Когда речь заходит о типизации мер обеспечения информационной безопасности, традиционно выделяют три основных вида:
- 1️⃣ Физические (предотвращение физического доступа: контроль доступа, видеонаблюдение, охрана);
- 2️⃣ Технические (использование средств защиты: антивирусы, межсетевые экраны, шифрование и др.);
- 3️⃣ Организационные (разработка процессов: политики, инструкции, регламенты).
Однако, изучая слайды и заметки, я встретил ещё одну важную категорию — коммуникационные («человекоцентричные») меры. Они направлены на активное взаимодействие с участниками процессов.
❗️Нужно нанимать людей, которые смогут говорить на понятном языке с людьми которые пользуются услугами ИБ. Например:
- *️⃣Security Champions: Технические специалисты внутри команд разработки, говорящие на их языке. Они внедряют безопасные практики изнутри, помогают коллегам, являются первым контактным лицом для ИБ-команды. Они переводят требования безопасности на язык разработчиков и наоборот.
- *️⃣BISO (Business Information Security Officer): Эксперт ИБ, встроенный в бизнес-подразделение. Понимает его специфику, цели, риски. Помогает адаптировать ИБ-требования к бизнес-процессам. Сводит бизнес и ИБ.
- *️⃣Компетентные сотрудники поддержки (Service Desk): Операторы, которые не просто выполняют скрипты по регламентам, а понимают контекст запроса на доступ, могут объяснить почему нужны те или иные подтверждения или процедуры, вежливо и понятно взаимодействуют с пользователями. Они - лицо ИБ для обычного сотрудника.
Техника важна, но без людей, которые умеют объяснять, слушать и договариваться, любая защита бесполезна.