Сегодня в новостной рассылке попалась новостная заметка с
сайта SecurityLab.ru «Почти
у половины россиян была возможность ознакомиться с личными данными коллег.»
Конечно верная статья, злободневная. Но один момент меня
зацепил больше остальных.
Вот он: «Как показало исследование, только 28% пользователей
регулярно проверяют, кто имеет доступ к документам и сервисам, с которыми они
работают, и вносят необходимые изменения.»
Автор статьи действительно считает, что именно ПОЛЬЗОВАТЕЛЬ
должен регулярно проверять, кто имеет доступ к документам и сервисам?
Извините, а как Вы можете себе это представить? Каким
инструментарием располагает пользователь для решения этой задачи? Сделать общую
рассылку и спросить? Или обзвонить всех сотрудников компании?
Часто за безопасность информации отвечает системный
администратор. Ведь у администратора чаще всего есть инструментарий для
управления доступом, а значит «посмотреть» разрешения, чаще всего тоже можно.
Но такое решение представляется мне не верным, т.к.
администратору важно, что бы «ВСЁ» работало. И естественно открыв максимальный
доступ к файловой шаре или на фаерволе заработает «ВСЁ» и у «ВСЕХ». Даже у тех,
у кого это работать не должно.
Верным решением задачи по контролю за уровнем доступа, - это
специальный человек ответственный за ИТ безопасность, который будет отвечать за
то, что бы у сотрудника не было доступа большего, чем это необходимо для выполнения
рабочих обязанностей. Такой сотрудник должен иметь полномочия указывать
системным администраторам на «ИЗЛИШНИЙ» доступ и контролировать актуализацию
прав.
Комментариев нет:
Отправить комментарий