Поставил антивирус и кибербезопасники не нужны: почему это самообман
Миф первый: «ИБ — это только средства защиты»
Технические средства, при помощи которых обеспечивается информационная безопасность, играют важнейшую роль. Повышенное внимание к ним — одна из составляющих повседневной работы специалистов по кибербезопасности. Но проектирование ИБ-систем, их эксплуатация, развитие и т.п. — только одна из задач ИБ-службы, не менее важную роль играет процессная часть работы. При этом она не связана с предупреждением рисков, в том числе человеческого фактора. Почему?
Дело в том, что внедрение мер информационной безопасности само по себе не гарантирует изменений в поведении пользователей, даже самые подробные описания процессов ИБ не обеспечивают их безусловного соблюдения. Человеческий фактор все еще остается наиболее уязвимым элементом цепочки создания ИБ-ценности: дисциплина важна не меньше, чем защитные механизмы и процедуры.
Пример. Отдел разработки ПО обеспечен защищенными инструментами собственной разработки и коммуникации. При этом сотрудники продолжают совершать рискованные действия, такие как обмен файлами через общие диски или отправка конфиденциальных данных через мессенджеры. Процессы есть, инструменты тоже, нет только осознанности их безоговорочного применения, что связывает все элементы ИБ воедино.