Про регламенты я уже писал неоднократно и повторяться особо не буду. Только уточню, что регламенты работают лучше при все той же корпоративной культуре, где есть определенные нормы, правила и, конечно, здравый смысл.
Если найденные накопители не принято в компании сразу же «засовывать» в корпоративный ноутбук, то это будет вполне адекватной частью, которая также фиксируется регламентом.
Пароли, которые не пишутся на стикерах у компьютера, не передаются коллегам «для подстраховки» и не хранятся в мобильнике в открытой заметке тоже часть регламента и той же самой корпоративной культуры.
Много раз слышал, что нельзя все регламентировать, нельзя слишком зажимать тиски контроля и прочее. Это все так, но при условии, что уже есть четкая система работы информационной безопасности, есть ответственность работников и определенный контур безопасности, явно усложняющий появление простейших угроз.
Получится ли договориться в таком случае с руководителями на местах? Несомненно! Но важно им грамотно презентовать саму идею информационной безопасности (ИБ), риски и обязательно вменить ответственность. В чем она заключается? Представьте, что, к примеру, Финансовый директор требует от ИТ-директора полные права на своем рабочем ноутбуке вне регламента. Он же руководитель и как можно ему что-то запрещать? Или у администратора и при этом ИТ-директор вообще не в курсе этого. Хорошо, но вместе с расширением полномочий прописывается и ответственность. Чтобы он этот ноутбук не просто берег, но даже и думать не стал, чтобы дать поиграть своему ребенку или полазить на сайтах определенной тематики. Что будет, если угроза безопасности будет исходить именно из этого самого ноутбука? И главное, кто будет за это нести ответственность.
И что касается корпоративной культуры, то я убежден, что без понимания определенных существенных моментов безопасности, без вмененной ответственности и общего восприятия реальности возможных угроз компании в рамках ИБ работать система в такой компании эффективно не сможет. Задумайтесь в следующий раз, когда просто выдаете максимум прав в сети кому-то из руководителей, потому что он не смог скачать очередную игрушку или неизвестный софт, кому будут заданы вопросы и кто будет решать возможные проблемы в случае их появления.
Обучаю и консультирую ИТ-специалистов, которые планируют карьеру в ИТ и начинающих ИТ-руководителей по реальному развитию ИТ-сервисов, системной работе на результат и выстраиванию карьеры в ИТ, провожу ИТ-аудит компаний. Опыт и внутри компаний, и в ИТ-интеграторе более 8 лет.
© Сергей Полторак