Înregistrarea conferinței
Experiența practică arată că pentru soluționarea eficientă și eficientă a problemelor legate de securitatea informației este necesară crearea unei diviziuni independente adecvate.
așa că merită să ne amintim că nu există afacere pentru securitate, iar securitatea există pentru afaceri.
În zilele noastre, este dificil să surprinzi pe oricine cu incidente în domeniul securității informațiilor. În ce mai mult, ne confruntăm cu diverse amenințări în acest domeniu. Aproape în fiecare zi aduce tot mai multe informații despre atacurile hackerilor (note, doar găsite și adesea reușite), focare de virusuri, atacuri ale angajaților ofensați. Acestea din urmă au devenit cea mai mare amenințare în diferite organizații.
Imaginea pare sumbră, iar calea este să creeze o unitate bine pregătită - serviciul de securitate a informațiilor sau, așa cum se mai numește, servicii de securitate a calculatorului.
Se pare că puteți să atribuiți aceste sarcini administratorului de sistem sau, cel puțin, să creați o unitate separată - administratorul securității informațiilor din departamentul IT.
Să presupunem că decideți să alegeți una dintre aceste două opțiuni. Să ne uităm la ce va duce.
În primul caz, administratorul de sistem, care se uită la el însuși, se va întoarce și va pleca, gândindu-se că el se ocupă deja de probleme de securitate a informațiilor. Dar are deja o mulțime de lucruri și, prin urmare, fie sarcina de a proteja informația va fi efectuată în ultimul loc, fie calitatea restului lucrării se va înrăutăți. În plus, administratorul de sistem, în virtutea abordării sale în rezolvarea problemelor similare, va încerca să o rezolve exclusiv prin metode tehnice. Și aceasta va duce la faptul că sarcina nu va fi rezolvată, deoarece securitatea informațiilor este un complex de măsuri organizatorice și tehnice, iar soluțiile tehnice nu sunt suficiente aici.
A doua opțiune este mai bună decât cea anterioară, dar nu prea mult. În acest caz, finanțarea protecției informațiilor va fi pusă în aplicare în mod rezidual. Va conduce compania să asculte opinia unui anumit administrator de securitate a informațiilor acolo? Mai ales dacă opinia acestuia din urmă contravine opiniei șefului serviciului IT? Dar orice presupunere a administratorului securității informațiilor va "strica viața" personalului IT. Cât timp credeți că șeful serviciilor IT va tolera un administrator independent de securitate a informațiilor?
Serviciul de securitate a informațiilor ar trebui să fie o divizie independentă și să raporteze direct primei persoane din cadrul organizației.
În cele mai multe cazuri, experții în domeniul securității informațiilor nu înțeleg nimic despre securitatea fizică și invers, astfel încât fuziunea forțată a celor două unități va interfera doar cu munca. Dovezi triste despre acest lucru sunt abundente. Dacă subordonați un serviciu, celălalt pe subordonat va salva pur și simplu. De ce să plătiți ce nu înțelegeți! Experiența mea practică a arătat că, în această etapă, aceste servicii ar trebui să funcționeze în strânsă cooperare, dar nu să fie subordonate reciproc.
În același timp, merită să ne amintim că nu există o afacere care există pentru securitate, dar securitatea există pentru afaceri! La întreprindere, ar trebui creată o structură stabilă "triunghiulară" - "audit - serviciu de securitate a informațiilor - serviciu IT". Este necesar să se definească în mod clar limitele responsabilității, astfel încât serviciul de securitate a informațiilor să nu devină un monstru necontrolabil, cu totul controlat.
Imediat ce vine vorba de securitatea informațiilor, toată lumea își amintește imediat firewall-urile și programele antivirus, dar acest lucru nu este un panaceu. Indiferent de aplicația pe care o cumpărați, veți avea nevoie de o persoană care o va servi. Nu este nimic mai rău decât un software antivirus excelent care conține vechile baze de date antivirus. Managementul este sigur că există protecție anti-virus, dar din cauza îmbătrânirii rapide a bazelor de date antivirus, valoarea sa este zero. Același lucru este valabil și pentru firewall-urile.
În comparație cu securitatea fizică, informațiile se află încă în stadiul inițial de dezvoltare, vorbind figurat, în copilărie. Este orientat spre spațiul cibernetic, unde totul trebuie definit doar cu ajutorul zerourilor și al celorlalte. Aceasta conduce la neînțelegerea de către conducere a necesității unor măsuri de protecție diferite. Pentru a justifica achiziționarea de instrumente tehnice și software adecvate, este necesar să se explice scopul acestora într-un limbaj simplu și ușor de înțeles.
Specialiști, unde ești?
Există două modalități de a crea un serviciu de securitate a informațiilor. Primul este crearea unui departament de securitate a informațiilor prin pregătirea, reorganizarea și redistribuirea profesioniștilor IT. Pentru a respinge un atac de virus, puteți să vă atrageți proprii programatori, dar în acest caz munca lor principală va fi neîmplinită. Și nu se știe că va fi mai ieftin să recruți un departament nou sau să-i atragi angajații. "Buna securitate înseamnă prevenirea virușilor și a atacurilor, detectarea lor în timp util și reacția imediată la acestea. Dacă nu creați o echipă pentru a asigura acest proces, vă expune compania la un risc mai mare asociat cu consecințele atacurilor externe, „- spune David Soule, vicepresedinte executiv director si CIO din Zurich America de Nord Insurance Company.
Căutarea profesioniștilor de securitate talentați poate fi foarte dificilă, iar reciclarea personalului IT existent și a începătorilor de securitate este lungă și costisitoare. O altă opțiune este posibilă - implicarea companiilor externe în rezolvarea problemelor de securitate. Dar în acest caz va trebui să alegeți compania pe care sunteți gata să o încredințați tuturor tainelor.
Managerii care caută experți de securitate talentați și experimentați știu că nu sunt atât de mulți dintre ei. Diferența dintre ofertă și cerere pentru astfel de specialiști este foarte mare.
Recrutare recomandări
- Trebuie să înțelegi de ce angajezi un specialist. Niciun profesionist de securitate care respectă respectul de sine nu va dori să lucreze într-o companie care nu înțelege de ce este angajată.
- Fiți pregătit că ajutorul calificat este costisitor.
- Industria de securitate este o zonă foarte închisă, deci ar trebui să acordați atenție în avans experților din serviciile secrete, armatei.
Universitățile care au programe bune de formare cu cursuri privind securitatea informațiilor pot oferi, de asemenea, specialiști novici.
- Puteți căuta specialiști în companii care oferă servicii de securitate.
Dacă nu doriți sau nu puteți găsi specialiști pentru un motiv sau altul - acorde atenție propriului dvs. personal. Întrebările legate de selectarea candidaților și pregătirea lor vor apărea în mod necesar în fața dvs. Cei mai potriviți candidați sunt administratorii de rețea. Ei au cunoștințe tehnice bune și o idee de rezolvare a problemelor de securitate. Candidații pentru recalificare ar trebui să fie voluntari. Este imposibil să forțezi să fii angajat în siguranță «sub un baston». Atunci când selectați candidații, acordați atenție disponibilității abilităților interpersonale. Principalul lucru în activitatea unui ofițer de securitate a informațiilor este abilitatea de a comunica cu oamenii. Această activitate este legată nu numai de tehnologia și tehnologia, ci și de abilitatea de a vorbi cu oamenii, de a trata problemele organizaționale, de a scrie documente și chiar de a fi un pic de psiholog! În plus, dacă o persoană este angajată în siguranță, atunci ar trebui să înțeleagă că nu are prieteni la acest job! La urma urmei, el trebuie întotdeauna să înțeleagă că ei trădează doar pe propriile lor!
profesioniștii IT și o parte semnificativă a managerilor IT adesea percep ca atractiv o jucărie scumpă, care vrea să „atinge“, pentru a explora, pentru a testa puterea și așa mai departe. N. Problemele întreprinderii, inclusiv securitatea informațiilor, acești oameni pasă, în măsura în care în care vă permit să cumpărați aceleași jucării pentru banii întreprinderii.
Pentru ca inginerii IT să devină specialiști în securitatea informațiilor, conștiințele lor trebuie să se schimbe. Nu ar trebui să se distreze cu jucăriile IT, ci să protejeze întreprinderea. Probabil, acest lucru este cel mai dificil - să-i învețe pe oameni gândirea de gardieni, apărători ai granițelor întreprinderii sau organizației lor. Este așa că băieții care se înfundă fac soldați și ofițeri - apărători ai Patriei.
Deci, ați recrutat candidați la unitate. Ce ar trebui să fie învățați?
Curriculum-ul ar trebui să includă:
- baza teoretică și metodologică de protecție a informațiilor;
- baza legală pentru protecția informațiilor;
- elementele de bază ale criptografiei;
- elementele de bază ale securității informațiilor din rețea;
- auditul securității informațiilor;
- crearea de documente organizaționale în domeniul securității informațiilor (politica de securitate, normele de lucru pe internet, regulile de lucru cu e-mail, politica de autentificare etc.).
Veți spune că este prea mult. Puteți face numai cu programe antivirus, firewall-uri, sisteme de detectare a intruziunilor și așa mai departe.
De fapt, nu. Să încercăm să demonstrăm acest lucru folosind exemplul de utilizare a poștei electronice.
Să presupunem că angajatul dvs. trimite în mod sistematic informații către concurenți prin e-mail. Ce poți să faci dacă găsești asta? Se pare - nimic! Dacă începeți să verificați poșta lui (nu există documente organizaționale în compania dvs., voi aminti), atunci imediat va fi o întrebare - ce a încălcat angajatul dvs.? Regulamentele privind secretele comerciale? Deci nu este. Dispoziția privind inadmisibilitatea trimiterii acestor documente prin intermediul internetului? Și ce fel de oameni? În plus, pentru că tu însuți încalci Constituția, în special capitolul despre corespondența personală. În timp ce documentul nu este adoptat ca toată corespondența să aparțină firmei, ea este personală prin lege! Deci, sper că ați realizat că fără documente semnificative din punct de vedere juridic nu puteți aduce în fața justiției angajatul dvs. În plus, puteți fi, de asemenea, adus în fața justiției.
Să presupunem că ați creat o unitate, ați găsit muncitori buni, acum trebuie să le păstrați. Instrumentele, recunoașterea importanței și nivelul ridicat de plată sunt factorii principali ai succesului.
Instrumente. Profesioniștii care lucrează în domeniul securității informațiilor, se străduiesc să devină profesioniști cu o scrisoare de capital, așii lor, experți în vârful piramidei. Folosirea celor mai noi instrumente și tehnologii le va permite să se simtă în fruntea profesiei lor. Dacă aveți un mediu de informare divers, nu uitați să le spuneți despre acest lucru. Printre cele mai dorite jucării pentru profesioniștii din domeniul securității puteți numi Nessus, LAN Guard, XSpider (scanere de securitate de rețea), Snort (Instrumente de detectare a atacurilor), RAT (Instrument de analiză a routerului, test router sistem).
Nivel ridicat de plată. Acesta este principalul instrument de recunoaștere. Nu uitați că salariul unui specialist în securitate trebuie să fie ridicat.
Este necesar ca angajații dvs. să monitorizeze în mod regulat amenințările cu ajutorul unor resurse precum www.bezpeka.com (Ucraina), www.security-lab.ru (Rusia), www.bugtraq.ru (Rusia) și multe altele.
Desigur, niciuna dintre aceste măsuri nu vă va ajuta în cazul în care profesioniștii dvs. IT nu înțeleg necesitatea măsurilor de securitate.
literatură
Vladimir Bezmaliy - șeful programului de instruire pentru administratorii de securitate a informațiilor din centrul de instruire "Academia de BMS Consulting", [email protected]
Distribuiți materialul împreună cu colegii și prietenii
Astăzi este puțin probabil să găsească o organizație în care nimeni nu s-ar fi gândit vreodată să protejeze informațiile. În același timp, nu este întotdeauna posibilă înțelegerea corectă a securității informațiilor ca un complex de măsuri organizatorice și tehnice. Cel mai important.
Acest lucru este doar teoretic întreprinderile mici și mari diferă în ceea ce privește numărul de personal și cifra de afaceri. De fapt, există mai multe diferențe, inclusiv în domeniul securității informațiilor. Obiectivele întreprinderilor mari și mici sunt aceleași - realizând un profit.
Acest simbol poate fi folosit pentru a rezolva diverse sarcini legate de criptografie, semnătură digitală și autentificare. O gamă largă de utilizare a acestor dispozitive ascunde o problemă serioasă. Cu cat firma este mai mare, cu atat mai mult timp va fi cheltuita.
În orice organizație, o condiție esențială pentru crearea unei strategii eficiente de securitate este o relație bine stabilită între directorul serviciului de securitate și CEO-ul. Doar prin eforturi comune pot atinge nivelul investițiilor în.
Trimiteți-le prietenilor: