Перейти к содержимому. | Перейти к навигации

Персональные инструменты
Вход Регистрация
Вы здесь: Главная БЛОГИ Заметки о безопасности Человеческий фактор и ИБ
Protectiva Compliance Manager
Навигация
 

Человеческий фактор и ИБ

Автор: Евгений Ударов опубликовано: 12-10-2010 последнее изменение: 12-10-2010

Размышления навеянные прочтением отчета компании InfoWatch "Глобальное исследование утечек за 2010 год"

На днях компания InfoWatch (www.infowatch.ru) представила отчет «Глобальное исследование утечек за 2010 год», отчет охватывает первое полугодие 2010 года. Отчеты данной тематики компания InfoWatch  публикует на протяжении последних нескольких лет, за что им большое человеческое спасибо (в моей практике данные отчеты, часто были решающим аргументом для убеждения руководства в принятии того, или иного решения).

После прочтения отчета, в очередной раз убедился, что все утечки в большинстве своем, случайны и причиной утечек является утеря мобильных ПК, флешек, бумажных документов, пересылка электронной почты. То есть причина всех бед пресловутый "человеческий фактор". Сам по себе сформулировался вопрос почему, при всех предпринимаемых мерах безопасности, никак не удается победить  "человеческий фактор"? 

Чтобы ответить на этот вопрос наверное стоит рассмотреть, а что же происходит на практике? На практике, в среднестатистической компании мы имеем, либо одну «техническую защиту» выстроенную системными администраторами,  либо «техническую защиту» и набор регламентирующих ИБ документов, которые часто никому кроме «службы безопасности» не нужны. Поразмыслив о том, что есть не смог ответить сам себе на вопросы:

Часто ли мы, как эксперты в области ИБ:

  • Проводим обучение сотрудников по вопросам ИБ или коммерческой тайны?
  • Разъясняем сотрудникам их обязанности по выполнению требований ИБ и наступающей за их невыполнение ответственности?
  • Пишем в разрабатываемых документах фразы  «в случае утраты документов, довести до сведения следующих лиц», «в случае удаления данных выполнить следующие действия»?
  • Проводим стресс-тесты разработанных документов ИБ?

Знаем ли мы, как эксперты ИБ, что будет делать:

  • Финансист не найдя своих бюджетов в формате excel на сетевом диске?
  • Юридическая служба, получив  письмо  от ООО «Рога и Копыта» с чистым листом внутри?
  • Сотрудник секретариата, получив заказное письмо от гражданина Иванова И.И., в котором он просит уточнить какие принадлежащие ему персональные данные, каким образом и с какой целью компания обрабатывает?

На мой взгляд, из отчета компании InfoWatch довольно четко следует, что необходимо все больше и больше сил уделять:

  • Повышению культуры сотрудников в области ИБ.
  • Разработке работающих, понятных сотрудникам процедур ИБ с привлечением к разработке самих сотрудников.
  • Разъяснению сотрудникам их ответственности за невыполнение требований ИБ в компании.      

Несомненно, все выше сказанное присутствует не везде и не у всех и не отменяет применение технических средств защиты и разработку документов по ИБ. 

Своей статьей мне хотелось донести до читателя, что для построения ИБ в компании, необходимо быть не только технарем или техническим писателем, но и менеджером, технологом, бизнес-аналитиком и привлекать  всех необходимых сотрудников,  так же статья это результат размышлений на основе прочтенного отчета и личного опыта .

Источник http://www.infowatch.ru/report/462

 

 

Comments (0)

Как стать участником |  Что может участник  |  Как работать с порталом  |  Реклама |  Авторские права  |  Контакты  |  Конкурсы  |  RSS  |  Форум
©2003 - 2020 GlobalTrust
Рейтинг@Mail.ru Rambler's Top100 Yandex