Что ни говори, а все-таки в такой сфере, как информационная безопасность, заимствование чужого положительного опыта - весьма эффективная тактика, потому что каждые "грабли", наступая на которые, как известно, приобретаешь опыт, обходятся очень и очень дорого. Соответственно, нужно использовать любую возможность обойти "грабли" при помощи чужого опыта - благо, возможностей таких предостаточно.
Вообще, как показывают жизненные наблюдения, чем более прописную истину требуется постичь экспериментальным путем, тем более тернистым этот путь оказывается. И иногда для того, чтобы понять смысл защиты конфиденциальных данных, требуется получить ущерб от утечки, эквивалентный сотне-другой тысяч "вечнозеленых". Хотя можно было бы их сэкономить, просто проконсультировавшись с теми, кто уже бывал в такой ситуации. Или прочитать об их опыте - благо, таких публикаций в сети более чем достаточно.
Другой пример - инструктаж по соблюдению политик информационной безопасности. Казалось бы, азы, ничего сложного в том, чтобы его провести, не может быть в принципе. Но что имеем на практике? В каком количестве компаний он реально проводится? Наши данные говорят о том, что он есть примерно в 70% организаций, мои личные наблюдения - о половине. Но ведь такая простая вещь должна быть в 100% организаций. Что нужно делать для того, чтобы руководители действительно задумались о необходимости такого инструктажа? Очевидно, показывать всё на личном примере. Как, например, это делает Symantec .
Как говорит CIO Symantec, обеспечение безопасности данных компании не ограничивается использованием программно-аппаратных средств: одним из ключевых элементов политики ИБ является "обработка" персонала. "Мы тщательно инструктируем сотрудников по вопросам безопасности, просвещаем в области обеспечивающих ее технологий и их использования - так, чтобы весь персонал являлся частью корпоративной ИБ-системы", - рассказывает CIO Symantec.
Думаю, было бы совсем не плохо, если бы компании проводили бы какие-то тренинги, в которых рассказывали бы о том, как именно стоит инструктировать персонал по поводу соблюдения политик ИБ. Это было бы точно заметно более полезно, чем "страшилки" об утечках данных или вирусах, которые любят в нашей индустрии.
Р. Идов,
аналитик компании SearchInform
