Niedocenione dane…

0
55

Dziś bardzo krótko, bo bardzo dużo pracy. Ale nie mogłem przejść obok i stwierdziłem, że chociaż w kilku zdaniach, ale skomentuję. Artykuł o niedocenionych informacjach ukazał się na stronie Bezpieczeństwo+ (za strona jednej z firm zajmujących się bezpieczeństwem. Z jedną rzeczą się zgodzę – w wielu firmach brakuje świadomości wartości zasobu jakim są informacje. Natomiast zdecydowanie nie zgodzę się z tezami o jakości oprogramowania i bezpośrednim wpływie na bezpieczeństwo informacji. Teza ta zakłada, że na nasze informacje czyhać będą specjaliści od łamania zabezpieczeń, znający luki w słabszym oprogramowaniu. Tylko… jak to się ma do informacji z raportów mówiących o incydentach, naruszeniach, czy też kradzieżach i wyciekach informacji?

Jeszcze raz przeproszę – raz że krótko, dwa bez źródeł, ale te są dostępne. W większości raportów, informacji prasowych, artykułów i opracowań mowa jest o działaniu (zaniechaniu) ze strony człowieka jako głównej przyczynie utraty poufności informacji. W naprawdę niewielu sytuacjach wprost można powiedzieć o lukach w systemach bezpieczeństwa – tych ze sfery IT. W związku z tym zastanawia mnie, skąd te 12 % spadku zadowolenia z bezpieczeństwa informacji? Naprawdę aż tyle incydentów było, że aż tak drastyczny spadek nastąpił?

Myślę, że pomału kadra zarządzająca zaczyna rozumieć, że pogoń za “naj..” nie jest zbyt celowa – głównie kosztowo. Ale i efektywność cóż… każde nowe rozwiązanie, zanim zostanie wdrożone prawidłowo (czyli UZYTKOWNIK SAM BĘ~DZIE UMIAL Z NIEGO KORZYSTAĆ), minie jakiś czas. W tym czasie efektywność jest dużo niższa niż ta pokazana na pięknych slajdach w trakcie prezentacji ofertowej. Jak już się przegryziemy z nowym systemem… to jest już nowszy. I znowu? Chyba nigdy nie osiągniemy poziomu o który nam chodzi.

Proszę spojrzeć na użytkowników systemu Windows. Za jaki czas “ósemka” będzie robiła te same loty, co “siódekma”? I kiedy admini w “ósemce” będą tak samo biegli jak w poczciwym “Xpeku”?

Na koniec, bo czas do pracy wracać. Bezpieczeństwo informacji to nie systemy. To przede wszystkim ludzie. Jako źródła zagrożeń, jako strażnicy, jako operatorzy systemów bezpieczeństwa. I to oni muszą prawidłowo działać, a systemy cóż… mają to wspierać.