Въпрос на процедура

Тази седмица станаха известни 2 случая, които могат да бъдат показателни за много организации (и техните консултанти)

Първата история се е случила във Великобритания миналия месец. National Audit Office (NAO) изпраща на HM Revenue & Customs (HMRC) искане за данни от БД за детски помощи. Убеден съм, че HMRC имат много добре измислена security процедура – сървърите им са защитени, приложенията са обмислени, паролите са дебели, вероятно използват и PKI. Но някой (както казват: „Junior official from HMRC“) съвсем съвестно записва исканите данни на 2 CD-та и ги изпраща до NAO чрез TNT. Звучи доста рутинно, дори не е записал и информацията за пратката никъде (малка процедурна грешчица…)

Тези CD-та, обаче, никога не пристигат. 6 дни по-късно HMRC отново записват данните и ги изпращат на NAO. Този път данните пристигат. Но къде са първите 2 CD-та? Те съдържат данните за 25 милиона британци. Имена, дата на раждане, банкови сметки, номер на осигуровка… Някой се сеща 9 дни по-късно и повдига въпроса на по-високо ниво. Въпроса се ескалира до правителството, изпращат полицията да търси данните, примиера трябва да дава обяснения; стига се до оставка на директора на HRMC, Paul Gray. (timeline). Има една хубава българска пословица: „след дъжд – качулка“. Дисковете така и не са намерени.

Убеден съм, че HRMC има много нива на защита на информацията. Процедури, правила, и т.н. Но тук има няколко издънки:

– Как така NAO ще искат такива данни от HRMC?

– Какви са били инструкциите към споменатия „junior official from HMRC“? Вероятно „от теб се иска пълно съдействие към одиторите“

– Защо „junior official from HMRC“ има достъп до всичките данни и права да ги извлече и запише на CD? Той така може да си ги вземе и да поработи вкъщи…

– Защо толкова чувствителни данни се изпращат с куриер (вярно, защитени с парола)

– Как така TNT губи пратки?

Всъщност, няма много смисъл от въпроси. Каквото станало-станало. Лошо, хубаво, тъжно, весело… минало. Важни са изводите:

– Няма перфектна процедура. Просто няма. Няма пълна защита.
->Следвствие: Работи с цел да подобряваш ежедневно. Няма „Готово, направих го перфектно“

-Всеки греши. Колкото си по-“голям“, толкова по-големи грешки правиш.
->Следствие 1: Ако си сгрешил, няма какво да се вайкаш. Признай си и действай до колкото може за да оправиш бакиите.
->Следствие 2: Ако друг е сгрешил, не му натяквай „Колко си глупав, как можа да сгрешиш“. Помогни му да се поправи. Другия път може да сгрешиш ти

Генерален извод: Такъв е светът в който живеем – несигурен, не-перфектен. Колкото по-бързо се примириш и започнеш да подобряваш бъдещето, вместо да се вайкаш за миналото – толкова по-добре. Не казвам да не се учиш от грешките си – напротив. Но вземай само полезното и продължавай напред.

Вторият случай, който ме развълнува тази седмица, ще обсъдя малко по-късно. И без това настоящият пост стана неприлично дълъг