В последнее время проблема информационной безопасности приобрела большую известность. Измученный пользователь всюду читает о компьютерных взломах, хакерских проникновениях, вирусах. Что делать? В небольших фирмах (а зачастую и в больших) работу по обеспечению и поддержанию информационной безопасности пытаются возложить на ИТ-специалистов (администраторов компьютерных сетей). Это в корне неправильно! Если эту работу ведет сисадмин, то кто тогда контролирует его? Как быть, если ворует сам администратор? Или еще хуже: взяли его, молодого, зеленого - и бултых в лужу. Выплывет - хорошо, а не выплывет - другого возьмем. 

Все дело в том, что на системного администратора и так много возложено множество обязанностей, и добавлять еще и работу по безопасности - значит сознательно идти на невыполнение части порученных этому специалисту работ. Именно поэтому и создаются отделы информационной безопасности. В этой связи постараемся рассмотреть два важных вопроса:

  1. Обоснование необходимости создания отдела информационной безопасности.
  2. Подбор персонала для обеспечения безопасности.

Обоснование необходимости создания отдела информационной безопасности

 

Зачем надо защищаться?

 

Ответов на этот вопрос может быть великое множество. Все зависит от конкретного профиля Вашей компании. Для одних главной задачей является предотвращение утечки информации. Другие основное внимание могут уделять целостности информации (например, для банка необходимо обеспечить достоверность платежных поручений - то есть делать так, чтобы злоумышленник не мог внести изменения в платежное поручение). Еще для кого-то (например, для интернет-провайдеров) на первом месте - безотказная работа информационных систем.

 

Когда говорят о безопасности, в первую очередь подразумевается безопасность физическая (заборы, датчики, охрана, собаки). Но как быть, если дело доходит до безопасности информационной? Ведь в єтом случае нет никаких ограждений и прочих привычных вещей, которые можно потрогать руками. Хорошо если руководитель является специалистом в области информационных технологий. А если нет? Необходимо обеспечить соответствие между различными системами информационной защиты и их аналогами из мира физической защиты. Связано это с тем, что мир физической безопасности интуитивно понятен любому человеку, в том числе и руководителям вашей фирмы. Специалисты же по информационной безопасности и руководство компании говорят на разных языках. Первые оперируют техническими понятиями, вторые - экономическими. Основная причина, по которой тормозится обеспечение информационной безопасности, это недостаток понимания со стороны руководства ввиду непонимания вопроса.

 

Хочется отметить, что, как только речь заходит о средствах защиты информации, все сразу вспоминают межсетевые экраны и антивирусные программы. Но ведь это не панацея. Какую бы хорошую программу вы не купили, все равно потребуется человек, который будет ее обслуживать. Нет ничего хуже, чем великолепное антивирусное программное обеспечение, которое содержит старые антивирусные базы. Ведь руководство уверено, что антивирусная защита существует,- однако на самом деле, ввиду быстрого устаревания баз, ценность такого ПО равна нулю. То же самое касается и межсетевых экранов.

 

Любое программное обеспечение, имеющее отношение к защите, нуждается в поддержке. Не трудно посчитать, что содержание отдела защиты информации из трех человек обойдется компании намного дешевле, нежели возмещение возможных убытков. Следует смириться с тем, что данный отдел никогда не будет приносить явной прибыли. Его назначение - уменьшить возможные убытки.

 

По сравнению с физической, компьютерная безопасностью находится еще в младенчестве. Она ориентирована на киберпространство, где все должно быть определено только при помощи нулей и единиц. Что и приводит к непониманию руководством необходимости различных мер защиты. Чтобы обосновать приобретение средств защиты, необходимо объяснить их назначение простым и понятным языком.

 

Итак, будем считать, что вам удалось обосновать необходимость применения средств защиты. Что же выбрать? Универсальных рецептов здесь не существует - можно привести лишь общие рекомендации.

 

Подбор персонала для обеспечения безопасности

 

Существует два пути создания отдела информационной безопасности. Первый - создание отдела за счет подготовки, реорганизации и перераспределения ИТ-специалистов. Так, для отражения вирусной атаки можно привлечь собственных программистов - но в этом случае их основная работа окажется невыполненной. И неизвестно, что обойдется дешевле: набрать новый отдел или дергать своих сотрудников. "Хорошая безопасность означает предотвращение вирусов и атак, их своевременное обнаружение и немедленную реакцию на них. Если вы не создаете команду для обеспечения этого процесса, вы подвергаете свою компанию более высокому риску, связанному с последствиями внешних атак" (Девид Соул, исполнительный вице-директор и директор информационной службы страховой компании Zurich North America).

 

Фактически невозможно оценить урон, который может быть нанесен в результате хакерских атак. Многие специалисты (и авторы этой статьи в том числе) считают, что отвлекать ИТ-персонал от осуществления его прямых функций на обеспечение безопасности нельзя, потому что решение бизнес-задач отодвинет задачи безопасности на дальний план. Ведь основное в компании - получение прибыли, а вовсе не безопасность ради безопасности.

 

Поиск талантливых профессионалов в этой отрасли может быть весьма нелегким, а переподготовка уже имеющихся ИТ-кадров (новичков в области безопасности) - длительной и дорогостоящей. Возможен еще один вариант: привлечение внешних компаний для решения проблем безопасности. Но в этом случае вы должны будете выбрать компанию, которой сможете доверить все свои секреты.

 

Менеджеры, ведущие поиск специалистов по безопасности, знают, что настоящих профессионалов не так много. Разрыв между спросом и предложением на них очень велик.

 

Какие же рекомендации можно дать?

 

Вам самим нужно понять для чего вы нанимаете специалиста. Ни один уважающий себя профессионал в области безопасности не захочет работать в компании, которая сама не понимает, для чего нанимает его.


Будьте готовы к тому, что квалифицированная помощь стоит дорого.
Индустрия безопасности - очень закрытая область, поэтому стоит заранее обратить свой взор в сторону специалистов из секретных служб, из армии. Университеты, которые имеют хорошие учебные программы с курсами по информационной безопасности, тоже могут предоставить начинающих специалистов.


Специалистов можно искать и в компаниях, которые предоставляют услуги по безопасности.


Итак, вы получили хороших специалистов. Что делать дальше? Во-первых, вы должны их удержать. Инструменты, признание и высокий уровень оплаты - вот основные факторы успеха.

 

Инструменты. Профессионалы, работающие в области информационной безопасности, стремятся стать Профессионалами, асами своего дела, специалистами на вершине пирамиды. Использование передовых инструментов и новейших технологий позволит им чувствовать себя на передовых рубежах своей профессии. Если вы обладаете разнообразной информационной средой, не забудьте сказать им об этом. В числе самых желанных "игрушек" для специалистов по безопасности можно назвать Nessus, LAN Guard, XSpider (сканеры сетевой безопасности), Snort (инструментарий для обнаружения атак), RAT (Router Analysis Tool, системный тестер маршрутизаторов).

 

Покажите им их значимость. Для привлечения кандидатов предложите в качестве дополнительных стимулов оплату переподготовки, сертификации и участия в конференциях. Специалисты по безопасности "расцветают" от признания их заслуг - и могут потерять интерес к работе, если не чувствуют поддержки руководства. Это утверждение, конечно, справедливо для любой категории сотрудников - но специалисты в области информационной безопасности имеют самый широкий доступ ко всем вашим секретам. Поэтому в спорах между сотрудниками ИТ и сотрудниками ИТ-безопасности необходимо находить золотую середину (безопасность не мешает бизнесу, бизнес не мешает безопасности).

 

Однако следует помнить и о разумной достаточности безопасности. Если ваши секреты стоят 10 тысяч, неразумно покупать систему безопасности за 100 тысяч.

 

Высокая оплата труда. Основной инструмент признания. Не забывайте, что уровень зарплаты специалиста по безопасности должен быть высоким.

 

Если же вы по той или иной причине не желаете (или не можете) искать специалистов на стороне - обратите внимание на собственный персонал. Наиболее подходящие кандидаты - сетевые администраторы. Они хорошо "подкованы" технически и обладают некоторыми познаниями в области безопасности. Подумайте о возможной переподготовке. Учтите, что кандидаты для переподготовки должны быть добровольцами. Нельзя заставить заниматься безопасностью из-под палки. При отборе кандидатов обращайте внимание на наличие навыков межличностного общения. Основное в работе сотрудника информационной безопасности - умение общаться с людьми.

 

Отобранные кандидаты должны получить подготовку сначала по общим вопросам безопасности, а затем и по более узким. Существует несколько способов подготовки:

  • сертификационные курсы. Несмотря на то что большинство экспертов в области информационной безопасности считает, что сертификация не столь необходима, как навыки и опыт, наличие сертификата об окончании курсов поднимает престиж курсов в глазах самих обучаемых и заставляет их относиться серьезнее к процессу обучения;
  • обучение со стороны поставщиков. Постарайтесь, чтобы обучение проводили поставщики - такие производители инструментов по безопасности, как Symantec, Cisco Systems и Check Point Software Technologies, представляют собственные курсы подготовки по своим продуктам. Однако заметим, что такие курсы стоят очень дорого;
  • ну и, наконец, будьте в курсе событий. Необходимо, чтобы ваши сотрудники регулярно отслеживали угрозы с помощью таких ресурсов, как www.bezpeka.com (Украина), www.security-lab.ru (Россия), www.bugtraq.ru (Россия) и множества других.

* * *


Безусловно, ни одна из указанных мер не поможет, если ваши ИТ-специалисты не понимают необходимости введения мер безопасности. Вы можете нанять тысячу специалистов в области информационной безопасности - и не добиться результата, если ваши сотрудники не осознают необходимость в ней.

2004.04.28
19.03.2009
В IV квартале 2008 г. украинский рынок серверов по сравнению с аналогичным периодом прошлого года сократился в денежном выражении на 34% – до $30 млн (в ценах для конечных пользователей), а за весь календарный год – более чем на 5%, до 132 млн долл.


12.03.2009
4 марта в Киеве компания Telco провела конференцию "Инновационные телекоммуникации", посвященную новым эффективным телекоммуникационным технологиям для решения задач современного бизнеса.


05.03.2009
25 февраля в Киеве компания IBM, при информационной поддержке "1С" и Canonical, провела конференцию "Как сохранить деньги в условиях кризиса?"


26.02.2009
18-19 февраля в Киеве прошел юбилейный съезд ИТ-директоров Украины. Участниками данного мероприятия стали ИТ-директора, ИТ-менеджеры, поставщики ИТ-решений из Киева, Николаева, Днепропетровска, Чернигова и других городов Украины...


19.02.2009
10 февраля в Киеве состоялась пресс-конференция, посвященная итогам деятельности компании "DiaWest – Комп’ютерний світ" в 2008 году.


12.02.2009
С 5 февраля 2009 г. в Киеве начали работу учебные курсы по использованию услуг "электронного предприятия/ учреждения" на базе сети информационно-маркетинговых центров (ИМЦ).


04.02.2009
29 января 2009 года в редакции еженедельника "Computer World/Украина" состоялось награждение победителей акции "Оформи подписку – получи приз!".


29.01.2009
22 января в Киеве компания "МУК" и представительство компании Cisco в Украине провели семинар для партнеров "Обзор продуктов и решений Cisco Small Business"

 

 
 
Copyright © 1997-2008 ИД "Комиздат".