Ile kosztuje bezpieczeństwo?

Czy zabezpieczenia spełniają wymogi prawne twojej organizacji? Nie udawaj, że chciałbyś być absolutnie bezpieczny, jeśli tylko mógłbyś sobie na to pozwolić. Przecież nawet w życiu nie starasz się o maksimum bezpieczeństwa. Z tych samych względów jest mało prawdopodobne, że twoja instytucja zachowałaby swój charakter, gdyby zainstalowała najdoskonalsze systemy zabezpieczeń, jakie tylko można kupić za pieniądze. Ludzie nie lubią się uczyć ani pracować we wrogim środowisku ponieważ w takiej sytuacji odmawiają współpracy, pozostaje ci albo zrezygnować z bezpieczeństwa, albo rozwiązać instytucję.

Czasem drobne ustępstwo co do środków bezpieczeństwa może mieć dobroczynny wpływ na morale. Twórcy regulaminów sprzeciwiają się na przykład tworzeniu kont gościnnych, ale konto gościnne dla małżonka może mieć duży wpływ na stosunek pracowników do swojej firmy. Czasem zresztą wynikają z tego zupełnie nieoczekiwane korzyści. Ktoś się kiedyś zainteresował, czemu jedno z uniwersyteckich centrów komputerowych pozwala zatrudnianym przez siebie studentom na używanie komputerów po godzinach pracy i na zajmowanie się rzeczami, które z punktu widzenia centrum komputerowego mają raczej wątpliwą wartość. Wydawało się to co najmniej ryzykowne. Okazało się, że kilka lat wcześniej operator, który w laboratorium przepisywał pracę semestralną swojej dziewczyny, zauważył krytyczne zagrożenie i zapobiegł mu. Ponieważ uchronił uniwersytet przed milionowymi stratami (firmy ubezpieczeniowe mają niemiłą tendencję do uznawania powodzi w pozbawionych okien salach komputerowych na trzecim piętrze za ingerencję siły wyższej, nie podlegające ubezpieczeniu), kierownictwo centrum komputerowego uznało, że cały czas komputerowy, którego mogliby kiedykolwiek potrzebować operatorzy, został już opłacony.

Z drugiej strony, jeśli zabezpieczenia są nieadekwatne, twoja organizacja może paść łupem napastników lub prawników, przy czym ważniejsze jest to, co robisz, a nie to, co zapisujesz w regulaminie. Napisanie doskonałej polityki, która nie będzie realizowana, z pewnością nie uchroni cię przed włamywaczami i raczej nie pomoże ci przed sądem. Prawo uznaje tylko taką politykę, którą próbowałeś wprowadzić w życie. Jeśli nie zrobisz nic, będzie źle, ale jeśli napiszesz, co powinieneś zrobić, i nie zrobisz tego, będzie jeszcze gorzej. Dowiedziesz w ten sposób, że wiedziałeś, co powinieneś był zrobić.

Co powinna zawierać polityka bezpieczeństwa? Przede wszystkim należy pamiętać, że polityka to sposób porozumiewania się z użytkownikami i kierownictwem. Powinna informować ich o wszystkim, co muszą wiedzieć, aby podjąć odpowiednie decyzje dotyczące bezpieczeństwa.