вторник, 9 августа 2011 г.

Дайджест ИБ за 1 - 7 августа 2011 года

Обзор самых интересных и полезных сообщений за неделю в блогах по информационной безопасности и не только :-)

В сегодняшнем обзоре:
  • Лучшие посты из русскоязычных блогов по ИБ
  • Лучшие посты из англоязычных блогов по ИБ
  • Интересные статьи и заметки по менеджменту, коммуникациям
  • Стандарты, руководства, лучшие практики, исследования
  • Новости
  • Инциденты за неделю
Лучшие посты из русскоязычных блогов по ИБ
Лучшие посты из англоязычных блогов по ИБ
  • Пост Mike Rothman "Определение "риска"". Майк предлагает использовать относительную (условную) стоимость информационных активов при оценке рисков ИБ, поскольку определение денежной стоимости активов в большинстве случаев очень субъективно и не отражает действительности. При оценке относительной стоимости активов Майк предлагает использовать 3-4 категории. Оценка активов производится на основе ответов на следующие вопросы: 1) что произойдет, если оцениваемая система (актив) перестанет работать? 2) кто использует эту систему (какие подразделения, для каких бизнес-процессов)? 3) насколько легко будет заменить систему при необходимости. Такие вопросы будут вполне понятны бизнесу, что позволит получить адекватные ответы и, в результате, даст объективные и воспроизводимые оценки стоимости активов. Майк рекомендует аналогичным образом поступать и при формировании модели угроз. Не нужно усложнять оценку!
  • Пост Ben Tomhave "Прославляя глупость". Бен рассуждает о ключевой ошибке специалистов по ИБ, которые винят пользователей за то, что те не следуют безопасным практикам, и пытаются решить проблему обучением и наказаниями, а также жесткими ограничениями. Проблема в том, что у пользователей в большинстве случаев нет никаких стимулов, чтобы делать свою работу "безопасно" - им платят за их работу, а не за безопасность. Этот вопрос в последнее время затрагивают многие, однако Бен предлагает иной способ решения проблемы. По его мнению, для этого нужно сделать три вещи: 1) включить соблюдение требований безопасности в должностные инструкции всех сотрудников; 2) учитывать безопасность при оценке работы сотрудника (например, при расчете премии); 3) применять (адекватные) дисциплинарные меры для всех инцидентов безопасности.
Интересные статьи и заметки по менеджменту, коммуникациям
  • Пост Елены Степанцовой "Мотивация, ВНД и управление персоналом", в котором Елена обращает внимание, что мотивация - это не только наказания. Если Вы хотите чтобы работник что-то не делал - в этом случае естественно использовать наказания, если хотите чтобы делал - то действия надо поощрять. Если использовать только наказания, получите устойчивую реакцию избегания, перекладывания ответственности и поиск виноватых на всех уровнях деятельности в компании. 
  • 50 новых правил работы от Робина Шарма. Они в первую очередь ориентированы на бизнес, но большинство из них не менее актуальны и для сферы ИБ. Вот некоторые из них: 1) Вам платят не просто за работу. Вам платят за причиняемые неудобства и за воплощение проектов, которые пугают вас; 31) Переключитесь с бездумной текучки на действительно полезную деятельность; 33) Работайте не ради аплодисментов, а ради профессиональной гордости; 38) Единственное ваше оправдание — это вы сами; 37) Слова могут вдохновлять и уничтожать, так что подбирайте их тщательно.
Стандарты, руководства, лучшие практики, исследования
Новости
Инциденты за неделю

    1 комментарий:

    Darvin комментирует...

    Кстати, интересный пост о том, что длп от Макафи уступает русскоязычным аналогам. Как, впрочем, и отсальные зарубежные системы https://www.blogger.com/comment.g?blogID=4065770693499115314&postID=350058761671154145