Безопасность или открытость?
Вы знаете, для чего предназначено сочетание клавиш Win+L? Вы используете его, когда идёте пить кофе?
У вас в офисе есть шредер? Вы часто им пользуетесь?
Вам когда-нибудь приходилось согласовывать своё выступление на конференции с PR-отделом или службой безопасности вашей компании?
Если вы ответили «Да» на большинство вопросов, то не заражена ли ваша компания корпоративной паранойей?
Разумеется, каждая из этих мер может быть безусловно полезной и чрезвычайно важной. Информацию нужно защищать. Компании готовы поставить на кон свою репутацию за возможность взглянуть на клиентскую базу своих конкурентов. Хакер пойдёт сквозь огонь, воду и марш Мендельсона, чтобы получить шанс внедрить трояна в банковский софт. Сеошник продаст душу за формулу релевантности поисковой системы.
Я не устаю повторять, что люди всегда руководствуются здравым смыслом, устанавливая любые правила работы. Но я также не устану повторять, что однажды установленное правило может надолго пережить этот здравый смысл.
Безопасность — это такая скользкая тема, в которой мало кто готов брать на себя ответственность. В армии знают: самое страшное взыскание — «за нарушение режима секретности». Страшно оно тем, что практически неснимаемо. Любой другой проступок можно со временем загладить и искупить, но если в личном деле есть запись с такой формулировкой — на карьере офицера можно ставить крест.
Может быть, компания в прошлом была государственной организацией, работавшей на оборонку, и унаследовала методы защиты из своего героического прошлого. Или в штате компании есть бывший сотрудник спецслужб или приснопамятного первого отдела, отвечающий теперь за информационную безопасность. Такие люди обычно руководствуются принципами «что не разрешено, то запрещено» и «лучше перебдеть, чем недобдеть». Если дать им власть устанавливать правила, то эти принципы быстро просачиваются в культуру компании.
Чем же плоха излишняя бдительность? В первую очередь тем, что она затрудняет эффективное общение.
Вы хотите повесить на стену доску задач, но вам нельзя писать на ней имена клиентов (а вдруг один из них придёт к вам в офис и увидит название своих конкурентов?)
Вы хотите организовать видеоконференцию с клиентом для обсуждения требований, но служба безопасности потребовала заблокировать скайп (болтун — находка для шпиона!)
Я хочу обсудить с клиентом требования, но мне приходится общаться с ним на языке глухонемых, потому что в разговоре я не могу ссылаться на спецификацию протокола, которая распространяется третьей стороной под NDA (а все производители банковских систем с маниакальным упорством закрывают NDA все свои протоколы).
И, конечно же, все компании, озабоченные защитой от промышленного шпионажа, ставят гриф «для служебного пользования» на внутренних регламентах, чтобы держать в секрете свои «уникальные методы управления». Вот уж, действительно, секрет Полишинеля.
В то же время, появляется всё больше успешных (да-да, очень успешных) компаний, обнаруживших, что отказ от традиционных, неизвестно когда и кем установленных правил не только не опасен, но и содержит массу приятных и часто неожиданных бонусов.
Что открытие исходного кода внезапно привлекает на сторону компании армию добровольных помощников, готовых использовать, тестировать и рекомендовать другим её продукты просто «за идею».
Что снятие грифа со спецификаций вдруг превращает их в отраслевые стандарты, и конкуренты оказываются вынуждены подгонять под них свои протоколы.
Что после появления в интернете честного и искреннего блога команды в компанию неожиданно выстраивается очередь из самых лучших специалистов (в противоположность эффекту от прилизанного «корпоративного блога», созданного PR-отделом специально «для формирования позитивного имиджа компании»).
Это может показаться парадоксальным, но сдвиг культуры компании в сторону открытости положительно сказывается и на самой безопасности. Небольшое количество действительно необходимых правил люди будут выполнять осознанно и с большей ответственностью. А свод дурацких инструкций, мешающих продуктивной работе, будут просто игнорировать или искать способы их обхода. Любой опытный сисадмин подтвердит: если навязать пользователям слишком сложные для запоминания пароли, они начнут записывать их на бумажках и подкладывать под клавиатуру.
Вы, может быть, помните, что я затеял этот цикл статей, чтобы определить что-то вроде системы координат, определяющих многообразие корпоративных культур айтишных компаний. И чтобы показать место компании моей мечты в этой системе координат.
В этом измерении мои предпочтения однозначны: я — за максимальную открытость. Компания моей мечты — это открытая компания, не боящаяся рассказывать правду о себе, активно делящаяся положительным опытом и знаниями и не превращающая информационную безопасность в корпоративную паранойю.
Другие статьи цикла