- как у вас с безопасностью?
- как у вас с персональными данными?
Причем главная фишка заключается в том, что никто (в том числе спрашивающие) не знает – как одно должно быть. Дело простое – требования кое-как смогли сформулировать смогли, а вот – как проверять соответствие реалий требованиям – никто не знает.
[spoiler]
Вообще-то, у меня уже давно есть убеждение, что наше "нормотворчесво" нацелено на решение одной главной задачи: как сделать так, чтобы процессы (любые) могли контролировать "те, кому надо" (ТКН). Причем, ТКН – в самом широком понимании круга заинтересованных лиц. Главное, чтобы "процесс" не шел мимо них, чтобы и они могли поучаствовать в нем.
Не в самом процессе, конечно, а в каких-то дивидендах от него.
Замечательную историю про обеспечение безопасности услышал в кулуарно-дружеской беседе после окончания конференции "Мобильный офис". (Всех, кто выдержал до конца - а в завершении был круглый стол - угостили шампанским. Но я был за рулем, пришлось обойтись пятой чашкой кофе).
Дружески беседуем с одним из активных участников общего разговора. Он делится своими проблемами (он отвечает за инфобезопасность в своей конторе):
"Сотрудники хотят иметь мобильный доступ. Чтобы работать дома. А как мне обеспечить безопасность? Ведь дома у него любой, в том числе ребенок, может зайти в корпоративную систему, получить доступ к базе данных клиентов, внести изменения, испортить там что-то…"
Я в ответ поинтересовался, в какой организации они работает (он не сказал). Потому что я бы не хотел быть клиентом компании, в которой каждый сотрудник может делать в ИТ-системе все, что захочет, вплоть до ее разрушения. Если он может это сделать из дома, то на рабочем месте – тем более.
И учатся пользователи туго. Обычно что-то сдвигается после скандала с позицией руководство "а нас не волнует, что это не ты, если что_то_там_наделано с твоего компьютера и от твоего имени".