среда, 10 августа 2011 г.

Люди и их навыки для безопасности #security

   В отличие от контролей безопасности при проблемах с "железом" и ПО тема что делать когда важные для безопасности сотрудники болеют или уходят в отпуска практически не поднимается.


   Данная ситуация может иметь 3 обьяснения:
  •  компаниям все равно что они теряют деньги когда сотрудника нет (простаивают или работают неэффективно СЗИ, такие например как SIEM)
  • компаниям все равно что они теряют деньги круглый год (держа недогруженных сотрудников)
  • компании регулярно проводят тренинги со всеми сотрудниками как эффективнее выполнять работу, так что бы хватало времени и для обязанностей "того товарища"
   Кто-то верит в массовое применение третьего варианта? Я нет:) Однако, легко сказать - обучайте. Так как все таки обучать? Предлагаю следующую последовательность:
  • определить чего обучать именно и кого обучать (если бизнес-процессы таки не формализованы то вот здесь можно и закончить процесс обучения..так как процесс процессу рознь и времени до первого инцидента никто на это не выделит), кстати, теперь понадобятся не просто служебные инструкции, но и нормальная схема замены сотрудников друг другом
  • определить что все таки уже знает обучаемый (желательно чтобы его слова были подтверждены из других источников - сотрудников из других подразделений, документов, выполненных проектов и т.п.)
  • определить сколько это все займет и времени (читать "денег для компании"), может эффективнее будет просто дать обучаемым список и немножко разгрузить для самообучения
  • провести обучение, сравнить уровни знаний до и после (может сравниваться на основе последующей деятельности по замене другого сотрудника)
   Некоторые могут сказать что все это зона ответственности кадровой службы, но позвольте, кадровая служба тоже не должна быть "черным ящиком" и тем не более, не должно быть игнорирование кадрового вопроса в ИБ лицами принимающими решения.

Хорошего дня!

Комментариев нет:

Отправить комментарий