Искусство обмана

Разработка программы повышения компетентности


Вы можете опубликовать брошюру политики информационной безопасности, можете заставить всех сотрудников посетить страницу на интранет-сайте, но это не избавит вас от угрозы. Компания должна не только определить правила безопасности и утвердить политику безопасности, но и приложить все усилия, чтобы каждый служащий, имеющий дело со служебной информацией или компьютерными системами, научился следовать правилам этой политики. Больше того, каждый должен понимать, что стоит за этими правилами и для чего их необходимо соблюдать. В любом другом случае политика будет игнорироваться, правила превратятся в обузу, и в конечном итоге только навредят вам.

Основная цель программы повышения компетентности заключается в таком воздействии на персонал, которое заставит изменить поведение и отношение сотрудников к проблеме. Служащие должны захотеть стать частью программы защиты информационных активов своей компании. Мотивацией к этому может послужить осознание того, что программа служит на благо не только бизнесу, но и его участникам, конкретным людям. И так как компания обладает частной информацией своих служащих, то, охраняя корпоративные системы и документы, эти служащие защищают что-то, что принадлежит им лично.

Программа компетентности и тренинга безопасности требует значительной поддержки. Усилия, направленные на обучение, должны коснуться каждого служащего, имеющего доступ к служебным системам и информации, эти усилия должны быть последовательными и должны непрерывно совершенствоваться, доводя до персонала данные о новых угрозах, методах нападения и защиты. Служащие должны видеть, что руководство в полной мере вовлечено и программу и нуждается в ней. И участие менеджмента в этом случае не может быть просто показным, вроде «благословляем вас, дети мои». Разработку программы необходимо реально поддерживать и подкреплять ресурсами. То же относится к стадии тестирования политики и более поздним этапам оценки результативности.



Содержание раздела