Что подразумевается под эффективностью управления, где находится граница между эффективностью и неэффективностью? Если этот вопрос задать экономистам, финансистам, кадровикам, маркетологам, производственникам, то получим совершенно разные ответы. Каждый из них видит предприятие "со своей кочки". Их взгляд может быть правильным, но ограниченным, не создающим полноценную картину.

Содержание

Пример неудачной политики

Для того чтобы продемонстрировать, каким образом неэффективные политики безопасности, либо их отсутствие, делают систему обеспечения ИБ неработоспособной, начнем с рассмотрения простых примеров неудачных (неэффективных) ПБ. На этих примерах мы увидим, что неудачные ПБ (не соответствующие критериям эффективности), приводят к снижению производительности труда пользователей информационной системы (ИС) и, создавая иллюзию "ложной защищенности", только ухудшают общее положение дел с обеспечением ИБ в организации.

Кража оборудования

Производитель электроники приобрел очень дорогостоящее тестовое оборудование для использования в производстве. Отдел безопасности решил, что для обеспечения сохранности этого оборудования необходимо ограничить доступ к нему всего несколькими сотрудниками. На входе в помещение с оборудованием были установлены дорогостоящие электронные замки со смарт-картами. Только старшему менеджеру были выданы ключи от этого помещения. Для выполнения своих обязанностей, помимо старшего менеджера, доступ в помещение с оборудованием был необходим еще 10 сотрудникам, которые не имели собственных ключей и сопровождались в это помещение старшим менеджером.

Первоначально требования данной политики добросовестно выполнялись. Однако вскоре менеджеру надоело выполнять функции по сопровождению сотрудников. Производительность труда снизилась из-за того, что менеджер периодически оказывался недоступен, а кроме него некому было открывать помещение. Отдел безопасности отказался удовлетворить просьбу менеджера о выдаче дополнительных ключей. В итоге была достигнута неформальная договоренность о том, что ключи будут оставляться в ящике стола. Последствия не заставили себя долго ждать .

Однажды, когда менеджер и его сотрудники были на собрании, оборудование было похищено. Ключа тоже найти не удалось. Отдел безопасности предпринял расследование, которое, однако, успехом не увенчалось. После чего решался вопрос о наказании менеджера, ответственного за хранение ключа.

Просуммируем результаты внедрения данной политики:

· Было потеряно дорогостоящее оборудование

· У менеджеров и сотрудников организации сложилось крайне негативное отношение к любым мерам и политикам обеспечения безопасности

· Ворам удалось избежать ответственности

· Дорогостоящие меры защиты не принесли положительного результата

· Данная ПБ потерпела неудачу, потому что она была неудобной для сотрудников организации, и требования этой политики было легко обойти

Разработчики данной политики не учли ее влияние на производительность труда. Этой ошибки можно было бы избежать, если бы они вовлекли в процесс ее разработки сотрудников организации.

Отдел безопасности также не заметил (или не пожелал заметить) тот факт, что требования данной ПБ не соответствовали бизнес-процессам организации. Наличие внутреннего контроля над внедрением данной ПБ позволил бы выявить это противоречие и разработать более эффективную политику [6].