Kyniu pisze:A na drugim końcu mamy użyszkodników, którzy podchodzą do bezpieczeństwa tak "mamy super technologie bezpieczeństwa i super genialnych adminów więc możemy lać na bezpieczeństwo - uruchamiamy co chcemy, skąd chcemy, wkładamy pendrivy nieznanego pochodzenia do naszych komputerów, etc." To już chyba lepiej straszyć użyszkodników niż ogłaszać wszem i wobec jacy jesteśmy bezpieczni. Inna sprawa że większość użyszkodników jest niereformowalna.
Politykę bezpieczeństwa firmy użyszkodnik podpisuje razem z umową/kontraktem. Tam zaświadcza że jest świadom, że jego umyślne czy nieumyślne działania które narażą firmę na straty zaowocują konsekwencjami surowymi albo i gorzej. W "normalnych" firmach szkolenia z zakresu bezpieczeństwa informacji/IT/etc odbywają się co jakiś czas żeby ktoś właśnie nie klikał na co popadnie, nie oddawał komputera służbowego znajomemu do naprawy, albo przez telefon/w internecie nie publikował informacji wewnętrznych firmy.
Kyniu pisze:I budowanie strategi bezpieczeństwa zaczynając od technologii to chyba nie jest właściwa droga.
Strategia bezpieczeństwa oznacza że coś będziemy chronić. To czego chronimy narzuca wachlarz możliwości.
Kyniu pisze:Niestety ale najbardziej niebezpiecznym elementem tej całej układanki są właśnie ludzie i bez zaangażowania ich w proces dbania o bezpieczeństwo to każda technologia polegnie.
Ludzie są najsłabszym ogniewem całości - wszyscy to wiedzą, niewiele osób/firm coś z tym robi, a atakujący doskonale to wykorzystują. I dlatego trzeba inwestować w ludzi. Po prostu.
