26.08.2009

Комфортность работы и сфера информационной безопасности

Для Connect'а недавно готовил статью про комфортность работы пользователя со средствами защиты и как такое понятие, как "юзабилити", влияет на уровень защищенности компании.

"Информационная безопасность (ИБ), раньше находившаяся в тени и слывшая «черным ящиком» во многих компаниях, чуть больше года назад вышла на первый план, когда сотрудники столкнулись с тем, что их доступ к «одноклассникам» был закрыт на средствах защиты Интернет-периметра. Отношение рядовых пользователей к информационной безопасности, и без того не самое лучшее, только ухудшилось, в очередной раз высветив до сих пор нерешенную проблему с комфортностью и удобством работы, которым и мешает ИБ.

Концентрируясь на себе и своей деятельности, службы ИБ обычно забывают про такое понятие, как stakeholder, т.е. заинтересованное лицо, которых с точки зрения ИБ может быть несколько. Внутри компании – это, как минимум, 7 представителей разных подразделений, «кровно» заинтересованных в безопасности, – специалист по ИБ, специалист по ИТ, юрист, кадровик, специалист внутреннего контроля или внутренний аудитор, топ-менеджер и рядовой пользователь. В зависимости от деятельности предприятия немалую роль могут приобретать и внешние заинтересованные лица – клиенты, партнеры и поставщики и даже регуляторы. И каждый из них по-разному смотрит на ИБ и по-разному ее оценивает. Не рассматривая все эти категории, коснемся только одной из них – рядовых пользователей.

Для обычного пользователя это в первую очередь комфорт от выполнения ежедневных операций, которым не должны мешать различные защитные механизмы и мероприятия. Об этом часто забывают, но именно от этого зависит отношение к ИБ в компании. Насколько пользователи готовы соблюдать те требования, которые выпускают «безопасники» и насколько пользователи будут следовать им, а не пытаться обойти? Система ИБ, построенная в соответствии с правильно выбранной архитектурой, будет способствовать росту продуктивности сотрудников, а не снижать ее. Именно эта точка зрения на архитектуру не позволяет сбрасывать со счетов такое понятие, как удобство пользования ИБ (security usability), которым часто пренебрегают разработчики средств защиты и которое почти никогда не учитывается при выборе тех или иных технических или организационных решений. В эту же точку зрения ложится известный конфликт между рядовыми сотрудниками и службой безопасности. Что важнее – интересы предприятия или различные права - на тайну, на доступ к информации, дарованные каждому гражданину Конституцией и федеральным законодательством?

Какие элементы удобства и комфортности имеют важнейшее значение для пользователей? Ключевых из них три:
  • Скорость осуществления бизнес-операций
  • Дружественный интерфейс
  • Прозрачность разграничение доступа".

ЗЫ. Я уже обращался к этой теме пару лет назад и вот вновь решил вернуться к ней.

12 коммент.:

Анонимный комментирует...

Были бы силы и средства, сделал бы СЗИ, УДОБНУЮ пользователю. И обучалку для пользователя (тот же видео ролик). (((( ZZubra

PS Жаль что программирование меня не зацепило сильно (((

Vadim комментирует...

Мне кажется, что нет системы защиты чего бы то ни было, которая не дертвовала комфортом ради безопасности. Так что особого смысла рассуждать об этом, честно говоря, не вижу.

Алексей Лукацкий комментирует...

Zubra: Usability - это скорее психология, чем программирование. У нас многие разработчики СЗИ умеют программировать, но дружественными их изделия назвать сложно.

Алексей Лукацкий комментирует...

Vadim: Жертва бывает разной. Я вот доволен тем как система ИБ выстроена в Cisco. И эффективно, и удобно, и прозрачно, и быстро. Отторжения и неудобств не вызывает. Другое дело, что мало кто про ИБ думает, как про психологическую, а не технологическую задачу.

Анонимный комментирует...

важнее – интересы предприятия для ИБ предприятия!
различные права - тем кто защищает Конституцию...?

важнейшее значение для пользователей имеет * Дружественный интерфейс

*Скорость осуществления бизнес-операций* важна для предприятия больше чем для пользователя.

* Прозрачность разграничение доступа- это только службе ИБ интересно.
ИБ должна стремится к эргономичности, иначе приходится тратить больше сил на борьбу ..

Алексей Лукацкий комментирует...

ZZubra: Видеоролик для СЗИ - это из разряда недружественных изделий ;-) Видеоролик подразумевает неинтуитивность пользования, а пользователь в идеале вообще не должен видеть СЗИ.

infowatch комментирует...

Говорят, прусские солдаты весьма тяготились своими стальными касками, но мужественно терпели, видя Бисмарка, который всегда появлялся в каске. Она у него была из папье-маше, но это - военная тайна.

Алексей Лукацкий комментирует...

Анонимному: А пользователи - это не предприятие?

А насчет прозрачности, интересно только ИБ... я видел немало ситуаций, когда неудобная СЗИ сносилась шаловливыми ручками пользователей или ее приказывали сносить, т.к. пользователи, зарабатывающие деньги, жаловались на ИБ руководству.

Анонимный комментирует...

Можно считать что все (предприятие,пользователи,ИБ)кровно и единовременно заинтересованы в успехе предприятия и снижении рисков. Много ИБ - меньше рисков, но больше ограничений! Пользователь в системе в первую очередь хочет удобно работать. а уж какие при этом возникают риски пусть думают специально предназначенные для этого люди - т.е. ИБ!

Алексей Лукацкий комментирует...

Только в этом случае первичен бизнес и удобство пользователя, который и зарабатывает деньги. А ИБ должна думать, как снизить риски, не мешая пользователю.

Алексей Лукацкий комментирует...

Кстати, как вариант, попробуйте спросить у разработчиков Секрет Нета, Панциря, Щита, Аккорда, Даллас Лока, Брони - они сами у себя в организации используют свои же решения на всех компах? Ответ будет показателен.

swan комментирует...

Каждый хочет хороший интерфейс и внутренний и внешний...
Но жизненный цикл разработки настолько ужался, что на интерфейсы нет ни денег ни времени. Реализуют:
1 - ядро
2 - механизмы защиты
3 - внутренние интерфейсы
4 - черновик интерфейса с пользователем
5 - а вот тут все поняли что сдавать результаты нужно вчера и ...