Kontynuacja poprzedniego wpisu. Tym razem na temat jednego z typowych argumentów wykorzystywanych przez biznes: "a bo oni mają (...) i jakoś żyją". Oczywiście wszystko dalej w kontekście bezpieczeństwa.
Widzieć las czyli o porównaniu po całości
No dobrze, to trochę teorii. Wspomniałem już pojęcie security controls. Kontrole można podzielić na kilka kategorii. W wersji krótkiej:
- preventive;
- detective;
- corrective;
A w wersji dłuższej (w komentarzu uproszczone wyjaśnienie):
- deterrent - mają za zadanie odstraszać potencjalnego atakującego;
- preventive - mają zapobiegać niepożądanym zdarzeniom;
- corrective - mają poprawiać elementy systemu jeśli incydent zaistniał;
- recovery - mają "odtworzyć" środowisko;
- detective - mają wykryć fakt zaistnienia incydentu/pojawienia się intruza;
- compensating - mają rekompensować brak/niedoskonałość innych kontroli.
Funkcje, które "przeszkadzają" biznesowi zwykle należą do preventive controls. Jeśli coś ma powstrzymać intruza prawdopodobnie w jakiś sposób będzie oddziaływało również na uprawnionego użytkownika.
Wyobraźmy sobie teraz taki przykład - obok siebie są dwa obiekty. Jeden ogrodzony jest dwumetrowym płotem z drutem kolczastym, a drugi znacznie niższym i bardziej estetycznym ogrodzeniem. W obu przypadkach chodzi o to, by utrudnić intruzowi wejście na teren obiektu (i w domyśle - a jak już tam wejdzie, to szybko go zlokalizować i usunąć).
Dlaczego jest taka różnica między jednym i drugim płotem? Skoro dla tego drugiego obiektu wystarczające jest niższe i mniej "odstraszające" ogrodzenie to dlaczego takie samo rozwiązanie nie może być zastosowane w pierwszym obiekcie?
Na tym etapie warto się zastanowić czy ten płot jest jedyną kontrolą, która stosowana jest w tym drugim obiekcie. Bo może:
- teren jest monitorowany przez kamery i czujniki ruchu (detective control);
- w przypadku stwierdzenie incydentu (ktoś wszedł na teren obiektu) natychmiast pojawia się ochrona, która intruza w mniej lub bardziej niedelikatny sposób z terenu obiektu wyprowadza (corrective control);
- teren obiektu patrolują groźne psy a całość jest nocą oświetlona (deterrent control);
Tutaj nie chcę dyskutować, czy te psy przypadkiem nie są jednocześnie detective (bo szczekają - podnoszą alarm) i corrective (bo rozerwą intruza na strzępy i zjedzą) a wspomniana ochrona nie jest bardziej preventive. Ważne jest natomiast to, że w przypadku tego drugiego obiektu istnieje więcej niż jedna kontrola. Ograniczona efektywność jednej kontroli jest kompensowana przez inne (choć akurat w tym przykładzie to nie jest dokładnie to, co się zwykle rozumie pod pojęciem compensating control).
A teraz wyobraźmy sobie, że przychodzi "biznes" z tego pierwszego obiektu i zaczyna burzyć się, że przez ten płot obiekt źle wygląda. Nasz sąsiad (konkurencja) ma taki ładny płotek i jakoś żyje. A u nas taka głupia ta bezpieka...
To teraz szybki rachunek sumienia - drogi biznesie, czy to przypadkiem nie Ty nie chciałeś zainstalować kamer, bo przecież jeszcze nikt nie przeszedł przez płot. I jakoś nie chcesz psów, bo jesteś zdeklarowanym miłośnikiem kotów (i to bynajmniej nie dużych i dzikich). Ochronę oczywiście masz, starszego pana z grupą inwalidzką. I to jednego, bo jak będzie dwóch to zamiast pracować będą ze sobą rozmawiać.
Czy widzisz już różnicę? W przypadku Twojego obiektu ten płot jest jedyną realną linią obrony. W przypadku incydentu "pan ochroniarz" nie ma najmniejszej szansy wykonać akcji naprawczej (złapać i usunąć intruza z obiektu jeśli wcześniej sam się zorientuje, że taki intruz się pojawił).
Jeśli już tak bardzo chcesz się z kimś porównywać to po całości, dobrze?
