Эллен Китцис - CIO новый лидер. Постановка задач и достижение целей

Тут можно читать онлайн Эллен Китцис - CIO новый лидер. Постановка задач и достижение целей - бесплатно ознакомительный отрывок. Жанр: industries. Здесь Вы можете читать ознакомительный отрывок из книги онлайн без регистрации и SMS на сайте лучшей интернет библиотеки ЛибКинг или прочесть краткое содержание (суть), предисловие и аннотацию. Так же сможете купить и скачать торрент в электронном формате fb2, найти и слушать аудиокнигу на русском языке или узнать сколько частей в серии и всего страниц в публикации. Читателям доступно смотреть обложку, картинки, описание и отзывы (комментарии) о произведении.

Читать книгу

Название:

CIO новый лидер. Постановка задач и достижение целей
Автор:

Эллен Китцис
Жанр:

industries
Издательство:

неизвестно
Год:

неизвестен
ISBN:

нет данных
Рейтинг:

3.5/5. Голосов: 101
Избранное:

Добавить в избранное
Отзывы:

Читать комментарии
Ваша оценка:
80

1

2

3

4

5

Эллен Китцис - CIO новый лидер. Постановка задач и достижение целей краткое содержание

CIO новый лидер. Постановка задач и достижение целей - описание и краткое содержание, автор Эллен Китцис, читайте бесплатно онлайн на сайте электронной библиотеки LibKing.Ru

Книга «CIO – новый лидер» объясняет, почему в настоящее время технологии играют основную роль в производстве каждого продукта и предоставления услуги, что означает новый лидер и как стать таким лидером. Главная цель авторов книги – помочь директорам информационной службы (CIO) выбрать правильный путь.

Книга предназначена для руководителей ИТ-подразделений, которые стремятся стать лидерами в преддверии изменения роли информационных технологий и не согласны со своим нынешним положением. Руководители информационных служб должны осознать, какова их позиция сегодня, как она будет видоизменяться, какие новые приоритеты нужно поставить и какие действия предстоит совершить, чтобы действительно стать новым лидером.

Материал, изложенный в данной книге, многократно проверен. Но поскольку вероятность технических ошибок все равно существует, издательство не может гарантировать абсолютную точность и правильность приводимых сведений. В связи с этим издательство не несет ответственности за возможные ошибки, связанные с использованием книги.

Перевод: А. Семенова

CIO новый лидер. Постановка задач и достижение целей - читать онлайн бесплатно ознакомительный отрывок

CIO новый лидер. Постановка задач и достижение целей - читать книгу онлайн бесплатно (ознакомительный отрывок), автор Эллен Китцис

Тёмная тема

Шрифт:

↓

↑

Сбросить

Интервал:

↓

↑

Закладка:

Сделать

Используя решения о стратегии риска, определите, какое поведение приемлемо в данном конкретном случае и отразите ваши решения в вашей корпоративной политике безопасности. Политика, конечно, не многого будет стоить, если вы не определите ответственность ваших сотрудников за внедрение этой политики и не убедитесь, что они следуют вашим предписаниям. Наконец, вы должны выбрать, какие технологии и процессы, основанные на решениях вашей политики, будут использоваться для обеспечения корпоративной безопасности, и управлять этими технологиями постоянно.

Управляйте процессами безопасности постоянно

Управление безопасностью должно основываться на фактах. Как говорит народная мудрость: «Что можно измерить, должно управляться». Убедитесь в том, что вы можете измерить свою безопасность, исходя из своей политики. Первым шагом должна стать централизация безопасности ИТ с полной отчетностью CIO (что может быть специальной работой). Многие компании не ведут статистику атак на них, откликов на эти атаки и эффективности этих откликов. Почти половина руководителей, ответственных за безопасность (CSO – chief security officer), отвечая на вопросы CSO Magazine, сказали, что не отслеживали все атаки и не сообщали о кибер-криминале в полицию [50] . Без четких оценок корпоративная информационная безопасность становится слепой и беззубой. В эти оценки должны входить типы атак (как успешных, так и безуспешных), характеристики атакующих (если они известны), мишени атак, эффективность, стоимость защиты от каждой конкретной атаки, а также потери, связанные с атаками. (См. главу 10, чтобы узнать больше о создании эффективных табло, которые позволят контролировать ваш прогресс.)

Давайте сформулируем некоторые вопросы, которые позволят провести оценку процессов вашей безопасности:

• анализируете ли вы архитектуру безопасности новых приложений, чтобы убедиться в том уязвимости не строятся извне?

• постоянно ли вы следите за доступом пользователей и конфигурацией ПО, чтобы предотвратить уязвимость, которая может стать брешью в защите?

• успеваете ли вы отвечать на вторжение в реальном времени?

• каков статус вашей системы архивирования, восстановления и постоянного бизнес-планирования?

Таблица 9.1.Матрица организации руководства безопасностью

Источник: Таблица разработана на основе «Матрицы ИТ-руководства» из рабочего доклада Питера Вайля и Ричарда Вудхэма «Не только командуйте, но и руководите. Методы эффективного ИТ-руководства» под номером 326, издание Центра МТИ по исследованию информационных систем, апрель 2002 г. Используется с разрешения авторов.

В обеспечении вашей ИТ-безопасности не забывайте об инсайдерах

Многие CIO попадают в простую ловушку, когда пытаются обеспечить эффективное управление риском для информационной безопасности: ужесточая защиту своей компании от атак извне, они даже не рассматривают угрозы, исходящие изнутри. Отдел оптовой торговли ВТ, о котором мы уже говорили раньше, предпринимал важные шаги против внешних атак, но кроме этого, компания разработала специальные подходы для контроля внутренних целенаправленных атак. Как показывает статистика, наиболее успешные атаки совершаются самими сотрудниками компании или происходят при их поддержке. Хотя есть масса внешних рисков для вашей компании, вы должны больше внимания уделять угрозам, исходящих от самих сотрудников вашей компании, включая и высокопоставленных сотрудников.

От таких рисков нельзя избавиться, но их можно ограничить. Если несколько простых шагов для того, чтобы ограничить риск от сотрудников. Первый и основной – это четкий контроль всех новичков и оснований для продвижения. Если вам не удастся сделать это, то провал неминуем. Например, Американское раковое общество штата Огайо (США) приняло в свой штат трех сотрудников с непроверенными анкетами и двух осужденных за кражу и жульничество. К 2000 году они продвинулись по карьерной лестнице ИТ-департамента до руководящих постов и украли около 7 млн долларов [51] .

Вы должны готовить своих сотрудников так, чтобы они подробно знали политику безопасности и сферу своей ответственности. Многие бреши возникают из-за незлонамеренных ошибок персонала компании. Министерство обороны США сообщает, например, что чаще всего злоумышленники получают секретную информацию просто звоня сотрудникам и задавая вопросы [52] . Сколько сотрудников вашей компании точно знают, какую информацию они должны, а какую – не должны сообщать звонящим? Естественно, любая тренировка в этом направлении должна регулярно повторяться, чтобы взбодрить сотрудников, которые, естественно, не думают о безопасности каждый день, а новичков ввести в культуру компании и убедиться, что они готовы поддерживать общий уровень безопасности.

Развивайте архитектуру вашей безопасности

Кроме организации политики и процессов, вы должны смотреть на архитектуру безопасности и более стратегически. Корпоративная безопасность исторически была связана с моделью крепости: статической и не различающей атакующих, неприспособленной к переменам, зависящей от местоположения и полагающейся на очень ограниченный набор решений (крепкие стены и запертые ворота). Очень прочные и большие внешние стены защищали мягкую и непрочную внутренность. Любой человек за воротами – подозрителен, каждый внутри – друг. После того, как вы прошли сквозь ворота, вы можете делать все, что захотите.

Возникающая сегодня новая архитектура безопасности гораздо лучше ориентирована на возникающие риски – не забывайте, что информационная безопасность вся связана с управлением рисками. Возникающую архитектуру иногда называют моделью аэропорта. Она гораздо более гибкая и способна приспосабливаться к ситуации, с большим числом зон безопасности, основанных на различных ролях. «Ворота» в эти зоны могут использовать несколько разных видов идентификации, аутентификации и контроля доступа, в зависимости от роли проникающей личности и предназначения зоны. В результате получается несколько крепостей внутри одной большой крепости.

Модель аэропорта очень хорошо работает сегодня на основе стратегий современных компаний и существующей технологии. Однако в нынешнем сетевом мире предпочтительнее модель динамического доверия, которая строится между двумя любыми точками в компании. Динамическое доверие подразумевает аутентификацию и наличие доверия между двумя любыми участниками контакта в сети. Модель использует целый комплекс перекрывающихся или дополняющих друг друга технологий и предполагает, что все участники транзакции должны идентифицировать и аутентифицировать себя, а также доказать свое право на участие в процессе. Безопасность на основе определенных правил в модели динамического доверия относится как к личностям, так и к окружающим условиям, истории и текущему состоянию сети плюс некоторые дополнительные уровни защиты на основе приложений. Эта модель гораздо лучше соответствует современному миру, населенному идентифицируемыми беспроводными устройствами.