Ожидаемое и реальное поведение людей в окружении безопасности

Ожидаемое и реальное поведение людей в окружении безопасности
Есть в Норвегии такой федеральный орган как National Security Authority (это наши ФСТЭК и ФСБ вместе взятые). В 1998 году под его эгидой был выпущен Norwegian Security Act, который обязывал государственные и частные предприятия предпринимать ряд мер по защите конфиденциальной информации. Знакомо, не правда ли? Некоторое время спустя агентство решило проанализировать поведение сотрудников организаций, подпадающих под действие закона, с точки зрения ИБ. Неудивительно, что между ожидаемым (все-таки закон обязателен к исполнению) и реальным поведение был обнаружен разрыв, причиной которому было несколько барьеров: юзабилити (удобство/неудобство) безопасности (как систем, так и процедур и процессов)отсутствие у сотрудников необходимых знаний в области ИБотношение к безопасности (например, "старые" сотрудники не запускали утвержденный процесс реагирования на инцидент, произошедший по вине новичков, предпочитая поговорить с ними "по душам" и дать им еще один шанс в ущерб установленным правилам)отсутствие культуры безопасности (например, сотрудники часто думают или говорят "почему я должен это делать, если мой коллега этого не делает?")конфликт целей (классическая диллема: что важнее - запустить продукт к заданному сроку, но без серьезных проверок на безопасность, или досконально проверить защищенность, но сорвать сроки запуска проекта?)традиционные человеческие ошибки. Предположу, что аналогичные барьеры существуют не только в Норвегии, но и в любой стране и любой организации, внедряющей различные технологии и практики ИБ. А раз эти барьеры одинаковы, то, зная о них, можно подготовить и меры по снижению их негативного эффекта. Без этого любые попытки навязать какое-либо обязательное требование или заставить выполнять федеральный закон или иной нормативный акт будут обречены на провал.
Alt text

Большой брат следит за вами, но мы знаем, как остановить его

Подпишитесь на наш канал!