Собирая всякую статистику по инцидентам, мы пытаемся выяснить, где лучше ловить утечки. На каких
каналах? Среди каких
типов данных? В каких
предприятиях?
Недавно в наши светлые головы пришла новая идея: посмотреть не на данные, а на людей. На инсайдеров.
Помимо распределения утечек по различным каналам,
носителям информации и
стоимости должно быть их распределение по людям - должностям, ролям, стажу на одной должности, материальному положению и уровню знаний ИТ. Всякие национальности и
судимости мы сразу решили не трогать - в этом болоте можно найти только новых проблем, а не решения старых.
Начали с небольшого
соцопроса, а дальше будем собирать статистику инцидентов.
Поскольку нельзя закрутить все гайки во всех местах, следует подтягивать самые слабые и наиболее дорогие. Но под "местами" следует понимать не только устройства и протоколы, но также людей. Если относиться к работникам не как к винтикам, а как к верньерам, можно настроить политику безопасности оптимальнее: на такой же уровень с меньшими издержками или с такими же издержками на более высокий уровень.
Вот, ввели в некоторых странах так называемые "кредитные истории". И люди стали о них заботиться - выращивать, пестовать, ублажать и подкармливать. Уже сам факт наличия такой истории делает среднего человека послушнее и аккуратнее. Для систем защиты информации переход на личности индивидуальный подход тоже должен сработать.