Вы отвечаете за защиту периферии в компании. Написали множество регламентов, просматриваете журналы, проводите занятия и тп.
В компании стоит... ну скажем 1000 компьютеров, мышками которых возит 1000 сотрудников. Для ремонта мышек и их подключения, в компании создана служба технической поддержки из нескольких сотрудников.
У сотрудника возникают проблемы с мышкой во момент Х.
Так как мышки ломаются не чаще раза в 2 года, сотрудник втечение Х1 единиц времени думает, как решить проблему, стучит мышкой по столу, смотрит в красный глаз, курит, снова стучит и наконец, в соответствии с регламентом, звонит на телефон 22232232 (читать с выражением) и сообщает о сути проблемы.
Телефонная сотрудница регистрирует заявку в "электронной системе электронных заявок" которая электронно, по электронной почте сообщает сотрудникам технической поддержки о возникновении проблемы.
Через время Х2 сотрудник технической поддержки обращает внимание на сообщение и откладывает его в пачку сообщений, которые предполагают поход в одно крыло здания.
Спустя Х3 единиц времени он выходит в направлении неисправной мышки и спустя Х4 единиц, он ситуацию исправляет.
Итого, на устранение неисправности ушло Х1+Х2+Х3+Х4 единиц времени. В реальной жизни это время составляет от пары часов до пары дней. Все это время сотрудник сидит и полукоматозном состоянии изучает символы на клавиатуре, сообщая руководству о невозможности исполнения служебных обязанностей.
И вот находится человек, который умеет ремонтировать мышки! Но так как он двигает мышь удивительно быстро и эффективно, руководство не может использовать его как техническую поддержку, получая большую отдачу от него как от двигателя мыши.
Наступает момент Х, мышь у этого человека ломается! Или он регулярно находит способы сделать мышь лучше и быстрее! Или еще хуже, он делает заявки и получает форсированные мыши 1го, затем 2го и, наконец ,7го поколения с азотным ускорителем.
В первый раз он звонит на волшебный номер и ждет в течение Х2+Х3+Х4 человека, которому компания доверила техническое обслуживание мышей. Но начальство нервничает, ведь оно привыкло видеть отдачу от сотрудника.
Во второй раз и третий недовольство руководства растет....
На четвертый раз наш волшебный сотрудник рассуждая "ведь моя Компания платит мне заработную плату и я не в праве сидеть, сложа руки, в то время, когда от меня ждут новых и четких движений мышью" принимает решение "я могу и я должен сам исправить проблемы мыши моего компьютера".
О, ужас! Он не звонит в техническую поддержку, он не ловит системотехника в коридоре за руку! Он.... Как трудно сдержать гнев! Он нарушает стандарт утвержденный руководителем компании! Он, он... Он сам переподключил мышь! Коллеги в шоке, но они понимают - все это во благо компании!
А радары службы безопасности не зря потребляют электроны один за другим. Они сигнализируют красными лампами и зуммерами о нарушении, маркируя нарушителя несмываемой краской!
И вот комиссия из 3-х сотрудников сметая все на своем пути мчится к месту проступка. Нарушение будет задокументировано, нарушитель брошен в казематы, руководство уведомлено о нарушении и высокой степени эффективности новых красных ламп приобретенных взамен старых зеленых.
Вроде все хорошо:
- Нарушитель пойман и наказан
- Лампы сработали
- Системотехники не будут мучаться с нестандартными мышами и их труд по замене стандартных девайсов будет проще и дешевле
- Служба безопасности получает медали и премии
- Руководство спит спокойно, зная, что компания в теплых и сильных руках службы безопасности.
- Выпущена молния, в которой описана темная дорога нарушителя, а так же условия его нынешнего содержания.
Но откуда-то появляется кисловатый привкус:
- Средняя эффективность использования мышей упала
- Сотрудники стараются не отклоняться от утвержденных траекторий движения
- Сломанных мышей начинают бояться и на всякий случай отправляют в неоплачиваемый отпуск их пользователей.
5 comments:
Это зависит от зрелости процесса обработки инцидентов: если безопасники обязаны устанавливать не только факт, но и повлекшую его причину, то наказание подлинного виновника вероятнее. Конторы с низким уровнем зрелости действительно выясняют это ценой нескольких вот таких случаев.
Виновника вроде как и нет. Виноваты обстоятельства, сложившаяся практика и тп.
И, наконец, "зрелые конторы" мне встречать не приходилось. Везде безопасность это прежде всего адаптация милицейских принципов в коммерческой компании. Где-то больше, где-то меньше.
Игорь, тут, вероятно, виновата "сложившаяся практика" - ИТ-безопасник, как это не прискорбно, в бэкграунде - не ИТшник, а милиционер. Поскольку, надо отдать должное российскому образованию, учат милицию у нас хорошо, закончив карьеру в органах, новый специалист по ИБ продолжает работать как умеет => "адаптация милицейских принципов".
О чем я и пытаюсь сказать :)
Ситуация удручает.
Мне кажется нужно наладить выпуск бюллетеня под названием "скрипт-кидди".
В журнале публиковать 2-3 сценария взлома корпоративной сети изнутри, способы кражи информации, техники стеганографии. Писать все это языком понятным офисным сотрудникам. К журналу прикладывать диск с инструментами.
Все это позволит:
1. дать возможность тем, кто хочет, но не может
2. реально показать безопасТникам что угроза реальна
3. вынудить менеджеров нанимать не "офицеров-пенсионеров", а людей хоть немного понимающих в ИТ-безопасности.
4. остановить множество проектов от безопасности, целью которых является отмыв денег
5. вынудить оценивать эффективность систем защиты информации и организационных мероприятий
Игорь, давай! Серия: "если у вас есть компьютер и гугль, вы можете..." На то тебе и блог. Начать предлагаю с PTH :-)
Post a Comment