21.10.2013, 13:08
Adi Cherryson napisał(a): Ona w ogóle nie zastanawia nad problemem zabezpieczeń, nad tym „muszą myśleć inni”.Nie ma osobistego konta pocztowego, ani strony www. Ma jednak adresy mailowe związane ze swoją aktywnością zawodową, które łatwo znaleźć.
[...]
Moim zdaniem za takie możliwości trzeba też winić „postępowe” działania: Google, Facebook, które gromadzą dane. Przez [email protected] można uzyskać dostęp do owej Starszej Damy i namierzyć jej najnowszy ultrabook...
Przemyślenia są słuszne.
Chciałbym też zwrócić uwagę na pierwszą pogrubioną zacytowaną część, czyli przerzucanie obowiązków zabezpieczenia mojej pracy na innych. Podejście tego typu jeśli jest elementem zbiorowej mentalności (a chyba tak to wygląda) jest dosyć niebezpieczne. Wyłączanie antywirusa ponieważ blokuje on "zdjęcie pieska od chrześnicy" to poważne naruszenie zasad bezpieczeństwa. Pół biedy, jeśli dotyczy to szarego użytkownika. Gorzej, gdy mowa o osobie pełniącej ważne funkcje. Uzyskanie dostępu do jej komputera staje się wtedy możliwe. W tym przypadku rysują się mi dwa wnioski:
a). "Inni" nie zdali egzaminu z "problemu zabezpieczeń", ponieważ nie przeszkolili/nie uświadomili dostatecznie tej osoby z zasad tzw. polityki bezpieczeństwa. W rezultacie dochodzi do jego poważnego naruszenia. Taka osoba nie powinna być zatem dopuszczona do takiej pracy (oczywiście, to nierealne). Niestety, dopuszczona jest, a być może posiada przy tym dostęp do informacji niejawnych czy istotnych z punktu widzenia biznesowego (a więc, równie cennych). Zagrożenia same przywodzą się na myśl.
b). Przerzucanie odpowiedzialności za bezpieczeństwo na innych jest w ogóle moim zdaniem błędem. Nie wymagałbym od tej osoby wiedzy z zakresu zasad działania firewalla, ale znajomość podstawowej polityki bezpieczeństwa i jej stosowanie jest niezbędne. W opisywanej historii wiele takich zasad zostało złamanych. Zbyt wiele.
Podsumowując, na całej linii zawiodła nie tylko "starsza dama", lecz zawiedli także i ci "inni", mający dbać o bezpieczeństwo, bo nie przeszkolili jej dostatecznie i do pracy (tak przypuszczam) z ważnymi dokumentami dopuścili. I tutaj dotykamy problemu który jest dosyć powszechny - ilu to prezesów i dyrektorów nie ma zielonego pojęcia nie tylko nt. bezpieczeństwa informatycznego ale i zarządzania poleconym im wycinkiem działalności firmy, które to obowiązki wykonują za nich ich podwładni? Czy takiego prezesa można zmusić do przestrzegania polityki bezpieczeństwa?
Ci którzy rezygnują z Wolności w imię bezpieczeństwa, nie zasługują na żadne z nich. - Benjamin Franklin