среда, 29 августа 2012 г.

Managing the human factor in information security


Для сдачи кандидатского минимума по английскому я выбрала книгу David Lacey 'Managing the Human Factor in Information Security: How to win over staff and influence business managers' и не пожалела об этом. В книге множество интересных мыслей, привожу свой вольный перевод некоторых из них. 
...
Я спросил одного генерального директора, на что это похоже, быть сегодня во главе большой современной организации.
Он ответил:
‘Это похоже на вождение большого автобуса, за исключением того, что колеса не связаны с рулем.’
Если вы работаете на крупном предприятии, вы уже заметили это явление. Становится все труднее оказывать влияние на ваших коллег руководителей и сотрудников. Конечно, это никогда не было легко.
Но сегодня это еще сложнее. И ситуация на местах гораздо хуже, чем вы думаете. Вы были бы потрясены, если бы Вы провели мониторинг на предмет того, сколько сотрудников компании фактически понимает корпоративную политику и следует ей.
Я знаю это, потому что недавно провел такое исследование, в десятках организаций. Результаты были довольно мрачными. Фактически, многие корпоративные политики не поняты, не доведены до персонала, не осуществлены или не воплощены в жизнь. Однако политика является основой информационной безопасности. Следовательно, или мы не донесли ее смысл, или по некоторым причинам, она игнорируется повсеместно.
Но это происходит не только от нашей некомпетентности. В действительности данное явление характерно для современного сетевого общества.
 ...
В сегодняшнем быстро меняющемся информационно-насыщенном мире, на людей воздействует множество отвлекающих факторов. Неустанный поток электронных писем - только верхушка айсберга. Типичный офисный работник проверяет свою электронную почту по крайней мере 50 раз в день. Но он также просматривает аналогичное количество веб-сайтов. А еще более губительным является растущий поток мгновенных или текстовых сообщений в режиме реального времени.
Потерянная производительность от таких отвлечений, как оценивается, стоит многих сотен миллиардов долларов в год, хотя никто, кажется, не измерил соответствующее увеличение эффективности, которое приносит эта технология. Мнение экспертов поэтому все еще балансирует между выгодами и издержками, представленными новыми сетевыми технологиями.
Но новая технология необходима, чтобы привлечь молодых выпускников. И это является одним из важнейших факторов в растущей конкуренции за привлечение новых талантов.
Не удивительно, поэтому, обнаружить, что лучшие компании, которые стремятся привлекать лучший штат, такие как Голдман Сакс, на настоящий момент относятся к числу наиболее передовых компаний во внедрении новейших сетевых технологий.
...
У современных менеджеров мало времени для спокойного размышления о гипотетических рисках безопасности и их последствиях. И все чаще они предпочитают обращаться к коллегам в сети или на общедоступные веб-сайты для справок по возникающим вопросам, а не просить ответа у официальных консультантов.
Также трудно узнать все тонкости по сложным вопросам. И практически невозможно успешно связать долгосрочные политики и технологические процессы. Когда, например, в последний раз вы читали инструкцию? Тем не менее, это то, что менеджеры информационной безопасности ожидают от сотрудников компании. И даже если вы найдете время, чтобы прочитать ее, надолго вы это запомните? И что заставит вас применить ее?
На самом деле, традиционные подходы к обеспечению информационной безопасности, такие как публикация объемного  руководства по политикам и стандартам, больше не работают. Они могут быть хороши для того, чтобы показать, что вы и ваше руководство соответствуете занимаемым должностям и продемонстрировать как вы выполняете служебные обязанности. Но длительные указания неэффективны как средство воздействия на персонал. Они должны быть отправлены в корпоративную помойку.
Мы должны пересмотреть и модифицировать то, как мы общаемся и исполняем наши политики безопасности. И это не тривиальная задача, потому, что их содержание становится все длиннее, и все более и более сложным.
...
Это становится огромной проблемой – связать комплексную политику безопасности и изменчивую организацию, которая постоянно перестраивается.
...
В частности, нам необходимо перейти от внедрения системы безопасности не столько для галочки, как оборонительной политики, а в большей степени основываться на том, как люди сейчас думают и ведут себя.
Нам нужно принять, понять и использовать социальные сети, которые все чаще используются нашими коллегами и сотрудниками. Электронные сети, на самом деле, не только источник проблемы, но и ключ к ее решению.
 Социальные сети расширяют возможности руководителей, сотрудников и клиентов. Они не работают по той же схеме, как традиционные организационные структуры. Они сопротивляются доминированию, и они разрушают традиционные, иерархические основы власти в организации. Социальные сети ограничивают возможности головных офисов и корпоративных центров, ослабляя влияние корпоративной политики безопасности в организации.
Характер принятия решений меняется, решительно и навсегда. Теперь они более направлены снизу вверх, а ни сверху вниз. Наше лидерство больше не находится исключительно в руках привилегированной группы и их консультантов, которые задают главенствующую политику. Лидерство там, в равноправных сетях и работает через инфраструктуру нашего предприятия. Власть идет к людям.
Форестер Ресерч, компания независимых технологий и маркетинговых исследований, отслеживала эту тенденцию в течение нескольких лет. Среди прочего, они отметили, что доверие к институтам постепенно ослабевает, и что социальные сети подрывают традиционные бизнес-модели.
...
Перспективные компании все чаще обращаются к обзорам мнений широкой общественности о своей деятельности.
.. 
Все менеджеры по связям следят за "блогосферой". Это развивающаяся сеть, которая связывает огромное количество личных веб-журналов, что позволяет им соединиться, взаимодействовать и усиливать мысли популярных личностей.
...
Блоги сильно отличаются от журналистики. Они носят более разговорный характер и больший акцент на личных взглядах, чем на объективной информации. И, в отличие от газет, блоги связаны друг с другом, в результате мощного эффекта агрегации сети.

Не претендую на звание переводчика, но, надеюсь основной смысл идей Дэвида я смогла передать. Рекомендую эту книгу к прочтению!