Дела в корпорации N шли скорее хорошо. Ее акции на рынке росли. Продукция успешно продавалась. Атака на компьютерную сеть была успешно отражена. Одно смущало совет директоров. Руководитель департамента информационной безопасности, г-н Смит, собрался на пенсию. В принципе все были готовы к такому повороту, но все же было непонятно, что будет дальше. Его заместитель, Эрик Нейт, был молодым, умным и весьма амбициозным менеджером. Но ряд людей в руководстве компании считали, что ему слишком рано идти на такой пост, потому как он из всех мнений прислушивался всегда к одному — своему.
С другой стороны, все сошлись во мнении, что он все же сможет работать руководителем.
Настал день, когда Смит устроил прощальную вечеринку и ушел на отдых.
На следующий день Нейт собрал подчиненных и сказал, что демократии времен Смита больше нет. Он будет управлять по-новому, а изменения начнутся через месяц.
Месяц прошел. Нейт разработал новые инструкции для пользователей. В них существенно ужесточались правила безопасности, правила использования Интернета и т. д. Причем наказания были весьма тяжелыми.
Так, минимальная длина пароля для простых пользователей была установлена в 12 символов, а время жизни — 30 дней. Причем вводились требования неповторяемости — 24 раза. Таким образом пользователь должен был менять пароль каждый месяц, при этом предыдущие 24 пароля не должны были повторяться. Требования вроде бы разумные, но к чему это привело?
Через месяц пароли пользователей висели на мониторах, клеились на клавиатуры или находились в ящиках столов. Уровень безопасности не вырос, как надеялся Нейт, а существенно снизился. Мало того, руководство компании, которому приходилось менять пароли на всех своих ПК, ноутбуках и смартфонах, в открытую заговорило, что если ничего не изменится, то придется Нейта убирать.
— Эрик, вы понимаете, что с вашими нововведениями стало только хуже, а риски возросли?
— Но я ведь прав, господин директор?
— Формально правы. Но ведь помимо формальной правоты нужно еще и думать о том, каким рискам вы подвергаете компанию? Вы не подумали об этом?
— Но я считал, что проще сделать длинные пароли и не тратить деньги на двухфакторную аутентификацию, тем более придется еще заплатить за обучение как администраторов, так и сотрудников.
— Вы правы. Платить придется. Но в итоге это обойдется дешевле. А впредь рекомендую вам думать! Не принимать решение самостоятельно, а готовить несколько вариантов решений, приходить к нам. И запомните, решают в этой компании гендиректор и совет директоров. Еще одна такая выходка, и вы покинете наш коллектив!
А вы никогда не задумывались, что чрезмерное рвение может привести к снижению уровня безопасности? Вы всегда просчитываете все варианты и в случае выбора одного из них поясняете пользователям, для чего это, и обучаете их? Надеюсь, что это так.