Как известно, крепость цепи определяется крепостью самого слабого звена. И самым слабым звеном для информационной безопасности являются люди. Как бы мы не закручивали гайки, внедряя изощренные контроли информационной безопасности, как бы не ужесточали правила, без понимания и выполнения их сотрудниками ничего работать не будет.
Закрыли интернет ресурсы? Обойдем! Ввели 18 символьный пароль, который еженедельно меняется и система помнит последние 65535 паролей? Мы его запишем на стикер и на монитор!
Есть еще конечно проверенный годами метод кнута… Но будет ли он работать эффективно? Демотивированный персонал лучше работать не станет. Скорее наоборот. А специалисты по безопасности превращаются в надсмотрщиков.
А ведь часто бывает, что большинство персонала в компании даже не осведомлено о существующих политиках и стандартах в организации!
А если пользователи и знают требования по безопасности, то очень часто их не понимают и недооценивают для чего это необходимо.
Гораздо проще, когда сотрудники компании понимают для чего вводятся меры безопасности и какова их (сотрудников) персональная роль.
Для этого необходимо регулярно доносить до всех сотрудников:
Закрыли интернет ресурсы? Обойдем! Ввели 18 символьный пароль, который еженедельно меняется и система помнит последние 65535 паролей? Мы его запишем на стикер и на монитор!
Есть еще конечно проверенный годами метод кнута… Но будет ли он работать эффективно? Демотивированный персонал лучше работать не станет. Скорее наоборот. А специалисты по безопасности превращаются в надсмотрщиков.
А ведь часто бывает, что большинство персонала в компании даже не осведомлено о существующих политиках и стандартах в организации!
А если пользователи и знают требования по безопасности, то очень часто их не понимают и недооценивают для чего это необходимо.
Гораздо проще, когда сотрудники компании понимают для чего вводятся меры безопасности и какова их (сотрудников) персональная роль.
Для этого необходимо регулярно доносить до всех сотрудников:
- цели и роль информационной безопасности в Компании
- определение конфиденциальной информации
- требования к соблюдению конфиденциальности информации
- обязанности и ответственность сотрудников и третьих лиц (поставщиков, консультантов и т.д.)
- правила безопасной работы с информационными ресурсами Компании
- дисциплинарные меры
- и т.д.
- Определение целей программы. В результате выполнения программы должен быть результат. Например, сокращение инцидентов информационной безопасности, произошедших в результате не выполнения требований ИБ.
- Определение целевых групп. Сотрудников компании нужно объединить в однотипные группы, в зависимости от уровня доступа к информации и выполняемых функций.
- Определение содержания тренингов. Как понятно из названия, определяем контекстное наполнения для тренингов (по тематикам).
- Определение информации для распространения (по группам). Для удобства это можно оформить в виде матриц или таблиц. Какие темы каким целевым группам читаем.
- Способы и средства распространения информации. Чтение тренингов или рассылка текстов для самостоятельного обучения - далеко не единственные способы, которые можно использовать. Есть еще корпоративные порталы, интерактивные системы дистанционного обучения, видео- аудио- ролики, плакаты и т.д.
- Роли и ответственность.
- Методы оценки эффективности программы. Методы, которые позволят нам понять, достигаем ли мы целей. Да, да, тех самых, которые мы определили в первом пункте.
Комментариев нет:
Отправить комментарий