Как построить культуру безопасности

Любая компания, которая хочет, чтобы ее информационные системы действительно находились в безопасности, должна сделать безопасность частю своей корпоративной этики.

Безопасность – это не набор патчей, которые могут исправить какую-то конкретную проблему. Для организации, которая хочет содержать свои информационные системы в полной безопасности, безопасность должна стать неотъемлемым элементом корпоративного духа, качеством, проникающим в каждый элемент компании — в том числе и ее работников.

Первым шагом на пути построения в масштабах предприятия культуры безопасности есть осознание того, что безопасность начинается наверху, в руководстве. Например, в Cisco Systems, безопасность начинается с главы компании Джона Чемберса, который придает свое имя и вес инициативам в области безопасности и следует той же практике и процедурам обеспечения безопасности, как и все остальные сотрудники.

Главное оружие

Безопасность – серьезная часть корпоративной политики, поэтому ее вопросы не могут рассматриваться на уровне департаментов или быть отданы непрофильному отделу. Для полного обеспечения мер безопасности этим вопросом должен заниматься один человек, который будет нести ответственность за их соблюдение.

Многие организации, включая Cisco, General Motors и Amazon.com, имеют в штате CSO (начальник отдела безопасности), либо CISO (начальник отдела информационной безопасности), чья основная работа состоит в принятии необходимых мер для обеспечения должного уровня IT безопасности и аудита систем безопасности для проверки IT систем предприятия на уязвимости от внутренних или внешних угроз.

Обучение

Программа обучения персонала имеет жизненно важное значение для создания и поддержания должного уровня корпоративной безопасности. Учебные материалы могут иметь различные формы, например, брошюры, информационные бюллетени, письма, семинары, видеоролики. Компании, которые стремятся к тому, что безопасность становится частью их жизни, используют различные подходы. Привлечение ряда образовательных средств исключает возможность сотруднику избежать обучения мерам безопасности компании.

Информация о безопасности должна быть легко доступна. Можно, например, создать специально разработанную электронную библиотеку, где разместить материалы, которые помогут сотрудникам узнать о системах защиты информации и данных компании. Сотрудникам нужно рекомендовать использовать систему поиска информации по темам, начиная от электронной почты до шифрования данных.

Процесс взаимодействия — важный инструмент в создании правильной системы безопасности. Очень важно, чтобы вопросы безопасности касались всех сотрудников без исключения. Никто не любит предпринимать дополнительные, трудные шаги только потому, что это — «политика компании». Руководители должны найти время и объяснить, почему необходима такая практика, ответить на вопросы сотрудников и добиться сотрудничества в реализации и обновлении политик безопасности.

Хорошее взаимодействие означает также ориентированность советов по обеспечению безопасности. Хотя многие инструкции по безопасности могут быть применены в масштабах предприятия, некоторые отделы требуют специальных мероприятий, например, напоминания сотрудникам, использующим в работе ноутбуки, правил безопасного использования переносных устройств хранения информации. Использование на досках объявлений слоганов — полезный инструмент для укрепления культуры безопасности. Например, в Cisco сотрудников призывают так: «Сохрани безопасность Cisco» и «Будь чемпионом по безопасности» (Keep Cisco Secure» и «Be a Security Champion.»).

Кроме того, возможна мотивация сотрудников с помощью различного рода наград. Например, сотрудников, которые вносят значительный вклад в обеспечение безопасности предприятия, наградить грамотой и выдать премию. Тем работникам, которые внесли меньший вклад в обеспечение безопасности компании, можно раздать майки с надписью «Чемпион по безопасности». Все победы сотрудников необходимо публично озвучивать на совещаниях или планерках.

Вечный поиск

Политика безопасности предприятия должна быть гибкой, чтобы была возможность адаптировать ее к новым технологиям и новым угрозам. Необходимо делать периодический пересмотр политики безопасности, чтобы быть уверенным, что ваша политика актуальна и не препятствует развитию предприятия. Кроме того, все сотрудники должны думать творчески, вносить свои предложения, излагать свое видение мер безопасности предприятия.

В этом случае вы можете быть уверены, что безопасность действительно является неотъемлемой частью вашей корпоративной культуры.

P.S. А у одного моего знакомого агенства интернет-рекламы, основная деятельность которого — раскрутка сайта, вопросы корпоративной безопасности решаются на высшем уровне.

По мотивам

28 октября 2009 16:41 | Статьи

3 комментария к “Как построить культуру безопасности”

  1. krypton говорит:

    Статья понравилась. Больше бы таких статей для мои коллег.

  2. Vastl говорит:

    Спасибо за инфу!

  3. Блог про IT безопасность » 8 тезисов об IT безопасности на 2011 год говорит:

    […] году. Эти простые советы помогут вам поддерживать безопасность ваших устройств без вложения дополнительных […]

Оставить коментарий