過去6年間、情報セキュリティ、ITリスク管理、およびIT監査の分野で働いていました。
私はつまらない人であるため、個人の有効性の問題に非常に混乱しており、私の仕事の問題の枠組みの中でそれを改善する方法を常に探しています。 これにはトレーニング/認定が含まれます。これにより、知識を体系化し、一般的に認識されているものと比較して実践のギャップ分析を実行し、関心のある同僚と通信できます-私は数年間、技術管理者からトップまでさまざまなレベルの情報セキュリティの専門家と知り合いになりました大企業のマネージャー。 しかし、私にとっての最大の利点は、エンドユーザーとマネージャー、つまりビジネスからフィードバックを得ることができたことです。
私見、私は自分に割り当てられた境界線上で情報セキュリティを普及させることに成功しました(そして、情報セキュリティのレベルを改善することにおいても重要ではありません)と同時に、ISサービスを率いる一部の同僚がどのように失敗するかを見ています。 ISサービスの責任者に任命されたときに失敗する方法を、わずか8つの簡単な手順で説明します。 悪いISサービスマネージャーに至るまでに1年以上、通常は10〜12年かかる場合があります。
1.会社のビジネス機能の所有者と通信しないでください。
ビジネス機能の所有者は、ビジネスのあらゆる分野を担当するトップマネージャーであり、したがって、すべての固有のリスクを負います。 たとえば、銀行を考えてみましょう。小売業の副議長が小売業の仕事を監督し、彼はこのビジネス機能の所有者です。最前線のシステムが機能するかどうか、支店を開くのにどれくらいかかるか、一人の従業員のパスワードをリセットするのにどれくらいかかるかは気にしません販売時点で。 最前線のシステムの耐障害性(可用性)を高めたい場合、予算を調整する人たちの間で、おそらくあなたの議論の影響を受けるのはそれだけでしょう。 別の銀行業務の例は、リモートサービスの副社長/副会長です。 インターネットバンキングシステムの運命を気にしないのは誰ですか? 誰があなたにホットな予約とトークンを導入するというアイデアを推進しますか? インターネットバンキングサーバーがwin2kでホストされ、ドメイン管理者アカウントでradminによって管理されている理由を知っていますか?
2.プロジェクトに参加することはありません
システムが実稼働に入る前にコントロールとセキュリティ機能を実装したくない場合は、IS要件を無視するのに最適なタイミングは、プロジェクトの開始、タイムライン、予算、おおよそのアーキテクチャがふりをする瞬間です。 プロジェクトの実施の最初の段階でリスク評価が行われないと、将来大きな頭痛の種になり、状況を整えるコストが大幅に増加します。 しかし、あなたは物事を整理しません。
3. ISの問題について内部監査人と話すことはありません
結局のところ、あなたは会社で何が起こっているかをよく知っており、外部からの独立した見解を必要としません。
そして最も重要なことは、トップマネージャーに追加の圧力をかける必要がなく、IT \ ISリスクを削減するための措置を取ることを強制することです。
4.リスクベースのアプローチは干渉するだけだから
2,000万のDLP(データ漏えい防止)ソリューションの実装は彼とは連携しないためです。 (230ルーブルで資産を保護することは簡単です)ユーザーのやり取りを監視し、VKontakteに座るのを禁止します。 結局のところ、誰がモチベーションの問題や従業員の忠誠心の向上にどのように対処しても関係ありませんか?
5.ユーザーと通信しない
ユーザーの意見は重要ではありません。ユーザーは情報セキュリティの問題を理解しておらず、先験的に専門家の意見に対して建設的なものに反対できないからです。
導入する変更は、会社の情報セキュリティと労働生産性(もちろん)を高める強制措置です。
6.セキュリティのためにセキュリティを実装します。
Yo Dawg、私はあなたにDLPが好きなので、私はあなたのDLPにDLPを入れました。
多くのコントロールはありませんので、インターネットからのファイルのダウンロードを禁止するとよいでしょう。 そして、アクセスはログインとパスワードによって実行されます。もちろん、ワンタイムSMSパスワードを使用してページ間の各遷移を確認します。 しかし、職場に向かう途中で2つのゲートウェイを通過し、5回パスを提示し、2回署名し、説明文を書いた責任者(金庫に保管されている紙の日誌に記入)による操作の確認後のみ、 X線を通過したときに、フラッシュドライブをポケットから取り出すのを忘れました。
誰もあなたの情報セキュリティポリシーに違反することはできません!
7.会社の経営陣とポリシーを調整しないでください
会社のIBポリシーを指示できないのは誰ですか? 結局のところ、あなたはエキスパートであり、情報セキュリティを確保するために雇われました。 それは簡単です-あなたがあなたがビジネスやユーザーの利益を反映したいなら、あなたは他のポジションに雇われるでしょう。
したがって、インターネットからポリシーをダウンロードし、ブラックジャックをひとつまみ加えて、主要なものの署名にそっと差し込みます。
8.仕事の結果を経営陣から隠す
神が禁じている場合、あなたは仕事の結果を報告するように求められますが、そのレシピは簡単です。 次のスライドを使用してプレゼンテーションを作成します。
-ウイルス対策コンソールからのアンロード、数値が多いほど良い。 これは、最も危険な脅威に関する最も明らかなデータです。 93.8%!!!
-フラッシュドライブを使用した事件の調査の結果を議長に宛てたメモ、長い文字列で構成されるテキストが多いほど良い。 説明文を添付することをお勧めします。
-訪問したリソースとトラフィックの消費量のリストを含むプロキシを使用したアンロード。 視聴者の興味をそそるには、脂っこいサイトを赤で強調し、
しかし、無駄なナンセンスに従事しないようにするには、それで十分です:
-情報セキュリティの大部分はユーザーの意識のみにかかっていることを覚えておいてください(彼は訓練を受ける必要があり、助けられる必要があり、耳を傾ける必要があります)
-従業員および経営陣とのコミュニケーションにおいてオープンかつ積極的になる
-情報セキュリティ管理にトップマネジメントを巻き込み、関心を持ち、サポートを受けます。
-防御するビジネスを理解し、問題の解決策を提示します(問題が現れる前に)
-保護する必要がある資産を理解する
-不要な制御の実装にリソースを費やさないでください。 コストとベネフィットのコンポーネントを覚えておいてください-新たに実装されたセキュリティシステムのコストと、インシデントによる潜在的な定量的損害を見積もるために。
-を閉じないでください。 これは、コミュニケーションにおける一般的な親しみやすさと、差し迫ったIS問題の解決に関心のある他の参加者を引き付ける能力の両方に適用されます(上記の監査の例のように、多くの場合、会社により影響力と独立性があります)。
-アクセシブルな言語で対話を行います。 ユーザーにとって、これは普通の人々の長い間忘れられていた人間の言語です。 経営のために-お金の言語で、リスク削減計画をトップマネージャーの一人に売ることができれば、彼は既にお金を流し込む誰かにそれを売ることができます。
-情報セキュリティの重要な部分はユーザーの意識のみにかかっていることを覚えておいてください(しっかりと保持されます)
-[大企業の実績]情報セキュリティの分野での各成果は、美しいラッパーにパッケージ化され、リーダーの1人に提示されます。 これは、トップマネジメントが通常は問題やネガを解決することによってのみ生きる企業環境での効果的な生活の不可欠な部分であり、その地位を維持しようとします。 あなたがリーダーにそのようなお菓子を持ってきたら、彼はより多くのお菓子を生成するあなたの提案と決定を促進するために努力するでしょう。
このトピックについて話し合うことができて嬉しいです。この記事の誰かが自分の間違いを見て、それについて考えてくれたらさらに嬉しいです。