Невозможно обеспечить надежную безопасность, лишь совершенствуя конфигурацию систем. Это хорошо видно на примере паролей. В Windows имеется пять различных параметров политики, цель которых - заставить пользователей выбирать трудно разгадываемые пароли, но целеустремленный пользователь обязательно обойдет их, если очень захочет применить слабый пароль. Брандмауэры, системы предотвращения несанкционированного доступа и анализаторы уязвимых мест не компенсируют халатности пользователей или администраторов. Поэтому разъяснительная работа - важнейший компонент плана информационной безопасности любой организации. Даже малым предприятиям необходимо ближе познакомить своих сотрудников с проблемами информационной безопасности. Без солидной программы увеличивается риск оказаться ответчиком в суде и меньше шансы наказать нечестных сотрудников. Но помимо юридических неприятностей, в отсутствие разъяснительной программы возрастает общий риск, а эффективность вложений в безопасность падает. В данной статье рассмотрены основные элементы разъяснительной программы и сделаны предложения по ее успешному выполнению.
Поддержка руководства
Следование разумным процедурам безопасности - не самая увлекательная обязанность пользователей в течение рабочего дня. Действительно, меры безопасности часто вызывают неудобства, будь то необходимость придумать надежный пароль или дождаться окончания процедуры поиска вирусов. Но есть несколько способов, которые помогут довести до сознания сотрудников необходимость следовать политикам безопасности компании.
Личный пример. Если политики безопасности не имеют полной поддержки руководства, то пользователи лишаются стимула к сотрудничеству. Менеджеры должны подавать пример исполнения политик безопасности. Нелегко добиться серьезного отношения к безопасности рядовых сотрудников в организациях, если высшие руководители отказываются менять пароли в соответствии с политикой компании. Займите активную, наглядную позицию. Руководители должны присутствовать на совещаниях по информационной безопасности и принимать в них активное участие. По крайней мере, руководитель должен начать и закончить совещание.
Поддерживайте специалистов по безопасности при выполнении ими служебных обязанностей. Очень важно поддержать специалистов, на которых лежит обязанность применять политику безопасности, в столкновениях с уклоняющимися или противодействующими сотрудниками и подразделениями. Если необходимо освободить отдельных пользователей или подразделения от выполнения общих правил, то следует тщательно формулировать распоряжения, чтобы администраторы безопасности не выглядели беззубыми.
Политики
Компании без политик информационной безопасности и правильной эксплуатации ИТ - идеальная мишень для судебных исков. Кроме того, они лишаются оснований для юридического преследования нарушителей из числа своих сотрудников. Убедитесь, что все пользователи понимают и подписали письменный документ по информационной политики, в котором изложены условия корректного и признаки неприемлемого поведения, и перечислены обязанности пользователей. Следует регулярно вносить изменения в политики с учетом новых технологий (например, диалогового обмена сообщениями), юридических и деловых изменений. Ниже приведены несколько способов добиться от сотрудников серьезного отношения к политике безопасности предприятия.
Позитивное отношение. Постарайтесь позитивно относиться к выгодам информационной безопасности и поощряйте сотрудников, выполняющих требования политики. Например, пройдите по офису после окончания рабочего дня и положите коробку конфет или подарочный сертификат на каждый стол, на котором не лежат без присмотра конфиденциальные бумаги. Проводя аудит паролей, следует награждать пользователей с самым надежным паролем.
Показатели. Руководство обожает цифры, и кроме того, с помощью цифр удобно отслеживать прогресс организации. Как количественно оценить безопасность -- особенно в том, что касается пользователей? Один из способов -- ежеквартальный проверять пароли и учитывать, сколько учетных записей было открыто простым методом подбора по словарю. Сообщите результаты пользователям и научите назначать надежные пароли. Затем следует сравнить результаты аудита паролей следующего и текущего кварталов. Чтобы выяснить, выполняют ли пользователи требования политик безопасности, полезно проводить анонимные опросы.
Обучение. Проводите семинары по безопасности один раз в квартал или чаще. Обучайте пользователей методам выбора и запоминания трудноразгадываемых паролей; научите их распознавать попытки мошенничества и "социальный инженерии", и избегать шпионских программ.
Разнообразные подходы. Используйте различные методы, чтобы напомнить сотрудникам о безопасности. Некоторые компании, таки как Security Awareness Incorporated (http://www.securityawareness.com), выпускают плакаты, ручки, игрушки и учебные пособия. Организуйте семинары по безопасности или убедите начальников подразделений проводить беседы по информационной безопасности несколько раз в год.
Здравый подход. Неустанно идентифицируйте и устраняйте или совершенствуйте близорукие, непрактичные политики и процедуры. Координируйте действия администраторов, чтобы согласовать циклы смены паролей и политик в различных подразделениях и системах. Старайтесь облегчить пользователям выполнение политик и держите их в курсе проблем безопасности. Одним словом, чтобы пользователи выполняли свои обязанности в сфере безопасности, администратор должен сделать свою часть работы.
Творческое отношение
Можно и важно поощрять пользователей заботиться об информационной безопасности. Используйте нестандартные подходы и старайтесь доводить до сотрудников информацию о безопасности как нечто позитивное. Выйдите из своего рабочего кабинета и взаимодействуйте с людьми. Не забывайте о цифрах: руководство активнее поддержит меры безопасности, если дать ему количественные сведения о текущем положении и шагах, предпринимаемых для его улучшения.