Поиск  Пользователи  Правила 
Закрыть
Логин:
Пароль:
Забыли свой пароль?
Войти
 
Страницы: 1 2 3 4 5 6 След.
RSS
Защита от своих
 
Обсуждение статьи Защита от своих
 
жесть. есть о чём задуматься.
Хотя тема противодествия затронута очень несильно. Но это скорее всего тема отдельной статьи.
 
Компании, где людей не ценят-первые жертвы инсайдеров. Скупой платит дважды, а тупой-трижды. Нельзя выжимать из людей все соки и надеяться на лояльность. Вообще управление персоналом-целая наука. Если песоналом управляют с умом-инсайдеры, как класс, отсуствуют.
 
Написано читабельно. Но, кроме вводной теории и интересных фактов "из жизни", ничего нет.
 
Статья написана мной с целью, лишь только обозначения общей темы, только как, раскрытие имеющейся проблемы.
Так, например, следует понимать, что инсайдеры - это не только сотрудники,
ворующие конфиденциальную информацию или портящие имидж компании, а в том
числе и сотрудники, неумышленно разглашающие конфиденциальные сведения и
приносящие другой вред компании просто в силу того, что это возможно в
самой компании в результате принятой там системы работы. Статья адаптирована для понимания топ-менеджерами компаний, поэтому по максимуму из него убраны все специализированные термины.
Весь материал изложен на основе личного практического опыта и его у меня хватит на книгу, методы противодействия и предотвращения вырабатывались в течении нескольких лет... в одной статье можно их лишь обозначить.
 
В качестве полемического задам вопрос, который сам автор задал в начале статьи. А как посчитать эффективность описанных мер защиты от инсайдеров?
Luka
 
По мелочам придираться?
Самая большая группа это банальная ошибка от недостаточной осведомленности (человек просто не знает, как правильно делать, его не просветили), но у Вас в "неумышленниках" числятся только глупость и лень.
Тем самым Вы явно относите связанные с ними инциденты на счет их личностных недостатков, а не своих профессиональных.
Вот радио есть, а счастья нет. (с) Ильф
 
Цитата
Алексей Лукацкий пишет:
А как посчитать эффективность описанных мер защиты от инсайдеров?
Интересный вопрос, причем настолько, что никто и не считает обычно эту эффективность. А не считают, потому что сами меры в комплексе как правило не применяются, т.к. сотрудники служб управления персоналом эту работу как важное  направление своей рабочей деятельности вообще в настоящее время не видят в упор. Важно понимать, что оценка может быть проведена только путем сравнения экономических показателей компании до и после выполнения комплекса мер. В оцениваемые экономические показатели включаются не только доходные, но и расходные статьи бюджета компании . Обычно по моему мнению бывает так, что служба управления персоналом с этими показателями не сталкивается и за них естественно не отвечает
 
по-любому виноват начальник - рыба гниет с головы
 
Цитата
Ригель пишет:
это банальная ошибка от недостаточной осведомленности (человек просто не знает, как правильно делать, его не просветили), но у Вас в "неумышленниках" числятся только глупость и лень.
Тем самым Вы явно относите связанные с ними инциденты на счет их личностных недостатков, а не своих профессиональных.
Посмотрите внимательно еще раз, я пишу в тексте статьи об этом (пример с отправкой содержимого музыкального диска). Речь идет не о профессиональных недостатках сотрудника безопасности, а не достатках принятой в компании системы работы. Встречный вопрос к вам: "кто по вашему мнению должен предупреждать сотрудника о том, как правильно, что либо делать? Сотрудник отдела ИБ, администратор сети или может быть его непосредственный начальник в организации (где работает, например, 3000 человек)?" И как предусмотреть все варианты возможной глупости?
 
Цитата
Гость пишет:
по-любому виноват начальник - рыба гниет с головы
Ха!
Во-первых, не "по-любому": 20% вина самих исполнителей.
Во-вторых, такая формулировка вообще ведет к полному разложению системы (за что и ненавижу этот афоризм), ибо начальник виноват, но он не виноват, т.к. у него тоже есть начальник, а тот виноват, но не виноват, т.к. у него тоже есть начальник, а тот ...
В результате все звенья системы кивают на самое первое лицо и оправдывают этим полную административную дисфункцию организации, как составного организма.
Вот радио есть, а счастья нет. (с) Ильф
 
Цитата
Олег Кузьмин (Alkor) пишет:
кто по вашему мнению должен предупреждать сотрудника о том, как правильно, что либо делать? Сотрудник отдела ИБ, администратор сети или может быть его непосредственный начальник в организации (где работает, например, 3000 человек)?
Раз контора небольшая, то любой из вышеперечисленных.
Но обычно это коллективная роль всех юнитов, занятых в программе осведомления, и вопрос разделения решается по функциональному признаку (документационное обеспечение учит бюрократической культуре, кадры работе с подчиненными, ИТ работе с системами и т.п.), а в одиночку никто не потянет.
Вот радио есть, а счастья нет. (с) Ильф
 
Цитата
Как вам, например, такой случай. Некий не рядовой сотрудник уже упомянутой  компании - оператора связи осенью 2004 года решил воспользоваться корпоративной почтой для отправки содержимого музыкального диска объемом 700 Мб своему другу.
Braindead админ - дыра в любой системе.У остальных сервер просто не будет пытаться это слать вообше... а виноваты как всегда кто угодно кроме админов, ага.
 
Цитата
Ха!
Во-первых, не "по-любому": 20% вина самих исполнителей.
Во-вторых, такая формулировка вообще ведет к полному разложению системы (за что и ненавижу этот афоризм), ибо начальник виноват, но он не виноват, т.к. у него тоже есть начальник, а тот виноват, но не виноват, т.к. у него тоже есть начальник, а тот ...
В результате все звенья системы кивают на самое первое лицо и оправдывают этим полную административную дисфункцию организации, как составного организма.
 Ну если подходить формально, то в любом случае виноват начальник. Задача начальника следить за подчиненными (формально). А раз не доследил значит виноват. А на счет поднятии по лестнице подчиненности, то если вышестоящий начальник не согласен с мерами предлагаемыми нижестоящим (более компетентным) то это уже вина вышестоящего начальника, в противном случае ответственного лица. А что касается вины исполнителей в 20 % это вообще непонятная величина. В рамкам предприятия виноват начальник а в рамках конкретного случая сам провинившийся. С какой точки зрения нужно смотреть, чтобы получить эти 20%?
 
Добрый день.
Мои советы для воспитания лояльных сотрудников:
1) Маленькая, но достаточная зарплата, премия, зависящая от результатов деятельности.
2) Достаточная загрузка работой, умелое распределение задач между сотрудниками (задача непосредственного руководителя)
3) Необходимо выделять какое-то время (обед), какой-то объем интернет трафика для поощрения сотрудников (например, для посещения сайтов развлекательного характера с учетом работы серьезного антивируса, не запрещать использовать средства коммуникации, например ICQ и т.п.). Люди оценят те свободы, которые им даны и которые они не всегда получат в другой организации. Главное - требовать и строго требовать выполнения поставленных производственных задач, а не придираться к 2 минутному опозданию (если работа не связана с клиентами) или 3 Мб трафика с сайта знакомств.
ТОгда сотрудники будут получать удовлетворение от работы, смогут переключаться между различными видами деятельности (спросите психологов насколько это актуально для производительности). Возьмите пример Гугла - одной из крупнейших компаний мира.

Все остальное - на совести администраторов и безопасности. Пользователь не должен иметь прав в сети больше, чем ему нужно для выполнения непосредственных обязанностей. Если он в принципе может отправлять файлы в 700 Мб, ИМХО, это вина администратора почты. Должна быть защита от дурака.

С уважением. Дмитрий.
 
Цитата
Ригель пишет:
Раз контора небольшая, то любой из вышеперечисленных.
Но обычно это коллективная роль всех юнитов, занятых в программе осведомления, и вопрос разделения решается по функциональному признаку (документационное обеспечение учит бюрократической культуре, кадры работе с подчиненными, ИТ работе с системами и т.п.), а в одиночку никто не потянет.
Об этом и идет речь. Не любой из вышеперечисленных, а только тот кто за это отвечает. И в этом месте обычно как раз и начинается забюрокрачивание всей системы, т. е . обычно создается некий бумажный монстр из инструкций, которые никто не выполняет. Я же предлагаю несколько иной подход, при наличии необходимых инструкций, каждый новый пользователь (сотрудник) получает зачетный лист с вопросами, которые ему необходимо знать. В течение предположим первого месяца работы он не допускается к критически важным системам и данным (испытательный срок очень кстати), а изучает все необходимое и сдает зачеты по обозначенным вопросам ответственным за них в компании направленцам (их фамилии проставляются в зачетном листе). Тогда админ не будет мучиться и учить каждого нового бухгалтера как входить в систему, работать с программой и прочими..., сотрудник ИБ примет зачет по своему направлению, ну и т.д.
 
Извиняюсь, гостем вошел в предыдущем сообщении:) . Сообщение для Ригеля от меня было
 
Цитата
Infogreat пишет:
Мои советы для воспитания лояльных сотрудников:
1) Маленькая, но достаточная зарплата, премия, зависящая от результатов деятельности.
Гы классный совет
 
Цитата
Олег Кузьмин (Alkor) пишет:
обычно создается некий бумажный монстр из инструкций, которые никто не выполняет.
новый пользователь (сотрудник) получает зачетный лист с вопросами, которые ему необходимое и сдает зачеты по обозначенным вопросам ответственным за
Нет какого-то единственно верного способа, по-разному можно делать.

Но видится интересный момент: в Вашем варианте осведомление смешивается с обучением, а смотреть надо ширше.
Скажем, Вам может потребоваться "до-довести" до людей не талмуд, а какую-то крохотную дельту, поправочку.
Малюсенький такой патчик накатить на знания тех, кто уже работает.
С будущими работниками все просто - этот новый аспект в талмуд молодого бойца включается.
Но у Вас еще и 3000 уже обученных сидит.
Если степень информатизации высокая, "патчики" будут требоваться часто.
Неужто по-старинке через ознакомление с приказом якобы директора? По каждой ерунде?
Вот радио есть, а счастья нет. (с) Ильф
 
Нельзя однозначно определить эффективность работы службы безопасности, равно как и финансовые потери, (не)произошедшие в результате "информационных инциндентов".. Зачастую весь маркетинг в сфере ИБ - гадание на кофейной гуще.

Начиная с определенной "критической" массы персонала - управляемость стремится к нулю.
Необходима жесткая(окая) и абсолютная политика безопасности, что требует значительных(!) финансовых и трудовых затрат.
Кто сможет озвучить разумный процент затрат (финансовых/трудовых) на безопасность.? По отношению к нативному бизнес-процессу.?
Это 10/90 или 30/70.? Или больше.?

Целесообразно службу информационной безопасности иметь в лице самих информационщиков.
Это менее затратно да и правильнее.
Системный администратор всегда компетентнее своего коллеги-безопасника в технических вопросах, читай - вопросах безопасности..
Мотивация персонала - ключевое слово.

Позитива маловато.. Аффтар, пиши ищоо!!
Страницы: 1 2 3 4 5 6 След.
Читают тему