IT-безопасность: стоит ли рисковать корпорацией? - [25]
В идеале в вашей компании уже должны быть специалисты, знающие о безопасности достаточно, чтобы самостоятельно планировать и проводить основные учебные занятия. Если они не могут этого делать, то найдите время для организации обучения на стороне. Перед тем как сказать: «У нас просто нет времени на это», подумайте конструктивно. Обучение не обязательно должно быть громоздким и отнимать много времени. Некоторые фирмы предлагают учебные видеофильмы, которые можно просматривать во время перерывов в работе, а также курсы индивидуального обучения по электронной почте. Обучение не обязательно должно предполагать 30 парт, установленных рядами. Подберите метод, который бы заработал в вашей компании.
ИТОГОВЫЙ ОТЧЕТ ПО ВОПРОСАМ БЕЗОПАСНОСТИ
Дата: мая 22, 2002
Кому Изабель Уинфри, вице-президенту и директору по информационным технологиям
Джеффу Сен-Пьеру, вице-президенту и финансовому директору
От кого: Майка Нельсона, директора внутреннего аудита
По вопросу: Аудит финансовой безопасности
ОБЩАЯ ОЦЕНКА
НАСТОЯЩЕЕ СОСТОЯНИЕ СРЕДСТВ БЕЗОПАСНОСТИ ФИНАНСОВОЙ СЕТИ НЕ ОБЕСПЕЧИВАЕТ ДОСТАТОЧНОЙ ЗАЩИТЫ ИНФОРМАЦИИ КОМПАНИИ ISD.
ИНФОРМАЦИЯ В СЕТИ ISD ПОДВЕРГАЕТСЯ СЕРЬЕЗНОМУ РИСКУ НЕАВТОРИЗОВАННОГО РАСКРЫТИЯ, ИЗМЕНЕНИЯ И УНИЧТОЖЕНИЯ.
РИСКИ ДЛЯ БЕЗОПАСНОСТИ, О КОТОРЫХ БЫЛО ДОЛОЖЕНО ГОД НАЗАД, НЕ УСТРАНЕНЫ. РЕЗУЛЬТАТЫ АУДИТА ПОКАЗЫВАЮТ, ЧТО РИСКИ ДЛЯ БЕЗОПАСНОСТИ ФИНАНСОВОЙ СЕТИ В ДЕЙСТВИТЕЛЬНОСТИ ВОЗРОСЛИ.
Обнаружен ряд причин такого положения дел:
• Недостаточное обучение.
• Недостаточность средств для расширения штата специалистов по вопросам безопасности.
• Плохая связь между высшим руководством и линейными менеджерами.
• Отсутствие стандартов на настройки безопасности рабочих станций.
• Неправильное использование механизмов предупреждения, обнаружения и докладов о неавторизованном доступе к информации.
РУКОВОДСТВО ДОЛЖНО ПРИНЯТЬ НЕОТЛОЖНЫЕ МЕРЫ ДЛЯ УМЕНЬШЕНИЯ ИМЕЮЩЕГОСЯ РИСКА.
Аудит проводил: Мартин Паттерсон, администратор по вопросам безопасности
Отчет получил:
Дата получения:
Рисунок 3.2
Обеспечить понимание вопросов безопасности всеми руководителями
Особенно важно, чтобы все руководители понимали риски, связанные с незащищенностью систем. Если этого не будет, то принимаемые ими решения непреднамеренно могут подвергать опасности репутацию компании, конфиденциальность информации и сказаться на финансовых результатах. Вам вовсе не обязательно для этого быть экспертом по безопасности, но вы должны разбираться в основах и говорить как специалист.
Поддерживать прямую связь с руководством
Слишком часто системные администраторы жалуются на свои беды своим терминалам, а не начальству. Иногда системные администраторы обнаруживают, что жаловаться своему начальству не намного лучше, чем говорить со своим «железным другом».
Если вы являетесь директором (или каким-то другим руководителем), то обеспечьте вашим людям легкий доступ к своему времени и вниманию. Особенно будьте внимательны, когда возникнут проблемы с безопасностью! Первую линию обороны вашей сети будут составлять хорошо налаженные каналы общения с людьми, находящимися рядом с машинами.
Если вы являетесь системным администратором, то убедитесь в том, что разговор с вашим ближайшим начальником будет полезен для решения проблемы. Если вы в этом не уверены, то должны набраться смелости и обратиться к следующему руководителю в управленческой цепочке ради достижения результатов.
Контрольный список
Используйте этот список, чтобы определить, позволяет ли организационное строение вашей компании и имеющиеся в ней уровни руководства надлежащим образом решать вопросы безопасности. Можете ли вы поставить «Да» напротив каждого пункта?
— Регулярно ли представляются руководству итоговые отчеты по вопросам безопасности?
— Существует ли надежный канал связи между высшим руководством и исполнителями? И что более важно — все ли знают, что он собой представляет и где находится?
— Возлагается ли ответственность за безопасность на вице-президента, директора по вопросам безопасности или другого руководителя? Чем выше такой руководитель находится в руководящей структуре, тем лучше! Убедитесь, что руководитель, отвечающий за безопасность, не спрятан в глубинах бюрократической системы и имеет реальную власть. Иначе он будет только козлом отпущения.
— Демонстрирует ли руководство свою приверженность программе безопасности компании, должным образом ее представляя и совершенствуя?
— Предусмотрено ли достаточное финансирование безопасности и доступны ли эти средства?
— Понимают ли все системные администраторы важность немедленного доклада о проблемах безопасности и их быстрого решения?
— Является ли обучение лучшему пониманию вопросов безопасности частью профессиональной ориентации новых сотрудников всех уровней — от линейных менеджеров до высшего руководства?
— Предпринимаются ли шаги в получении всеми сотрудниками (сверху донизу) ясного представления о политиках защиты информации компании?
— Учитывается ли реально существующая в компании культура общения между руководителями и исполнителями при разработке политик и процедур безопасности?
— Знают ли сотрудники, к кому обращаться в случае возникновения бреши в защите и неопределенности в своих обязанностях?