Category: психология

Category was added automatically. Read all entries about "психология".

white

Проекция

Маленький квазиопрос с последующим разоблачением.

Что будет, если начальство запретит работникам компании негативно высказываться про свою компанию в соцсетях?

Большинство из них не станет этого делать.
Кто не высказывался негативно, тот и не будет; а кто раньше высказывался, тот продолжит (возможно, с большей осторожностью).
Этот запрет приведёт к возрастанию числа негативных высказываний работников.
   

Увидишь только себя

Результаты такого опроса не помогут предсказать последствия запрета. Мы, ДЛП-шники эти последствия для коллективов разного типа лучше других знаем. Результаты могут помочь в отборе персонала.

Кто выбрал третий пункт, тот не склонен к законопослушному поведению, не отличается лояльностью, страдает "духом противоречия", который психологи относят к типичным поведенческим проблемам детей 6-11 лет. Для взрослого это уже не проблема, а патология.

Я уже примерно представляю, кто из наших постоянных читателей выбрал бы третий пункт, сообщив при этом миру не о чужих, а о своих собственных проблемах. Поэтому настоящей голосовалки я размещать не стану.

white

Эгоцентризм в ИБ

Вот вы критикуете коллег, что они, дескать, защищают информацию как-то не так. А начать бы следовало, что они защищают не то. Не ту информацию, которая действительно нуждается в защите.


«Лично я люблю клубнику со сливками, но рыба почему-то предпочитает червяков. Вот почему, когда я иду на рыбалку, я думаю не о том, что люблю я, а о том, что любит рыба.»
    Дейл Карнеги
Ценность информации резко не одинакова для её обладателя и для злоумышленника. В этом второе фундаментальное отличие информационных ценностей от материальных.

Но человек склонен к эгоцентризму. «Я, мне, для меня...» И неосознанно стремится защитить в первую очередь своё, родное. То, что дорого для него лично, даже если никто не посягает. Этот подход расширяется и на работу в коллективе, "я" меняется на "мы". Защита строится, исходя из ценности данных для обладателя. А надо – для злоумышленника.

Что касается меня, то я бы пересмотрел формулу стоимости риска, где потенциальный ущерб умножается на вероятность реализации угрозы. Она мне кажется устаревшей. Где-то там должна фигурировать потенциальная выгода злоумышленника. И, возможно, степень ликвидности краденой информации. Чем проще её продать, тем чаще и тем креативнее посягают.

white

Эгоцентризм

Как вы яхту назовёте, так она и поплывёт. И информацию будут защищать так, как она определена.

Генерально есть два подхода к конфиденциальной информации. В первом её определяют через ущерб для обладателя в случае утечки. Во втором – через пользу для противника в той же ситуации.

Ст.2 ЗоГТ:
«государственная тайна – защищаемые государством сведения... распространение которых может нанести ущерб безопасности Российской Федерации;»

П.1 ст.3 ЗоКТ:
«коммерческая тайна – режим конфиденциальности информации, позволяющий ее обладателю при существующих или возможных обстоятельствах увеличить доходы, избежать неоправданных расходов, сохранить положение на рынке товаров, работ, услуг или получить иную коммерческую выгоду;»

П.1 ст.2 ЗоПНИИИ:
«инсайдерская информация – информация... распространение или предоставление которой может оказать существенное влияние на цены...»

Классическая теория ЗИ учит нас, что для определения методов защиты надо сперва составить модель злоумышленника. И в дальнейшем исходить из того, какие у нашего вероятного противника есть тайные желания цели, какие средства он в состоянии задействовать для их достижения. Не что он может теоретически предпринять, а что ему предпринять рентабельно. И только против таких угроз строить защиту.

Очевидно, что теория исходит из ценности защищаемой информации для противника, а не для обладателя.

Убытки же (на случай утечки информации) теория велит умножить на вероятность соответствующего инцидента. То есть на ноль, если наша информация никому не нужна.

Поэтому и определение информации, подлежащей охране, следует давать на основании её ценности для других, а не для обладателя. Подход "через ущерб" – порочный. Он приводит к тому, что ресурсы тратятся на Неуловимого Джо. А вместо реального противника "оборона" будет строиться против химер типа "может упасть с неба и дыхнуть огнём".

white

DLP и фобии

Один знакомый пытался продать в крупную компанию систему предотвращения мошенничества, она же FPS. Это, конечно, не DLP-система, но по трудоёмкости внедрения тоже неслабая; из коробки работать не будет.

Продавец обхаживал начальника СБ (с функциями ИБ) потенциального покупателя. Но не преуспел. Вопреки всем логичным доводам, разумному бюджету, приемлемому сроку и среднерыночным откатам, продать FPS не удалось. Причину отказа ему озвучил один из заместителей начальника СБ, когда они встретились на какой-то конференции и хорошенько приняли на фуршете. В неформальной обстановке была раскрыта простая в сущности логика принятия решения (мог бы и сам догадаться, кстати).

FPS создана, чтоб находить злоупотребления, ошибки и закладки в бизнес-логике приложений. В биллинге, предбиллинге, бухгалтерии, логистических программах и т.д. А вдруг действительно найдётся чего? А вдруг обнаружится, что в коллективе давно и успешно воруют? (Что значит "если"? Какое, к чёрту, "если" в нашей стране!) С кого тогда спросят? Правильно, со службы безопасности. Да ещё в процессе расследования ссориться с уважаемыми людьми придётся; хорошо, если докажем и посадим, а если нет? Зачем покупать себе проблем за свои же деньги?

Через некоторое время после этого FPS таки была продана в эту контору. Только продавец зашёл в другую дверь. Покровителем проекта выступил начальник финансового департамента. Он, в отличие от безопасника, не боялся поймать вора.

white

Защищаем там, где светлее

Во времена, когда технических утечек было мало, все понимали, что основной метод противодействия утечкам – работа с людьми. А далее это очевидное знание куда-то делось, позабылось и вытеснено ошеломляющими ИТ-перспективами.


«Будь на чеку, в такие дни
Подслушивают стены.
Недалеко от болтовни
И сплетни до измены.»
Люди остались прежними; они всё так же разгильдяйничают, продаются, мучают себя и других всевозможными закидонами и фобиями. Однако на фоне технических средств кадры как-то потерялись. Внимание информзащитников незаметно переползло от труднопредсказуемых и непослушных человеческих особей к детерминированным железкам.

Вот, например, мы. Выпускаем технические средства защиты от утечек, которые, однако совершенно неэффективны без соответствующего организационного обеспечения. Не устаём это подчёркивать. Но многие воспринимают нашу продукцию как самодостаточные техсредства. К счастью, потенциальные клиенты узнают "страшную правду" до того, как заплатят деньги. Потому что DLP – достаточно дорогая покупка, есть время семь раз отмерить, прежде чем отрезать на неё бюджета.

Но при выходе на рынок для среднего бизнеса с "коробочным" продуктом ситуация может измениться.

Молчи, женщина!
Молчи, женщина!
Откуда же такое технократическое восприятие? Откуда абсолютизация компьютеров и пренебрежение кадрами?

Может быть, сознание современных технарей просто отфильтровывает те факторы, которые им непонятны или неприятны? Люди, психология, управляемость, приказы, инструкции, договоры, законодательство... Туманно, непредсказуемо, страшно. Куда как понятней и привычней сниферы, regexp'ы, ACL'и. Вот ими и будем выполнять поставленную задачу!