IT-безопасность: стоит ли рисковать корпорацией? - [40]
Чтобы заставить системных администраторов вашей компании получить необходимое им обучение, отражайте его в служебной характеристике.
Посещать семинары по безопасности
Семинары по вопросам безопасности — это прекрасное место для распространения и получения информации, которую трудно получить где-либо еще. Выберите некоторые из профессиональных семинаров по безопасности для посещения вашими системными администраторами (такие, как SANS и USENIX). Так как всех туда послать невозможно, то пошлите по одному человеку на каждую конференцию и поручите им поделиться полученными там знаниями. Если возможно, то пусть они сделают краткий доклад по возвращении с семинара.
Те из вас, кто уже имеет большой опыт в вопросах безопасности, могут предложить свои выступления на таких конференциях.
Организовывать деловые ланчи
Большинству из нас крайне не хватает времени. Если вы пытаетесь втиснуть обучение в ваш перегруженный дневной график, то вспомните о том, что почти всем нужно есть! Попытайтесь проводить ежемесячно или ежеквартально доклады во время ланча. Выберите важные темы по безопасности и распределите намеченный материал между своими и приглашенными докладчиками. Это хороший способ держать ваших системных администраторов в курсе важных вопросов безопасности и эффективно использовать ценное время.
Распространять информацию по безопасности
Не заставляйте всех бегать в поисках свежей информации. Поручите одному из сотрудников поддерживать свою осведомленность на современном уровне и передавать остальной группе информацию об ошибках, снижающих безопасность, патчах, новых видах уязвимых мест, продуктах и т. д.
Не пожалейте дать его должности звучное название, а ему самому добавку к заработной плате. Многие работают из убеждений, но даже им деньги не повредят. Работа по поддержанию вашей группы в хорошо информированном состоянии заслуживает вознаграждения. Не пренебрегайте распространением информации. Некоторые люди любят придерживать ее, помня старое изречение: «Информация — это власть». Я лично нахожу таких людей небезопасными. Но их кругом слишком много. Помните об этом, стараясь обеспечить вашу компанию потоком фактов по вопросам безопасности.
Присоединиться к спискам рассылки по вопросам безопасности
Важно вовремя узнавать об очередной угрозе, возникающей в Интернете. Если ваш персонал технической поддержки не будет в курсе новых дыр и проблем в безопасности, то хакеры опередят его на несколько шагов. Добейтесь, чтобы ваши системные администраторы были лидерами в информационной стае, иначе она растопчет их. При сборе информации большую помощь окажут защищенные псевдонимы.
Выпускать «белые статьи»[34]
Я знаю множество действительно талантливых системных администраторов. Если вы один из них, то поделитесь своим опытом с другими. «Белые статьи» являются отличным способом это сделать.
«Белые статьи» сделают вас более известным за пределами вашей компании. Они будут позитивным посланием, показывающим всему миру стремление вашей компании к открытости технологий и информации.
Писать в периодические издания
Хороший материал ищут многие газеты, журналы и бюллетени, освещающие вопросы безопасности. Если у вас есть что рассказать о технической поддержке, о продуктах, инструментах и т. п., то поделитесь своей информацией с другими. Это прекрасный способ поразить публику.
Превращать инструменты в продукты
Если вы разрабатываете инструменты для поддержки безопасности в вашей среде, то подумайте о превращении их вашей компанией в выпускаемые продукты или выставьте их в Интернете для бесплатного пользования. Может быть, ваши инструменты смогут применять и другие люди.
Контрольный список
Используйте этот список для определения того, как идут дела с обучением в вашей компании. Можете ли вы поставить «Да» против каждого пункта?
— Все ли руководители (сверху донизу) выразили общее стремление к безопасности?
— Подкрепили ли они это стремление финансированием обучения безопасности?
— Имеется ли программа обязательного обучения системных администраторов?
— Включены ли в эту учебную программу темы по настройке и поддержке безопасности?
— Существуют ли политики обучения безопасности?
— Составлены ли они тщательно, отвечают ли современным требованиям и широко ли известны?
— Все ли сотрудники, включая и высшее руководство, обучаются их обязанностям в области безопасности в компании?
— Существует ли инфраструктура для повышения и продолжения образования в сфере безопасности?
Заключительные слова
В мире компьютеров время — это все! Время вычислений процессора, время доступа памяти, время появления на рынке и т. д. — все протекает невероятно быстро. За 30 миллисекунд сигнал, летящий со скоростью света, может пройти расстояние от одного побережья Соединенных Штатов до другого. Иногда мне кажется, что с такой же скоростью некоторые менеджеры меняют одну работу или компанию на другую.
Менеджеры ищут продвижений по службе, больших заработков, доли в акциях и т. д. Правду говоря, их особо не в чем упрекнуть. Я бы и сама не отказалась от места вице-президента или от кучи акций.
Сегодня на деловом рынке большинство людей не работают в одной компании всю свою жизнь. Это ведет к краткосрочному мышлению. Достигли своей цели, получили свою премию и двигайтесь дальше к следующей возможности. По этой причине любая компания, которая действительно заботится о безопасности информации, должна ставить перед сотрудниками цели по вопросам безопасности на год. Чтобы их не затоптали пробегающие через компанию руководители, цели безопасности нужно связывать с остальными служебными целями и получением премий.