Самая большая угроза безопасности может быть полезна
Как помочь сотрудникам развить навыки обеспечения безопасности
Обновлено 6 сентября 2005
Автор Скотт Пламондон (Scott Plamondon)
С точки зрения безопасности самым уязвимым местом являются не компьютеры, а пользователи. Каждый день сотрудники совершают грубые ошибки: размещают свои пароли там, где их могут видеть другие люди, загружают и открывают вложения электронной почты, содержащие вирусы, и не отключают питание компьютеров на ночь. Главной причиной серьезных нарушений безопасности является человеческая ошибка, а не слабые места в системе. Такой вывод был сделан в результате исследования Committing to Security Benchmark Study («Эталонные показатели в области безопасности»), проведенного по заказу Ассоциации участников отрасли компьютерных технологий (CompTIA).
Поскольку действия сотрудников оказывают очень сильное влияние на безопасность компьютеров, вам следует объяснить своим сотрудникам, ИТ-персоналу и руководству важность безопасности и развить у них навыки ее обеспечения. Если вы не уверены, что сможете правильно преподнести эту информацию, наймите стороннего консультанта. Такие организации, как Институт SANS (системное администрирование, аудит, сети и безопасность), Институт компьютерной безопасности и Институт обучения MIS, специализируются на проведении подобных тренингов и оказывают поддержку компаниям по всему миру.
Общее обучение пользователей: соблюдение правил
«Одним из ключевых моментов при обсуждении вопросов безопасности является правильная формулировка в соответствии с аудиторией, — говорит Джон О’Лири (John O’Leary), директор по обучению Института компьютерной безопасности, который проводит тренинги, семинары и конференции по компьютерной безопасности. — Нельзя разговаривать с высшим руководством так же, как с группой технических специалистов».
Например, обычному пользователю не нужно знать, как работает межсетевой экран. «Вы должны объяснить конечному пользователю, как это соотносится с его деятельностью, — советует г-н О’Лири, работающий в области компьютерной безопасности уже 30 лет. — Вас спросят: как это влияет на процесс обработки жалоб? на процесс управления производственной линией?»
Г-н О’Лири говорит, что людям нужны как положительные, так и отрицательные стимулы, чтобы они изменили свое поведение. Говоря о безопасности, необходимо объяснить, какие преимущества будут иметь сотрудник и компания при правильном поведении и какой вред будет нанесен при нарушении безопасности. Данные преимущества могут включать бесперебойную работу сетей и возможность более эффективной работы сотрудников. А это, в свою очередь, увеличивает продуктивность всей компании. «Безопасность является просто хорошим инструментом управления и, как следствие, позволяет улучшить каждый аспект работы», — утверждает г-н О’Лири.
При описании негативных последствий г-н О’Лири предлагает использовать реальные примеры. Например, когда в компьютере появляется вирус, вы не можете использовать его и тем более выполнять важные задачи. Кроме того, объясните сотрудникам, что нарушение личной безопасности оказывает воздействие на всю компанию. К таким негативным последствиям можно отнести плохое обслуживание клиентов и судебные иски. «Адвокаты сейчас используют все возможности для того, чтобы заработать на так называемой «ответственности за младших сотрудников». Если вы не установили пакет обновлений и кто-то проник через вашу компьютерную сеть, чтобы атаковать кого-то еще, то вашей компании может быть предъявлен судебный иск», — говорит г-н О’Лири.
При обучении сотрудников поощряйте, а не ругайте их. Г-н О’Лири утверждает, что постоянная негативная обратная связь не стимулирует сотрудников выполнять то, что вы хотите.
Акцентируйте внимание на том, что для обеспечения компьютерной безопасности требуются навыки, которые должны применяться в повседневной работе. В «Практическом руководстве для руководителей среднего и высшего звена», подготовленном Альянсом по обеспечению безопасности в интернете, рекомендуется перед предоставлением сотруднику пароля объяснить ему некоторые важные аспекты обеспечения безопасности. Сотрудник должен знать об основных способах защиты паролей, безопасного использования интернета и защиты от мошенничества в интернете, а также понимать необходимость следования внутренней политике компании.
Для эффективного обучения сотрудников Джон Венатор (John Venator), исполнительный директор компании CompTIA, рекомендует уделять главное внимание проведению тренингов по обеспечению безопасности. Г-н О’Лири предлагает также проводить тренинги по обеспечению безопасности в компании непосредственно на рабочих станциях сотрудников. Кроме того, он рекомендует предоставить этим сотрудникам письменную документацию, которую они могут использовать для получения ответов на вопросы о безопасности.
Обучение ИТ-персонала: стандарты
В беседе с ИТ-персоналом должен участвовать ИТ-сотрудник или консультант, который поможет вам в проведении тренинга. Выбранный ИТ-сотрудник должен хорошо знать все технические аспекты, чтобы суметь ответить на вопросы ИТ-персонала. «Нельзя совершать технические ошибки при разговоре с техническими специалистами, так как вы сразу же потеряете их доверие», — говорит г-н О’Лири.
ИТ-отдел должен удостовериться, что применяемый подход к обучению ИТ-персонала вопросам безопасности и технологиям соответствует отраслевым стандартам и рекомендациям, установленным ведущими организациями по безопасности в данном регионе. Например, в США компании могут обратиться в отдел компьютерной безопасности Национального института стандартов и технологий или в координационный центр CERT университета Карнеги-Меллона. Г-н Венатор рассказывает, что многие компании проводят сертификацию в области обеспечения безопасности, а не просто тренинги. При приеме ИТ-специалистов на работу требуются сертификаты CompTIA, корпорации «Майкрософт» или любой другой аналогичной организации.
Рэндол Палм (Randall Palm), директор по ИТ в CompTIA, говорит, что даже перед тренингом ИТ-персонал может быстро улучшить систему безопасности, установив межсетевой экран или часто загружая антивирусные базы и обновления системы безопасности. Это особенно важно для удаленных пользователей сети. Г-н Венатор также предлагает узнать, какие встроенные средства безопасности имеет программное обеспечение, и обратиться к его поставщику для получения информации о максимально эффективном использовании этих функций.
Обучение руководителей: лидерство
Высшее руководство играет важнейшую роль в обеспечении безопасности данных, поскольку оно устанавливает приоритеты и убеждает сотрудников компании следовать правилам в области безопасности. Чтобы добиться поддержки руководства, г-н О’Лири предлагает сделать акцент на важности применения процедур обеспечения безопасности для бизнеса. «Мы говорим о деньгах, но мы также рассказываем о задаче организации и возможных трудностях компании, вызванных проблемами безопасности», — говорит г-н О’Лири.
Кроме стандартного обучения сотрудников, высшему руководству требуются особые инструкции по защите секретных данных компании, таких как файлы клиентов. Г-н О’Лири говорит, что, например, руководители, которые путешествуют с переносными компьютерами, должны знать, как использовать ПО для шифрования.
Экономичное обучение безопасности
Для обеспечения экономии г-н О’Лири предлагает использовать внутренние ресурсы. «Отдел по обучению сотрудников может подготовить 10-минутный ролик»,— говорит он. Сотрудник ИТ-отдела может провести презентацию на собрании отдела. «Выделите ему 10 минут, чтобы рассказать о шифровании и некоторых темах, связанных с обеспечением безопасности». Чтобы иметь самые актуальные сведения об угрозах компьютерной безопасности в вашей отрасли и регионе, позвольте своему ИТ-персоналу регулярно участвовать в семинарах по безопасности.
Развитие навыков обеспечения безопасности
Чтобы защитить себя, компании должны привить сотрудникам навыки обеспечения безопасности ИТ. Г-н О’Лири говорит, что после обучения персонала действиям по обеспечению безопасности необходимо проверить, достигнуты ли желаемые изменения поведения. Создают ли сотрудники более надежные пароли? Используют ли шифрование путешествующие руководители? Стало ли меньше проблем, вызванных вредоносным кодом, которые можно было предотвратить?
В «Практическом руководстве для руководителей среднего и высшего звена» компаниям предлагается «создавать, укреплять и регулярно проверять политику безопасности». В руководстве рекомендуется применять для этого средства мониторинга систем и сети совместно с процедурами отчета и анализа.
Стандартные методы распространения информации в компании также помогут обеспечить применение необходимых мер. Г-н О’Лири говорит, что можно использовать напоминания по электронной почте, плакаты, уведомления о проблемах и даже ежеквартальные публикации, посвященные вопросам безопасности. «Веб-узел внутренней сети, посвященный ИТ-безопасности, также может быть очень полезен. Для привлечения внимания к узлу можно проводить соревнования с призами, конкурсы и игры», — добавляет он.
В конечном счете, каждый должен осознавать, что обеспечение безопасности информации является неотъемлемой частью современного бизнеса. Угрозы безопасности сети реальны, и они могут поставить под сомнение способность компании обслуживать своих клиентов. Г-н Палм объясняет: «Самая большая ошибка — это почувствовать себя достаточно защищенным и ослабить бдительность. К успеху ведет только ежедневная работа».
Развивайте у сотрудников навыки обеспечения безопасности - Microsoft