Для Connect’а недавно готовил статью про комфортность работы пользователя со средствами защиты и как такое понятие, как «юзабилити», влияет на уровень защищенности компании.
«Информационная безопасность (ИБ), раньше находившаяся в тени и слывшая «черным ящиком» во многих компаниях, чуть больше года назад вышла на первый план, когда сотрудники столкнулись с тем, что их доступ к «одноклассникам» был закрыт на средствах защиты Интернет-периметра. Отношение рядовых пользователей к информационной безопасности, и без того не самое лучшее, только ухудшилось, в очередной раз высветив до сих пор нерешенную проблему с комфортностью и удобством работы, которым и мешает ИБ.
Концентрируясь на себе и своей деятельности, службы ИБ обычно забывают про такое понятие, как stakeholder, т.е. заинтересованное лицо, которых с точки зрения ИБ может быть несколько. Внутри компании – это, как минимум, 7 представителей разных подразделений, «кровно» заинтересованных в безопасности, – специалист по ИБ, специалист по ИТ, юрист, кадровик, специалист внутреннего контроля или внутренний аудитор, топ-менеджер и рядовой пользователь. В зависимости от деятельности предприятия немалую роль могут приобретать и внешние заинтересованные лица – клиенты, партнеры и поставщики и даже регуляторы. И каждый из них по-разному смотрит на ИБ и по-разному ее оценивает. Не рассматривая все эти категории, коснемся только одной из них – рядовых пользователей.
Для обычного пользователя это в первую очередь комфорт от выполнения ежедневных операций, которым не должны мешать различные защитные механизмы и мероприятия. Об этом часто забывают, но именно от этого зависит отношение к ИБ в компании. Насколько пользователи готовы соблюдать те требования, которые выпускают «безопасники» и насколько пользователи будут следовать им, а не пытаться обойти? Система ИБ, построенная в соответствии с правильно выбранной архитектурой, будет способствовать росту продуктивности сотрудников, а не снижать ее. Именно эта точка зрения на архитектуру не позволяет сбрасывать со счетов такое понятие, как удобство пользования ИБ (security usability), которым часто пренебрегают разработчики средств защиты и которое почти никогда не учитывается при выборе тех или иных технических или организационных решений. В эту же точку зрения ложится известный конфликт между рядовыми сотрудниками и службой безопасности. Что важнее – интересы предприятия или различные права — на тайну, на доступ к информации, дарованные каждому гражданину Конституцией и федеральным законодательством?
Какие элементы удобства и комфортности имеют важнейшее значение для пользователей? Ключевых из них три:
- Скорость осуществления бизнес-операций
- Дружественный интерфейс
- Прозрачность разграничение доступа«.
ЗЫ. Я уже обращался к этой теме пару лет назад и вот вновь решил вернуться к ней.
Были бы силы и средства, сделал бы СЗИ, УДОБНУЮ пользователю. И обучалку для пользователя (тот же видео ролик). (((( ZZubra
PS Жаль что программирование меня не зацепило сильно (((
Мне кажется, что нет системы защиты чего бы то ни было, которая не дертвовала комфортом ради безопасности. Так что особого смысла рассуждать об этом, честно говоря, не вижу.
Zubra: Usability — это скорее психология, чем программирование. У нас многие разработчики СЗИ умеют программировать, но дружественными их изделия назвать сложно.
Vadim: Жертва бывает разной. Я вот доволен тем как система ИБ выстроена в Cisco. И эффективно, и удобно, и прозрачно, и быстро. Отторжения и неудобств не вызывает. Другое дело, что мало кто про ИБ думает, как про психологическую, а не технологическую задачу.
важнее – интересы предприятия для ИБ предприятия!
различные права — тем кто защищает Конституцию…?
важнейшее значение для пользователей имеет * Дружественный интерфейс
*Скорость осуществления бизнес-операций* важна для предприятия больше чем для пользователя.
* Прозрачность разграничение доступа- это только службе ИБ интересно.
ИБ должна стремится к эргономичности, иначе приходится тратить больше сил на борьбу ..
ZZubra: Видеоролик для СЗИ — это из разряда недружественных изделий 😉 Видеоролик подразумевает неинтуитивность пользования, а пользователь в идеале вообще не должен видеть СЗИ.
Говорят, прусские солдаты весьма тяготились своими стальными касками, но мужественно терпели, видя Бисмарка, который всегда появлялся в каске. Она у него была из папье-маше, но это — военная тайна.
Анонимному: А пользователи — это не предприятие?
А насчет прозрачности, интересно только ИБ… я видел немало ситуаций, когда неудобная СЗИ сносилась шаловливыми ручками пользователей или ее приказывали сносить, т.к. пользователи, зарабатывающие деньги, жаловались на ИБ руководству.
Можно считать что все (предприятие,пользователи,ИБ)кровно и единовременно заинтересованы в успехе предприятия и снижении рисков. Много ИБ — меньше рисков, но больше ограничений! Пользователь в системе в первую очередь хочет удобно работать. а уж какие при этом возникают риски пусть думают специально предназначенные для этого люди — т.е. ИБ!
Только в этом случае первичен бизнес и удобство пользователя, который и зарабатывает деньги. А ИБ должна думать, как снизить риски, не мешая пользователю.
Кстати, как вариант, попробуйте спросить у разработчиков Секрет Нета, Панциря, Щита, Аккорда, Даллас Лока, Брони — они сами у себя в организации используют свои же решения на всех компах? Ответ будет показателен.
Каждый хочет хороший интерфейс и внутренний и внешний…
Но жизненный цикл разработки настолько ужался, что на интерфейсы нет ни денег ни времени. Реализуют:
1 — ядро
2 — механизмы защиты
3 — внутренние интерфейсы
4 — черновик интерфейса с пользователем
5 — а вот тут все поняли что сдавать результаты нужно вчера и …