 |
|
 |
|
Как минимизировать проблемы, обусловленные человеческим фактором
В статье, размещенной 16 июня с.г. на сайте csoonline.com, рассматривается вопрос об ошибках, допускаемых персоналом при пользовании корпоративными сетями. Автор публикации И. Уинклер отмечает, что во всех сферах человеческой деятельности сбои, происходящие по вине людей, являются предметом повышенной озабоченности. Везде, кроме компьютерной отрасли. Почему-то, пишет Уинклер, в области информационных технологий человеческий фактор явно недооценивается.
К примеру, в авиации пилоты проходят тщательную предполетную медицинскую проверку. На промышленных предприятиях тратятся огромные деньги для предотвращения аварий. Размечаются зоны, где может работать строго ограниченное число людей, развешиваются предупреждающие и запретительные знаки, делается многое другое для охраны здоровья рабочих, обеспечения нормального производственного процесса.
Можно ли сказать то же самое относительно компьютерной безопасности? Нет, нельзя, утверждает автор. Огромное число сбоев в работе корпоративной сети, равно как и несанкционированных вторжений извне, происходит по причине непредумышленных ошибок со стороны персонала. В основе таких провалов – недостаток знаний, беспечность, невнимательность, подчас сознательное игнорирование инструкций.
Что касается повышения компьютерной грамотности пользователей, то для этого предназначены специальные тренинги, организуемые компанией. При этом важно не только показать, что и как надо делать, чтобы избежать ошибок, но в первую очередь изменить поведение людей, привить им культуру безопасности.
Относительно невнимательности, несобранности, разгильдяйства дело обстоит сложнее. Пользователи хорошо знают, что можно, а что нельзя делать, но по рассеяности совершают глупейшие ошибки. Автор рекомендует в таких случаях вставлять в компьютерные программы и размещать на служебных местах предупреждения, тревожные знаки, постоянно напоминающие о мерах безопасности. Другой путь – моральное поощрение и материальная мотивация строго следовать букве и духу инструкций.
Теперь о тех персонажах, кто наплевательски относится к рекомендациям и запретам. К примеру, систематически используют один и тот же личный пароль для входа в служебные базы данных. Именно из-за такого отношения к служебным обязанностям хакеры получили доступ к конфиденциальной информации корпорации Сони и нанесли огромный материальный и репутационный урон. Автор статьи не видит иного способа бороться с недисциплинированными сотрудниками как с помощью кнута и пряника – наказанием и поощрением.
Фундаментальное решение проблем, связанных с человеческим фактором, лежит в программах повышения квалификации (awareness programs), чрезвычайно распространенных в западных компаниях. Применительно к области кибербезопасности такие программы предлагают обучение вопросам информационной безопасности (ИБ), повышение осведомленности об актуальных угрозах ИБ, о мерах и способах реализации атак и средствах защиты, фокусируют внимание сотрудников на важности обеспечения ИБ и т.п.
Автор статьи, будучи специалистом в области таких программ, подчеркивает необходимость изучать результативность тренингов, пути повышения их эффективности. При этом материальные и моральные стимулы играют первостепенную роль.
|
вернуться назад
