Владимир Безмалый - Правила цифровой гигиены

Помните, правилам, утвержденным в компании, нужно следовать. Но вместе с тем, невозможно запомнить все правила, верно? А значит, вы должны всегда иметь под рукой то, что может быть использовано как в вашу защиту (как правило, когда такие документы нужны, их невозможно найти). Зато всегда находятся те документы, за неисполнение которых вас можно наказать!

Убедиться в том, что пользователи правильно понимают суть подписанных ими документов и помнят их главные положения по прошествии времени, – прямая обязанность ответственных руководителей. Это позволит избежать неприятностей и для сотрудников, и для их руководителей, и для компании в целом.

Руководителям нужно помнить, что любой пользователь, прочитавший и подписавший какое-то положение (документ), как правило, забывает его содержание даже не через полгода, а через полчаса, а то и раньше! Потому лучше сразу убедиться, что вас поняли правильно, а через какое-то время заставить пользователя снова прочесть и сдать зачет по документам.

Руководители! Если вы хотите, чтобы правила информационной безопасности в вашей компании выполнялись, они должны быть обязательны для всех. Начните с себя!

Господа руководители, помните, что вы самая интересная мишень для взлома, ведь большинство из вас, увы, считает, что правила написаны не для вас. Да и требует себе максимальные права, мол, я тут хозяин, я так хочу! Увы, но большинство руководителей считает ИТ и ИБ просто обслуживающим персоналом, который должен исполнять любые прихоти хозяина.

Как-то раз ко мне обратились с вопросом, мол, что делать, если наш директор требует дать ему доступ с его iPhone в сеть без пароля. И PIN ставить не желает на свой смартфон, ему неудобно!

О стеганографии.

Если кто-то в вашей организации очень любит отсылать наружу картинки, помните: это могут быть не совсем безобидные картинки. Обратите на это внимание. Может, наружу отсылают ваши корпоративные секреты, а вы об этом не подозреваете?

Увы, но об опасности пересылки конфиденциальных сведений в картинках сегодня помнят не многие. А сложность анализа таких картинок на наличие шифрованного текста довольно велика.

Подготовка специалистов в области безопасности должна начинаться со школы. И чем умнее и талантливее учителя, тем выше престиж профессии. Чем лучше учителя, тем лучше будут подготовлены кадры. Мораль проста. Хотите обеспечить безопасность – учитесь! Учитесь и учите, иначе так и будете использовать неизвестные продукты и технологии, в которые ваши конкуренты вполне смогут разместить всевозможные закладки. А вы об этом и знать-то не будете.

Хороший безопасник и хороший преподаватель ИБ зачастую совершенно разные люди. Преподаватели – товар штучный, поэтому к ним и относиться нужно соответствующим образом. Боюсь только, такое счастливое будущее – это просто сказка.

Не забывайте, что мусор в компании должен предварительно измельчаться в специальных аппаратах, чтобы злоумышленники не могли его проанализировать.

Наиболее эффективная атака – это атака на мусор. Посмотрите, сколько черновиков документов валяется рядом с вашими принтерами и копирами. Кто и когда их убирает? Вы проверяете, что вы выбрасываете в мусорный контейнер? Мусор у вас складируют на защищаемой территории?

Знаете, сколько интересных документов можно встретить там?

Помните, что вся ваша безопасность равна безопасности самого слабого звена. Сегодня самое слабое звено – люди. Учите их, иначе будет поздно!

Какие бы технические средства мы не устанавливали, увы, самым слабым звеном остается человек. Сколько раз я слышал подобную фразу: «Маша! Закрой за меня, я на обед!» Или в магазине, когда клиенту живот мешает дотянуться и набрать PIN-код, он просто кричит (!) кассиру: «PIN – 2545!». И что? Каким техническим средством это можно закрыть? А?

Никогда техника не сможет закрыть все человеческие глупости. Нужно, чтобы пользователи учились думать. Но пока это нужно только сотрудникам ИТ и ИБ. С каждым днем техника становится все умнее, а пользователи все те же.

Что важнее – быть добрым или отвечать за безопасность и жизнь своих подчиненных?

Специалисты отдела безопасности компании должны регулярно проверять безопасность сети, веди они отвечают за нее.

Что важнее быть добрым или честным? Вопрос, увы, сложный. Самой сложной в моей биографии офицера ИБ была ситуация, когда мне пришлось увольнять за нарушение сына своего товарища. Не хочу, чтобы вам пришлось переживать такое. Но в безопасности всегда будет что-то от армии. Разве хочешь? Обязан! А не можешь жить по приказу, значит, ищи себе другую профессию. Увы, но это так! Мы отвечаем за безопасность, а значит, мы в ответе…

Нельзя путать свободное и бесплатное ПО с безопасным. Хотите бесплатно, привыкайте, что вы товар, и не вы, а на вас будут зарабатывать.

Привыкайте!

На самом деле все довольно прозрачно. Вы либо покупатель, и тогда вы платите деньги, либо товар, который покупают за деньги или иные ценности. Какие? Вам виднее. В любом случае разработчики на вас зарабатывают и будут зарабатывать. Хорошо, если вы заплатите один раз. Но так практически не бывает.

Преподаватели информационной безопасности должны быть, безусловно, свои.

Но проблема в том, что готовить преподавателей нужно долго и тщательно. Хороший преподаватель вообще товар штучный. Мало того, что он должен быть умным и подготовленным, он должен уметь и любить преподавать и передавать свои знания. Увы, это часто не получается даже у самых лучших профессионалов.

И еще раз о преподавателях. Преподаватели товар штучный. Особенно хорошие. А значит должны стоит дорого! А плохие? Да кому они нужны, плохие? Не так ли?

В вузах, которые учат будущих специалистов по безопасности, отсутствует психологический отбор кандидатов на обучение. Правильно ли это? Наверное, нет. Потому что будущий специалист в области информационной безопасности должен быть кристально чист. Мало того, такие же тесты стоит проходить регулярно не только кандидатам, но и сотрудникам. Кто-то из вас может возразить, мол, это не армия. Может, вы и правы, да только нет страшнее ничего, чем вор – сотрудник безопасности или правоохранительных органов.