33. Подбор персонала для обеспечения безопасности
Существует два пути создания отдела информационной безопасности. Первый – создание отдела информационной безопасности за счет подготовки, реорганизации и перераспределения ИТ - специалистов. Так для отражения вирусной атаки можно привлечь собственных программистов, но в этом случае их основная работа окажется невыполненной. И неизвестно, что обойдется дешевле, взять новый отдел или дергать своих сотрудников. «Хорошая безопасность означает предотвращение вирусов и атак, их своевременное обнаружение и немедленную реакцию на них.
Если вы не создаете команду для обеспечения этого процесса, вы подвергаете свою компанию более высокому риску, связанному с последствиями внешних атак». (Девид Соул, исполнительный вице-директор и директор информационной службы страховой компании Zurich North America) [2]. Фактически, нельзя оценить урон, который может быть нанесен в результате хакерских атак.
Многие, считают, что нельзя отвлекать ИТ - персонал от решения его задач для решения задач безопасности, потому что решение бизнес задач поставит задачи обеспечения безопасности на дальний план. Ведь основное в компании – получать прибыль, а не безопасность ради безопасности.
Поиск талантливых профессионалов по безопасности может быть весьма трудным, а переподготовка имеющихся кадров в области информационных технологий, новичков в области безопасности, весьма долгой и дорогостоящей. Возможен еще один вариант – привлечение внешних компаний для решения проблем безопасности. Но в этом случае вы должны будете избрать ту компанию, которой вам придется доверить все свои секреты. Менеджеры, ведущие поиск талантливых, опытных специалистов по безопасности, знают, что их не так много. Разрыв между спросом на таких специалистов и предложением очень велик.
Какие же можно дать рекомендации?
1.Вам самим нужно понять для чего вы нанимаете специалиста. Ни один уважающий себя профессионал в области безопасности не захочет работать в компании, которая не понимает, для чего его нанимают.
2.Будьте готовы, что квалифицированная помощь стоит дорого.
3.Индустрия безопасности – очень закрытая область, поэтому стоит заранее обратить внимание на специалистов из секретных служб, армии. Университеты, которые имеют хорошие учебные программы с курсами по информационной безопасности, также могут предоставить начинающих специалистов.
4.Можно искать специалистов в компаниях, предоставляющих услуги по безопасности.
Итак, вы получили специалистов. Что делать дальше? После того, как вы нашли хороших работников, вы должны их удержать. Инструменты, признание и высокий уровень оплаты – вот основные факторы успеха.
Инструменты. Профессионалы, работающие в области информационной безопасности, стремятся стать профессионалами с большой буквы, асами своего дела, специалистами на вершине пирамиды. Использование передовых инструментов, самых новых технологий позволит им чувствовать себя на передовых рубежах своей профессии. Если вы обладаете разнообразной информационной средой, не забудьте сказать им об этом. Среди самых желанных «игрушек» для специалистов по безопасности можно назвать Nessus, LAN Guard, XSpider (сканеры сетевой безопасности), Snort (инструментарий обнаружения атак), RAT (Router Analysis Tool, системный тестер маршрутизаторов). Покажите им их значимость.
Для привлечения кандидатов в качестве дополнительных стимулов предложите оплату переподготовки, сертификации и участия в конференциях. Специалисты по безопасности «расцветают» от признания заслуг. Профессионалы в области безопасности могут потерять интерес к работе, если они не чувствуют поддержку руководства.
Это, конечно, справедливо для любой категории работающих, но специалисты в области информационной безопасности имеют самый широкий доступ ко всем вашим секретам. Поэтому в спорах между сотрудниками ИТ и сотрудниками ИТ безопасности необходимо находить золотую середину (безопасность не мешает бизнесу, бизнес не мешает безопасности). Однако следует помнить о разумной достаточности безопасности. Если ваши секреты стоят 10 тысяч долларов, то неразумно покупать систему безопасности за 100 тысяч. Основной инструмент признания – высокая оплата труда. Не забывайте, что зарплата специалиста по безопасности должна быть на высоком уровне. Если вы по тем или иным причинам не желаете или не можете искать специалистов на стороне – обратите внимание на собственный персонал.
Наиболее подходящие кандидаты – сетевые администраторы. Они обладают хорошими техническими знаниями и некоторыми познаниями в области безопасности. Подумайте о возможной переподготовке. Учтите, что кандидаты для переподготовки должны быть добровольцами. Нельзя заставить заниматься безопасностью из-под палки. При отборе кандидатов обращайте внимание на наличие навыков межличностного общения. Основное в работе сотрудника информационной безопасности – умение общаться с людьми. Когда вы определите круг кандидатов, обучите их, они должны получить подготовку по общим вопросам безопасности, а затем по более узким. Существует несколько способов подготовки.
Предложите сертификационные курсы. Несмотря на то, что большинство экспертов в области информационной безопасности считают, что сертификация не столь необходима как навыки и опыт, наличие сертификата по окончании курсов поднимает престиж курсов в глазах обучаемых и заставляет их относиться серьезнее к процессу обучения. Постарайтесь, чтобы поставщики проводили обучение.
Такие производители инструментов по безопасности, как Symantec, Cisco Systems и Check Point Software Technologies, представляют собственные курсы подготовки по своим продуктам. Но такие курсы стоят очень дорого. Будьте в курсе событий.
Необходимо, чтобы ваши сотрудники регулярно отслеживали угрозы с помощью таких ресурсов как www.bezpeka.com (Украина), www.securitylab.ru (Россия), www.bugtraq.ru (Россия), и многие-многие другие. Безусловно, ни одни из указанных мер вам не помогут, если ваши специалисты в области информационных технологий не понимают необходимость введения мер безопасности. Вы можете нанять тысячу специалистов в области информационной безопасности и не добиться результата, если ваши сотрудники не осознают ее необходимость.
- 1. Информационная безопасность
- 2. Информационная безопасность – дело межгосударственное
- 3. Информационная безопасность и геоинформационные системы
- 4. Информационная безопасность и интересы бизнеса
- 5. Информационная безопасность корпоративных (ведомственных) сетей связи
- 6. Каналы утечки информации
- 7. Классификация угроз безопасности информации
- 8. Угрозы, не связанные с деятельностью человека
- 9. Угрозы, связанные с деятельностью человека
- 10. Утечка акустической информации из-за применения подслушивающих устройств
- 11. Прослушивание и запись переговоров по телефонным линиям
- 12. Утечка информации за счет скрытного и дистанционного видеонаблюдения
- 13. Лазерный съем речевой информации
- 14. Основные понятия компьютерной безопасности
- 15. Лицензирование
- 16. Особенности безопасности компьютерных сетей
- 17. Нарушения безопасности сети
- 18. Взлом программного модуля
- 19. Меры защиты информационной безопасности
- 20. Меры защиты: четыре уровня защиты
- 21. Метод авторизации через интернет
- 22. Побитовое копирование cd
- 23. Признаки наличия язвимых мест в информационной безопасности
- 24. Пути утечки информации в вычислительных системах
- 25. Устойчивость к взлому
- 26. Устойчивость к прямому копированию
- 27. Законы ук рф, связанные с «Преступлениями в сфере компьютерной информации»
- 28. Утечка информации при использовании средств связи и различных проводных коммуникаций
- 29. Перехват разговоров по радиотелефонам и сотовой связи
- 30. Использование сети 220 в для передачи акустической информации из помещений.
- 31. Комплексный подход к обеспечению информационной безопасности
- 32. Организованные меры обеспечения защиты информации
- 33. Подбор персонала для обеспечения безопасности
- 34. Краткая характеристика источников информации
- 35. Безопасность оптоволоконных кабельных систем
- 36. Защита информации в оптическом диапазоне частот
- 37. Классификация современных биометрических средств защиты информации
- 38. Принципы построения системы информационной безопасности объекта
- 39. Определение границ управления информационной безопасностью объекта
- 40. Выбор контрмер, обеспечивающих информационную безопасность
- 41. Проверка системы защиты информации
- 42. Составление плана защиты информации
- 43. Реализация плана защиты информации (управление системой защиты информации)
- 44. Практические проблемы обеспечения информационной безопасности
- 45. Новые приборы виброакустической защиты информации
- 46. Персонал как основная опасность утраты конфиденциальной информации
- 47. Особенности приема и перевода сотрудников на работу, связанную с владением конфиденциальной информацией
- 48. Доступ персонала к конфиденциальным сведениям, документам и базам данных
- 49. Текущая работа с персоналом, владеющим конфиденциальной информацией
- 50. Особенности увольнения сотрудников, владеющих конфиденциальной информацией
- 51. Защищенный документооборот
- 52. Технологические системы защиты и обработки конфиденциальных документов
- 53. Принципы учета конфиденциальных документов
- 54. Этапы подготовки конфиденциальных документов
- 55. Защита информации при проведении совещаний и переговоров
- 56. Защита информации при работе с посетителями
- 57. Защита информации в работе кадровой службы
- 58. Нормативно-методические документы по обеспечению безопасности информации