私はしばしば、さまざまな分野で、サイバー保護へのさまざまなアプローチを評価する機会がありました。 多くの場合、アプローチは表面的すぎ、完全に欠如していないとセキュリティポリシーが不十分であり、これにより会社は非常に強い侵害のリスクにさらされました。
しかし、私の意見では、グローバルセキュリティにとってほぼ同じくらい悪いのは、「あまりにも」厳格なポリシーの実装です。
私はこれが矛盾であり、おそらく挑発的であるように思われることを知っていますが、推論で私に従ってください...
情報システムの弱点はほとんどの場合「デイブ:ヒューマンエラー」であるということは確立された事実です(デイブという名前の多くの友人は欲しくない!)
厳しすぎて少なすぎるポリシーを実装する場合 ユーザーフレンドリー、非常に良いことによって示唆されているように、あまり「人間工学的」ではありません @roarinペンギン必然的に、セキュリティのアンビルと生産性のハンマーの間に挟まれたユーザーは、ポリシーに正式に準拠するためのトリックを探し、同時にスムーズに作業を続けます。
具体的な例を挙げましょう。長い間、彼は持っている必要性について強調されていました 非常に複雑なパスワード、さまざまな組み合わせの数字と特殊文字が含まれています。
これにより、多くのユーザーがパスワードを忘れないようにどこかに書き留めることができなくなり、パスワードの主な目的が完全に無効になりました。 方針.
次に、 パスワードを頻繁に変更する。 ユーザーはそれを「変更」し、前のものをリセットしました。 その後、再利用はブロックされました。 結果? P @ ssword1、P @ ssword2、P@ssword3…
これは、効果的なセキュリティを実現するために、ユーザーとオペレーターの積極的な協力が必要であると言う一例にすぎません。 サイバーセック.
この結果は、何よりもトレーニングによって達成され、構造内で実行されるリスク(#ilbersagliosiamonoi)の認識、およびそれらを最小限に抑えるために採用される動作の認識を促進します。 しかしそれを超えて、誰が責任を負います セキュリティポリシー 彼は、設定されたルールに準拠するために、ソリューションの人間工学をあらゆる方法で試してみる必要があります。私は楽しいとは言いませんが(誇張しないでください!)、少なくともそれほど侵襲的ではありません。
また、特定の制限が導入された理由を説明し、それらの実装につながったリスク分析を可能な限り共有することは、ユーザーの採用を得るのに非常に役立ちます。
最後に、常にそれを覚えておくのは良いことです 「安全保障の自由を放棄する者は、どちらにも値しない」 (ベンジャミンフランクリン)。
