Friday, August 26, 2011

эффективность против порядка

Вы отвечаете за защиту периферии в компании. Написали множество регламентов, просматриваете журналы, проводите занятия и тп.

В компании стоит... ну скажем 1000 компьютеров, мышками которых возит 1000 сотрудников. Для ремонта мышек и их подключения, в компании создана служба технической поддержки из нескольких сотрудников.

У сотрудника возникают проблемы с мышкой во момент Х.

Так как мышки ломаются не чаще раза в 2 года, сотрудник втечение Х1 единиц времени думает, как решить проблему, стучит мышкой по столу, смотрит в красный глаз, курит, снова стучит и наконец, в соответствии с регламентом, звонит на телефон 22232232 (читать с выражением) и сообщает о сути проблемы.

Телефонная сотрудница регистрирует заявку в "электронной системе электронных заявок" которая электронно, по электронной почте сообщает сотрудникам технической поддержки о возникновении проблемы.

Через время Х2 сотрудник технической поддержки обращает внимание на сообщение и откладывает его в пачку сообщений, которые предполагают поход в одно крыло здания.

Спустя Х3 единиц времени он выходит в направлении неисправной мышки и спустя Х4 единиц, он ситуацию исправляет.

Итого, на устранение неисправности ушло Х1+Х2+Х3+Х4 единиц времени. В реальной жизни это время составляет от пары часов до пары дней. Все это время сотрудник сидит и полукоматозном состоянии изучает символы на клавиатуре, сообщая руководству о невозможности исполнения служебных обязанностей.

И вот находится человек, который умеет ремонтировать мышки! Но так как он двигает мышь удивительно быстро и эффективно, руководство не может использовать его как техническую поддержку, получая большую отдачу от него как от двигателя мыши.

Наступает момент Х, мышь у этого человека ломается! Или он регулярно находит способы сделать мышь лучше и быстрее! Или еще хуже, он делает заявки и получает форсированные мыши 1го, затем 2го и, наконец ,7го поколения с азотным ускорителем.

В первый раз он звонит на волшебный номер и ждет в течение Х2+Х3+Х4 человека, которому компания доверила техническое обслуживание мышей. Но начальство нервничает, ведь оно привыкло видеть отдачу от сотрудника.

Во второй раз и третий недовольство руководства растет....

На четвертый раз наш волшебный сотрудник рассуждая "ведь моя Компания платит мне заработную плату и я не в праве сидеть, сложа руки, в то время, когда от меня ждут новых и четких движений мышью" принимает решение "я могу и я должен сам исправить проблемы мыши моего компьютера".

О, ужас! Он не звонит в техническую поддержку, он не ловит системотехника в коридоре за руку! Он.... Как трудно сдержать гнев! Он нарушает стандарт утвержденный руководителем компании! Он, он... Он сам переподключил мышь! Коллеги в шоке, но они понимают - все это во благо компании!

А радары службы безопасности не зря потребляют электроны один за другим. Они сигнализируют красными лампами и зуммерами о нарушении, маркируя нарушителя несмываемой краской!

И вот комиссия из 3-х сотрудников сметая все на своем пути мчится к месту проступка. Нарушение будет задокументировано, нарушитель брошен в казематы, руководство уведомлено о нарушении и высокой степени эффективности новых красных ламп приобретенных взамен старых зеленых.

Вроде все хорошо:

  1. Нарушитель пойман и наказан
  2. Лампы сработали
  3. Системотехники не будут мучаться с нестандартными мышами и их труд по замене стандартных девайсов будет проще и дешевле
  4. Служба безопасности получает медали и премии
  5. Руководство спит спокойно, зная, что компания в теплых и сильных руках службы безопасности.
  6. Выпущена молния, в которой описана темная дорога нарушителя, а так же условия его нынешнего содержания.

Но откуда-то появляется кисловатый привкус:

  1. Средняя эффективность использования мышей упала
  2. Сотрудники стараются не отклоняться от утвержденных траекторий движения
  3. Сломанных мышей начинают бояться и на всякий случай отправляют в неоплачиваемый отпуск их пользователей.

5 comments:

Ригель said...

Это зависит от зрелости процесса обработки инцидентов: если безопасники обязаны устанавливать не только факт, но и повлекшую его причину, то наказание подлинного виновника вероятнее. Конторы с низким уровнем зрелости действительно выясняют это ценой нескольких вот таких случаев.

Igor Gots said...

Виновника вроде как и нет. Виноваты обстоятельства, сложившаяся практика и тп.
И, наконец, "зрелые конторы" мне встречать не приходилось. Везде безопасность это прежде всего адаптация милицейских принципов в коммерческой компании. Где-то больше, где-то меньше.

Sergey Soldatov said...

Игорь, тут, вероятно, виновата "сложившаяся практика" - ИТ-безопасник, как это не прискорбно, в бэкграунде - не ИТшник, а милиционер. Поскольку, надо отдать должное российскому образованию, учат милицию у нас хорошо, закончив карьеру в органах, новый специалист по ИБ продолжает работать как умеет => "адаптация милицейских принципов".

Igor Gots said...

О чем я и пытаюсь сказать :)
Ситуация удручает.
Мне кажется нужно наладить выпуск бюллетеня под названием "скрипт-кидди".
В журнале публиковать 2-3 сценария взлома корпоративной сети изнутри, способы кражи информации, техники стеганографии. Писать все это языком понятным офисным сотрудникам. К журналу прикладывать диск с инструментами.
Все это позволит:
1. дать возможность тем, кто хочет, но не может
2. реально показать безопасТникам что угроза реальна
3. вынудить менеджеров нанимать не "офицеров-пенсионеров", а людей хоть немного понимающих в ИТ-безопасности.
4. остановить множество проектов от безопасности, целью которых является отмыв денег
5. вынудить оценивать эффективность систем защиты информации и организационных мероприятий

Sergey Soldatov said...

Игорь, давай! Серия: "если у вас есть компьютер и гугль, вы можете..." На то тебе и блог. Начать предлагаю с PTH :-)