Прежде чем внедрять политику безопасности, убедитесь, что вы учли возможную ответную реакцию со стороны работников, управляющего персонала и партнеров.
Джон МакКамбер
Майор Джонсон находился в очень мрачном настроении. Я был скромным младшим лейтенантом, а он — командиром 2014-го коммуникационно-компьютерного батальона. Я отвечал за работу и снабжение двух компьютерных центров базы, и именно поэтому он был моим боссом. В тот раз, услышав его голос из кабинета, расположенного внизу, я понял, что это будет неприятный визит.
Я спустился и увидел, что он хмуро склонился над пачкой телефонных счетов — не таких, которые мы получали в прошлом веке. Эти состояли из длинных списков всех сделанных и принятых звонков. Он держал в руке маркер, которым закрашивал очередную строку как раз в тот момент, когда я оказался рядом.
"Вы посмотрите, что за звонок был из нашего административного отдела!" — Прокричал он громко, не оборачиваясь.
"Я здесь, сэр, — ответил я, — и я уже заметил это нарушение и занялся этой ситуацией".
"Что вы имеете в виду? Что значит" занялся этой ситуацией ", лейтенант?" — Выкрикнул он, чуть повернув голову.
"Я обнаружил этот длительный звонок на большое расстояние из места расположения наших сил. Я позвонил по номеру, указанному в списке, и мне ответила приятная дама, которая говорила только по-испански. Она была очень вежлива, но я не понял ни слова из того , что она сказала ", — сказал я.
"Ага, — выпалил он, чуть не выпрыгнув из своего стула. — Это может означать только одно". Сказал он это так, словно только что открыл электричество.
"Да, сэр, я уже установил эту связь. Это новичок, сержант Мартинес. Казарменные юристы сказали ему, что, поскольку телефонная система стоит здесь, на нашей базе, у нас бесплатная связь на большие расстояния. Я уже исправил это его ошибка. Он отличный парень и настоящий трудяга. Он извинился и выписал мне чек, чтобы покрыть расходы. Официально это теперь не предмет рассмотрения ".
"Что вы имеете в виду — не предмет рассмотрения, лейтенант? — Спросил майор Джонсон. — Очень обидно, что это делают ваши собственные люди. Очень плохо, что я должен диктовать политику использования телефона для всей базы, но когда один из ваших собственных. .. "Его голос смолк, и он задумался, разглядывая длинную распечатку.
"Сэр, я думаю, что теперь все будет отлично. Я попросил старшего сержанта Морана обновить открытку, чтобы подкорректировать нашу политику и проинформировать вновь прибывающих людей, что мы получаем счета на все звонки в дальние пункты по внешним телефонам", — сказал я, пытаясь закончить тему.
"Что же, я думаю, самое время прекратить это в зародыше. Эти внешние телефоны — только для звонков по делам службы. Как о том сообщает наклейка на трубке. Я хочу, чтобы вы разработали новый свод правил, который я подпишу. Мы должны усилить правила и, не делая исключений для местных звонков, не разрешать никаких частных разговоров. Только по делу. Вы поняли, лейтенант? "
"Да, сэр, я понял, однако, могу я предложить …" Он поднял руку, чтобы пресечь меня.
"Только служебные дела. Никаких исключений", — произнес он и направился к двери.
"Да, сэр", — сказал я и вышел из его офиса, чтобы идти писать правила, которые всех нас огорчат.
С тех пор, как Александр Грэхем Белл прислал своего инженера на эту базу около Бостона протянуть первые телефонные провода, действовала неофициальная политика — позволять всем делать бесплатные местные звонки и обходить запрет "только для делового использования", зафиксированный в наклейке на каждой телефонной трубке. Все начальники, следившие за использованием телефона, а также сержанты и младшие офицеры были выше арбитрами, которые определяли, что разрешено. Всегда было так. Теперь мне отводилась малоприятная роль — сокрушить эту тщательно лелеют привилегия.
После того, как новый, драконовский эдикт, был составлен, подписан и опубликован, моей обязанностью стало проверять, чтобы все мои подчиненные знали и понимали, что исключений больше нет. Эта новость, конечно, была встречена примерно так же радостно, как неожиданный визит Демона смерти, но у меня был приказ: "Только для деловых целей", "Никаких исключений".
В следующие две недели последствия этого нововведения дали нам та
кой экскурс в особенности поведения людей, который поразил даже видавших госслужащих. Мелочные придирки и буквальное соблюдение правил были возведены в ранг высокого искусства. Считаю, что все, кроме майора Джонсона, считали это бессмысленным.
Налить коллеге чашечку кофе — это стало целым ритуалом, сопровождаемым отданием воинской чести и употреблением официозного языка. Персонал, который посещал собрания в нескольких кварталах от базы, стал оказывать командованию "счета", то есть просто чеки за бензин на 25 центов. Они были обрабатываться, оплачиваться и подшиваться в чисто армейской манере, и все это поглощало десятки часов рабочего времени тех, кто этим занимался. А обращена к коллеге просьба помочь с какой-либо работой вызывала хмурый взгляд и тыканье в перечень должностных обязанностей, где подобная помощь не упоминалась.
Возможно, самым приятным для меня воспоминанием того времени стал день, когда майор Джонсон шагнул за порог своего кабинета и увидел, что стол сержанта Мартинеса пуст. Он открыл мою дверь.
"Где Мартинес? Вы дали ему выходной?"
"Нет, сэр, — ответил я. — У сержанта Мартинеса вчера сломался автомобиль, и он должен был отвезти его в мастерскую".
"Да, но почему его нет сегодня?"
"Сэр, я вынужден был позволить ему остаться сегодня дома. Дилер должен был оценить повреждения и позвонить ему, чтобы получить разрешение на требуется ремонт. Мне пришлось разрешить ему работать в казарме, чтобы он мог позвонить оттуда и узнать, когда забирать автомобиль из ремонта" .
"Это крайне нелепо", — огрызнулся майор Джонсон. Здесь он поймал мой взгляд. Я поднял толстую пачку счетов.
"… И вот счета вам на подпись, сэр, так что мы сможем оплатить их сегодня, чтобы возместить нашим людям затраты на использование их личного транспорта для поездок на сборы".
"Зайдите ко мне в кабинет", — сказал он.
Я никому никогда не расскажу, что происходило за этой закрытой дверью в тот день, поскольку я обещал ему, что не сделаю этого. Я должен лишь сказать, что старые, более гибкие правила были вскоре восстановлены, и наша работа вновь стала настолько нормальной, насколько нормальным может быть этот вид деятельности. Люди время от времени нарушали эти более мягкие правила, но мы всегда могли с этим что-либо сделать, прежде чем о нарушении узнает майор.
Внедрение определенной политики безопасности может повлечь за собой самые разные непредвиденные последствия. По своей природе правила, составляющие такую политику, почти всегда автократического и абсолютные. Однако люди стремятся не реагировать на абсолютистские приказы. Мы, в конце концов, капризные создания и готовы к тому, чтобы сделать множество альтернативных действий. Компьютеры, замки и другие механизмы принуждения обычно преподносят нам вещи в черно-белом мире.
Человеческий фактор — всегда самый важный из всего, что нужно учитывать при разработке политики безопасности. И хотя часто необходимо выражать политику безопасности в строго определенных терминах, важно рассмотреть возможную реакцию работников, управленцев и партнеров, прежде чем внедрять эту политику. При этом вы можете использовать вот этот небольшой перечень шагов:
- определить цели, которых вы хотите достичь в вопросах безопасности-
- установить соответствующий механизм обеспечения введенной политики-
- рассмотреть ее влияние на персонал-
- установить, насколько большие отклонения от вводятся правил будут (если будут) разрешать руководители-
- полностью научить (желательно заранее) тех, кого коснутся новые правила-
- и следить за тем, как эти правила соблюдаются.
Предварительный анализ того, какое воздействие окажет на ваши человеческие ресурсы любая новая политика, поможет вам избежать нежелательных последствий, которые неизбежно наблюдаются, когда плохо спланированная политика безопасности сваливается на головы сотрудников. Если вы при планировании не учитываете человеческий фактор, то ждите лавины счетов.
Джон МакКамбер — профессионал в области безопасности и управления рисками. Он является автором книги "Оценка рисков безопасности и управления ими в ИТ-системах: структурированная методология".
Источник: Security Technology & Design
Компания: Security Focus (Секьюрити Фокус)