Архив метки: управление безопасностью

TOP причин, почему не работают организационные меры. Первое место

Вот, и добрались мы до первого места. Шли мы через тернии оценок, доброты и национальных особенностей. Да, все это мешает организационным мерам, но осталась одна – последняя причина. Она же альфа и омега всех остальных.

И эта причина – Ты.

Да-да, мой дорогой читатель. Организационные меры не работают в первую очередь из-за тебя и меня, из-за начальника и директора, всех тех, кто эти меры реализует.

Это принимает разнообразные грани. Например, если очень надо, вас пропустят на режимный объект в присутствии начальника охраны, потому что обычным порядком это заняло бы пару дней, а надо срочно. Или же проблема VIP-пользователей, которую постоянно решают безопасники с ИТ-шниками.

Только не подумайте, что это что-нибудь плохое. Есть вещи и похуже, например, «общество нацеленных на успех» Алексея Лукацкого. Это данность, и ее просто надо принимать в расчет.

 

Главное направление выхода, видеться в отражении последствий за несоблюдение тех или иных оргмер. Только не в виде штрафов, выговоров или угрозы увольнения. А в ущербе для организации вообще и потенциального нарушителя в частности. Если последняя секретарша, будет знать, что запуская неизвестные файлы, она может парализовать работу компании, она скорее всего не будет этого делать. Но, это нас приводит к другому коану – вы захотите, что бы последняя секретарша знала, как парализовать ваш работу? ;)

Всего вам доброго.

НСПК на крючке у АНБ?

Сижу я с утра, правлю резюме, и изучаю сайт потенциального работодателя Solar Security.

nsa-nspkЗацепился взгляд за последнюю новость (сохраненная копия):

Компания Solar Security, разработчик продуктов и сервисов для целевого мониторинга и оперативного управления информационной безопасностью, сообщает об успешном завершении основного этапа проекта, реализованного в АО «Национальная система платежных карт» (НСПК).

В ходе проекта сотрудники Solar Security и НСПК совместно подключили инфраструктуру компании к сервисам Solar JSOC, который обеспечил выявление и анализ событий ИБ, а также позволил предотвращать кибератаки в режиме реального времени 24/7. Параллельно в НСПК была развернута вся необходимая инфраструктура для построения внутреннего SOC, на которую постепенно были перенесены правила корреляции и выявления инцидентов, профили источников данных и другие наработки Solar JSOC.

Успешное функционирование национальной платежной системы является одной из задач национального значения. Поэтому с момента создания НСПК специалисты компании отводили ключевую роль формированию надежной системы кибербезопасности. Важной частью такой системы является мониторинг инцидентов ИБ.

Согласно мировой практике, создание системы мониторинга и реагирования на угрозы кибербезопасности может занять несколько лет, поэтому на период ее построения в НСПК было принято решение об использовании услуг ИБ-аутсорсинга. В качестве сервис-провайдера была выбрана российская компания Solar Security.

Я, честно сказать, порадовался, какой крупный проект. А потом, что-то мне показалось очень неправильным. Всем известно (да, и вендор этого не скрывает), что Solar строит свой SOC Solar inView и его аутсорсинговую версию JSOC на продуктах компании HP – ArcSight. Это, кстати единственный продукт из 4, который Solar не стал заявлять в реестр отечественного ПО (хотя мб и подали):

Все отечественные продукты Solar Security

Все отечественные продукты Solar Security

Т.е. это единственный не отечественный продукт в линейке компании. Я уже писал, что продажа услуг – легальный способ обхода ограничений на покупку иностранного ПО. Судя по новости, НСПК решил строить свою самую главную систему информационной безопасности на западном вендоре… И теперь, каждый сенсор ArcSight будет стоять на каждом ключевом узле НСПК, что бы передавать информацию в JSOC. Это просто особенности работы этой системы.

solar-jsoc-sec

Конечно, у нас на рынке есть более сведущие люди по закладкам АНБ в западных решениях, и об этом надо спрашивать Илью Медведовского. Но мне представляется, крайне плачевная ситуация. Ведь, что такое система SOC? К какой информации она может получить доступ?

Вероятная схема утечки данных из НСПК

Вероятная схема утечки данных из НСПК

Как минимум:

  • Настройки средств защиты;
  • Настройки сетевого оборудования;
  • Настройки серверов и рабочих станций;
  • Инциденты безопасности и многое другое.

Если предположить, что HP сотрудничает с Агентством национальной безопасности США, как и Cisco, то вся наша платежная система уже под колпаком.

Считайте меня параноиком, но я хотел бы задать вопрос – кто кого ввел в заблуждение, принимая решение ставить западное решение ArcSight под торговой маркой Solar Security?

В то время, когда основным драйвером для НСПК стало возвращение Крыма и попадание нашей страны под несправедливые санкции. Мы открываем всю нашу платежную информацию вероятному противнику… Фактически каждый житель России, теперь под колпаком у США. Так мало того, инфраструктура НСПК подвергается серьезному риску, если уже не взломана…. Все это крайне печально.

У меня, к сожалению, нет никаких твердых данных, и все выше изложенное всего лишь мнение человека со стороны, обывателя. Но в этой истории больше вопросов, чем ответов. Надеюсь официальные представители НСПК прокомментируют ситуацию.

Всего вам доброго.

TOP причин, почему не работают организационные меры. Второе место

На втором месте у нас глобальная причина, почему не работают организационные меры – менталитет. О, только не надо сразу ругаться. Я не стою ни на западнической позиции, ни на славянофильской. Я долго думал, как это лучше обобщить. Давайте посмотрим, и, думаю, вы согласитесь, что я был в затруднительном положении.

mentality

Я шел от обратного. На чем базируются организационные меры? Если совсем обобщить – на общей законопослушности. Законопослушность – это следование установленным в обществе нормам (законам), которые явно прописаны, и однозначно толкуются (зачастую). Законопослушность – это социальное свойство, которое воспитывается в человеке путем укорачивания на голову всех несогласных. Примеры: Французская революция, где сделали всеевропейский Гражданский кодекс (Наполеон постарался, великий был человек), а с другой стороны, прямо на той же площади за углом в прямом смысле жрали друг дружку. В порядке вещей было подойти к трупу, обмакнуть тряпку в кровь и выжать себе в рот. Да и Европа территория небольшая, густо населенная. Здесь легко сразу найти непонимающих новую генеральную линию людей и пустить в расход. Так воспитывается законопослушность.

Понятно, что прописать надо много и всего, но если прописал, то наступает красота и гармония. И люди, прошедшие такое горнило евгеники, всё понимают сразу. Написано: нельзя пальцы в розетку совать, значит, не буду. Это нам смешно, что в инструкциях для «тупых американцев» пишут, что нельзя животных в микроволновке сушить. А для законопослушного человека инструкция – тот же закон.

А что же мы? Русский человек – человек широкой души. Только не надо сюда примешивать всякий национализм. Русский человек – это человек говорящий и думающий по-русски. И от такой широты души, которая в немалой степени связана с размерами нашей необъятной родины, у нас такого звидеца как в Европе не было.

У нас недовольный в Сибирь уйдет – и иди его там ищи. Вон, старообрядцев 300 лет искали. А ведь опасные люди были в свое время, без малого еретики для нарождающейся Православной Руси. Была б Россия размером с Швейцарию, мы сейчас не за компами бы сидели, а с калашами по горам бегали, выслеживая неверных.

Т.е. русский человек может просто свалить. На том и стоим.

icecream

Так если у нас нет законопослушности, то все у нас плохо? Нет, у нас по-другому.

Мы с вами живем в понятийном обществе. Здесь намешано очень много, каждый может это заметить. Вот, например, у каждого мужика в стране есть договор. Договор между нами и Царем. Договор такой: он мне не мешает, я ему не мешаю. Плохо будет, иностранцы полезут – я за царя. Ну, думаю… и он за меня. А пока нет войны, настоящей. Когда не лезут иностранцы, царь ко мне не лезет, из-за плеча не нашептывает на ухо гадости всякие, и не пристает ко мне, и позволяет мне копейку зарабатывать…

И это лишь одна из граней. Именно поэтому у нас все не как на любимом некоторыми западе. Человек понятия не умещается в инструкцию, она слишком мала. Вспомните, у нас нет применения «итальянской забастовки» (правда, мы вместо этого просто бухаем или забиваем), потому что наши должностные инструкции написаны для регуляторов. Да что говорить? Я сам на крайнем месте работы подписывал должностные обязанности на инженера техподдержки. Потому что бумажка нужна. Думаете, европеец на моем месте пошел бы персданные делать с такими обязанностями? Да он скорее засудил бы всех нафиг.

Обратной стороной является то, что понятия у всех разные. Например, понимание кидка. Если начальник сволочь, и зарплату мне не платит, обворовал практически, так ведь по справедливости и я у него что-нибудь украду. И все в таком духе.

Всего вам доброго.

Первое место

Третье место

Четвертое место

Анатомия кидка, или о пользе научного метода

Хорошо на майских праздниках: работать не надо, пробок в Москве нет, погода отличная. Правда, и нет никого – все разъехались. Поэтому нет смысла в топовых материалах, нужно что-то такое ненапряжное.

Богоборцы

Говоря об информационной безопасности, мы всегда говорим о каких-то глобальных концепциях. Безопасность, угроза, риск. Эти понятия настолько размытые, составные и не конкретные, что уже граничат с философией. У нас на лицо все признаки. У нас уже есть свои философы, к которым ходят ученики, воспринимающие мир только с точки зрения учителя. Кто-то Платон, кто-то Декарт, а кто-то и Диогеном восхищается.

diogen-ialeksand-vstrecha

Сестра-антипод философии – физика (в метафизическом понимании науки). Физика наоборот — четкая, элементарная и конкретная. Физика оперирует базовыми, частными элементами. И уже из этого с помощью научного метода выводятся глобальные концепции. Что интересно, эти концепции постоянно пересматриваются, если появляются факты, противоречащие теории.

Вся наука построена на наблюдении и эксперименте. Вначале делаем эксперимент (видим что-то), потом делаем выводы, потом строим гипотезу, ищем подтверждения, появляется теория. Неотъемлемым свойством теории является фальсифицируемость, т.е. формулирование эксперимента (явления), который, будь он поставлен, мог бы опровергнуть теорию. Например, явление падения вверх опровергает наличие силы тяжести. Т.к. вверх не падаем, то и пересматривать текущую теорию силы тяжести смысла нет.

Как видно в нашей сфере все с точностью до наоборот. Классический пример, когда гуру на всех конференциях и блогах защищал концепцию, которая противоречила и позиции регуляторов, и сложившейся практике. Бедные его ученики попали, но все еще верят гуру.

Поэтому предлагаю начать с азов. От чего защищает безопасность? От угроз. Что такое угроза? Вероятность, помноженная на ущерб. Что такое… Стоп. Ближе к жизни.

Помните, я недавно писал об игре в угадайку? Страшно заразная и вредная штука, т.к. люди не укладываются в какие-либо классификации. Но вот поступки людей на определенном отрезке времени очень хорошо классифицируются. Я назвал это теорией кидка.

Кидок, или при чем тут информационная безопасность?

В чем суть? Чтобы решать абстрактную задачу – риск-менеджмента в информационной безопасности, — нам надо эти риски (угрозы) выявить и классифицировать. Тут в действие вступают небесные силы, которые на Синае выдают нам две скрижали – Модуль угроз и Модель нарушителя.

boga_net

Я сам написал под сотню моделей угроз, и, думаю, вы не будете со мной спорить, что все они довольно абстрактны. Например, второй раздел из стандарта Минздравсоцразвития:

2.1. Угрозы уничтожения, хищения аппаратных средств ИСПДн носителей информации путем физического доступа к элементам ИСПДн

2.1.1. Кража ПЭВМ

2.1.2. Кража носителей информации

2.1.3. Кража ключей и атрибутов доступа

2.1.4. Кражи, модификации, уничтожения информации

2.1.5. Вывод из строя узлов ПЭВМ, каналов связи

2.1.6. Несанкционированный доступ к информации при техническом обслуживании (ремонте, уничтожении) узлов ПЭВМ

2.1.7. Несанкционированное отключение средств защиты

Хотите уточнения? Вот как в 2009 году описывалась угроза кражи:

Угроза осуществляется путем НСД внешними и внутренними нарушителями в помещения, где расположены элементы ИСПДн.

Если в Учреждении введен контроль доступа в контролируемую зону, установлена охранная сигнализация, двери закрываются на замок, установлены решетки на первых и последних этажах здания, то для всех типов ИСПДн вероятность реализации угрозы – является маловероятной.

При наличии свободного доступа в контролируемую зону посторонних лиц вероятность реализации угрозы должна быть пересмотрена, или необходимо принять меры по пресечению НСД посторонних лиц в контролируемую зону.

По сути каждый из этих пунктов лишь верхушка айсберга настоящей угрозы. Здесь требует уточнения буквально все: тип нарушителя, действия, приводящие к реализации, место действия, объект воздействия и т.п.

Думаете, модель нарушителя нам поможет? Фиг там.

В качестве внешнего нарушителя информационной безопасности рассматривается нарушитель, который не имеет непосредственного доступа к техническим средствам и ресурсам системы, находящимся в пределах контролируемой зоны.

Предполагается, что внешний нарушитель не может воздействовать на защищаемую информацию по техническим каналам утечки, так как объем информации, хранимой и обрабатываемой в ИСПДн, является недостаточным для возможной мотивации внешнего нарушителя к осуществлению действий, направленных утечку информации по техническим каналам утечки.

Предполагается, что внешний нарушитель может воздействовать на защищаемую информацию только во время ее передачи по каналам связи.

Да, это 2009 год, но за это время мало что изменилось. Не знаю как вам, а мне из этого описания понятно только, что злой посторонний может зайти и что-то у нас украсть. Т.к. описание максимально неконкретное, нам необходима гора мер защиты, чтобы защититься от всего на свете. Вы со спецификацией приходите к начальству и сразу от него уходите с нехорошими криками в спину.

Где-то в середине всех этих размышлений у меня появился фактологический материал по кидкам. Что такое кидок по сути – это нарушение предписанных норм (договоренностей) с целью извлечения личной выгоды, спонтанный или спланированный. По сути, это описание инцидента информационной безопасности, во всяком случае, большей их части, относящихся к внутренним нарушителям.

Кстати, моральное удовлетворение — тоже личная выгода. Разве сотрудник не кидает родную компанию, когда продает базу клиентов конкурентам? Кидок? Он, родимый.

Сам по себе кидок (инцидент) – это действие. Каждое действие имеет предпосылки (причины), когда они переваливают за точку бифуркации – начинается хаос (кстати, крайне рекомендую по теме теории хаоса книгу самого Лоренса, который Эдвард. ). Понятно, что сами причины мы распознать можем лишь по косвенным признакам, если, конечно, при генерации не вкладывали точки в телепатию. Вот эти сами признаки и есть наши элементарные частицы. Чем их больше, тем вероятнее кидок. Так, кстати, работают все поведенческие системы.

У меня собралась обильная коллекция кидков в сфере риэлторства. Это всевозможные кидки со съемом квартиры, когда квартиранты тем или иным образом обманывают хозяев. Т.к. другой статистики под боком нет, буду использовать ее. Сами увидите, что параллели провести довольно просто.

Пример и следствия

Сегодня хотел бы рассказать лишь об одно инциденте. Мы сделаем из примера несколько следствий, и потом посмотрим, подтвердится ли наша теория.

Дело было в июле-октябре 2015 года. Квартиру сняли двое мужчин, которые были здесь на заработках. Снимали по прямому объявлению (без риелтора), их устраивало расположение квартиры, в 15-20 минутах от работы. Мужчины славяне, один из Ростова, другой из Иркутска. С самого начала они попросили дать отсрочку на депозит, и, ссылаясь на то, что уходят рано, а приходят поздно – никак не могли встретиться с хозяином помещения. После неоднократных напоминаний о депозите и договоре (с обещаниями), в определенный момент оба мужчин испарились, оставив ключи в почтовом ящике, долги по коммуналке и геморрой по сдаче квартиры.

Следствие 1. Кинуть может любой. Нарушителем может быть любой, вне зависимости от положения, должности и прочих факторов.

Следствие 2. Кидок тем вероятнее, чем менее значительны последствия. Вернемся к примеру с квартирой. Оба мужчины могли просто вернуться домой, где их точно никто не будет искать. Плюс к этому — над ними не довлела комиссия риелтору, вряд ли вы будете каждые три месяца убегать из квартиры, если потратили на нее три цены при съеме.

Следствие 2.1. Чем известнее человек (выше должность), тем меньше вероятность кидка. И, наоборот, анонимусу нет смысла заботиться о репутации. Даже если об этом случае рассказать в интернете с фотками и адресами или рассказать работодателю.

Следствие 3. Вероятность кидка выше, чем меньше личный контакт. Тут все просто: тяжело кинуть людей, которым мы чем-то обязаны. И очень просто каких-то абстрактных менеджеров. Думаю, Сноуден шибко не мучался. Подумаешь, какие-то секреты ЦРУ, мало у них секретов что ли?

Следствие 4. Вероятность кидка повышается, если были нарушены первичные договоренности. Если бы хозяин настоял на депозите с самого начала, а не слушал слезливые истории о больны детях и сложной работе, все могло бы сложиться по-другому. Единожды нарушивший слово, нарушит его снова.

На сегодня все. До новых встреч.

Собирательный портрет или игра в угадайку

Следующим материалом должно было стать продолжение отчета о CISO Forum, но те воспоминания еще болезненны, и я не могу спокойно смотреть в глаза открывшемуся ужасу. Поэтому сегодня более спокойная тема – о людях.

geshtalt

Когда-то я работал в Утконосе, и моей задачей было ловить внутренних нарушителей. Т.к. я был молодым специалистом, то ловил я их в корпоративной сети и интернете. Если бы я справился, я бы подкачался и приобрел свирепый оскал, меня перевели бы на более ответственный фронт – склад.

Промеж слежения за сотрудниками, закрытием несанкционированных шар и т.п., я подсмотрел у старших товарищей такую штуку – ППН. Или, по-простому, психологический портрет нарушителя. Это небольшая памятка, описывающая типичного нарушителя: от внешнего вида, возраста, пола и одежды до поведения и особенностей биографии.

Цель ППН понятна – базовый фильтр при мониторинге. Конечно, это не универсальный фильтр, в нем можно сразу обнаружить кучу ошибок первого и второго рода. Но сама идея меня завлекла. Тогда я постеснялся спросить, как они его сделали. Поэтому стал изобретать велосипед.

Вообще собирательные профили делают все кому не лень. Продавцы жвачки и люксовых автомобилей, и даже продавцы средств защиты информации. Интересны не сами профили, а выводы на их основании, а также предпосылки к ним. Вот о такой профессиональной деформации я и хотел бы вам поведать.

Не секрет, что ибешники в первую очередь работают с людьми, и лишь в пятую с компьютерами и угрозами, с ними связанными. Наравне с дипломатическими навыками должны развиваться навыки эмпатии и оценки — как раз те самые фильтры и категории, которые и помогают дипломатии.

По сути – это навешивание ярлыков (только не так, как это делает какая-нибудь оторванная от реалий соционика). Скорее это ближе к гештальтам (как законченной форме, а не гештальтпсихология, которая тоже под знаком ереси ходит). Если вы читали шпионские романы или даже интересовались историей спецслужб, то замечали, что все агенты имели прозвища (для конспирации). А эти прозвища, в свою очередь, часто были «говорящими» (теми самыми клише или гештальтами), слепком с личности человека. Да что далеко ходить — посмотрите на прозвища своих друзей.

Много общаясь с людьми, у человека происходит изменение восприятия. Он начинает замечать вещи, укладывающие определенные гирьки на чашу весов под тем или иным ярлыком. Если вы следователь – это только плюс, если вы обычный человек  — то сомнения. Побочным эффектом этого является игра в угадайку, когда начинаешь оценивать рядом сидящих людей и предполагать, кем бы они могли быть. Еще лучше, если у вас есть партнер.

Например, вчера я гулял с ребенком, и второй раз в жизни увидел папу и мальчика лет 7-8, они на детской площадке гоняли мячик друг с другом. Я предположил, что это «воскресный папа», потому что:

  1. Я их вижу второй раз. Оба раза в воскресные вечера.
  2. Они играют вдвоем и ребенок рад, значит, либо папа много работает, либо видятся они только на выходных.
  3. Папа плохо знает район, т.к. для их целей больше подошла бы коробка в 30 метрах, где вообще никого никогда не бывает, чем пяточек 3 на 4 метра.
  4. Папа делает это не часто (см. пункт 2). Если бы он делал это часто, сын бы бегал с друзьями, а папа сидел на лавочке и уперся бы в телефон.
  5. Папа был одет довольно легко, как раз для вождения машины. Вряд ли бы он стал так одеваться, выходя в достаточно прохладную погоду, даже если бы куда-нибудь потом ехал. Проще было дома переодеться.
  6. Сын был одет для долгой прогулки, а не для пинания мячика. Если он любит футбол, то оделся бы более спортивно. И так далее.

Но каждому из этих пунктов можно было бы найти другое рациональное объяснение, доказывающее, что я ошибаюсь.

К чему это я? Что угадайка (считай навешивание ярлыков) может быть забавным способом времяпрепровождения, когда это касается посторонних людей, которых вы никогда больше не увидите. Но угадайка может быть фатальна, если с этим человеком вы будете вести совместные дела. Вам будет очень сложно выйти за рамки этого гештальта – пьяница, бабник, ленивый, вор и т.п. Вспомните жизнь ваших одноклассников, которых определили в группу ленивых или тупых. Уверен, что многие подсознательно корректировали свое поведение и отношение к ним.

В личных (рабочих, дружеских и т.п.) отношениях есть только один принцип – относись так, как относятся к тебе. Ярлыки и классификации тут не помогут.

Всего вам доброго.

TOP причин, почему не работают организационные меры. Четвертое место

Изначально в этом топе было 3 позиции, но, помедитировав над ним, решил добавить еще один пункт.

4 место – Отсутствие метрик

Это несколько абстрактная причина, которую по-бытовому можно было бы назвать «никто не знает, как выглядит «хорошо» (или плохо, если вы пессимист). Вернемся к нашему примеру с Альфа-банком. Фактически, услугу я получил (мера отработала), но качество этой меры никто не оценивает (ну, кроме меня, который ходил и возмущался). Я прождал двадцать минут после того, как высветился мой номер электронной очереди, потому что организовали еще и живую очередь.

И речь не только об этих 20 минутах. Если вы занимаетесь ИБ, скажите, какие у вас главные KPI по оргмерам? Думаю, я не сильно ошибусь, если в топ 3 из них входит: подписание соглашений о конфиденциальности с сотрудниками, и повышение осведомленности раз в год. У нас все хорошо, вот же метрики. Выполнение – 100%. Чего еще надо?

otricanie

Проблемы начинаются как раз после, в процессах. Эти несчастные 20 минут – это плохо или хорошо? Утечки были? Нет. Это ведь хорошо.

Чутка поразмыслив над этим, станет понятно, что у нас не охвачен целый пласт жизни. Наши метрики (количество сотрудников, прошедших тестирование) просто не способны оценивать качество последующей работы с этими условиями. И мы каждый раз удивляемся, а как же это у нас утечка произошла? Да все просто. В информационной безопасности мы работаем с отрицаниями (это те, что в логике обозначаются палочкой сверху \overline{x}). Не-утечка, не-взлом, не-вирус.

Если смотреть на результат, не понятно, что привело к не-взлому. То ли наша хитрая система защиты, то ли нам просто повезло. Конечно, методы и метрики оценки таких показателей есть, но вы никогда их не объясните вашему начальству. Вот и получается, что в безопасности вся система палочная. Чем больше поймали, тем эффективней работаем (кстати, при такой системе надо стараться, чтобы оргмеры были крайне неэффективными, а то палки закончатся).

Когда-то я был поставлен следить за расшаренными ресурсами. За 2 недели я закрыл все несанкционированные шары. Мне было о чем отчитаться, и мне дали медаль. А потом инциденты стали крайне эпизодическими, я впал в печаль. Конечно, выход был найден, но если бы я был не так молод и горяч, то растянул положительную отчетность месяца на 2. Как вы понимаете, к реальной безопасности это отношения не имеет.

Так и в Альфе — скорее меряют количество обслуживаемых клиентов (палки), а не их удовлетворенность.

Конечно, можно выбрать другие метрики, например, количество успешно предотвращенных взломов. Утверждение-то уже положительное! Но это те же яйца, только в профиль. По сути это производная от исходного не-взлома.

В сухом остатке: существующие методы оценки организационных мер входят в конфликт с KPI безопасников и работников. Конфликт разрешается в пользу KPI. Надо вводить качественные оценки.

Третье место

TOP причин, почему не работают организационные меры. Третье место

Все мы знаем, что для обеспечения безопасности необходим комплекс организационных и технических мер. И, если с реализацией технических мер еще более или менее понятно (все зависит от финансирования), то с организационные делают все. И 90% из них не работает. Причин тут вагон и маленькая тележка. Выделим основные из них.

3 место – Доброта

Да-да, самое светлое чувство, которое спасет этот мир вместе с любовью. Сейчас вы узнаете почему. Небольшая зарисовка.

dobro

На прошлой неделе, во вторник, я был в Альфа-банке. Мне необходимо было сделать определенные дела, я пришел, взял талончик электронной очереди и стал ждать. Зайдя и сдав документы, я был отправлен ждать.

После начались определенные действия, которые будут нам интересны в других частях нашего топа. Все они были настолько вопиющими, что хотелось, как говорит молодежь, «взять и уебать». Я нашел как минимум 3 нарушения в процедуре. Кстати, если вы думаете, что я придираюсь, буквально в четверг узнал о подобном ахуе в других отделениях.

И вот, я весь, пылая гневом, уже был готов писать жалобу в книгу. Думал, сейчас закончу дело и точно напишу. Дело сделал, девушка еле слышно попросила извинения, и я пошел по своим делам. Плюнул на книгу, плюнул на жалобу. В целом банк меня устраивает, а  то, что такая петрушка произошла — так больше я этими делами заниматься не буду.

Люди по своей природе не злые, именно поэтому у нас часто появляются паразиты, которые это эксплуатируют. И именно поэтому у нас есть карательные ведомства, чтобы держать их в узде, т.к. обычному человеку не хочется, жалко, некогда связываться.

И именно поэтому у нас не работают организационные меры, т.к. надо держать все в ежовых рукавицах, надо быть той сволочью, которая поставит всех на уши. А этого ведь не хочется, правда? Человек стадное животное, за исключением ничтожного процента асоциалов. Никто не способен обойтись без социальных взаимодействий на работе.

Я как-то работал в службе безопасности. Одной из моих обязанностей было отслеживание использования сотрудниками интернета, включая карательные меры при использовании не по назначению. Меня ненавидел и боялся весь офис, я особо этого не замечал, т.к. у нас был довольной большой отдел и мы варились внутри него, но будь коллектив поменьше – работать с чисто человеческой точки зрения было бы сильно неуютно. Люди из-за этого увольняются.

Да, и жалко человека. Мб у нее семеро по лавкам сидят, а он – единственный кормилец в семье. И не его вина, что именно он попался, все же так делают. А если вместо него другого накажешь, так буча будет, что любимчики у тебя, и тебе всыпят. Сможете спокойно спать с осознанием, что из-за вас уволили многодетную мать-одиночку?

Невозможно одновременно контролировать и поддерживать хорошие отношения: либо контроль будет плохой, либо отношений не будет. Но контролерам хотя бы деньги платят, они знали, на что шли. В информационной безопасности контроль над пользователями и их действиями — одна из десятков функций. Будешь сильно упорствовать, остальные не сделаешь, врагов наживешь, и уволят тебя. И приходится мягко увещевать, иногда грозить пальчиком, и закрывать, вздыхая, глаза. Ведь процедуры полностью не соблюдает никто, даже безопасники.

Добра вам.

Второе место

Четвертое место

Тайм-менеджмент, как секта

Давно обещал Андрею Прозорову рассказать, почему тайм-менеджмент – это вредная фикция, и даже лже-наука. Начнем чутка из далека. Последние две недели все стали активно писать о том, как развиваться безопаснику. Например, типичная статья: Александр Бондаренко пишет о том, как повышать компетенции.

Если почитать внимательней, то там приводится копипаста с исследованием Deloitte о компетенциях безопасника, а потом идут мысли Александра, как этого достичь. Список там просто божественный, никак у меня подсмотрели. :) Главная проблема всех этих списков, всех этих 5 шагов к успеху, 7 ступеней к счастью и т.п., в том, что они совершенно оторваны от жизни. Например, в статье выше навязываются четкие 4 роли, причем переход от Защитника к Советнику — это качественный переход в карьерном плане, а в статье говорится лишь о развитии навыков. Советник в западной культуре — это человек, получающий деньги за консультации по фиксированному прайсу (самый яркий пример у нас – нотариусы). Такого в безопасности нет. В наших реалиях роль Советника – это роль директора департамента или его зама. Там много спорного (например, ROI :)), сегодня не об этом.

Тайм-менеджмент - секта. Глеб АрхангельскийСегодня о тайм-менеджменте. Я честно изучал тайм-менеджмент и купил книжку Глеба Архангельского «Тайм-драйв» (еще в 2010 году). И это не работает.

Во-первых, о названии. Менеджмент все у нас переводят как управление. Верно. Только менеджмент – это управление людьми. Если быть точным, то тайм-менеджмент переводится как «управление людьми времени» (сюда же риск-менеджмент, комплайнс менеджмент и т.п.). Ни про каких людей в книге нет. Наоборот, это книга управляет вами.

Во-вторых, структура книги, сама форма подачи слизана с тренингов личностного роста и методик а-ля «Простой способ быть счастливым». Если вам 25 лет, и вы до сих пор не умеете организовать свою жизнь, книги вам не помогут. Там есть всего один способ, или смерть как профессионала. Что уж говорить про 30, 35 и далее лет.

Цитата:

  • Используйте «якоря» для настройки на различные задачи и отдых.
  • Применяйте «метод швейцарского сыра» при раскачке.
  • Ежедневно съедайте минимум одну «лягушку».

Срань господня, это что такое? А я вам отвечу: в этих трех предложениях сразу пять фишек, использующиеся лже-науками, бизнес-тренерами и тоталитарными сектами:

  1. Птичий язык. Больше обычных слов в специфическом понимании данного учения. После якоря я съел лягушку после швейцарского сыра. Посмотрите на НЛП, или соционику, или на гороскопы. Сходства очевидны.
  2. Как можно больше слов на птичьем языке. Чтобы у неофита создалось впечатление, что это круто и ему надо больше узнать. А точнее вбухать больше денег в книжки, семинары и встречи. По тайм-менеджменту проводят семинары! Куча потраченного времени, за которое можно было съесть кучу лягушек. И это по нескольку раз в неделю.
  3. Непроверяемость результатов. Я знаю 3 адептов тайм-менеджмента, они часто опаздывают и срывают дед-лайны. Вы никогда не узнаете, насколько «успешнее вы стали», потому что тайм-менеджмент это процесс, а важны лишь результаты (кстати, именно поэтому теория решения изобретательских задач (ТРИЗ) — чушь собачья).
  4. Гарантируемое счастье. Об этом прямо в книге и написано, начиная с 8 страницы. И эта книга — «программа-минимум» (с). А дальше как у сайентологов: пройди 12 ступеней, вложив миллионы долларов.
  5. Сакральность знания. «Мало кто знал о том, что еще в 1926 году существовала лига «Время», распространяющая передовые технологии управления временем: мало кто был знаком с богатой историей отечественного тайм-менеджмента». (с) Ну, тут все понятно, гороскопы уже 2000 лет делают – они как-то понадежней. Интересно, в 1926 году это тоже называли тайм-менеджментом?

В-третьих, это просто не работает. Чтобы следовать всем этим методам, надо потратить кучу времени на их воплощение. Я, например, выполняю обязанности пресейла, гипа и аккаунта. Я как-то пробовал посчитать, сколько звонков и писем я отправляю/получаю в день, забил на третий день – за три дня получилось 37,2 письма и 22,7 звонка. Если я каждый раз после звонка буду вносить коррективы по методу «неделя-месяц» — у меня рука устанет писать и зачеркивать.

time_mng2

Окей, мб это я плохой и не быстрый. Но это не работает даже в выборе приоритетов для задач. В книге есть слезный пример, как надо учить детей тайм-менеджменту. Например, определить отстающие предметы и заниматься по ним. Чушь собачья.

На второй вышке в курсе организационного поведения нам рассказали замечательную историю.

Жил был д.т.н. и был он несчастлив. Он долго маялся, а потом в 40 лет решил сменить вид деятельности. И стал дальнобойщиком. Оказалось, что ему нравилось ехать по дороге, а не бумажки перекладывать.

Тайм-менеджмент же нас подталкивает закрывать слабые стороны, а не развивать сильные. Вот Аркадий Прокудин периодически что-нибудь забывал, но это не помешало ему достичь успеха.

В сектах это распространенный примем – навязывание ложных целей, борьба с внутренним я в угоду гуру.

Например, я отвожу на написание поста в блог 1 час. Поэтому тут полно опечаток и ошибок. Но я знаю, что если тратить больше времени – результата будет всего на 10% лучше. Преодоление этого разрыва возможно лишь за деньги. В противоположность Андрей Прозоров или Алексей Лукацкий этим зарабатывают себе на жизнь.

Как итог. Тайм-менеджмент — сомнительная вещь, калечащая вашу жизнь, т.к. противоестественна для нашего мозга. Есть более простые техники, которые сделают вашу жизнь проще. Интересно? Напишите в комментариях, и это будет в одном из следующих постов.

Всего вам доброго.

Аутсорсинг ИБ – будущее, которое может и не наступить

Оказалось, что тема аутсорсинга волнует многих. Вставлю и я свои пять копеек. Если лень читать много букв, то краткий вывод – у аутсорсинга информационной безопасности будущего в ближайшей перспективе нет. А теперь много букв.

outsoursing2

Лирика для вхождения в тему

Как-то месяца два назад наткнулся в ленте новостей на статью «почему западные методики бизнеса не приживаются в России» или как-то так. Главный посыл: потому что у нас другой менталитет. А вот вывод был неправильный – «давайте менять менталитет».

Вся стратегия аутсорсинга (слово-то какое буржуинское :)) строится на том, что мы доверяем компании аутсорсеру. А если не доверяем, то сможем с нее взыскать убытки по договору через суд. Как вы понимаете, чтобы не допустить второго, наше доверие должно быть избирательным. Помочь ему в этом может множество факторов, но главный – репутация. И это первая проблема.

Вчера я упоминал круглый стол у Алексей Лукацкого на Infosec2013. Там Алексей впрямую заявил – «в России репутация стоит ноль». И я был шокирован, какое большое количество фанатов Алексея его поддержало. На BISA саммите в 2014 году я решил уточнить у Алексея, изменилось ли его мнение (не дословное цитирование):

— Нет. У нас в куче банков происходят утечки и кража денег, но все остается как есть.

— Хорошо. Но начнем с малого, есть же личная репутация, и…

— А и ее нет. Про меня такое говорят, устал читать.

Т.е. в нашей сфере известный блоггер, формирующий общественное мнение, не верит в репутацию и что она чего-то стоит. Вот от этого и оттолкнемся.

У аутсорсинга нет репутации, а следовательно доверия к нему

Я затрону всего три грани, почему аутсорсинг — это не про нас:

  • со стороны заказчика;
  • со стороны рынка;
  • и со стороны продаж.

Почему аутсорсинг ИБ не нужен заказчику?

Аутсорсинг, в принципе, выгодная вещь. Например, чтобы не держать собственную логистическую структуру, проще нанять специальную компанию. Качество сервиса растет, прямые расходы известны, бери и радуйся. Но уже на этапе, когда мы переходим к аутсорсингу ИТ, а тем более ИБ – это мало работает.

Во-первых, это очень дорого. Посмотрите материалы Solar с SOC форума, в каждой презентации у них есть слайд, где затраты на внедрение собственного SOC и аутсорсинг сходятся в районе 3 лет (парни без контактов – вы еще не оплатили прошлый счет за product placement :) ).

Окупаемость внедрения SOC

Т.е. дальше аутсорсинг будет только дороже. Вообще, нанять 1 специалиста на аутсорсинг на рынке стоит 3 ФОТ от стоимости собственного специалиста.

Это не говоря уже о том, что, если вы берете на аутсорсинг сложные системы (те же SOC), вы их банально не сможете амортизировать, а любой бухгалтер вам скажет, что амортизационные отчисления — один из главных источников модернизации. Для сложных систем срок амортизации варьируется от 3 до 7 лет. Т.е. и здесь не выгодно.

Но вернемся к сути. Если вы увлекаетесь теорией литературы, то должны знать или хотя бы слышали, что есть с десяток классических сюжетов и остальное лишь вариация на тему. Один из этих классических сюжетов – разорившийся богач (Гобсек, например), от которого отворачиваются все, остается лишь пара верных слуг. В нынешних реалиях – обычно водитель, охранник и экономка. Можно долго рассуждать, почему и как, но основная причина такова: потому что эти люди тесно общались с хозяином и стали частью жизни друг друга.

Я не хочу сказать, что безопасники – слуги. Но это наиболее близкая к владельцу структура, призванная его защищать от всего, от чего сможет. Если он не доверяет собственным безопасникам, то кому ж доверять? Скажем прямо, безопасники – это наиболее преданная и лояльная к организации структура. Да, преданность и лояльность можно купить. Ведь всегда в условиях войны можно было купить наемников. Но надо быть уверенным, что вас не кинут в трудную минуту. И тут опять всплывает вопрос репутации.

Рассмотрим разные ситуации взаимоотношений. Например, я. Любой человек, работающий со мной знает, что я человек слова, у меня есть несколько пунктиков на счет сроков и другие заморочки. Но если я с кем-то договорился, то слово назад не вертаю. Это отношения человек–человек.

В ситуации отношений человек-организация все примерно также. Правда, возрастает неопределенность в отношении организации.

А вот в ситуации организация-организация все катится в кромешный ад. По сути, эти отношения переворачиваются в организация (аутсорсер)-человек (заказчик), т.к. в Заказчике за привлечение аусорсера отвечает 1 человек, он принимает решение, контролирует и получает результат. Сами понимаете, что в данном случае заказчик будет в положении Алисы в стране чудес. Аутсорсер для него совсем не прозрачен (кто сомневается, можете как физическое лицо повзаимодействовать с любой государственной или коммерческой структурой по нетривиальному вопросу).

Кто эти люди? Кому они расскажут мои тайны? Уйдут ли через месяц работать к конкурентам? И еще тысяча вопросов. И, увы, все эти SLA, NDA, KPI и прочее не дают ответа. Закачаешься, какая информация внутри тусовки циркулирует.

Собственного сотрудника хотя бы обматерить можно. А Оператора Антона — иди еще найди, кто это.

Почему рынку не нужен аутсорсинг ИБ?

Тут уже не буду растекаться мыслью по древу. Чтобы аутсорсинг работал, должно быть множество компаний с определенной репутацией. Это на рынке телефонов могут быть пионеры, которые загребают все деньги. На рынке услуг все совсем иначе. Если нет альтернативы, то не понятно чего ожидать. Сейчас вот Solar продвигает аусорсинг SOCов. Молодцы. Но мне не с чем сравнить. Я не понимаю ни ценообразования, ни своих затрат, не могу оценить качество сервиса. Да, и банально могу не доверять другим организациям в таком тонком деле как управление инцидентами. Потому что глядя в окно, я вижу совсем иную картину. Почему Solar Security считает себя особенной? «Где ваши доказательства?» (с)

Поэтому понятно, почему Игорь Ляпунов (директор Solar) говорит: «Ответственность за информационную безопасность на заказчике, нельзя ее переложить на аутсорсера».

Главный посыл: как только на рынке все будут играть по одним правилам с единой этикой поведения, тогда поговорим. Говоря проще, как Solar начнет отчитываться о пропущенных инцидентах и штрафах, что они заплатили, тогда имеет смысл присмотреться.

Почему аутсорсинг ИБ не продается?

Я обещал рассказать историю. Выполняю.

Жила была компания, оказывающая услуги по аутсорсингу. Взялись за дело они шибко, и скоро стали отличными специалистами в узкой области. Но потом уперлись головой в потолок (или дно, как посмотреть). Текущие их заказчики уже не покрывали их расходов, т.к. аутсорсинг услуг масштабируется линейно. Надо было искать новых. Решила наша компания развивать партнерскую сеть, стали они везде ездить и всех агитировать «продавайте нас!». Но не получилось, никто их продавать не захотел. История еще не закончилась, посмотрим, что будет.

К чему это я? Все просто: в цепочке аутсорсер-заказчик нет места партнеру (интегратору). Получается, что партнер может заработать только на скидке, которую даст аусорсер, т.к. интеграторских работ нет. И зачем заказчику работать с партнером, если можно напрямую с аутсорсером – мб и дешевле выйдет. К тому же я не уверен, что аутсорсер банально не уведет моего клиента. Вот и люди из истории – ходят по рынку и пробуют что-то сделать.

outsoursing3

В этом случае аутсорсер рассчитывает в основном на свои продажные силы, а их всегда недостаточно. Ирония: аутсорсеру, чтобы продавать аутсорсинг, нужны продавцы на аутсорсинге в партнерах. :)

Куда не кинь, всюду клин. Аутсорсинг дорого, стремно и ненадежно. Печаль.

BYOD: будущее, которого нет

Хотел бы вас спросить: каким будет мир через 20 лет? Уверен, что в ответе вы примените всю вашу фантазию. Вы посмотрите вокруг на то, что вас окружает, найдете архаичные предметы, технологии и идеи. Вы улучшите или замените их. Вы, подобно фантастам середины прошлого века, опишите мир более технологичным, новым. И попадете в ту же ловушку, что и они. Главная проблема фантастов в том, что практически ничего из предсказанного ими не сбылось. Сегодня больше похоже на вчера, чем мы вчерашние могли бы подумать.

Бенуа Мандельброт однажды сформулировал эффект Линди: для всего того, что портится, каждый дополнительный день жизни означает, что ожидаемая дополнительная продолжительность жизни становится короче. Для всего того, что не портится, каждый дополнительный день может означать, что ожидаемая продолжительность жизни станет длиннее.

Во всем мире четко прослеживается тенденция усиливающейся адаптации принципов и технологий удаленной работы в стиле мобильных сотрудников. Руководители, не боящиеся делать сотрудников мобильными, видят, что те начинают использовать для работы даже свои личные смартфоны.

К тому, что портится, можно отнести материальные объекты – компьютеры, машины, одежду и т.п. К тому, что не портится, относятся идеи и технологии – двигатель внутреннего сгорания, компьютерные технологии, идея носить шкуру или ее эквивалент в холодную погоду. Таким образом, чем дольше существует технология, тем дольше она может продержаться.

Например, я пишу эту статью, сидя за столом в кресле (идее, как минимум, 3000 лет), на мне штаны и рубашка (мало чем отличаются от аналогичных у Отци, которые он использовал 5300 лет назад). Делаю я это за вычислительной машиной, первый прототип которой был сделан более 60 лет назад, а если углубиться в суть компьютеров (проведение элементарных операций над числами), то прообразы можно отыскать и 400 лет назад (Шиккард), и 530 лет назад (Леонардо да Винчи). Монитору более 100 лет (как идее показывать изображение с помощью ЭЛТ, а вот технология сменилась на LCD и производные). Компьютерной мыши – чуть менее 50 (и по правде сказать, она первый кандидат на вылет, для человека естественней управлять и вводить текст руками, чем крусором).

Как мы видим, «старого» среди нас очень много, а «новому» необходимо доказывать свою состоятельность. «Новое» зачастую подобно морской пене, оно на виду, оно вскипает, а потом уходит вместе с отливом. Вспомните, как в начале 1990-х гг. у всех были видеокассеты, потом CD-диски, затем DVD. Последних сейчас и не найдешь, для переноса данных удобней флешки, а для просмотра фильмов – целый набор форматов высокой четкости.

И BYOD – это такая же пена.

Доступ к корпоративной почте – это не BYOD

BYOD (Bring Your Own Device – «принеси свое собственное устройство») – это идея использовать в работе свои мобильные устройства (планшеты, телефон и т.п.). Я обращаю ваше внимание на слово «мобильные». Нет ничего нового в том, чтобы получить доступ к своей корпоративной почте из дома. Это потребность насущна и понятна (видимо, потому, что почта «стара»). Для доступа к почте необходим лишь доступ к Интернету и браузер (а может быть, почтовый клиент, VPN или т.д.).

Но BYOD идет дальше, сама его суть подразумевает доступ к бизнес-приложениям. Стоп! А зачем нам удаленный мобильный доступ к бизнес-приложениям? Подумайте минуту, кому в вашей компании необходим удаленный мобильный доступ? VIP-пользователям, на то они и VIP. Хотя я сомневаюсь, что их мобильные устройства можно назвать личными. Их настройку проводит штатная служба IТ, а сами пользователи являются мобильными в силу своего (вынужденного) статуса. Кто еще? Работники бухгалтерии? Производственные работники? Продавцы?

И вот тут кроется самое главное умолчание адептов BYOD. Они смешивают в одну кучу понятия «мобильного пользователя» и «мобильного пользователя со своим устройством». Мобильность – вещь, безусловно, полезная для ряда задач. Например, недавно одна из авиакомпаний оснастила своих пилотов планшетами с документацией к самолету (занимает несколько томов). Выигрыш налицо. Но представьте того же пилота, который приходит со своим телефоном и загружает документы на него. Это как минимум странно, с чем мы и разберемся далее.

Итак, мобильных пользователей у нас может быть много. Но минуточку. В нормальной организации мобильными пользователями являются в основном командируемые сотрудники, если у вас, конечно, не почтовая служба с кучей курьеров или подобный бизнес. Я сам работаю в крупной группе компаний с тысячами сотрудников и часто езжу в командировки. Командируемый сотрудник знает, куда он едет и что ему там понадобится. Он возьмет рабочий ноутбук, на котором установлены все необходимые приложения (и средства защиты), и, как только на месте отыщет вожделенный Интернет, подключится к корпоративной сети.

И тут всплывает еще одна хитрость адептов BYOD. Когда вы с ними встречаетесь, они быстро проскакивают самый первый вопрос: а к каким системам необходим мобильный доступ с личных устройств? Почту сразу убираем – это уже неотъемлемая часть бизнес-процесса, не требующая BYOD. По тем же причинам убираем Web-приложения. Остаются клиент-серверные приложения. Ведь именно под них адепты BYOD предлагают писать мобильные клиенты на десятке различных платформ. Но если сотрудник работает с клиент-серверной системой, его работа наверняка не связана с частыми разъездами. Бухгалтеры, бизнес-аналитики, хозяйственные и логистические службы, поднимальщики пингвинов. И они могут сделать необходимую работу непосредственно на рабочем месте, когда вернутся.

Чем обосновывается ценность BYOD?

Если вы спросите продавцов BYOD-решений, зачем мне использовать мобильные устройства, он вам скажет примерно следующее (отрывок из статьи одного из крупных поставщиков BYOD):

В чем важность использования мобильных устройств для бизнеса?

К сожалению, менталитет подавляющего большинства отечественных управленцев таков: сотрудник обязательно должен приходить в офис, чтобы с 9 до 18 «отбывать» там свой рабочий день, и не важно, делает ли он в это время что-то полезное (стандартный демагогический прием изобрети миф, и со всей силой на него обрушиться – здесь и далее прим. автора). К счастью, тенденция меняется. Во всем мире четко прослеживается тенденция усиливающейся адаптации принципов и технологий удаленной работы в стиле мобильных сотрудников. Руководители, не боящиеся делать сотрудников мобильными, видят, что те начинают использовать для работы даже свои личные смартфоны. Они становятся (есть такой термин) hyper-connected (так ведь выше вы сказали, что сотрудники отбывают номер на работе): образно говоря, сотрудники не расстаются со смартфонами даже во сне, а, проснувшись, первым делом проверяют рабочую почту (зачем? Если через два часа он будет на рабочем месте?). И последнее, что они делают перед сном, – тоже проверяют рабочую почту (наверно, чтобы срочно позвонить клиенту). Как показало недавнее исследование iPass, такие сотрудники приносят компании примерно 240 человеко-часов дополнительного рабочего времени в год (интересно, как производился подсчет? Проверка почты – 5 минут, два раза в день, на 365 дней – получается 60 человеко-часов), за которое компания не платит ни копейки. Это value, которое можно перевести в деньги буквально одним щелчком пальцев. Человек по собственному желанию тратит на работу свое личное время, его легко «поймать» во время перекура или за обедом. Это важно для развития бизнеса: высококвалифицированных человеческих ресурсов может быть немного, зато они находятся в постоянном доступе. Разрешение использовать собственные устройства – это еще и инструмент повышения лояльности сотрудников, что важно для любой корпорации.

[…]

Словом, бизнес должен осознать пользу использования сотрудниками собственных устройств и не прибегать к одним лишь запретам. Это реальный источник прибыли для компании.

BYOD – источник прибыли

Бизнес должен осознать пользу использования сотрудниками собственных устройств и не прибегать к одним лишь запретам. Это реальный источник прибыли для компании.

Мифическое повышение трудоспособности кочует из одной статьи о BYOD в другую. Неужто работник – это собака Павлова, и мотивируется от использования своего, а не корпоративного устройства? Сделали BYOD, лампочка зажглась – слюна потекла? Если человек мотивирован работать, он будет достигать результата, используя все имеющиеся ресурсы. А вот немотивированных сотрудников BYOD способен превратить в настоящую угрозу для компании.

Мифическое повышение трудоспособности кочует из одной статьи о BYOD в другую. Неужто работник – это собака Павлова, и мотивируется от использования своего, а не корпоративного устройства? Сделали BYOD, лампочка зажглась – слюна потекла? Если человек мотивирован работать, он будет достигать результата, используя все имеющиеся ресурсы. А вот немотивированных сотрудников BYOD способен превратить в настоящую угрозу для компании.

Еще одним обоснованием ценности BYOD выступает снижение затрат. Часто так и пишут: «снижение затрат» и все. Иногда уточняют, что уменьшаются затраты на поддержание инфраструктуры и вообще на IТ-инфраструктуру. Тут все очень неоднозначно. Если запросить решение под ключ у известного западного вендора, то решение BYOD влетит вам в копеечку. Вам потребуется отдельный шлюз для мобильных пользователей, и это при том, что не любой пользователь туда сможет подключиться. В лучшем случае это будет iOS и Android старших версий. А что делать другим пользователям? Наверное, их придется демотивировать, сказав, чтобы меняли телефон на поддерживаемый.

Еще вам потребуется поднять свой Store для всех поддерживаемых платформ, чтобы раздавать корпоративное ПО. Нанять программистов, чтобы они доработали приложения. Установить средства защиты. Обучить и, возможно, расширить штат IТ-службы, так как именно она примет на себя основной удар BYOD (и он никогда не ослабнет, как в обычных случаях: пользователи буду приходить и уходить, а устройства – меняться). Стоит ли игра свеч?

И разумеется, все это очень небезопасно. Сколько уже было инцидентов увода конфиденциальной информации через телефоны? Десятки? И их количество будет только расти. Телефоны будут красть, их будут забывать и терять, их будут продавать, не удалив ключевую информацию.

Стоит ли внедрять сомнительную, крайне дорогую технологию, которая нужна единицам в вашей компании? Ответ за вами.

О будущем BYOD

В заключение хотелось бы сказать о будущем BYOD. Он будет жить в том или ином виде. Он будет жить, пока люди, продвигающие его, будут находить тех, кому это можно продать. Как только экономическая выгода иссякнет, BYOD умрет. А ваше рабочее место, как и мое, все так же будет состоять из «старых» вещей.

Дудко Дмитрий
Опубликовано: Журнал «Information Security/ Информационная безопасность» #4, 2014