У меня часто была возможность оценить различные подходы к киберзащите в разных областях. Много раз подход был слишком поверхностным, политики безопасности были недостаточными, если не полностью отсутствовали, и это подвергало компанию очень сильному риску компрометации.
Однако, на мой взгляд, почти так же плохо для глобальной безопасности является реализация «слишком» строгих политик.
Я знаю, что это кажется противоречием, возможно, провокационным, но, пожалуйста, следуйте моим рассуждениям...
Установлено, что слабым звеном в информационных системах почти всегда является «Дэйв: человеческая ошибка» (мне не нужны многочисленные друзья по имени Дэйв!)
Если мы реализуем политику, которая является слишком строгой и слишком удобный, не очень "эргономичный", как подсказывает очень хороший @roarinpenguin, неизбежно пользователи, зажатые между наковальней безопасности и молотом производительности, будут искать уловки, чтобы формально соблюдать политики, и при этом продолжать бесперебойно работать.
Приведу конкретный пример: его долгое время подчеркивала необходимость иметь очень сложные пароли, который включал в себя цифры и специальные символы в разных комбинациях.
Это привело к тому, что многие, слишком многие пользователи где-то записали пароль, чтобы не забыть его, тем самым полностью нарушив основную цель политика.
Тогда обязательство перед часто меняйте пароль. Пользователи «изменили» его, сбросив предыдущий. Затем повторное использование было заблокировано. Результат? P @ ssword1, P @ ssword2, P @ ssword3…
Это всего лишь пример того, что для достижения эффективной безопасности требуется активное сотрудничество пользователей и операторов. кибербезопасность.
Этот результат достигается, прежде всего, с помощью обучения, способствующего осознанию внутри структуры рисков, которым они подвергаются (#ilbersagliosiamonoi), и поведению, которое необходимо принять для их минимизации. Но помимо этого, кто отвечает за политика безопасности он должен всячески пробовать эргономику решений, чтобы соблюдение установленных правил было не сказать приятным (не будем преувеличивать!), но, по крайней мере, не очень навязчивым.
Кроме того, объяснение того, почему вводятся определенные ограничения, максимальное распространение результатов анализа рисков, которые привели к их внедрению, очень помогают в получении поддержки пользователей.
Наконец, хорошо всегда помнить, что «Тот, кто отказывается от свободы ради безопасности, не заслуживает ни того, ни другого» (Бенджамин Франклин).
