Подбор персонала для обеспечения безопасности
Существует два пути создания отдела информационной безопасности. Первый – создание отдела информационной безопасности за счет подготовки, реорганизации и перераспределения ИТ - специалистов. Так для отражения вирусной атаки можно привлечь собственных программистов, но в этом случае их основная работа окажется невыполненной. И неизвестно, что обойдется дешевле, взять новый отдел или дергать своих сотрудников. «Хорошая безопасность означает предотвращение вирусов и атак, их своевременное обнаружение и немедленную реакцию на них.
Если вы не создаете команду для обеспечения этого процесса, вы подвергаете свою компанию более высокому риску, связанному с последствиями внешних атак». (Девид Соул, исполнительный вице-директор и директор информационной службы страховой компании Zurich North America) [2]. Фактически, нельзя оценить урон, который может быть нанесен в результате хакерских атак.
Многие, считают, что нельзя отвлекать ИТ - персонал от решения его задач для решения задач безопасности, потому что решение бизнес задач поставит задачи обеспечения безопасности на дальний план. Ведь основное в компании – получать прибыль, а не безопасность ради безопасности.
Поиск талантливых профессионалов по безопасности может быть весьма трудным, а переподготовка имеющихся кадров в области информационных технологий, новичков в области безопасности, весьма долгой и дорогостоящей. Возможен еще один вариант – привлечение внешних компаний для решения проблем безопасности. Но в этом случае вы должны будете избрать ту компанию, которой вам придется доверить все свои секреты. Менеджеры, ведущие поиск талантливых, опытных специалистов по безопасности, знают, что их не так много. Разрыв между спросом на таких специалистов и предложением очень велик.
Какие же можно дать рекомендации?
1.Вам самим нужно понять для чего вы нанимаете специалиста. Ни один уважающий себя профессионал в области безопасности не захочет работать в компании, которая не понимает, для чего его нанимают.
2.Будьте готовы, что квалифицированная помощь стоит дорого.
3.Индустрия безопасности – очень закрытая область, поэтому стоит заранее обратить внимание на специалистов из секретных служб, армии. Университеты, которые имеют хорошие учебные программы с курсами по информационной безопасности, также могут предоставить начинающих специалистов.
4.Можно искать специалистов в компаниях, предоставляющих услуги по безопасности.
Итак, вы получили специалистов. Что делать дальше? После того, как вы нашли хороших работников, вы должны их удержать. Инструменты, признание и высокий уровень оплаты – вот основные факторы успеха.
Инструменты. Профессионалы, работающие в области информационной безопасности, стремятся стать профессионалами с большой буквы, асами своего дела, специалистами на вершине пирамиды. Использование передовых инструментов, самых новых технологий позволит им чувствовать себя на передовых рубежах своей профессии. Если вы обладаете разнообразной информационной средой, не забудьте сказать им об этом. Среди самых желанных «игрушек» для специалистов по безопасности можно назвать Nessus, LAN Guard, XSpider (сканеры сетевой безопасности), Snort (инструментарий обнаружения атак), RAT (Router Analysis Tool, системный тестер маршрутизаторов). Покажите им их значимость.
Для привлечения кандидатов в качестве дополнительных стимулов предложите оплату переподготовки, сертификации и участия в конференциях. Специалисты по безопасности «расцветают» от признания заслуг. Профессионалы в области безопасности могут потерять интерес к работе, если они не чувствуют поддержку руководства.
Это, конечно, справедливо для любой категории работающих, но специалисты в области информационной безопасности имеют самый широкий доступ ко всем вашим секретам. Поэтому в спорах между сотрудниками ИТ и сотрудниками ИТ безопасности необходимо находить золотую середину (безопасность не мешает бизнесу, бизнес не мешает безопасности). Однако следует помнить о разумной достаточности безопасности. Если ваши секреты стоят 10 тысяч долларов, то неразумно покупать систему безопасности за 100 тысяч. Основной инструмент признания – высокая оплата труда. Не забывайте, что зарплата специалиста по безопасности должна быть на высоком уровне. Если вы по тем или иным причинам не желаете или не можете искать специалистов на стороне – обратите внимание на собственный персонал.
Наиболее подходящие кандидаты – сетевые администраторы. Они обладают хорошими техническими знаниями и некоторыми познаниями в области безопасности. Подумайте о возможной переподготовке. Учтите, что кандидаты для переподготовки должны быть добровольцами. Нельзя заставить заниматься безопасностью из-под палки. При отборе кандидатов обращайте внимание на наличие навыков межличностного общения. Основное в работе сотрудника информационной безопасности – умение общаться с людьми. Когда вы определите круг кандидатов, обучите их, они должны получить подготовку по общим вопросам безопасности, а затем по более узким. Существует несколько способов подготовки.
Предложите сертификационные курсы. Несмотря на то, что большинство экспертов в области информационной безопасности считают, что сертификация не столь необходима как навыки и опыт, наличие сертификата по окончании курсов поднимает престиж курсов в глазах обучаемых и заставляет их относиться серьезнее к процессу обучения. Постарайтесь, чтобы поставщики проводили обучение.
Такие производители инструментов по безопасности, как Symantec, Cisco Systems и Check Point Software Technologies, представляют собственные курсы подготовки по своим продуктам. Но такие курсы стоят очень дорого. Будьте в курсе событий.
Необходимо, чтобы ваши сотрудники регулярно отслеживали угрозы с помощью таких ресурсов как www.bezpeka.com (Украина), www.securitylab.ru (Россия), www.bugtraq.ru (Россия), и многие-многие другие. Безусловно, ни одни из указанных мер вам не помогут, если ваши специалисты в области информационных технологий не понимают необходимость введения мер безопасности. Вы можете нанять тысячу специалистов в области информационной безопасности и не добиться результата, если ваши сотрудники не осознают ее необходимость.
Дата добавления: 2015-08-14; просмотров: 616;