Риторика в качестве инструмента безопасника
Сотрудники порой как дети малые. Говоришь одно – делают другое. Либо вообще не делают. Просишь не приклеивать стикеры с паролями на монитор – прячут под клавиатуру. Напоминаешь быть внимательными к подозрительной почте – кивают и тут же забывают. Мне эта ситуация всегда напоминает журнал учёта инструктажей по пожарной безопасности. Прошёл обучение? Прошёл. Расписался? Конечно. А кто-нибудь что-нибудь помнит из обучения? *звук критической ошибки Windows* Вот и с вопросами ИБ аналогично.
Есть избитая фраза про эффективность профилактики болезней. Но раз за разом разосланные инструкции забываются, а любое наказание воспринимается коллективом, как репрессии и угнетение честного люда. Безопасник же воспринимается этаким медведем из анкедота, который ходит по офису с вопросами а-ля «Почему без шапки?». Ну и почему так получилось?
Дело в том, что на этой ситуации хорошо видна разница между «бумажной» и реальной безопасностью. Для первой нам достаточно всех заставить что-то прослушать-просмотреть и расписаться в бумагах. После чего в случае нарушений можно нещадно махать шашкой. Вот только реальные проблемы такой подход не решает. Нужного эффекта получится добиться только когда сотрудник сам понимает, для чего нужны те или иные меры. Если сотрудник знает, почему не нужно найденную флешку подключать к корпоративной машине, но не верит в реальность такой угрозы, это ваша недоработка. Вы не были достаточно убедительны в том, чтобы сотрудник не только знал про опасность, но и понимал, что это случится с ним.
Данная статья написана под впечатлением от пособия С.В. Конявской «Прикладная риторика для специалистов по защите информации». Под катом описывается собственное видение теории и практики применения риторики для задач информационной безопасности.
Читать дальше →
Есть избитая фраза про эффективность профилактики болезней. Но раз за разом разосланные инструкции забываются, а любое наказание воспринимается коллективом, как репрессии и угнетение честного люда. Безопасник же воспринимается этаким медведем из анкедота, который ходит по офису с вопросами а-ля «Почему без шапки?». Ну и почему так получилось?
Дело в том, что на этой ситуации хорошо видна разница между «бумажной» и реальной безопасностью. Для первой нам достаточно всех заставить что-то прослушать-просмотреть и расписаться в бумагах. После чего в случае нарушений можно нещадно махать шашкой. Вот только реальные проблемы такой подход не решает. Нужного эффекта получится добиться только когда сотрудник сам понимает, для чего нужны те или иные меры. Если сотрудник знает, почему не нужно найденную флешку подключать к корпоративной машине, но не верит в реальность такой угрозы, это ваша недоработка. Вы не были достаточно убедительны в том, чтобы сотрудник не только знал про опасность, но и понимал, что это случится с ним.
Данная статья написана под впечатлением от пособия С.В. Конявской «Прикладная риторика для специалистов по защите информации». Под катом описывается собственное видение теории и практики применения риторики для задач информационной безопасности.
Читать дальше →
Источник: Хабрахабр
Похожие новости
- Процессы ИТ и ИБ
- Проведение фишинг-учений с использованием вредоносных ссылок и HTML-приложений. Часть 1
- Profitbase: От выбора к продажам: как девелоперам внедрить выигрышные инструменты
- Подкаст Стартап-секреты: Стратегия продукта и аналитика: как создаются продукты, которые опираются на рынок и данные
- Вы все еще пишете многопоточку на C++ с ошибками синхронизации?
- Дайджест мероприятий: Лучшие управленцы страны поборются за место в рейтинге «ТОП-1000 российских менеджеров»
- Особенности поиска сотрудников через контекстную рекламу
- 4 проверенных тактики email-маркетинга, которые помогут FMCG-брендам стимулировать продажи
- Платный трафик I Дмитрий Хатин: Сколько токенов (erid) для одного креатива требуется получать в ОРД при маркировке рекламы?
- Погружаемся в PEB. Подмена аргументов командной строки в запущенных и suspended процессах