На мой взгляд – нет.

Почему?

Да потому что в таком случае все ваше внимание посвящено технологиям безопасности. И не более того, а ведь безопасность это единство процессов, людей и технологий.

Почему я бы начал с процессов? Да потому что никогда ни ИТ ни ИБ не знает точно, а что же именно нужно защищать

Согласитесь, какой документ из состава бухгалтерских документов является просто документом для внутреннего пользования, а какой конфиденциальным – лучше всего знает главный бухгалтер. Более того, согласно закона «степень конфиденциальности документа определяет его владелец», а уж никак не ИТ и не ИБ. Т.е. до тех пор пока в организации не определены критерии отнесения документа к тому или иному грифу, никто толком не знает что же защищать, а главное – какие потери несет за собой утрата (модификация, разглашение) его содержания. Верно? Верно!

А не зная сумму потерь, весьма сложно доказать почему документ (файл, хранилище 1) нуждается в средствах ИБ на сумму в 10 000, а не 100 000. Согласны? Ведь сумма средств, потраченных на ИБ не должна превышать сумму потерь в случае взлома.

Далее. Самое интересное, на мой взгляд, сотрудники.

Как давно вы обучали своих сотрудников основам ИБ? Скорее всего либо очень давно либо, что еще вероятнее, никогда.

Либо процесс обучения был настолько формальным что свелся к зачитыванию простых инструкций со строгим словом «НИЗЗЯ!»

Толку от такого обучения – никакого! Если уж учить, то тому почему вашим сотрудникам, каждому из них в отдельности, ВЫГОДНО соблюдать ваши инструкции. Что им самим несут те или иные опасности.

Живой пример, надоевший нам всем. Пароли. Почему нельзя использовать слабые? Поясните им на примере их же паролей от домашнего e-mail, от аккаунта социальной сети. Вам же спасибо скажут да еще и будут говорить какой у них безопасник умный и понятливый. Ваши требования будут выполняться не потому что боятся, а потому что выгодно!

Естественно это не исключает необходимость строгого контроля. Но это тема отдельного разговора.

Я думаю так, а как думаете вы?