tag:blogger.com,1999:blog-4065770693499115314.post7173590640042805210..comments2023-10-02T12:01:53.774+03:00Comments on Бизнес без опасности: Почему пентесты все равно не помогут или зачем в ИБ нужна поведенческая психология?!Алексей Лукацкийhttp://www.blogger.com/profile/08434361034703403028noreply@blogger.comBlogger6125tag:blogger.com,1999:blog-4065770693499115314.post-65776261216360384292013-03-27T10:24:51.657+04:002013-03-27T10:24:51.657+04:00Alexander Polyakov
Чтобы люди знали, что нужно ста...<b>Alexander Polyakov</b><br />Чтобы люди знали, что нужно ставить правильные пароли - нужно, чтобы их этому научили. Чтобы учить сотрудников, должно быть определено, чему именно учить. <br /><br />Чтобы люди точно знали и могли напомнить себе о том, что забыли, все определенное и устно сказанное должно быть так или иначе задокументировано.<br /><br />Чтобы люди не игнорировали обязанности по пересмотру требований к паролям, по донесению требований до работников, и в конце концов по выполнению этих требований, должна быть определена ответственность.<br /><br />Чтобы к ней привлечь, она должна быть задокументирована.<br /><br />Бумажки, конечно, не защищают. Но они являются одним из важных средств обеспечения защиты - справочным либо регламентирующим (в первом случае - для получения сведений, во втором - для легитимации "кнута" и "отрубания рук")<br /><br />Безопасность без бумажек возможна в двух случаях: когда у вас в фирме не люди, а роботы, либо когда вся фирма целиком и полностью состоит из гуру-безопасников-универсалов в количестве пары человек.Anonymoushttps://www.blogger.com/profile/05082136326126088773noreply@blogger.comtag:blogger.com,1999:blog-4065770693499115314.post-70939965130986165502013-03-27T10:15:20.574+04:002013-03-27T10:15:20.574+04:00Alexander Polyakov
Чтобы люди знали, что нужно ста...<b>Alexander Polyakov</b><br />Чтобы люди знали, что нужно ставить правильные пароли - нужно, чтобы их этому научили. Чтобы учить сотрудников, должно быть определено, чему именно учить. <br /><br />Чтобы люди точно знали и могли напомнить себе о том, что забыли, все определенное и устно сказанное должно быть так или иначе задокументировано.<br /><br />Чтобы люди не игнорировали обязанности по пересмотру требований к паролям, по донесению требований до работников, и в конце концов по выполнению этих требований, должна быть определена ответственность.<br /><br />Чтобы к ней привлечь, она должна быть задокументирована.<br /><br />Бумажки, конечно, не защищают. Но они являются одним из важных средств обеспечения защиты - справочным либо регламентирующим (в первом случае - для получения сведений, во втором - для легитимации "кнута" и "отрубания рук")<br /><br />Безопасность без бумажек возможна в двух случаях: когда у вас в фирме не люди, а роботы, либо когда вся фирма целиком и полностью состоит из гуру-безопасников-универсалов в количестве пары человек.Anonymoushttps://www.blogger.com/profile/05082136326126088773noreply@blogger.comtag:blogger.com,1999:blog-4065770693499115314.post-8516511653524215382013-03-26T13:41:36.763+04:002013-03-26T13:41:36.763+04:00В среде некоторых специалистов по ИБ до сих пор бы...В среде некоторых специалистов по ИБ до сих пор бытует мнение, что информационная безопасность - это прежде всего бумажки и именно от них зависит уровень защищенности современного предприятия; мол, именно бумажка первична, а все остальное вторично. В этом плане хотелось бы напомнить классический тезис о том, что безопасность системы равна безопасности самого слабого звена. А им является пресловутый человеческий фактор. Бы не было бумажек, достаточно проверить cisco:cisco на маршрутизаторе , и вся безопасность пойдет коту под хвост. Почему же пользователи оставляют дефалтовые пароли? Ответ на это дает сравнительная анатомия ( бумажникам-апологетам дальше можно не читать - ничего для них интересного не будет).<br />Собственно ничего интересного тут и нет. Н расуж начал писать противопоставление то на пряник есть и кнут и почему бы не рубить руки сразу за такие косяки?), подход ничем не хуже описанного вами и нигде ещё не доказано достоверно и не опровергнуто что пряник или кнут являются лучшими решениями.<br />Можно ли и в России внедрять такие механизмы? Да, почему нет? Сталина позабыли?)<br /><br />PS. Причём тут пентесты не ясно<br />Alexander Polyakovhttps://www.blogger.com/profile/15703333293651201324noreply@blogger.comtag:blogger.com,1999:blog-4065770693499115314.post-57598251272682353122013-03-26T11:50:12.428+04:002013-03-26T11:50:12.428+04:00Нерациональное поведение обуславливает выбор, в то...Нерациональное поведение обуславливает выбор, в том числе средств и механизмов защиты. Вы когда дорогу только на зеленый свет переходите хорошо риск осознаете, а когда слабый пароль вводите - не очень. Это потому, что автомобиль и аварии Вы видите каждый день, а хакера нет, поэтому склонны считать ДТП более вероятным событием, чем взлом. Суть не в удобстве (мне не всегда удобно на зеленый ходить), а в адекватной оценке последствий. Объясните их людям и они смирятся с неудобствами.Юрийhttps://www.blogger.com/profile/09030702648980393831noreply@blogger.comtag:blogger.com,1999:blog-4065770693499115314.post-78322516220620593382013-03-26T10:56:20.358+04:002013-03-26T10:56:20.358+04:00Нет никакого нерационального поведения. Суть в том...Нет никакого нерационального поведения. Суть в том, что безопасность (стойкий пароль, антивирус и пр.) не помогают людям в их работе, поэтому ими игнорируются. Чтобы человек что-то принял не из под-палки, он должен видеть, что оно ему полезно: помогает, упрощает жизнь, дает плюшку и т.п.<br /><br />Разумеется, ИБ-технари этого часто не понимают. И в худшем случае получается фашизм, когда человека загоняют в рамки без права выбора, в лучшем случае -- аваренесс/обучение, построенное на запугивании ("то и это нельзя, потому что вот что будет!...").Anonymousnoreply@blogger.comtag:blogger.com,1999:blog-4065770693499115314.post-57823457640922597212013-03-26T10:40:55.577+04:002013-03-26T10:40:55.577+04:00Ты описал классические проблемы теории принятия ре...Ты описал классические проблемы теории принятия решений (в частности, теорию проспектов). Суть в нерациональном поведении при необходимости сделать выбор (об этом писал Шнайер, описывая психологию восприятия риска, по-моему даже здесь обсуждали когда-то). С предлагаемыми мерами совершенно согласен: знать зачем, знать как и при этом чтобы было удобно. Универсальный рецепт. ЗЫ Что касается пентестов, то они, как правило, включают и социальную инженерию (не только технические проверки).Юрийhttps://www.blogger.com/profile/09030702648980393831noreply@blogger.com