Знание - сила, незнание - счастье
Приходит к сисадмину рассылка об очередной уязвимости в ПО. Читая её, он тяжко вздыхает. Дел полно, скрипты не писаны, юзеры не строены, шутеры не играны, а тут новая напасть: беги и ставь пачти в пяти местах. Понятно, что любой админ, имевший в молодости неосторожность подписаться на такую рассылку, по мере взросления от неё отписывается.
Риск-менеджмент
- Алё, я ваш клиент. У меня тут проблема...
- Вы больше не наш клиент. Проблема решена. Но взрослеет не только он. Имеет обыкновение "взрослеть" и предприятие ("уровни зрелости" называется). И на следующем уровне на беспокойную рассылку подписан уже не админ, а сотрудник службы ИБ, который сам патчи не ставит, и начальники у него с сисадмином разные. Безопасник прочитал об уязвимости, внёс задачу "установить патчи" и успокоился. Дальше компьютер сам будет отслеживать исполнение, понукать исполнителя, а в случае неисполнения сам жалобу сгенерирует.
На следующем этапе "зрелости" даже безопаснику становится впадлу искать другим работу: читать рассылки, сканировать сеть, изучать логи и проводить опросы пользователей. Начинает действовать явный или неявный сговор - не трогай коллег, не ищи им лишнюю работу, тогда и тебя не тронут. И приходит пора ставить надсмотрщика над надсмотрщиком. Все изучения уязвимостей, проверки, опросы и прочая беспокоющая информация собирается не добровольно, а по принуждению, в соответствии с шестнадцатью процедурами и тремя инструкциями. А сверху Отдел контроля качества, жуя свой пряник, смотрит, чтоб другие исправно махали кнутом.
В итоге борются не с утечками, а со "втечками" информации. Не дай бог, узнать чего лишнего.
Может, стоило с самого начала решить вопрос "лишней работы" радикально? Платить сисадмину сдельно за каждое действие. Патч накатил - сто рублей. Пользователя проинструктировал - двести (а если вежливо, то все 500), "одноклассников" заблокировал - ещё тыща (чтоб не подкупили). Да, конечно, приписки пойдут. А где их нет?
Риск-менеджмент
- Алё, я ваш клиент. У меня тут проблема...
- Вы больше не наш клиент. Проблема решена. Но взрослеет не только он. Имеет обыкновение "взрослеть" и предприятие ("уровни зрелости" называется). И на следующем уровне на беспокойную рассылку подписан уже не админ, а сотрудник службы ИБ, который сам патчи не ставит, и начальники у него с сисадмином разные. Безопасник прочитал об уязвимости, внёс задачу "установить патчи" и успокоился. Дальше компьютер сам будет отслеживать исполнение, понукать исполнителя, а в случае неисполнения сам жалобу сгенерирует.
На следующем этапе "зрелости" даже безопаснику становится впадлу искать другим работу: читать рассылки, сканировать сеть, изучать логи и проводить опросы пользователей. Начинает действовать явный или неявный сговор - не трогай коллег, не ищи им лишнюю работу, тогда и тебя не тронут. И приходит пора ставить надсмотрщика над надсмотрщиком. Все изучения уязвимостей, проверки, опросы и прочая беспокоющая информация собирается не добровольно, а по принуждению, в соответствии с шестнадцатью процедурами и тремя инструкциями. А сверху Отдел контроля качества, жуя свой пряник, смотрит, чтоб другие исправно махали кнутом.
В итоге борются не с утечками, а со "втечками" информации. Не дай бог, узнать чего лишнего.
Может, стоило с самого начала решить вопрос "лишней работы" радикально? Платить сисадмину сдельно за каждое действие. Патч накатил - сто рублей. Пользователя проинструктировал - двести (а если вежливо, то все 500), "одноклассников" заблокировал - ещё тыща (чтоб не подкупили). Да, конечно, приписки пойдут. А где их нет?