Как бы там ни было, всегда существует в человеческой жизни такая проблема, как расстановка приоритетов. Что делать: сходить попить пива или посвятить вечер изучению очередного исследования по персональным данным? Как говорится, каждый выбирает по себе. В информационной безопасности всё то же самое, только, к сожалению, как показывает практика, правильно расставить приоритеты может далеко не каждый. Что, собственно говоря, и приводит к закономерным результатам, называемым в народе "фэйлами".
Типичный пример: обычная компания, занимающаяся кое-какими конструкторскими разработками. Понятно, что без информационной безопасности им никуда, но безопасностью (всей) руководит бывший мент, со своими понятиями о добре и зле. В итоге получаем, что на безопасность тратятся солидные деньги, везде стоят камеры, сотрудники не могут войти-выйти из комнаты без карточки и (один из немногих по-настоящему положительных моментов) не могут попасть в чужую комнату, если карточка не позволяет этого сделать. Опоздать тоже боятся, социальные сети запрещены, как и Скайп, чтобы вставить в компьютер флэшку, нужно идти с ней к сисадмину (будто у него другой работы нет). Естественно, никакой DLP-системы нет и в помине - да что там DLP, даже файрвола, хотя сисадмины вроде бы очень настаивали. Хотелось бы дидактично сказать, что из-за этого у них происходят утечка за утечкой, и компания сильно страдает в финансовом плане, но нет, пока, что называется, "проносит". Но долго ли будет проносить и дальше?..
Очевидно, что проблема именно в расстановке приоритетов и каком-то прямо чиновничьем подходе к обеспечению безопасности: средства выделены, средства освоены, и пока нет никаких проблем, никто не анализирует правильность их "освоения". И именно поэтому получается, что силы службы безопасности сосредоточены, в общем-то, на мелочах, а не на действительно важных вопросах. И организовать утечку информации в результате проще, чем залезть с рабочего компьютера на запрещенный Facebook.
Эта ситуация, ещё раз подчеркну, достаточно типична для российских компаний, поэтому хочется обратить внимание читателей на то, что расстановка приоритетов - необходимый (но, конечно, недостаточный) пункт в построении эффективной системы безопасности любой организации.
Р. Идов,
аналитик компании SearchInform
