Что подразумевается под эффективностью управления, где находится граница между эффективностью и неэффективностью? Если этот вопрос задать экономистам, финансистам, кадровикам, маркетологам, производственникам, то получим совершенно разные ответы. Каждый из них видит предприятие "со своей кочки". Их взгляд может быть правильным, но ограниченным, не создающим полноценную картину.


Содержание

Создание благоприятной среды

В распределении фондов для создания политики мы еще раз видим ценность всесторонней оценки риска. При должном образом осуществленной оценке рисков мы должны получить четкие показатели различных рисков, которым подвергаются информационные ресурсы вашей организации, потенциальные финансовые потери, которые вы можете понести в каждом случае, возможный вред и последствия, и роль, которую политика может играть для смягчения этого риска и минимизации потерь. Эти показатели, вкупе с пониманием ценности ваших информационных ресурсов (которые также можно оценочно получить) должны обеспечить достаточно аргументов для финансовых инвестиций в безопасность.

Культура безопасности

Цепь всегда прочна настолько, насколько прочно в ней самое слабое звено, а самое слабое звено в системе безопасности - конечный пользователь. На любое ваше решение по безопасности всегда найдется какой-то деятель из сотрудников, который сумеет найти противодействие. Он может считать себя при этом чуть ли не гением компьютеров, не осознавая зачастую, какой вред он наносит своими действиями безопасности собственной организации. Если ваши пользователи не понимают ценности ваших информационных ресурсов, то мы можем, конечно, вести с ними войну, но она изначально обречена на провал. Вы должны создать культуру безопасности в вашей организации, чему прекрасно способствует имеющаяся политика безопасности. Далее приведены краткие стратегии, которые можно (и нужно) использовать:

Обучение пользователей – администраторы могут начать «внутреннюю рекламную кампанию», объясняющую ценность общей безопасности, риски, с которыми они сталкиваются, роль политики и обязанности индивидуальных пользователей.

Акцентирование внимания на менеджерах – эти руководители низшего звена обычно и устанавливают «правила игры» для своих подчиненных и наиболее неистово требуют выполнения предписанных вещей, в справедливость которых они лично верят. Если убедить их в потребности в безопасности, то считайте, что половина борьбы выиграна.

Поддерживать сотрудников – служащие, в большинстве своем, лояльны компании, в которой они работают. Имеет смысл быть честными со штатом сотрудников в вопросах безопасности и ее воздействии на благополучие организации. Это обычно помогает снизить время, необходимое персоналу для перестройки к новым реалиям работы. Один из способов состоит в том, чтобы ежедневно (еженедельно/ежемесячно) рассылать результаты оценок безопасности и ревизий. Надо быть абсолютно откровенными с персоналом обо всех случаях вирусных атак, взломов и других инцидентах безопасности.

Положительные эмоции - поскольку хорошо разработанная политика может (и должна) учитывать затраты на обучение и поддержку персонала, то некоторые сотрудники теперь должны быть вознаграждены за бдительность или просто хорошее выполнение требований безопасности. Этих сотрудников можно отобрать по результатам проверок/ревизий, регулярно проводимых сисадминами. В ряде организаций уже через самое короткое время подавляющее большинство сотрудников будет стремиться получить эти, пусть и небольшие, но очень приятные премии. Неизбежно, безопасность организации при этом резко увеличивается, а такая система наград будет являться прекрасным дополнением к системе штрафов за действия, ведущие к нарушениям информационной безопасности.

Перейти на страницу: 1 2 3




© 2024 - www.managewind.ru