Контролировать всё - это, к сожалению, та недоступная идеальная ситуация, о которой в силу особенностей своей профессии мечтает каждый безопасник. Почему к сожалению? Потому что тотальный контроль, о котором безопасники мечтают, скорее вредит той организации, где они работают, особенно если тайны и секреты в ней не имеют государственного масштаба.
К чему это я? К тому, что недавно довелось мне услышать о примере такой организации, где безопасникам дали возможность приблизиться вплотную к своей заветной мечте и довести контроль почти до абсурда. Организация, сразу скажу, к обороноспособности страны никакого отношения не имеет; более того, является негосударственной. Люди в ней работают творческие, и живёт организация тем, что продаёт продукт их интеллектуального труда, платя своим сотрудникам достаточно конкурентоспособную зарплату. Одной из проблем этой организации стали утечки информации, той самой, которой организация и торгует (ну, вернее, как торгует - делает под заказ). Поскольку утечки эти стали сказываться на прибыли, руководство немало озадачилось информационной безопасностью, и наняло без малого десяток безопасников, которые её должны были обеспечивать. И вот тут администрация сделала серьёзную промашку: полагая, что это совершенно необходимо для обеспечения безопасности, раздало новоиспеченному отделу права контролировать всех кого вздумается, делать при этом практически всё что вздумается (в рамках закона, конечно) и, самое главное, самостостоятельно применять санкции к виновным - всё, кроме увольнения, не нужно было согласовывать с начальством.
Дисциплина, конечно, установилась железная. Помимо DLP-системы были закуплены камеры видеонаблюдения, при входе на работу у сотрудников собирали мобильные, разговоры по служебным телефонам, естественно, слушали безопасники. Попутно стали вести борьбу с опозданиями, "Одноклассниками" с рабочего компьютера и прочими вредными для конторы вещами. Сотрудники писали тоннами объяснительные по поводу того, что они написали в "Аське" подозрительное сообщение, а перед отправкой письма с вложением по электронной почте безопасники лично проверяли, что в этом вложении содержится.
Инсайдера, сливавшего данные, выловили, конечно, буквально за три дня, и тут же без разговоров выгнали. Но после этого меры по обеспечению безопасности ничуть не ослабли, наоборот, теперь для пущей безопасности стали контролировать и бухгалтерию, которая до этого почему-то оказалась не охваченной новыми мерами.
Надо ли говорить, что продолжалось это всё не очень долго? Через неделю-другую работники, накушавшись вдоволь безопасностью, потянулись к кадровику с заявлениями "по собственному желанию", благо, желания этого было хоть отбавляй. Руководство, не вняв тревожному звонку, стало трясти увольняющихся на предмет поиска у них принадлежащих работодателю данных - доходило до требований предъявить домашний компьютер и ноутбук, чтобы безопасники его проверили, в противном случае подписывать заявление отказывались.
В общем, полгода хватило для того, чтобы толковые сотрудники перебежали к конкурентам, а остались в конторе сплошь те, кто просто "высиживал" рабочий день, не принося ей особого дохода. Чем они там занимались под неусыпным контролем службы безопасности, без доступа к "Одноклассникам" и даже к пасьянсам? Кто ж его теперь знает... Прибыль компания приносить перестала, влезла в долги, и долго ли, коротко ли, появился в ней антикризисный управляющий вместо старого директора, и первым делом он сократил отдел безопасности до двух человек, и прописал вменяемые политики безопасности. Сейчас контора активно ищет новых сотрудников и пытается переманить обратно тех, кто ушел во время "эры безопасности".
Если узнали по описанию эту компанию, молодцы, но писать её название в комментариях не нужно. К чему же я это тут рассказал? К тому, что нужно помнить, что безопасность - для бизнеса, а не бизнес - для безопасности, и исходя из этого простого посыла и действовать, организуя работу службы безопасности.
Р. Идов,
специалист по информационной безопасности
Комментариев нет:
Отправить комментарий