Любую деятельность можно рассматривать как процесс перехода из одного состояния в другое. Информационная безопасность не исключение. Иногда этот процесс четкий и отлаженный, похожий на канал, доставляющий воду в нужном объеме в нужное место. Но в действительности организация информационной безопасности напоминает скорее горный ручей, который течет, пробивает себе путь за счет силы тяжести. А вот куда он приведет — сказать сложно.

Но вернемся «на землю». Каждая компания имеет свои особенности, корпоративные культуру и стандарты. Подход каждой компании к построению бизнес-процессов всегда индивидуальный, но понять, идет ли строительство «канала» или же все пущено на самотек, — несложно. В этой статье я хочу дать несколько «вредных советов», рассказать не о том, как обезопасить свой бизнес, а о том, как сделать процесс построения информационной безопасности опасным для бизнеса.

1. Никакого обучения. Не забивайте сотрудникам голову лишней информацией

Для чего вообще придумали обучение? Правильно, чтобы не работать. Если вам понятно все, что вы требуете от сотрудников, — то им тем более. Они должны догадываться о ваших намерениях исключительно по взгляду. Объяснять очевидные для вас вещи — пустая трата времени. Внедряйте новую процедуру без предупреждения, рано или поздно они сами поймут, что нужно сделать.

Сотрудник не знает, как реагировать на операцию с мошенническими признаками? Отлично, вам не придется разбираться с его запросами. Вероятно, он просто сам ошибся.

Если сотрудника необходимо ознакомить с документами, не выделяйте для этого часть рабочего времени. Больше всего сотрудники любят заниматься самообразованием дома, в свободное от работы время, мысленно благодаря вас за проведенный с пользой вечер.

Занятия все-таки прошли? Не совершите главную ошибку — не вздумайте контролировать полученные знания. Если сотрудники прошли обучение, это может означать только одно: они точно все поняли правильно, усвоили изученный материал и непременно применят полученные навыки в работе.

2. Не меняйте существующие порядки, если «работает» — не трогай

В случае, когда процесс не меняется несколько лет, это означает, что он не требует изменений. Пусть он уже устарел, большинство действий утратило актуальность, а другую половину можно автоматизировать. Внедрили электронный документооборот, а заявки на смену пароля до сих пор подаются в бумажном виде и рассматриваются в течение недели? Так это замечательно! Пускай сотрудник чувствует всю важность происходящего процесса. А в следующий раз, когда кто-то подсмотрит его пароль и случайно воспользуется личными данными, — можно все «свалить» на паранойю и то, что он находился в состоянии стресса.

Результаты проверок выявили: процедура досмотра вещей на посту охраны не работает, а перепись модели ноутбука делается «для вида»? Проверяющий мог ошибиться и не понять смысла производимой процедуры, да и сама проверка в сущности вещь бесполезная, но зато не вызывает лишних вопросов. Не нужно ничего менять в этой схеме! Работает — не трогай.

3. Продумывайте процессы сами, не задавайте вопросов тем, кто будет их выполнять

Никто кроме вас не сможет продумать процесс так же хорошо, особенно если вы его никогда не выполняли. Человек со стороны всегда смотрит на вещи «свежим» взглядом.

Задумываетесь о возможности подделки документов? Печать должна храниться в безопасном месте — положите ее в сейф, а ключи будут храниться на пункте охраны и выдаваться под роспись. Если бухгалтеру срочно потребуется печать — это исключительно его/ее проблема.

Хотите контролировать изменения, происходящие в корпоративной сети? Согласовывайте все, что меняется, в правилах межсетевого экранирования с генеральным директором — ежемесячно пересылайте ему многостраничные документы. Несомненно, он тщательно их проверит и завизирует изменения.

Переживаете за возможные утечки информации? Отключите сотрудникам доступ во внешние сети. Не переживайте, что туда случайно могут попасть аналитики, работающие с данными из Интернета. Ваше дело обеспечивать безопасность.

4. Добавьте бессмысленных действий, это дисциплинирует

Следуя предыдущему совету, вы с легкостью выполните и этот. Если вы намерены разнообразить рабочий процесс бессмысленными действиями, то формируйте его в отрыве от исполнителей.

Иногда проблему можно решить слишком просто, а значит, сотрудники не прочувствуют всю значимость совершаемых действий. Настройте смс-оповещение обо всей возможной подозрительной активности со средствами обнаружения вторжений. Администратор должен знать о каждом «пакете». Сотни сообщений в минуту, поступающих на телефон, служат отличным показателем деятельности и, несомненно, будут проанализированы.

Назначьте ответственного за мониторинг журналов протоколирования без определения критериев. Главное, чтобы сотрудник открывал файл и с умным видом изучал его. Для чего и с какой целью — неважно, даже не пытайтесь это рассказать. Идеальный вариант, когда изучается файл в бинарном виде.

Не забывайте: бессмысленные действия отлично мотивируют сотрудников саботировать любой процесс.

5. Планирование не работает, действуйте спонтанно

Вы разработали стратегию развития информационной безопасности на три года вперед, но не учли, что в любой момент вам могут предложить инновационный продукт, который поднимет уровень безопасности компании в несколько раз. Отбросьте все планы. Понравилось новое решение — покупайте, услышали о новом подходе — внедряйте сразу. Чем больше всего закуплено и внедрено, тем безопаснее, пусть даже половина приобретённого не работает.

Если вы все же действуете по ранее разработанному плану, никогда не меняйте его. Сфера информационных технологий очень подвижна. Не отступайте от намеченного, пусть запланированные решения устарели, главное, что вы четко выполняете задуманное.

6. Главные аргументы — «надо» и «потому что я так сказал»

Если сотрудники обращаются к вам с предложениями улучшить существующий процесс или задают вопросы о причинах действующих ограничений — не слушайте их. Если вы так решили, значит, это единственный правильный выбор и все должны его принять.

Ограничили доступ флэш-носителей, запретили вложения в электронной почте, ограничили перечень доступного программного обеспечения? Не принимайте во внимание аргументы сотрудников, все они от незнания. И не пытайтесь объяснять, какие риски устраняют данные ограничения и почему именно таким образом они реализованы. С вами начнут спорить и вы попадете в глупую ситуацию, оказавшись неправым. «Я так сказал» — наиболее удачный ответ, настраивающий сотрудников на положительное восприятие введенных запретов.

7. Больше профессиональной лексики, это докажет вашу компетентность

Не стоит разговаривать с сотрудниками на понятном им языке. Чем больше из сказанного они поймут, тем больше вопросов у них может возникнуть. Говорите путанно. Технический жаргон — лакмусовая бумажка профессионала. Говорите сложно о простых вещах. Все должны поверить, что вы занимаетесь очень сложными делами.

К вам обратились с просьбой пояснить, зачем использовать флэш-носитель с сертификатом? Скучающим тоном объясните, что вычисление закрытого ключа RSA эквивалентно нахождению нетривиального квадратного корня из единицы. Это снимет все вопросы.

Не забывайте о своем статусе в глазах руководства. Вас нанимали как «высокопрофессионального специалиста с уникальными компетенциями», вам нельзя «ударить в грязь лицом».

На ваши серверы производится атака типа «распределенный отказ в обслуживании»? Сообщите менеджменту что «из-за ддоса упал апач», руководство должно быть в курсе. Не надо разъяснять, что это привело к остановке интернет-банкинга, в руководстве сидят компетентные люди, без вас догадаются.

8. Побольше ложных тревог, сотрудники должны научиться не реагировать на отвлекающие факторы

Учебные тревоги и тестирование планов реагирования на инциденты позволяют понять, насколько эффективны существующие меры. Проводите такие «учения» как можно чаще, любую угрозу сотрудники должны воспринимать как учебную. Добейтесь автоматического игнорирования каких-либо предупреждающих сигналов.

В аэропорту в ходе проверки багажа пассажиров методом рентген-сканирования система автоматически добавляет запрещенные предметы для случайных пассажиров. Бдительность проверяющего всегда контролируется, проверка реагирования встроена непосредственно в сам процесс. Не допускайте подобных ошибок. Заранее предупредите сотрудников о том, что будет объявлена тревога, убедитесь, что все подготовились к тревожной ситуации, и только после этого проводите проверку.

Сотрудники должны либо знать о том, что объявят тревогу, либо каждый инцидент считать учебным.

9. Контроль и еще раз контроль. Контролируйте контролирующих и тех, кто их контролирует

Контроля не бывает много. Сотрудники должны быть в постоянном напряженном ожидании проверок. Плох тот сотрудник, который большую часть рабочего времени не уделяет подготовке к аудиту. Не верьте в то, что процесс можно организовать таким образом, что процедура контроля будет выполняться автоматически либо вообще не потребуется.

В станке для резки бумаги используются две кнопки включения, которые разнесены по сторонам и нажимаются одновременно обеими руками. Это гарантирует, что оператор не запустит станок в тот момент, когда одна его рука находится под открытым ножом. Гораздо эффективнее действовать привычным методом — повесить предупреждающий знак, а еще надежнее — написать инструкцию по безопасности. Главное проконтролировать, что сотрудник под роспись ознакомлен с руководящим документом и предупреждающий знак висит на нужном месте.

10. Никаких «разборов полетов»: умный сам знает, глупый не поймет

Любой внутренний аудит, тестирование на проникновение или внешняя независимая оценка должны заканчиваться ознакомлением с отчетом только ответственного за безопасность. Аудит важен как процесс, его результаты касаются только вас.

Не тратьте время на анализ выявленных несоответствий, доработку существующих процессов, обработку выявленных рисков. Если уязвимости есть — этого не исправить. Если сотрудник допустил нарушение, наложите на него дисциплинарное взыскание без каких-либо пояснений. Каждый сотрудник должен сам додуматься, где он оказался неправ, и в следующий раз быть осторожнее.

Если у вас выявилось слишком много недостатков — смените аудитора, найдите «специалиста», который выявит приемлемое для вас их количество.

11. Все ради безопасности, бизнес подождет

Главная цель — обеспечить безопасность. Не слушайте возражений со стороны бизнес-пользователей, ведь вы — профессионал и лучше всех знаете, что нужно делать. Если вы решили, что доступ к Интернету является лишним, — отключите его. Принтеры создают угрозу утечки информации? Так уберите их. Совершенно очевидно, что бизнес должен «приспособиться» к вашим правилам. Будьте готовы к постоянным предложениям внедрять новые виды услуг, «размывать» периметр, использовать новые технологии. Сразу отвечайте на это уверенным отказом. Все нововведения — грозный враг безопасности, менеджмент этого не поймет, поэтому без пояснений твердо говорите «нет».

В крайнем случае, при повышенной угрозе для информации, потихоньку сотрите ее без возможности восстановления. На все вопросы отвечайте, что это лучший способ сохранить информацию в тайне.

*  *  *

Конечно, все приведенные советы — не более чем шутка. И как порой неожиданно приходится встречать такие «шутки» во вполне себе серьёзных компаниях. Где-то это происходит из-за повышенной бюрократизированности, где-то из-за консервативности менеджмента, а иногда просто от незнания. С первого раза идеально отладить те или иные процессы невозможно, а внесение в них изменений требует приложения усилий в течение длительного срока. Главное, чтобы все существующие недостатки были осознаны, а их риск оценен. Это не «вредный» совет.

Автор — ведущий менеджер по развитию бизнеса компании «Информзащита»


Версия для печати (без изображений)