Информационная безопасность и человеческий фактор

StaffCop

StaffCop Enterprise

        На данный момент в каждой информационной системе, в каждой IT-структуре, участвует человек. Конечно, сейчас вовсю привлекается слабый искусственный интеллект – что это, как он может помочь и какие опасности в себе таит мы расскажем немного позже – но не все это могут себе позволить и технология настолько ещё не развита, чтобы ИИ полностью вытеснил человека.

        А это значит, что в вашей системе, какой бы высокотехнологичной, устойчивой, защищённой она бы не была, всегда будет слабое место, уязвимость – человек. Этот эффект именуется «человеческий фактор» и он имеет большое влияние во многих областях. Многие утечки данных, аварии и просто неприятные ситуации часто происходит по вине человека. Причин, по которым человек совершает ошибки множество: начиная от просто невнимательности, заканчивая самой настоящей некомпетентностью.

        Собственно говоря, поэтому многие компании инвестируют в инструменты мониторинга и контроля сотрудников, дабы избежать таких ситуаций или выявить их как можно раньше.

        Но мы не можем просто заявить, что, мол, люди нам не нужны, нам нужны роботы и тогда заживём. Люди это часть нашего бизнеса, и у этой части (важной части) есть свои мысли, свои чувства, свои потребности. Вы просто не можете это игнорировать. А, как говорится, в известной поговорке, не можешь победить – возглавь! Как же мы можем это трактовать?

        Например, как мы писали ранее ваша продуманная политика безопасности должна учитывать работу с паролями и, как один из примеров, мы рекомендовали предоставить сотрудникам менеджер паролей, чтобы сотрудникам не было необходимости записывать пароли на бумажке или пытаться запоминать, что, очевидно, у них не получится. Ведь если какое-либо правило безопасности окажется для людей невыполнимым по каким-то причинам, начиная от неспособности человека запоминать сложные пароли и заканчивая банальным нежеланием это делать, то человек придумает, как это правило обойти и этот обход выйдет вам боком.

        Первым сложным моментом является соблюдение конфиденциальности ваших сотрудников. Если вы используете программу мониторинга, вам необходимо чётко разделять, слежение за корпоративной жизнью сотрудников и за личной. Ведь, в нашей стране, действует презумпция невиновности и право на тайну переписки. Как же выкрутится в этой ситуации? Самый простой вариант – это разграничить личную и профессиональную деятельность сотрудников, как того требуют правила безопасности. То есть, персонально для каждого сотрудника запретить как организационно, так и технически доступ к сервисам, которые используют для личных нужд. Сурово? Да. Для того, чтобы ваше решение было мягче, вам придется искать технологии и различные варианты, но то, что это делать нужно – без сомнения.

        К тому же, тут автоматически появляется второе узкое место – этичность ваших ограничительных мер. Насколько необходимы столь суровые условия? Насколько действительно необходимо следить за всем и вся? Каждый сотрудник задастся этим вопросом и вам придется на него отвечать, если вы уважаете ваших сотрудников. Как именно вы решите этот вопрос – выбирать вам. Один из вариантов это обоснование сотрудникам того уровня слежения который у вас принят.

        Кроме всего этого, все решения, которые вы используете для обеспечения информационной безопасности, должны быть удобны в использовании. Это тоже самое, о чем мы говорили выше: если пользователи будут испытывать неудобство при соблюдении правил безопасности, они обязательно найдут способ это обойти, причем, часто не задумываясь о последствиях, а только о той задаче, которую они решают в данный момент. Если мы вспомним, что сотрудники (да и вообще пользователи) имеют склонность недооценивать важность используемых данных, а также тот факт, что начальство наказывает их за невыполнение той работы, которую им поручили, а не за моменты информационной безопасности, то мы получаем ситуацию, при которой сотрудники будут прикладывать максимальные усилия для выполнения своей работы, игнорируя все помехи. В том числе, правила безопасности.

       Как мы можем подытожить всё написанное? Очень просто. Информационная безопасноть не может строится с помощью усилий только одного отдела информационной безопасности. Безопасность вашего бизнеса должна быть общей идеей, к которой вы должны привлекать, которую вы должны объяснять и которую вы дожны исполнять все вместе, как коллектив. Это требует определённых усилий, но если вы отнесётесь к сотрудникам, как к людям с которыми вы заняты общим делом, в успехе которого они все заинтересованы (не будет дела - не будет зарплаты, на самом простом уровне), то и система обеспечения информационной безопасности будет гораздо более надёжной.

        Надеемся вам было интересно и вы узнали для себя что-то новое! Оставайтесь с нами и впереди вас ждёт ещё много нового!