Ожидаемое и реальное поведение людей в окружении безопасности

Есть в Норвегии такой федеральный орган как National Security Authority (это наши ФСТЭК и ФСБ вместе взятые). В 1998 году под его эгидой был выпущен Norwegian Security Act, который обязывал государственные и частные предприятия предпринимать ряд мер по защите конфиденциальной информации. Знакомо, не правда ли? Некоторое время спустя агентство решило проанализировать поведение сотрудников организаций, подпадающих под действие закона, с точки зрения ИБ. Неудивительно, что между ожидаемым (все-таки закон обязателен к исполнению) и реальным поведение был обнаружен разрыв, причиной которому было несколько барьеров:

• юзабилити (удобство/неудобство) безопасности (как систем, так и процедур и процессов)
• отсутствие у сотрудников необходимых знаний в области ИБ
• отношение к безопасности (например, «старые» сотрудники не запускали утвержденный процесс реагирования на инцидент, произошедший по вине новичков, предпочитая поговорить с ними «по душам» и дать им еще один шанс в ущерб установленным правилам)
• отсутствие культуры безопасности (например, сотрудники часто думают или говорят «почему я должен это делать, если мой коллега этого не делает?»)
• конфликт целей (классическая диллема: что важнее — запустить продукт к заданному сроку, но без серьезных проверок на безопасность, или досконально проверить защищенность, но сорвать сроки запуска проекта?)
• традиционные человеческие ошибки.

Предположу, что аналогичные барьеры существуют не только в Норвегии, но и в любой стране и любой организации, внедряющей различные технологии и практики ИБ. А раз эти барьеры одинаковы, то, зная о них, можно подготовить и меры по снижению их негативного эффекта. Без этого любые попытки навязать какое-либо обязательное требование или заставить выполнять федеральный закон или иной нормативный акт будут обречены на провал.