Так полагают 23% респондентов, участвовавших в исследовании. К этим процентам следует добавить 18%, приходящихся на директоров по ИБ и начальников ИБ-служб, плюс 16% на ИТ-директоров. Такова международная оценка лояльности наемных топов к компаниям, в которых они служат. Статистика неутешительная. В России ситуация усугубляется практически нулевой публичностью случаев нарушений ИБ в целом и особенно связанных с участием высшего руководства. Подвижки есть, но незначительные. [spoiler]
Нужны ли законы, требующие обязательного информирования специальных государственных институций, а в итоге общественности, о таких инцидентах? Если государство выступают за прозрачность Интернета - а такая тенденция явно прослеживается - то логично ожидать появления соответствующих законов, обязывающих публиковать сведения об инцидентах ИБ, затрагивающих интересы третьих сторон (а таковыми являются практически все инциденты – дела-то ведутся не в вакууме!).
Года два назад в моем поле зрения появились первые промышленные ИТ-продукты, предназначенные для контроля деятельности руководителей компаний. Предполагаю, что спрос на них будет расти. А если появятся соответствующие законы, то и подавно. Не во всех же самых чувствительных инцидентах винить сисадминов.
а как по Вашему опыту, действует ли сейчас неотвратимость наказания для привилегированных пользователей - топов и админов?
По поводу мотивации топов.
В Минэконмразвития требуют в разы урезать "парашюты" для топов до несколько годовых окладов.
Это только предполагается ввести. А сколько же годовых окладов "парашюты" составляют сейчас? Куда еще больше мотивировать?
Не стоит забывать, что в нормальных компаниях любые топы находятся под контролем главного лица - генерального директора (ЛПР). По закону субординации они обязаны ставить ЛПР в известность по поводу инцидентов ИБ. И контроль со стороны ЛПР здесь стократно выше, чем с любой третьей стороны. Потому как сокрытие информации от ЛПР может нанести компании непоправимый имиджевый и материальный урон. Это граничит с должностным преступлением.
Тогда следует контролировать ЛПРов? Что они могут сказать об инцидентах ИБ? Ведь именно об этом речь? Как вычленить из общего потока "секретов" ЛПР только информацию об утечках, авариях и пр.?
По-простому, это означает полный контроль за руководителем, с выделением интересующей третью сторону информации и принятием решения по каждому конкретному случаю. А прочая информация в потоке: финансовая, личная и т.д. ? Она не будет интересовать третью сторону? А где гарантия, что третья сторона не «спулит» ее "на сторону"? Тогда нужен контроль за контролем, наблюдение за наблюдателем... И так до бесконечности! Мы это уже проходили, столько «бабушек залохматили». Пора уже остановиться, поискать драйверы рынка в другом месте.
наказания действует очень четко: человек, уволенный за разглашение
конфиденциальной информации, к которой имел привилегированный доступ, вряд
ли когда-нибудь еще получит работу, связанную с доступом к чувствительной
информации. Такая мера работает и "задним числом", то есть, даже если
утечка всплывет не сразу после увольнения. Достаточно будет оповестить
текущего работодателя, что на прошлой работе сотрудника обвиняют в
злоупотреблении доверенным доступом, чтобы серьезно осложнить его
дальнейшую карьеру.