знаний ИТ. Всякие национальности и судимости мы сразу решили не трогать – в этом болоте можно найти только новых проблем, а не решения старых.
Начали с небольшого соцопроса, а дальше будем собирать статистику инцидентов.
Поскольку нельзя закрутить все гайки во всех местах, следует подтягивать самые слабые и наиболее дорогие. Но под "местами" следует понимать не только устройства и протоколы, но также людей. Если относиться к работникам не как к винтикам, а как к верньерам, можно настроить политику безопасности оптимальнее: на такой же уровень с меньшими издержками или с такими же издержками на более высокий уровень.
Вот, ввели в некоторых странах так называемые "кредитные истории". И люди стали о них заботиться – выращивать, пестовать, ублажать и подкармливать. Уже сам факт наличия такой истории делает среднего человека послушнее и аккуратнее. Для систем защиты информации
