Владимир Безмалый - Правила цифровой гигиены

Наличие сертификатов у специалиста говорит о том, что он работает над собой. Имеет и знания передовых технологий, и желание учиться далее.

Хотя, безусловно, курсы бывают разные, да и сертификаты тоже.

Вы проверяете у кандидата наличие сертификатов? Или это вовсе не важно? На мой взгляд, сертификат – это показатель того, что специалист готов к работе над собой. Готов учиться и работать! Хотя, безусловно, иногда это просто свидетельство того, что у человека есть время и деньги для обучения. Да и ценность разных сертификатов, увы, совершенно разная.

Даже если вы с помощью технических или иных средств выявили действия, которые заведомо наносят компании ущерб, а организационного документа, подтверждающего, что подобные действия считаются нарушением, у вас нет, то предъявить претензии сотруднику вы не вправе. Технические средства контроля действий сотрудников должны быть подкреплены организационными мерами. Но справедливо и обратное – организационные меры защиты конфиденциальной информации следует дополнять техническими средствами контроля.

Даже если вы нашли злоумышленника, при отсутствии документальной поддержки вы ничего не сможете ему предъявить. А даже если и предъявите, то что? Уволите? Но ведь формально он НИЧЕГО не нарушает! А значит, любой суд восстановит его на работе.

Не спешите подписывать инструкции, не ознакомившись с ними внимательно. Попросите, чтобы вам обязательно оставили копию, и в сомнительных ситуациях убедитесь, что не нарушаете те или иные положения, принятые в компании.

Помните, правилам, утвержденным в компании, нужно следовать. Но вместе с тем, невозможно запомнить все правила, верно? А значит, вы должны всегда иметь под рукой то, что может быть использовано как в вашу защиту (как правило, когда такие документы нужны, их невозможно найти). Зато всегда находятся те документы, за неисполнение которых вас можно наказать!

Убедиться в том, что пользователи правильно понимают суть подписанных ими документов и помнят их главные положения по прошествии времени, – прямая обязанность ответственных руководителей. Это позволит избежать неприятностей и для сотрудников, и для их руководителей, и для компании в целом.

Руководителям нужно помнить, что любой пользователь, прочитавший и подписавший какое-то положение (документ), как правило, забывает его содержание даже не через полгода, а через полчаса, а то и раньше! Потому лучше сразу убедиться, что вас поняли правильно, а через какое-то время заставить пользователя снова прочесть и сдать зачет по документам.

Руководители! Если вы хотите, чтобы правила информационной безопасности в вашей компании выполнялись, они должны быть обязательны для всех. Начните с себя!

Господа руководители, помните, что вы самая интересная мишень для взлома, ведь большинство из вас, увы, считает, что правила написаны не для вас. Да и требует себе максимальные права, мол, я тут хозяин, я так хочу! Увы, но большинство руководителей считает ИТ и ИБ просто обслуживающим персоналом, который должен исполнять любые прихоти хозяина.

Как-то раз ко мне обратились с вопросом, мол, что делать, если наш директор требует дать ему доступ с его iPhone в сеть без пароля. И PIN ставить не желает на свой смартфон, ему неудобно!

О стеганографии.

Если кто-то в вашей организации очень любит отсылать наружу картинки, помните: это могут быть не совсем безобидные картинки. Обратите на это внимание. Может, наружу отсылают ваши корпоративные секреты, а вы об этом не подозреваете?

Увы, но об опасности пересылки конфиденциальных сведений в картинках сегодня помнят не многие. А сложность анализа таких картинок на наличие шифрованного текста довольно велика.

Подготовка специалистов в области безопасности должна начинаться со школы. И чем умнее и талантливее учителя, тем выше престиж профессии. Чем лучше учителя, тем лучше будут подготовлены кадры. Мораль проста. Хотите обеспечить безопасность – учитесь! Учитесь и учите, иначе так и будете использовать неизвестные продукты и технологии, в которые ваши конкуренты вполне смогут разместить всевозможные закладки. А вы об этом и знать-то не будете.