Между безопасностью и паранойей: тенденции больших корпораций

[Dmitry67]

Из комментов понравилось:


Реальный случай. Как-то приступаю к выполнению обязанностей, местный одмин даёт инструктаж по безопасности:
— Мы тут, значит, офицеры комендатуры, сертифицированы по высшему стандарту безопасности ISO-сто пятьсот восемьсот десять тысяч девятьсот. У нас нельзя то, нельзя сё (тут бла-бла-бла много-много чего нельзя). Последний пункт: личным мобильным телефоном пользоваться нельзя. Всё понятно? А щас мы создадим вам учётную запись. Придумайте пароль не короче семидесяти восьми символов в разных регистрах, с цифрами и эмодзи. Разумеется, у нас двухфакторная авторизация, доставайте свой мобильный телефон и говорите мне номер, вам на него коды доступа будут приходить…
— Чочо?? Вы же только что говорили, что нельзя пользоваться личным телефоном в офисе?..
— Да, разумеется, в целях безопасности.
— А теперь говорите, что мне для двухфакторной авторизации будет нужно получать коды на личный телефон?
— Да, разумеется, в целях безопасности.
— Эмм… а вам не кажется, что эти два требования, как бы это сказать, немного противоречат друг другу?
— Нет, не кажется — и то и другое в целях безопасности.
И ни один мускул на лице не дрогнул.

[Prosche]

Ну еще не так страшно. Вот у меня рабочий комп к примеру. Мак. Образ специальный, разработанный компанией, читай напичканный параноидными тулзами. Диск криптуется

А можно пару вопросов?
Может быть лучше винду, хотя бы на один уровень шифрования, виртуализации меньше?
Второе: лаптопы часто забывают в метро. Может лучше иметь десктоп, а если надо из.дома, то только экран видеть, даже без копипасты?

С виндой не получится. По работе нужен и мак и линукс порой и винда. Да и я давно не работаю на голом железе, считаю этобольшой глупостью. ВМ раз настроил, потом переноси куда надо.
В метро я не езжу, а десктоп у нас не прокатит. Опен офис где нет привязки к месту.

[Мальчик-Одуванчик]

Из комментов понравилось:


Реальный случай. Как-то приступаю к выполнению обязанностей, местный одмин даёт инструктаж по безопасности:
— Мы тут, значит, офицеры комендатуры, сертифицированы по высшему стандарту безопасности ISO-сто пятьсот восемьсот десять тысяч девятьсот. У нас нельзя то, нельзя сё (тут бла-бла-бла много-много чего нельзя). Последний пункт: личным мобильным телефоном пользоваться нельзя. Всё понятно? А щас мы создадим вам учётную запись. Придумайте пароль не короче семидесяти восьми символов в разных регистрах, с цифрами и эмодзи. Разумеется, у нас двухфакторная авторизация, доставайте свой мобильный телефон и говорите мне номер, вам на него коды доступа будут приходить…
— Чочо?? Вы же только что говорили, что нельзя пользоваться личным телефоном в офисе?..
— Да, разумеется, в целях безопасности.
— А теперь говорите, что мне для двухфакторной авторизации будет нужно получать коды на личный телефон?
— Да, разумеется, в целях безопасности.
— Эмм… а вам не кажется, что эти два требования, как бы это сказать, немного противоречат друг другу?
— Нет, не кажется — и то и другое в целях безопасности.
И ни один мускул на лице не дрогнул.

Это самое замечательное в Вашей статье.

[PavelM]

Решил пописать на Хабр
Приглашаю обсудить)

https://habr.com/post/431412/

Причина жалоб понятна. Особенно от человека с математическим складом ума.
Многим компаниям гораздо важнее сертификаты и отчеты аудиторов, что все в шоколаде, чем анализ реальных рисков.
Ничего личного - бизнес и прибыль.
Для анализа рисков нужен опыт, методология и соответствующая компетенция, которых часто нет.
А с сертификациями - берешь руководство и поехали.
Однако многие руководства, полиси и т.п. внутренне противоречивы и написаны людьми имеющими весьма отдаленное отношение к архитектуре и эксплуатации. Иногда просто технически не подкованными.
Аудиторы - часто из той же категории, хотят свою галочку в клеточке.

Короче ответ прост - деньги.

P.S. Слегка коробит перевод IT Security как безопасность/безопасники. Это все-таки защита/защищенность, а не безопасность, которая safety.
По этой логике надо остерегаться IT как чего-то опасного.

[PavelM]

Ну еще не так страшно. Вот у меня рабочий комп к примеру. Мак. Образ специальный, разработанный компанией, читай напичканный параноидными тулзами. Диск криптуется

А можно пару вопросов?
Может быть лучше винду, хотя бы на один уровень шифрования, виртуализации меньше?
Второе: лаптопы часто забывают в метро. Может лучше иметь десктоп, а если надо из.дома, то только экран видеть, даже без копипасты?

Это если Интернет соединение есть. А если нет?

[Flash-04]

Тогда ещё лучше.