Денис Муравьев, Генеральный директор «4х4 бюро профессиональных услуг» Сколько не внедряй средства защиты, а любому специалисту в области информационной безопасности хорошо известно, что самое слабое звено в любой системе защиты информации это люди. Необученные должным образом пользователи, которые не знают и не выполняют простейших правил работы с компьютерной техникой, либо думают, что правила к ним не относятся, могут свести на нет эффективность работы всей системы защиты. Поэтому пользователей нужно, как минимум, информировать о правилах, принятых в организации в области информационной безопасности, а как максимум, проводить с ними постоянные тренинги.В области знаний специалиста по информационной безопасности есть специальный раздел, называющийся программа повышения осведомленности персонала (security awareness programme). Рассмотрим несколько определений, что же это такое:SANS: - это процесс, который позволяет проинформировать всех пользователей компьютерной сети, каковы требования политик в области информационной безопасности, каковы принятые правила, что ожидается от пользователей и как следует обращаться с информацией.ISF: - это степень, в которой каждый работник понимает:· Важность информационной безопасности· Уровень информационной безопасности, подходящий для организации· Собственные обязанности в отношении информационной безопасности- и действует правильно.Сотрудников можно и нужно должным образом обучить. В целом, выполнение правил информационной безопасности, должно быть для каждого сотрудника неотъемлемой частью повседневной работы и корпоративной культуры. Сотрудники должны осознавать, что они играют важную роль в обеспечении информационной безопасности. Политики и процедуры должны пониматься и выполняться на всех уровнях организации.Сложность ИТ инфраструктуры значительно увеличивает риски информационной безопасности. При этом, реалии современного бизнеса требуют от компаний подключения к сети Интернет, через которую чаще всего и проводятся атаки злоумышленников. Современные вредоносные программы бывают настолько просты, что могут быть использованы даже детьми, зачастую не понимающими не механизма работы этих программ ни возможных последствий использования. Периметр организации размывается в связи с использованием облачных или мобильных технологий, старые методы защиты уже не годятся. Именно поэтому сотрудники должны быть хорошо обучены, чтобы знать основные угрозы и уметь правильно и своевременно на них отреагировать.Конечно, специалисты по информационной безопасности прекрасно знают о важности программ повышения осведомленности. Почему же во многих организациях эти программы не столь эффективны? Основные проблемы следующие:· Обучение проводится один раз (только для новых сотрудников). Программа не меняется годами.· Людей сложно изменить. Вместе со сменой поколений данная проблема становится менее острой, так как современная молодежь знает азы компьютерной грамонтности.· Недостаток поддержки высшего руководства. Это может проявляться как в нежелании тратить рабочее время сотрудников на обучение по информационной безопасности, в отказе предоставить необходимые ресурсы, так и в том, что вечно занятое руководство само отказывается участвовать в программе. |
©2008-2024 Журнал «Директор по безопасности»
Все права защищены
Копирование информации данного сайта допускается только при условии установки ссылки на оригинальный материал.
Проекты ИД «Отраслевые ведомости»: