Пользователь должен?

Сегодня в новостной рассылке попалась новостная заметка с сайта SecurityLab.ru «Почти у половины россиян была возможность ознакомиться с личными данными коллег.»

Конечно верная статья, злободневная. Но один момент меня зацепил больше остальных.

Вот он: «Как показало исследование, только 28% пользователей регулярно проверяют, кто имеет доступ к документам и сервисам, с которыми они работают, и вносят необходимые изменения.»

Автор статьи действительно считает, что именно ПОЛЬЗОВАТЕЛЬ должен регулярно проверять, кто имеет доступ к документам и сервисам?

Извините, а как Вы можете себе это представить? Каким инструментарием располагает пользователь для решения этой задачи? Сделать общую рассылку и спросить? Или обзвонить всех сотрудников компании?

Часто за безопасность информации отвечает системный администратор. Ведь у администратора чаще всего есть инструментарий для управления доступом, а значит «посмотреть» разрешения, чаще всего тоже можно.

Но такое решение представляется мне не верным, т.к. администратору важно, что бы «ВСЁ» работало. И естественно открыв максимальный доступ к файловой шаре или на фаерволе заработает «ВСЁ» и у «ВСЕХ». Даже у тех, у кого это работать не должно.

Верным решением задачи по контролю за уровнем доступа, - это специальный человек ответственный за ИТ безопасность, который будет отвечать за то, что бы у сотрудника не было доступа большего, чем это необходимо для выполнения рабочих обязанностей. Такой сотрудник должен иметь полномочия указывать системным администраторам на «ИЗЛИШНИЙ» доступ и контролировать актуализацию прав.