2012 m. birželio 8 d.

Griaunant mitus: apsaugos signalizacijos vertė

Klausantis „commonsensų“ (tai tokie tinklaraštininkai, sveiku protu bandantys įveikti visokio plauko apribojimus) pranešimo „LOGIN“ konferencijoje, kilo labai ryškios asociacijos tarp mitų, kuriuos jie paneiginėjo šnekėdami apie IT inovacijas ir tų įsitikinimų, kurie sklando apie apsaugos sistemas.
Populiariausias mitas saugos srityje – moderni apsaugos / vaizdo stebėjimo sistema pati savaime didina saugumą.
Keli pavyzdžiai  „iš gyvenimo“:
„ - Man reikia geros signalizacijos su pranešimais į mobiliaką.  Dzin, kad mano name vitrininiai langai į visas puses ir tik graži gyvatvorė juosia sklypą. Duok gerą signalizaciją, nes plėvelė ant langų stiklų – negražu ir nemadinga, o saugos tarnyba – brangu ir nepadės...
<...>
 - Ką darysiu gavęs sms...? - Gal kaimynui paskambinsiu...“
Arba:
„Mes norime vaizdo kamerų, kad saugotų nuo prekių vagysčių iš sandėlio. Nors mes tik spėjam, kad vagia sandėlyje, tačiau geriau prekių judėjimo tvarkos nekeisim, apskaitos kontrolės netobulinsim, tiesiog naujas kameras įrengsim – gal padės.“
Dar vienas:
„Po pastarosios vagystės įdiegėme apsaugos sistemą, apdraudėme turtą, bet vis tiek iš vitrinos kompiuteriai vėl „išėjo“...“
Visais šiais atvejais siekiama „įdarbinti“ modernias elektronines technologijas, perkeliat joms atsakomybę už savo turtą. Tai populiaru, madinga, tačiau išvardintose situacijose mažai naudinga. Pirmuoju ir trečiuoju atvejais efektyviau būtų apsunkinti prieinamumą ir pasiekiamumą, o antruoju – diegti naują apskaitos tvarką arba paprastinti, skaidrinti ir optimizuoti esamą.
Saugos procese vienas svarbiausių principų - nuoseklumas.
Pradžioje, tyrimų, analizės ar, tiesiog, sveiko proto metodu turite nuspręsti ką norite saugoti. Tada suskaičiuoti saugomo objekto vertę ir įvertinti riziką (procentais ar 0-1 intervalo skaičiumi), kad objektas bus dalinai ar visiškai atskleistas, pavogtas ar sunaikintas. Objekto vertė suprantama ir kaip fizinis praradimas, ir kaip veiklos apribojimas netekus daikto ar paslaugos. 
Tada šiek tiek matematikos:
objekto vertė x rizika = galima žala.
Saugomo objekto vertės Jūs, dažniausiai, negalite niekaip įtakoti, todėl visas saugos procesas sukasi aplink vieną užduotį – rizikos mažinimą.
Rinkdamiesi bet kokią saugos procedūrą ar technologiją turite nuolat lyginti du skaičius: diegiamo įrankio kainą ir prognozuojamą rizikos, tuo pačiu ir tikėtinos žalos sumažėjimą. Suprantama, jei išleisite daugiau nei apsaugosite – apsaugos įrankis netinkamas. 
Jūsų rizikos valdymo arsenale iš viso yra trys esminės saugos įrankių grupės:
  • organizaciniai-informaciniai,
  • fiziniai ir
  • elektroniniai įrankiai.
Organizacinių-informacinių priemonių vertė saugai yra panaši į buhalterinės apskaitos vertę finansų sričiai. Šiais įrankiais Jūs nustatote taisykles, kurių laikantis vyks bet kokie veiksmai ir operacijos su saugomais objektais ir aplink juos.
Keli šių priemonių aspektai:
Kritiškai įvertinkite kuri informacija yra konfidenciali ir kritinė Jūsų saugomam objektui. Paruoškite procedūras personalui: kaip, kam ir kokiais būdais ši informacija gali būti atskleista, kokia grės atsakomybė už žalą, atsiradusią nesilaikant šių procedūrų.
Jei saugote kintančias, mobilias vertybes, sukurkite ar pakeiskite apskaitos tvarką taip, kad turėtume pakankamą ir aktualią informaciją apie saugomo objekto kiekį, būklę ir vietą. Labai svarbu, kad kiekviename objekto judėjimo taške už jį būtų atsakingi konkretūs asmenys, būtų tiksli ir atsekama atsakomybės perdavimo tvarka.
Kritinėms paslaugoms numatykite rezervinius šaltinius, kas juos prižiūrės ir valdys bei kaip bus atliekamas perėjimas į avarinį bei grįžimas į normalų darbo režimus.
Mūsų krašte mažai populiarūs, tačiau efektyvūs įrankiai yra saugos mokymai, vykdomi modeliuojant ir simuliuojant saugumo pažeidimo incidentus.
Apie organizacinių-informacinių įrankių įvairovę ir galimybes, galbūt, gims atskiras įrašas, o dabar noriu pabrėžti, kad ši grupė teikia didžiausią naudą už mažiausią kainą, ji yra visapusiškiausia, todėl be jos tiek fiziniai, tiek elektroniniai įrankiai praranda didžiąją dalį savo galios arba dar blogiau – tik sukelia didesnį chaosą.
Fiziniai saugos įrankiai – tai užkardos, greičio ribojimo kalneliai, durys, užraktai, grotos, žaliuzės ir pan. Šie įrankiai iš esmės yra skirti sumažinti saugomo objekto patrauklumą neteisėtiems veiksmams, apribojant ir apsunkinant jo pasiekiamumą pašaliniams asmenims. Ribojančios priemonės ilgina laiko trukmę, reikalingą objektui pasiekti, o sunkinančios pasiekiamumą – reikalauja iš įsibrovėlio papildomų fizinių, techninių irba finansinių resursų.
Fiziniai įrankiai skirti labai siaurai, bet tuo pačiu svarbiai rizikos sričiai valdyti.

Tiems, kas turėjo kantrybės perskaityti iki šios vietos - dabar pasiekėme tą hiperbolizuotą elektroninę saugą.
Organizacinės-informacinės priemonės skirtos neteisėtų veiksmų prevencijai, fiziniai įrankiai - tų veiksmų ribojimui, o elektroninės priemonės tik informuoja apie nesankcionuotą veiklą. Ir nieko daugiau.
Be to, lyginant su aukščiau išvardintomis, elektroninėms priemonėms būtini didesni žmogiškieji resursai, kurie šias technologijas valdys, prižiūrės ir reaguos į jų suveikimus.
Apibendrinant, elektronikos priemonių arsenalo teikiama nauda viena mažiausių, o kaina bene didžiausia. 
Jokiu būdu neišsižadu judesio jutiklių, vaizdo kamerų ir elektroninių perimetro barjerų. Jie reikalingi. Tačiau tai tik pagalbiniai įrankiai. Jie stiprina ir efektyvina kontrolę, didina informacijos pasiekiamumo ir apdorojimo greitį, dažnai taupo laiką, iš kai kurių procesų pašalina žmogiškąjį faktorių, teikia komfortą, tačiau vis tiek lieka garbingoje trečioje mūsų turimo saugos priemonių arsenalo vietoje.
Būkite nuoseklūs. Įveikus visus etapus iki elektroninių priemonių diegimo, kiekvienas instaliuotas jutiklis bei kiekviena vaizdo kamera turės aiškią ir konkrečią užduotį, kuri nebus maskuojama po populiariais žodžiais: „saugoti“ ir „stebėti“.
Pabaigai priminsiu: - naudokite saugos priemones atsakingai, kad jos netaptų nauju Jūsų verslo ar gyvenimo apribojimu. Sauga ir efektyvumas vienas kitam neprieštarauja :)

Komentarų nėra:

Rašyti komentarą