Тема здається зрозумілою: безпека інформації, тож наймаємо айтішника, хай працює. Проте захист інформації — це не стільки технічне питання, скільки адміністративне. І ніхто інший як керівник, повинен бути обізнаний в цьому.
Розумне керівництво має не тільки контролювати якість роботи свого сисадміна, а й інвестувати в його кваліфікацію. Так, саме інвестувати. Тому що «якісний» IT-спеціаліст повинен постійно вдосконалюватися, адже прогрес на місці не стоїть і хакерські атаки також вдосконалюються.
А от в підході до загальної безпеки, потрібно не тільки опрацьовувати технічні аспекти захисту даних, а й прописувати алгоритми та правила для працівників підрозділів компанії. Абсолютно різних правил для кожного відділу бути не може. Потрібно розробляти загальні правила з деякими нюансами, беручи до уваги специфіку роботи кожного відділу. Між підрозділами повинен бути встановлений постійний зв’язок.
Чим кваліфікованіший IT-спеціаліст, тим більше додаткових засобів безпеки він пропонує, наприклад, алгоритм письмового підтвердження права доступу працівника до даних.
У великих компаніях працює цілий відділ IT-спеціалістів. Але на малих підприємствах керівники не вважають за потрібне брати більше одного працівника цієї сфери. Все ж потрібно мати як мінімум двох фахівців та розподіляти між ними обов’язки з інформаційної безпеки. Наприклад, один фахівець технічно забезпечує безпеку даних, інший бере на себе контроль за цим процесом.
Багато керівників (власників) вважають занадто витратним вкладання в інформаційну безпеку. Це хибна позиція, адже кваліфікація IT-працівників, їх кількість — це не витрати, а інвестиція. Якісний підхід до цього питання забезпечить збереження прибутку компанії у великих масштабах. І саме цю ініціативу має впроваджувати керівник (власник), а не працівник IT-департаменту.
Контроль за безпекою периметру — це не разова акція, а регулярна практика. Протоколи повинні прописуватися заздалегідь. Тобто адміністративної роботи ані трохи не менше, ніж технічної. Отже, хочете безпеку — вмійте нею керувати.
А головною персоною є людина, яка займає позицію контролера інформації. Адже він має абсолютний доступ усюди. До такої людини повинна бути лояльність керівництва. Але разом з тим і великі вимоги. Нема нічого страшнішого за працівника, який звільнився та прихопив з собою великий шмат інформації. Авгієві конюшні можна чистити довго :)
Всі теми блогу:
- Вірусні листи
- Людський фактор
- ІT-департамент
- Соціальна інженерія матеріал очікується
- Переживаємо “Маски-Шоу” (рейдерські захопи). Технічні рішення матеріал очікується
- “Маски-шоу”: законодавчі аспекти матеріал очікується
- Персональна відповідальність: документація матеріал очікується
- Робота з персоналом: тестування матеріал очікується
- Міжнародні стандарти. Сертифікація pci dss матеріал очікується
- Міжнародні стандарти. Сертифікація DA dss матеріал очікується
Джерело: блог «Актуальні питання інформаційної безпеки. Як боротися з проблемами захисту даних»
