На сторінці 73 журналу “Компьютерное обозрение” №41(560) за 31 жовтня – 6 листопада 2006р розміщена стаття Евгения Куценко “Знание правил не гарантирует их выполнение”. Автор повідомляє про проведення глобального соціологічного дослідження.
Було опитано більше 1000 чоловік із 10 країн. Ціль проведення такого дослідження полягала у вивченні такого питання як – на скільки користувачі інформаційної системи створюють додаткову загрозу для своєї інформаційної безпеки. По отриманим відповідям було виділено окрему категорію – віддалені працівники. Дві третини респондентів відмітили що віддалена робота потребує підвищеної обережності, проте вони це ігнорують. Більше 21% учасників дозволяють особам що не мають відношення до роботи використовувати свій комп’ютер для доступу в Інтернет. Кожен четвертий заявив що в процесі роботи за службовим комп’ютером відкриває електронні листи від невідомих адресатів. Крім цього 29% опитаних призналися у використанні службових комп’ютерів у приватних цілях, 40% використовують для проведення закупів в Інтернет. За словами Jeff Platon віце-президента компанії Cisco, необережне поводження 11 віддалених працівників компанії зі штатом у 100 чоловік може повністю вивести з ладу корпоративну мережу, викликати витік конфіденційної інформації та персональних даних. До цього може призвести всього одна вразливість у системі захисту.
На мою думку такі дані свідчать про недотримання працівниками визначеної політики безпеки, чи відсутність її як такої. Звичайно, що біля кожного працівника неможливо поставити наглядача, проте можливо обмежити дії цього користувача програмним шляхом. Наприклад встановлення фільтрів на проксі сервер міг би обмежити відвідування користувачами небажаних Інтернет-ресурсів. Проте це буде локальне вирішення локальної проблеми. У глобальному контексті необхідно провести аудит безпеки (корпоративної) інформаційної системи. Це дозволить виявити слабкі місця захисту системи, способи їх усунення, зменшити ризик краху(несанкціонованої модифікації) системи. Існує серія програмних продуктів для проведення такого аудиту – CRAMM, RiskWatch, ГРИФ.