Комментарии 21
Одно это сразу говорит о практически полной некомпетентности (к сожалению, большинство видимых мной так называемых «специалистов ИБ» — как раз околонулевой компетентности).Вы еще уберите кофе-машину. А то же в большой компании 20 000 человек — 2 раза по 2 минуты в день, ого-го получается.
Переводить напрямую потраченные на что-то часы в деньги по ставке зарплаты может, извените, только абсолютно бездарный человек. Если мне выделят 2 минуты в день ходить в туалет — производительность моя на сэкономленные минуты не увеличится, так же как и с остальными запретами она вероятно даже упадет, и уж точно рухнет ниже плинтуса лояльность.
мы подготовили и озвучили презентацию и выложили ее на наш корпоративный канал на YouTubeА что на YouTube? Ведь ваш умный «безопасник» уже заблокировал Youtube в компании — как же вашу презентацию смотреть то?
На этой картинке видна ещё и безграмотность маркетологов, которые не различают единицы измерения и умудряются писать «человек в день» (чел/дней) вместо человеко-дней. Это как быссмысленные и беспощадные кВт/ч вместо кВт*ч.
Может это текучка кадров после введения подобных запретов?
Мое личное мнение — проблема свободного времени сотрудников — проблема руководства, не умеющего планировать и контролировать выполнение рабочих задач. Ну или обратный вариант — наличие свободного времени — умение организовать творческий процесс с максимальной пользой для компании.
А техсредствами/запретами только ухудшается рабочее настроение в условиях бардака в компании.
А техсредствами/запретами только ухудшается рабочее настроение в условиях бардака в компании.
Руководство не всегда готово признавать свои проблемы. Оно никогда не признается, что не умеет четко ставить задачи и контролировать результат, а не процесс. Руководство часто считает, что сотрудник должен работать, а не 10 минут в день расслабляться в Интернете. Это данность и не замечать ее неправильно.
Поэтому руководство часто ставит задачу реализовать свое видение того, что и как должен делать работник, которому руководство платит зарплату. Безопасник может на это закрыть глаза, а может использовать, предложив инструмент, который также будет использоваться и для своих, чисто «безопасных» задач. Это не хорошо и не плохо — просто так есть. Безопасник может такой посыл в свою пользу направить, а может и не захотеть этого.
Что касается ухудшения климата в коллективе, то такое есть. Я специально не стал на этом акцентировать в этом слайдкасте — в других материалах у меня против левой колонки с выгодами, есть и правая — с потерями от этого метода. Ну так любой новый инструмент — это палка о двух концах и задача внедренца — правильно его обосновать и спозиционировать. Если безопасник по своей привычке начнет все запрещать или просто ссылаться на руководство «оно так сказало», то да, будет негатив в коллективе. Если четко обосновать внедрение таких средств, если прописать политику (например, 15 минут в день можно или можно ходить в VK, но нельзя музыку и видео качать), то ситуация будет совсем иной. ИБ — это же не только техсредства. Это и работа с людьми, и учет их психологии, и понимание процессов в компании, и центров силы, и многих других аспектов. В одной презентации, посвященной только одному вопросу, осветить все аспекты сложно. Да и не ставил я такой задачи.
Поэтому руководство часто ставит задачу реализовать свое видение того, что и как должен делать работник, которому руководство платит зарплату. Безопасник может на это закрыть глаза, а может использовать, предложив инструмент, который также будет использоваться и для своих, чисто «безопасных» задач. Это не хорошо и не плохо — просто так есть. Безопасник может такой посыл в свою пользу направить, а может и не захотеть этого.
Что касается ухудшения климата в коллективе, то такое есть. Я специально не стал на этом акцентировать в этом слайдкасте — в других материалах у меня против левой колонки с выгодами, есть и правая — с потерями от этого метода. Ну так любой новый инструмент — это палка о двух концах и задача внедренца — правильно его обосновать и спозиционировать. Если безопасник по своей привычке начнет все запрещать или просто ссылаться на руководство «оно так сказало», то да, будет негатив в коллективе. Если четко обосновать внедрение таких средств, если прописать политику (например, 15 минут в день можно или можно ходить в VK, но нельзя музыку и видео качать), то ситуация будет совсем иной. ИБ — это же не только техсредства. Это и работа с людьми, и учет их психологии, и понимание процессов в компании, и центров силы, и многих других аспектов. В одной презентации, посвященной только одному вопросу, осветить все аспекты сложно. Да и не ставил я такой задачи.
Возразить сложно. По сути очень и очень часто мы продаем/ставим продукты и решения в среду, которая не понимает как их использовать, не знает зачем они нужны и тд.
Все сильно упирается в уровень подготовленности и руководства компаний и тех, кто закупает некие решения. И получается перекос. Рекламы продуктов (я не имею в виду конкретно ваших — вообще) имеется в огромном количестве, а вот спроса на базовые вещи нет. Целевая группа считает, что она все знает, а продающим нет выгоды/желания/денег заниматься излечением мифов.
Все сильно упирается в уровень подготовленности и руководства компаний и тех, кто закупает некие решения. И получается перекос. Рекламы продуктов (я не имею в виду конкретно ваших — вообще) имеется в огромном количестве, а вот спроса на базовые вещи нет. Целевая группа считает, что она все знает, а продающим нет выгоды/желания/денег заниматься излечением мифов.
если прописать политику (например, 15 минут в день можно или можно ходить в VK, но нельзя музыку и видео качать), то ситуация будет совсем иной.В случае 15 минут ситуация будет возможно даже еще хуже. И что за ограничение на музыку? У меня есть несколько подписок на стриминг — мне теперь их слушать нельзя? Ограничений подобных быть не должно, можно делать мониторинг на серверной стороне и сопоставлять это с производительностью сотрудника в соответствии с его должностью. Если человек работает не хуже других и сидит по часу вконтакте — вероятно его не нужно трогать, т.к. сделаете только хуже — он обидится и уйдет и еще может постараться репутацию компании испортить среди другх сотрудников. Если же человек работает очень паршиво и при этом пол дня сидит в танках или во что там сейчас играют — это повод поговорить конкретно с этим человеком, но опять же не запрещать.
Проблема тут только в том что для такой политики нужен руководитель с наличием мозгов, а такие встречаются далеко не в 100% случаев.
15 минут я привел для примера. Поставьте полчаса или час в обеденный перерыв. Что касается музыки, то очевидно, что тут есть разница и нормальное решение должно ее уметь определять (но это не предмет данной заметки был). Когда я писал про запрет музыки и видео, я специально написал, что речь идет о пиратском контенте. Сейчас это дело подсудное и многие компании начинают задумываться об этом. Аккурат на днях с одним заказчиком обсуждали. У него через гостевой Wi-Fi народ тащит с торрентов музыку и видео, а оператор это просек и предъявляет претензии. Очевидно, что компания хочет такие вещи предотвращать.
Что касается «обидится», то я еще раз повторю, что ситуации бывают разные. Где-то срабатывает, где-то нет. Очевидно, что ИБ в компании — это не вещь в себе и она должна соотносить свои действия с ролью и ценностью работника. Один приносит миллионы и ему даже отдельный канал проводят для доступа в Интернет и не запрещают порнуху, так как она его стимулирует. Другого, наоборот, Интернет только отвлекает от работы. Поэтому универсального обоснования тут нет.
Работу HR и непосредственного руководства никто не заменит, но и технические меры контроля тоже должны быть реализованы. Я, видимо, не учел аудиторию Хабра и привел из 10-ти кейсов не самый лучший пример в виде картинки. А поскольку мало кто смотрел сам часовой ролик или презу на слайдшаре, то получается, что все судят по одному примеру, не оценивая картину целиком. Схожая ситуация была в прошлый раз, когда я описывал кейс с доступом в Wi-Fi по паспорту. Мало кто читал сам кейс и возможности Cisco ISE — все набросились на саму идею — как это так, доступ к вайфаю по паспорту :-) Карму попортил в прошлый раз. Карму попортил и в этот :-)
Что касается «обидится», то я еще раз повторю, что ситуации бывают разные. Где-то срабатывает, где-то нет. Очевидно, что ИБ в компании — это не вещь в себе и она должна соотносить свои действия с ролью и ценностью работника. Один приносит миллионы и ему даже отдельный канал проводят для доступа в Интернет и не запрещают порнуху, так как она его стимулирует. Другого, наоборот, Интернет только отвлекает от работы. Поэтому универсального обоснования тут нет.
Работу HR и непосредственного руководства никто не заменит, но и технические меры контроля тоже должны быть реализованы. Я, видимо, не учел аудиторию Хабра и привел из 10-ти кейсов не самый лучший пример в виде картинки. А поскольку мало кто смотрел сам часовой ролик или презу на слайдшаре, то получается, что все судят по одному примеру, не оценивая картину целиком. Схожая ситуация была в прошлый раз, когда я описывал кейс с доступом в Wi-Fi по паспорту. Мало кто читал сам кейс и возможности Cisco ISE — все набросились на саму идею — как это так, доступ к вайфаю по паспорту :-) Карму попортил в прошлый раз. Карму попортил и в этот :-)
Ну пол часа даже, или час, и даже не в обеденный перерыв — ну и что? Главное работу выполнять.
набросились на саму идею — как это так, доступ к вайфаю по паспорту :-) Карму попортил в прошлый раз. Карму попортил и в этотНу причина в том что вы выбираете совершенно ужасные примеры. Давайте я вам приведу пример: можно написать статью про поисковый алгоритм, работу с большими объемами данных и прочим на примере того как выбирать наиболее подходящую музыку исходя из предпочтений пользователя. А можно тот же подход описать в ключе анализа предпочтений для поиска оппозиции. Как бы в первом случае всем будет интересно, во втором случае автора сожрут заживо за подобные идиотические предложения. Так и тут, описали бы вместо WiFi по паспорту — какой нибудь доступ к развлекательному контенту в самолете при помощи подобной авторизации, а то описываете как осуществлять нелегитимные, глупые и иногда просто преступные вещи — и удивляетесь.
К сожалению (или к счастью), но руководители многих предприятий именно такую мотивацию и понимают. Они считают, что если сотрудник в рабочее время не работает, то это плохо. И они готовы платить за решения, которые помогают блокировать непродуктивый серфинг. Да, есть и другая сторона медали — «итальянская забастовка». Но я ее специально не стал выделять в этом слайдкасте, чтобы сразу не губить на корню идею показать ИБ с финансовой точки зрения. И как показано в слайдкасте (а не только на картинке) под этой табличкой приведен пример, когда такой метод обоснования не срабатывает. Именно поэтому почти никогда вендора не пишут универсальных листовок и брошюр по данной теме — она уникальна для каждой компании. Где-то срабатывает, где-то нет. Об этом в слайдкасте и говорится.
Такой метод не срабатывает в 99% случаев среди высококвалифицированных программистов. Да, все не уволятся но ущерб будет, а выигрыша скорее всего не будет вообще, а еще придется потратиться на «блокировщиков».
Надо отметить, что среди 5-ти миллионов российских юридических лиц и индивидуальных предпринимателей, 99% — это не программерские конторы
А 99.9% вообще в ваших услугах не нуждаются. Магазинчику торгующему цветами или ИП с 1 работником (ну даже 10) подобных услуг не нужно.
Это больше статья для мегамозга.
На хабре же надо срывать покровы про отсутствие закладок АНБ в цисках, Сноуден то портил имидж, попортил :)
С другой стороны, кто заставляет руководство вводить в компанию штат ИБ?
Если руководство не понимает зачем ему ИБ, то обычно оно это ИБ и не заводит, если сам не разу не обжегся то…
На хабре же надо срывать покровы про отсутствие закладок АНБ в цисках, Сноуден то портил имидж, попортил :)
Руководству всегда приятно общаться с равными себе, понимающими потребности бизнеса, а не с людьми, только и делающими, что блокирующими выход в Интернет и читающими чужую переписку; а именно так часто воспринимается информационная безопасность на многих предприятиях.
С другой стороны, кто заставляет руководство вводить в компанию штат ИБ?
Если руководство не понимает зачем ему ИБ, то обычно оно это ИБ и не заводит, если сам не разу не обжегся то…
Зарегистрируйтесь на Хабре, чтобы оставить комментарий
Может ли информационная безопасность увеличивать доходы, повышать лояльность клиентов и решать другие бизнес-задачи?