Очень часто на обучающих курсах или в процессе консультирования компаний по информационной безопасности поднимается тема политики безопасности. Политика является основой всей инфраструктуры безопасности, по сути конституцией безопасности предприятия. На вопрос «Есть ли у вас политика информационной безопасности?» 70% смело отвечают «Есть». А вот на следующий мой вопрос: «А насколько эта политика выполняется?» в 90% случаев я слышу: «Ну, вы понимаете…», или «У наших людей не тот менталитет, чтобы выполнять политики», или «Частично». Что значит «частично»? Каждый делает только то, что ему нравится? Или всеми выполняются лишь отдельные политики? Судя по ситуации в нашей стране, следование политикам безопасности — крайне наболевший вопрос. Эта статья посвящена данной проблеме, связанным с ней мифам и возможным ее решениям.
Миф первый. Мы написали, значит, все сделали
Первый вопрос, который вы должны себе задать, если понимаете, что политика безопасности в вашей компании не работает или работает не так, как хотелось бы: «А что сделал отдел безопасности, чтобы она работала?» На этот вопрос в 90% случаев я получаю ответ: «Ну как же, мы ведь ее написали…», а иногда еще: «Провели приказом по компании, выложили на сервер и всем разослали ссылку». Эффект от такого способа распространения приблизительно равен результату рассылки спама. Любой пользователь воспримет письмо, содержащее информацию, которая может ему навредить (а наложение большого числа ограничений явно навредит), как нежелательное. Да вы и сами знаете, что эффективность спама ниже десятой доли процента. Так и в данном случае: кто-то пропустит письмо, кто-то сделает вид, что пропустил, кто-то прочитает первую страницу ради интереса (не более), и все. Затем, по прошествии некоторого времени, отдел безопасности будет заниматься террористическими актами, чтобы хоть как-то поддержать документ в работе, но это продлится 2–3 месяца, после чего отдел информационной безопасности поймет, что продолжать войну просто глупо. Очевидно, что 10–20 ИТ-специалистов (в лучшем случае) не смогут справиться с группой в 200–1000 пользователей, это физически невозможно. После чего отдел безопасности, подкрепленный полным безразличием со стороны руководства, положит печатную копию политики на полку и забудет о ее существовании, а политика станет «предметом мебели». Такова в целом судьба большинства политик безопасности в странах СНГ.
Переходим ко второму вопросу. Зачем вы ее писали? Для чего или для кого? Стоимость политик безопасности, в зависимости от величины компании, может составлять от тысяч долларов до десятков тысяч. Неужели вы потратили эти деньги, чтобы просто получить 50–300 страниц никому не нужного текста? Я думаю, дороговато для того, чтобы просто доложить начальству, что у нас ЕСТЬ политика безопасности.
Миф второй. Мы их заставим…
Давайте рассмотрим реакцию любого сотрудника на какое бы то ни было ограничение его прав и свобод. Образно это можно сравнить с прикладыванием усилий к любой материи. Результат будет в точности соответствовать третьему закону Ньютона: «Сила действия равна силе противодействия». Любое стремление навязать политики безопасности будет встречено равным по силе отторжением. Возможны два варианта:
- Сотрудники, понимая, что на них давят, перейдут в пассивную оборону и просто будут игнорировать внедрение политик.
- Сотрудники будут обращаться к руководству с просьбами о помощи и доказывать, что политики мешают им нормально работать. Менеджеры будут в сложной ситуации: им нужно, чтобы политики действовали, но при этом они получают массу жалоб и просьб об отмене.
Некоторые руководители и просто специалисты отделов информационной безопасности хотят, чтобы их боялись. Лично я не знаю, с чем это связано, и не понимаю, зачем это нужно. Да, возможно, страх стимулирует выполнение политик, но у него есть масса побочных эффектов. Приведу пару примеров. Сотрудник, которого заставляют выполнять какие-то правила под страхом наказания, будет выполнять работу именно так, чтобы удовлетворить требования начальства, но не больше, то есть про прирост производительности и личное стремление можно забыть. Кроме того, проявят себя сотрудники, которые обладают выраженными лидерскими качествами: они принципиально не будут выполнять политики «из-под палки» и начнут своим примером подстрекать остальных. Обычно, кстати, такие люди — это начальники отделов либо сотрудники с критичной для компании квалификацией, которые имеют определенное влияние на «верхний эшелон управления» и с мнением которых принято считаться. Неподчинение таких сотрудников заводит ИТ-отдел в тупик: заставить их нельзя, они обладают сильным чувством индивидуальности, а увольнение приведет к проблемам в работе компании. Понятно, что, когда стоит вопрос «или я или политики», руководство выберет то, что в данный момент критично для бизнеса, а именно — сотрудника. А самые умные и хитрые будут разбирать политики безопасности, искать в них дыры, а потом делать назло, и в этой ситуации юридически с ними вообще ничего сделать нельзя. Поэтому отдел информационной безопасности должен всячески избегать конфронтации и выяснений отношений посредством «служебных записок». Тем более если в такой ситуации выиграет сотрудник, «освободительное движение за права простого народа» тут же приобретет массовый характер, и тогда судьба политики безопасности будет незавидна. Еще одним последствием принуждения станет падение лояльности к компании, ведь сотрудники тут же начнут сравнивать условия работы в разных компаниях и с высокой вероятностью перейдут к другому работодателю, даже на меньшую зарплату, но с «нормальными» условиями работы.
Миф третий. Мы обойдемся без обучения
Человек по природе довольно консервативен и отторгает то, чего не понимает. С политиками безопасности будет именно так. Раньше у бухгалтера был пароль «123», отличный хорошо запоминающийся пароль, а теперь требуют придумывать пароль на 10 символов да еще из двух регистров, с цифрами и спецсимволами. Нам понятно, зачем это нужно, а бухгалтеру? Естественно, не зная сути, бухгалтер отнесется к этой политике как к злой выдумке отдела безопасности. А как все было бы просто, если бы ему толково объяснили, что он владелец конфиденциальной и критичной для компании информации, и пароль такой необходим для того, чтобы его было трудно подобрать. А если еще и продемонстрировать, как подбирается пароль методом перебора, и пояснить, что современные системы подберут трехзначный пароль менее чем за минуту, а каждый новый символ увеличивает защищенность пароля в 256 раз, то проблемы с пониманием и принятием отпадут, придет осознание ответственности и необходимости правил. Каждый сотрудник должен понимать, что правила пишутся не просто так, а каждое из них обосновано.
Еще один пример, подтверждающий необходимость обучения, это формат и стиль написания политик. Приведу несколько примеров политик безопасности.
Ответственность за повреждение данных или программ пользователей. Компания задействует системы контроля доступа и применяет другие меры безопасности для защиты конфиденциальности, целостности и доступности информации, которая обрабатывается компьютерными и коммуникационными системами. Для выполнения этих задач руководство имеет право:
- ограничить или отменить любые права пользователей;
- просматривать, копировать, удалять или изменять любую информацию, программу или системный ресурс, которые подпадают под указанные выше цели;
- принимать любые другие меры, которые с точки зрения компании являются необходимыми для управления и защиты информации без уведомления пользователей; компания не несет ответственности за потерю или повреждение любых данных или программ пользователей в связи с выполнением задач обеспечения безопасности.
Пересылка конфиденциальной информации. Любое предоставление конфиденциальной (приватной) информации третьим лицам должно сопровождаться уточнением, какая конкретно информация является конфиденциальной и какие ограничения накладываются на ее распространение.
Идеи сотрудников как собственность компании. Любое изобретение, процесс бизнеса или любая практическая идея сотрудника, которая в той или иной мере затрагивает бизнес компании и была создана на базе информации, полученной в процессе деятельности компании, или на базе ресурсов компании, является эксклюзивной собственностью компании.
Если дать кому-либо из сотрудников 100 страниц таких правил и попросить прочитать их все до конца, обычно терпения хватает страниц на 10, и то запоминаются из них первые две и последняя одна. На странице четвертой-пятой сотрудник начнет улыбаться и думать: «Интересно, какой же зануда все это написал?». Язык, которым пишутся политики, тяжел для восприятия, но это необходимость. Если писать в свободном стиле, то объем документа может увеличиться в несколько раз, а политики как раз следует писать в соответствии с принципом «краткость — сестра таланта»; кроме того, сухость языка изложения политик исключает двусмысленность понятий. Поэтому давать политики на личное изучение работникам неэффективно. Да, сотрудник скажет, что все прочитал и усвоил, вы сделаете вид, что поверили и поставите галочку напротив его фамилии, но нам ведь нужен другой результат.
Еще одним аргументом в пользу обучения является наличие удаленно работающих и мобильных сотрудников. Как их можно проконтролировать, если они работают вне офиса? Отправлять эскорт от отдела безопасности? В этом случае компания целиком полагается на ответственность и здравый смысл сотрудников, а если они не пройдут соответствующее обучение, то просто не будут знать, как реагировать на те или иные угрозы.
Миф четвертый. Менеджерам все можно
Статистика показывает, что первые места по частоте нарушений политик безопасности занимают менеджеры среднего и верхнего звена и сами сотрудники отделов ИТ. Менеджеры почему-то считают, что раз они относятся к руководству, то имеют право не следовать общим правилам. Помимо значительного повышения рисков для компании (ведь раз это топ-менеджеры, значит, они владеют и «топ-информацией», утечка которой может привести к крайне серьезным последствиям), игнорируя политики, начальство тем самым подбивает рядовых сотрудников также не выполнять политики безопасности. Если не пресекать вольности менеджеров высшего звена, рано или поздно все подчиненные последуют их примеру и будут по-своему правы.
Список «лекарств»:
- Создавать не политику безопасности, а программу безопасности, которая включала бы в себя, кроме самой политики, «программу бдительности» (обучение) и программу соответствия. Программы бдительности и соответствия будут рекламой для выполнения политик.
- Закладывать бюджет не только под проведение анализа рисков и написание политики безопасности, но и под дальнейшее обучение сотрудников. Если этого не делать, то писать политику нет никакого смысла.
- Получить поддержку высшего руководства и убедиться, что «наверху» понимают, зачем нужна политика безопасности и почему необходимо обучение персонала. Если руководство не выделит средств на обучение, политику можно не писать.
- Внедрять политику частями, то есть по одному аспекту безопасности в месяц. Это улучшит усвоение материала и не даст информационных перегрузок. Кроме того, контроль и мониторинг одного домена осуществлять намного проще, чем всех сразу. Вдобавок пользователям проще приспособиться к последовательным малым изменениям, чем сразу к одному большому.
- Внедрять политику «сверху вниз», то есть в первую очередь следовать политикам, должно руководство, а уж потом все остальные. Притеснение рядовых сотрудников в то время, когда начальство ведет беспечный образ жизни, приведет к неповиновению пользователей. В свою очередь, пример высшего менеджмента внушит рядовым сотрудникам доверие и уважение.
- Обязательное проведение регулярного обучения. Если раньше в западной прессе и стандартах безопасности рекомендовалось проводить обучение, то сейчас просто пишут, что без обучения политики безопасности не работают. Проведение обучения специалистами отдела безопасности или компаниями, которые предоставляют такие услуги, является серьезным мотивом для выполнения политик. Во‑первых, раз компания тратит деньги, значит, это действительно необходимо. Во‑вторых, у сотрудников возникнет понимание, что обеспечение корпоративной безопасности — это общее дело, а не только отдела информационной безопасности, и что им выгодно помочь отделу безопасности. В‑третьих, те знания, которые сотрудники получат в процессе обучения, они смогут использовать для своих целей (например, для домашних систем). Проведение обучения является хорошим общим средством мотивации: компания вкладывает деньги в сотрудников, заботится об их карьере.
- Программа соответствия, которая будет рекламировать и поощрять выполнение политик. Отдел маркетинга вместе с отделом HR могут планировать различные акции, конкурсы для поддержания знаний по безопасности на высоком уровне. Такие мероприятия улучшат отношение к вопросам безопасности и исключат формальный подход. Кроме того, можно создать программы мотивации с выделением каких-нибудь поощрений, например пара дополнительных дней к отпуску, денежные премии, подарки, похвальные грамоты, внутренние сертификаты, знаки отличия и все, что только можно придумать.
- В рамках программы бдительности необходимо создать листовки и плакаты (как минимум), которые будут привлекать внимание сотрудников к вопросам безопасности. Содержимое таких плакатов и листовок должно подаваться в ненавязчивой форме, с долей юмора, тогда запоминаемость контента будет высока.
В заключение хочу отметить, что основными причинами невыполнения политик безопасности в странах СНГ являются бездействие высшего руководства и недостаточный бюджет на обучение сотрудников.
Алексей Зайончковский (zedcenter@gmail.com) — инструктор академии БМС-Консалтинг; директор учебного центра Z-Center при факультете информатики Киевского политехнического института. Имеет сертификат CCNA