IT-безопасность: стоит ли рисковать корпорацией? | страница 47

При решении проблем безопасности нужно учитывать уровень развития компаний. То, что хорошо для одной компании, может быть ненужным для другой. Каждой компании необходимо понять, что ей нужно от безопасности, а затем перейти к практическому осуществлению этих идей на всех своих уровнях. Из этого процесса не могут быть исключены руководители.

Когда вышестоящие руководители не придают значения безопасности или вообще не хотят за нее отвечать (как будто бы эту работу будут делать другие), то они отправляют сотрудникам нижнего уровня указания, о выполнении которых затем не заботятся. В ответ на это сотрудники нижнего уровня часто теряют интерес к безопасности вообще. Так указания посылать опасно!

Слишком часто руководители сидят довольно высоко, и их контакт с массами ослабевает или теряется вообще. В такой ситуации страдает и безопасность. Рассмотренный нами случай показал, сколько проблем может возникать, когда выполнение обязанностей по укреплению безопасности направляется диктатом сверху.

Просто возвысить голос о важности безопасности недостаточно. Фактически каждому известно, что компьютерная безопасность — это важная проблема. К несчастью, все думают, что эта проблема важна для кого-то другого.

Помните, что мы все отвечаем за защиту и безопасность нашей информации. Это касается как руководителя самого высокого уровня, так и технического работника, стоящего на самой нижней ступеньке.

Когда слишком много уровней вовлечено в поддержание безопасности, сообщения о ее состоянии могут быть неверно истолкованы, неправильно поняты или могут просто потеряться. Если вы являетесь генеральным директором и не можете понять, кто же из ваших руководителей отвечает за безопасность в компании, то пристально вглядитесь в цепочку прохождения распоряжений. Слишком большое количество звеньев может ослабить любую крепкую цепь (рисунок 3.1).

Рисунок 3.1

Если вы находитесь на нижнем конце цепочки, то точно узнайте, кто захотел от вас выполнения данной задачи. Помните, что «руководство» — это лишь понятие, а не имя конкретного лица. К понятию нельзя обратиться, если вы захотите сообщить о решении проблемы или о затруднениях во время работы.

Недавно я беседовала с генеральным директором большой промышленной компании о вопросах безопасности. Она захотела разобраться, как ей узнать о наличии риска для ее сети.