?

Log in

No account? Create an account

Previous Entry | Next Entry

Приходит к сисадмину рассылка об очередной уязвимости в ПО. Читая её, он тяжко вздыхает. Дел полно, скрипты не писаны, юзеры не строены, шутеры не играны, а тут новая напасть: беги и ставь пачти в пяти местах. Понятно, что любой админ, имевший в молодости неосторожность подписаться на такую рассылку, по мере взросления от неё отписывается.

Риск-менеджмент
— Алё, я ваш клиент. У меня тут проблема...
— Вы больше не наш клиент. Проблема решена.
Но взрослеет не только он. Имеет обыкновение "взрослеть" и предприятие ("уровни зрелости" называется). И на следующем уровне на беспокойную рассылку подписан уже не админ, а сотрудник службы ИБ, который сам патчи не ставит, и начальники у него с сисадмином разные. Безопасник прочитал об уязвимости, внёс задачу "установить патчи" и успокоился. Дальше компьютер сам будет отслеживать исполнение, понукать исполнителя, а в случае неисполнения сам жалобу сгенерирует.

На следующем этапе "зрелости" даже безопаснику становится впадлу искать другим работу: читать рассылки, сканировать сеть, изучать логи и проводить опросы пользователей. Начинает действовать явный или неявный сговор – не трогай коллег, не ищи им лишнюю работу, тогда и тебя не тронут. И приходит пора ставить надсмотрщика над надсмотрщиком. Все изучения уязвимостей, проверки, опросы и прочая беспокоющая информация собирается не добровольно, а по принуждению, в соответствии с шестнадцатью процедурами и тремя инструкциями. А сверху Отдел контроля качества, жуя свой пряник, смотрит, чтоб другие исправно махали кнутом.

В итоге борются не с утечками, а со "втечками" информации. Не дай бог, узнать чего лишнего.

Может, стоило с самого начала решить вопрос "лишней работы" радикально? Платить сисадмину сдельно за каждое действие. Патч накатил – сто рублей. Пользователя проинструктировал – двести (а если вежливо, то все 500), "одноклассников" заблокировал – ещё тыща (чтоб не подкупили). Да, конечно, приписки пойдут. А где их нет?


Comments

( 34 comments — Leave a comment )
slavka
Jan. 27th, 2010 10:24 am (UTC)
или еще проще:
1) предприятие подписывается на некую авторитетную рассылку об уязвимостях
2) если админ не отреагировал на сообщение из рассылки в разумное время – его увольняют.
mar1ner
Jan. 27th, 2010 10:32 am (UTC)
Майкрософт авторитетом считаем? Только, вот, и у них было выпущено обновление, исправляющее ошибки, возникшие в результате установки предыдущего обновления.
И что считать мерилом авторитетности?
slavka
Jan. 27th, 2010 10:36 am (UTC)
Майкрософт авторитетом считаем?
нет
им может быть выгодно придержать информацию до того как выпущены заплатки

И что считать мерилом авторитетности?

компетентность
материальная незаинтересованность в фальсификациях
репутация
(Anonymous)
Jan. 27th, 2010 10:39 am (UTC)
>компетентность
материальная незаинтересованность в фальсификациях
репутация

"Хотите об этом поговорить?"(с)психоаналитик. :)))]
В смысле - можете привести конкретный пример?

С уважением,
De Nada.
(no subject) - slavka - Jan. 27th, 2010 10:43 am (UTC) - Expand
(no subject) - (Anonymous) - Jan. 27th, 2010 10:58 am (UTC) - Expand
(no subject) - slavka - Jan. 27th, 2010 11:00 am (UTC) - Expand
(no subject) - (Anonymous) - Jan. 27th, 2010 11:18 am (UTC) - Expand
(no subject) - slavka - Jan. 27th, 2010 11:38 am (UTC) - Expand
(no subject) - (Anonymous) - Jan. 27th, 2010 12:08 pm (UTC) - Expand
(no subject) - (Anonymous) - Jan. 27th, 2010 12:09 pm (UTC) - Expand
(no subject) - infowatch - Jan. 27th, 2010 12:28 pm (UTC) - Expand
(no subject) - (Anonymous) - Jan. 27th, 2010 01:02 pm (UTC) - Expand
(no subject) - slavka - Jan. 27th, 2010 01:06 pm (UTC) - Expand
(no subject) - (Anonymous) - Jan. 27th, 2010 01:47 pm (UTC) - Expand
(no subject) - slavka - Jan. 27th, 2010 01:48 pm (UTC) - Expand
(no subject) - (Anonymous) - Jan. 27th, 2010 02:23 pm (UTC) - Expand
(no subject) - slavka - Jan. 27th, 2010 02:27 pm (UTC) - Expand
(no subject) - (Anonymous) - Jan. 27th, 2010 06:09 pm (UTC) - Expand
(no subject) - slavka - Jan. 27th, 2010 07:44 pm (UTC) - Expand
(no subject) - slavka - Jan. 27th, 2010 01:08 pm (UTC) - Expand
(no subject) - slavka - Jan. 27th, 2010 01:05 pm (UTC) - Expand
(no subject) - malotavr - Jan. 28th, 2010 12:54 pm (UTC) - Expand
ignik
Sep. 15th, 2010 02:54 pm (UTC)
Нет конечгно. Это рассадник глюкал, место которым за vmware.
mar1ner
Jan. 27th, 2010 10:26 am (UTC)
"одноклассников" заблокировал – ещё тыща (чтоб не подкупили)
Ага. За каждое выявленное и заблокированное зеркало. У меня тогда зарплата была бы тысяч на 15 больше :) При чём, стабильно.
infowatch
Jan. 27th, 2010 10:49 am (UTC)
А пользователи в туалете не подкараулят?
mar1ner
Jan. 27th, 2010 11:20 am (UTC)
Те, кто в состоянии подкараулить в интернетах не сидят. По крайней мере на работе.
(Anonymous)
Jan. 27th, 2010 10:36 am (UTC)
Мне было вы интересно услышать мнение "Нашего Покорного Слуги (тм)" :) вот по какому вопросу.

С одной стороны, все best practices, экзамен CISM, бизнес-психология, ну и так далее, говорят что чтобы достичь и поддерживать приемлимого для компании уровня информационной безопасности, лучше всего мотивировать пользователей, ибо если человек понимает зачем это надо и получает деньги за то, что каждый раз правильно исполняет то, что надо, то он получает кучу позитивных эмоций и лучше следует тому, чему надо следовать. С этой точки зрения, доплачивая сисадмину за каждый установленный патч, мы делаем все по науке, все правильно, все должно работать, "все говорим 'ку' два раза и радуемся".

С другой стороны, в поведенческой психологии есть такое понятие как cognitive biases, один из которых, а именно - Loss Aversion - говорит что боязнь потерять некие блага, количественно обозначенные как N, у человека, как правило, больше, чем удовлетворение от получения этого же количества благ. Это же согласуется с опытом и моим, и многих моих коллег, которые после пяти лет работы в бизнесе говорят что "люди - тупая скотина, которая, в большинстве своем, гораздо лучше работает если ее бить кнутом, вместо того чтобы кормить морковкой". Что удивительно, это говорят даже многие из тех, кто до этого считал (и действовал) наоборот, т.е. используя мотивационные методы. Короче говоря, по науке, не доплачивать сисадмину надо за поставленные патчи, а штрафовать его за непоставленные. И тогда все будет тип-топ, все будем "говорить 'ку' два раза и радоваться".

Итого, вопрос следующий. Если мы делаем все по второму сценарию, мы скатываемся к тому, что описано выше - боремся с "лишними" знаниями, а не двигаемся к цели. Если же мы мотивируем народ, то он рано или поздно перестает работать эффективно. Тот же сисадмин может начать, например, злоупотреблять затыканием дырок для походов на однокласников, ибо за это ему платят больше, чем за установленный патч. Или, будет устанавливать только те патчи, на которых меньше хлопот. Опять приходим к "не есть хорошо". Что думает уважаемый автор по поводу путей решения этой дилеммы?

Я понимаю что вопрос довольно риторический и очень философский, но тем не менее...
infowatch
Jan. 27th, 2010 10:47 am (UTC)
А чего тут думать! Дао - это жизнь. Выбор - это смерть. Никогда не выбирайте одно из двух. Оба они хуже. Лучше - делать то и другое одновременно Плюс ещё какое-нибудь третье.
(Anonymous)
Jan. 27th, 2010 11:05 am (UTC)
Спасибо! Хороший ответ, такой же философский, как мой вопрос :)

Кстати, на мой взгляд, такая позиция является одним из аргументов против того, что "дорожка нашего брата ИБ-шника ... неуклонно сгибается в ту же стороны - от высокого творчества к низкому ремеслу" (http://infowatch.livejournal.com/2009/12/26/). Меняются задачи, это да. Но рациональный и работающий баланс между кнутом и пряником в ИБ остается, и, думаю, еще надолго останется задачей человека.

С уважением, Vasilijs
(Anonymous)
Jan. 27th, 2010 12:13 pm (UTC)
Что сильнее мотивирует: "дать" или "отнять"?

Не знаю, как для низкооплачиваемых работников, а для вышесредних -- "отнять". Однозначно!
(Anonymous)
Jan. 27th, 2010 01:02 pm (UTC)
На самом деле, конечно же, можно и нужно совместить и то, и другое. Вопрос, как этого добиться?

Я услышал эту историю на одном из семинаров Information System Security Association в Лондоне - семинар был про InfoSec Awareness, и одна лекция была посвящана именно этому вопросу, мотивировать или наказывать. Один участник - глава InfoSec отдела то ли небольшого банка, то ли небольшой страховой компании - рассказал об их системе.

Очень упрощенно, система была такая. КАЖДОМУ работнику в начале месяца гипотетически снимают х% зарплаты (х чувствительный, порядка 10%), которые он должен отвоевать обратно путем примерного поведения в области InfoSec. За каждый правильный поступок, человеку начисляется сколько-то баллов в рейтинге, за каждый неправильный сколько-то баллов отнимается. Эти поступки они контролируют и генерируют многими средствами, начиная с формальных тестов и заканчивая провокациями. Каждый месяц отдел InfoSec Awareness в службе безопасности данные рейтинга обрабатывает и, видимо, полустатистически-полуэмпирически (не знаю до конца как это делается) устанавливает нормативы для рассчета той части удержанной зарплаты (некоторой частью y от тех х%), которую снимают сотрудникам в конце месяца - снимают уже не гипотетически, а реально. Ну и вот - народ, с одной стороны мотивируется тем, что надо набирать баллы, а с другой боится потерять свою кровную зарплату. Получается как бы и мотивация, и наказание.

По словам человека, рассказывавшего об этой системе, у них это работает уже несколько лет и довольно успешно.

С уважением, Vasilijs
(Anonymous)
Jan. 27th, 2010 06:07 pm (UTC)
>> Платить сисадмину сдельно за каждое действие
платить надо не сдельно, а достойно. чтобы "сисадмин", также как и "жующие пряники" свою зарплату отрабатывали.
slavka
Jan. 27th, 2010 07:46 pm (UTC)
"всякий доволен своим умом, и никто не доволен своим состоянием"
Ларошфуко
( 34 comments — Leave a comment )

Latest Month

October 2017
S M T W T F S
1234567
891011121314
15161718192021
22232425262728
293031    

Tags

Page Summary

Powered by LiveJournal.com
Designed by Tiffany Chow