Подумалось мне тут после очередного разговора с одним бизнесменом, что непонимание сути безопасности и есть причина всех фиаско в её достижении. Под сутью я здесь понимаю то, что люди, не являющиеся профессионалами в этой области, имеют в виду некую, скажем так, статичную безопасность, которая, как и другие идеальные конструкты, не встречается в этом мире. Безопасность - явление динамическое; процесс, а не результат. Именно с понимания этого и необходимо начинать работу по установлению ИБ в любой организации.
Ведь как себе видит среднестатистический человек безопасность, особенно информационную? Вполне понятно, как: все "под колпаком", каждый дрожит от страха перед "большим братом", который слышит каждый его вздох и видит каждое движение мыши, и поэтому даже не помышляет о том, чтобы не то что утечку информации сотворить, а даже лишний раз в "Одноклассники" зайти.
Безопасники тоже, к сожалению, тоже грешат статической интерпретацией безопасности. Только у них она выглядит так: "установил чудо-софт и стала безопасность". Под чудо-софтом может пониматься что угодно, в нашем случае это будет чаще всего DLP-система. Мысль, согласитесь, заманчива: кто-то за тебя работает, а ты только отчеты пишешь и зарплату получаешь. К сожалению, подобная идея не выдерживает суровой проверки жизнью, а ведь ещё Маркс говорил, что практика - критерий истины.
Поэтому если с безопасностью что-то не в порядке, несмотря на всевозможные купленные инструменты, то стоит подумать над, так сказать, метафизическими основами и запустить процесс - тогда только получится безопасность.
Р. Идов,
аналитик компании SearchInform
