Линда Маккарти - IT-безопасность - стоит ли рисковать корпорацией?

Даже если результаты аудита безопасности будут хорошими и без обнаруженных серьезных рисков для безопасности, руководству все равно нужно представлять итоговый отчет. Как я уже говорила (и много раз!), проблемы безопасности не всегда видны невооруженным глазом. Об этом можно забыть после решения проблемы. Это еще одна причина, по которой высшие руководители должны требовать краткий (в одну страницу) итоговый отчет по вопросам безопасности на регулярной основе.

Трудности по обеспечению безопасности, возможно, у вас возникают из-за того, что все слишком заняты своей работой. Если такие трудности в вашей компании возникают, то постарайтесь, чтобы в задачи руководителя любого уровня были включены и вопросы безопасности.

Чтобы система безопасности заработала, каждому сотруднику необходимо знать основные правила ее работы. Хотя они знают правила, все же никому не повредит, если вы будете предлагать им эти правила соблюдать. Используйте электронную почту и напоминайте регулярно о важности защиты информации, работы с паролями, безопасности системы и т. д. Если вы или ваши сотрудники не проходили обучения основным методам защиты, то обучайтесь сами и следите, чтобы проводилось обучение сотрудников.

В идеале в вашей компании уже должны быть специалисты, знающие о безопасности достаточно, чтобы самостоятельно планировать и проводить основные учебные занятия. Если они не могут этого делать, то найдите время для организации обучения на стороне. Перед тем как сказать: «У нас просто нет времени на это», подумайте конструктивно. Обучение не обязательно должно быть громоздким и отнимать много времени. Некоторые фирмы предлагают учебные видеофильмы, которые можно просматривать во время перерывов в работе, а также курсы индивидуального обучения по электронной почте. Обучение не обязательно должно предполагать 30 парт, установленных рядами. Подберите метод, который бы заработал в вашей компании.

ИТОГОВЫЙ ОТЧЕТ ПО ВОПРОСАМ БЕЗОПАСНОСТИ

Дата: мая 22, 2002

Кому Изабель Уинфри, вице-президенту и директору по информационным технологиям

Джеффу Сен-Пьеру, вице-президенту и финансовому директору

От кого: Майка Нельсона, директора внутреннего аудита

По вопросу: Аудит финансовой безопасности

ОБЩАЯ ОЦЕНКА

НАСТОЯЩЕЕ СОСТОЯНИЕ СРЕДСТВ БЕЗОПАСНОСТИ ФИНАНСОВОЙ СЕТИ НЕ ОБЕСПЕЧИВАЕТ ДОСТАТОЧНОЙ ЗАЩИТЫ ИНФОРМАЦИИ КОМПАНИИ ISD.

ИНФОРМАЦИЯ В СЕТИ ISD ПОДВЕРГАЕТСЯ СЕРЬЕЗНОМУ РИСКУ НЕАВТОРИЗОВАННОГО РАСКРЫТИЯ, ИЗМЕНЕНИЯ И УНИЧТОЖЕНИЯ.

РИСКИ ДЛЯ БЕЗОПАСНОСТИ, О КОТОРЫХ БЫЛО ДОЛОЖЕНО ГОД НАЗАД, НЕ УСТРАНЕНЫ. РЕЗУЛЬТАТЫ АУДИТА ПОКАЗЫВАЮТ, ЧТО РИСКИ ДЛЯ БЕЗОПАСНОСТИ ФИНАНСОВОЙ СЕТИ В ДЕЙСТВИТЕЛЬНОСТИ ВОЗРОСЛИ.

Обнаружен ряд причин такого положения дел:

• Недостаточное обучение.

• Недостаточность средств для расширения штата специалистов по вопросам безопасности.

• Плохая связь между высшим руководством и линейными менеджерами.

• Отсутствие стандартов на настройки безопасности рабочих станций.

• Неправильное использование механизмов предупреждения, обнаружения и докладов о неавторизованном доступе к информации.

РУКОВОДСТВО ДОЛЖНО ПРИНЯТЬ НЕОТЛОЖНЫЕ МЕРЫ ДЛЯ УМЕНЬШЕНИЯ ИМЕЮЩЕГОСЯ РИСКА.

Аудит проводил: Мартин Паттерсон, администратор по вопросам безопасности

Отчет получил:

Дата получения:

Рисунок 3.2

Особенно важно, чтобы все руководители понимали риски, связанные с незащищенностью систем. Если этого не будет, то принимаемые ими решения непреднамеренно могут подвергать опасности репутацию компании, конфиденциальность информации и сказаться на финансовых результатах. Вам вовсе не обязательно для этого быть экспертом по безопасности, но вы должны разбираться в основах и говорить как специалист.

Слишком часто системные администраторы жалуются на свои беды своим терминалам, а не начальству. Иногда системные администраторы обнаруживают, что жаловаться своему начальству не намного лучше, чем говорить со своим «железным другом».

Если вы являетесь директором (или каким-то другим руководителем), то обеспечьте вашим людям легкий доступ к своему времени и вниманию. Особенно будьте внимательны, когда возникнут проблемы с безопасностью! Первую линию обороны вашей сети будут составлять хорошо налаженные каналы общения с людьми, находящимися рядом с машинами.