Dans quels cas les politiques de sécurité trop strictes peuvent-elles être préjudiciables aux organisations?
Dans un sens philosophique, la sécurité hétérogène est la sécurité hétérogène, un système où les gens reçoivent plus d'autonomie, mieux que les politiques/procédures de sécurité écrites dans la pierre?
J'ai travaillé chez certaines entreprises où la politique de bureau était si forte et que tout le monde était tellement rattrapé dans les procédures suivantes que l'intelligence était complètement abandonnée. Par exemple, les gens déposeraient toujours des documents confidentiels dans une élimination des déchets sécurisée, même lorsqu'il déborde et que quiconque a marché pouvait voir et attraper un document de juste à l'intérieur du couvercle de la poubelle. C'est vraiment mauvais parce que maintenant un attaquant saurait aller à la poubelle sécurisée de débordement, car il trouverait des informations précieuses là-bas.
En d'autres termes, quand a des "règles strictes" pire que de demander aux gens de faire attention? Je suppose que c'est lié à la bureaucratie, ce qui semble arriver aux entreprises lorsqu'elles deviennent grandes.
Anecdote: Un autre bon est où j'ai commencé à travailler les ordinateurs sont sévèrement enfermés. Pour avoir accès au changement tout ce dont vous avez besoin, le personnel informatique doit entrer leur mot de passe. Le personnel informatique pourrait ne pas se soucier de la raison pour laquelle ils entrent dans le mot de passe et le feront toujours pour n'importe quoi.
Ce que vous sortez est la différence entre imposer des règles de sécurité aux personnes et impliquer des personnes pour obtenir une meilleure sécurité.
Les chances sont que vous trouverez cette vidéo assez intéressante. Après une promenade à travers des problèmes très semblables à ceux que vous mentionnez, le présentateur (Jayson E. Street pour le nommer) se termine par parler de application positive. Cela fait la différence entre quelques personnes administratives qui essaient désespérément de faire respecter tous les "utilisateurs stupides" de se conformer aux règles imposées et aux mêmes personnes administratives compte tenu des autres employés en tant que collègues, voire un " IDS humaines ".
- Si les gens ne comprennent pas l'objectif d'une mesure de sécurité ou ne le sentent pas utiles, ils ne l'appliqueront jamais (ou au moins ils ne l'appliqueront jamais de manière judicieuse).
- Si les gens ont le sentiment que une mesure de sécurité les empêche de faire leur travail quotidien, ils ne feront que travailler.
- Si les gens ont le sentiment que cette sécurité ne vient que dans une direction descendante, elles seront loin d'être susceptibles de soulever un problème ou un événement suspect.
C'est pourquoi la littérature de sécurité insiste sur le rôle des formations régulières afin d'éduquer les gens. La sécurité n'est pas là pour plaire à la gestion et aux auditeurs. La sécurité est ici pour assurer la sécurité de la société, des clients et finalement des employés eux-mêmes.
Une meilleure sécurité n'est pas obtenue en définissant toujours des règles plus strictes. Une meilleure sécurité est obtenue en obtenant des gens impliqué.
L'objectif de l'organisation n'est pas "Sécurité". Le but de l'information sensible n'est pas sa propre existence, mais son application aux objectifs organisationnels. C'est-à-dire que tout effort de sécurité enlève des objectifs d'organisation réels - il est préjudiciable.
Cela dit, laissez-moi suivre votre question directement. Avec une question: "strict" de quelle manière? Cela sonne comme si vous parliez Confidentialité, mais ce n'est qu'une partie de l'équation de sécurité.
Il y a un vieux fil (pour cela) sur un pays en développement dont les dirigeants ont gardé leur arsenal dans une voûte avec une serrure numérique et stocké la clé numérique du voûte dans un gardien de mots de passe DOS avec c'est Mot de passe connu de quelques. Au cours d'une rébellion, ces rares ont été tués et l'arsenal ne pouvait pas être utilisé, et le régime est tombé. Les armes étaient sécurisées mais inutilisables.
Vous devez également penser à disponibilité et Intégrité, c'est-à-dire l'ensemble de "Triade de sécurité". Il y a une tension intrinsèque entre eux - vous ne pouvez pas tous les maximer.
J'apprécie les réponses citant une formation car les personnes d'organisation sensibles sont utilisées par les personnes dans leurs rôles de travail, ce qui signifie que ces personnes prennent des décisions fréquentes sur le traitement. Toutefois, vous ne devriez pas non plus les présenter avec des décisions de sécurité complexes ou de compromis, de peur de vous paralyser en utilisant réellement les informations nécessaires pour accomplir leur travail. Je sais que les consultants en matière de sécurité gagnent plus d'argent aidant les entreprises à créer des politiques de sécurité longues et ambiguës, tout en formant davantage à former les employés dans la pratique anxieuse et angoissante de l'application de ces politiques, mais je pense que c'est une inconduite de leur part et de la part de l'organisation Les gestionnaires qui mettent en vigueur de telles politiques.