Security და დიპლომატია - ანუ როგორ არ უნდა ვაქციოთ უსაფრთხოება მარაზმად

დღეს-დღეობით კიბერ და ინფორმაციული უსაფრთხოება უმნიშველოვანესია, განსაკუთრებით ამ პერიოდში და განსაკუთრებით დიდი კომპანიებისთვის.

ალბათ ბევრი რჩევა წაიკითხეთ, როგორ დაიცვათ თავი ვირტუალურ სივრცეში, რა გაითვალისწინოთ, რა დანერგოთ და ა.შ., მაგრამ როგორ, რა მიდგომებით უნდა გააკეთოთ ეს ისე, რომ ეფექტურიც იყოს და არც "უსაფრთხოება იქცეს მარაზმად"?

არავის მოსწონს, როცა მის საქმიანობას აკონტროლებენ ან ერევიან, როცა უწყვეტენ, რა გზით შეასრულონ ესა თუ ის საქმე, როცა ანგარიშს აბარებენ მესამე პირს (ამ შემთხვევაში უსაფრთხოების თანამშრომლებს) თავიანთ თითოეულ ქმედებაზე.

მინდა შევეხო ერთ-ერთ აქტუალურ თემას - უსაფრთხოების პოლიტიკებისა და უსაფრთხოების სხვადასხვა პროფრამული უზრუნველყოფების დანერგვის მტკივნეულ პროცესს კომპანიის შიგნით და გაგიზიაროთ საკუთარი პრაქტიკა ამასთან დაკავშირებით.

აქ გამოვყოფ ორ ნაწილს:

⦁ მიდგომას როგორც ტექნიკურ იმპლემენტაციაში ჩართულ რგოლებთან, ისე თანამშრომელთა იმ ნაწილთან, ვისთანაც ტარდება შერჩეული პოლისები თუ ყენდება უსაფრთხოების ხელსაწყოები; ⦁ იმპლემენტაციის ტექნიკური ნაწილს;

1. ძალიან მნიშვნელოვანია მიდგომა თქვენი მხრიდან და მხარდაჭერის შეგრძნების მოტანა თანამშრომელთა ორივე ტიპისთვის - ვინც გეხმარებათ იმპლემენტაციაში და ვისთანაც ინერგება პოლიტიკები ან/და შესაბამისი პროგრამული უზრუნველყოფა. თანამშრომელს არ უნდა ჰქონდეს შეგრძნება, რომ ვიღაც მის ნაბიჯებს ითვლის, ვიღაც საკუთარივე სმარტფონის კამერით უთვალთვალებს (დიახ, არსებობს ასეთი მითებიც), მოკლედ, "უსაფრთხოება გადადის მარაზმში" (საკმაოდ ხშირად ვხვდები ამ ფრაზას).

2. პრაქტიკამ მაჩვენა, რომ "მიუწვდომელი", ინკოგნიტო გუნდი, რომლის შესახებაც არავინ არაფერი იცის გარდა იმისა, რომ ეს გუნდი მათ უთვალთვალებს და აკონტროლებს და კიდევ ზედმეტ პროგრამებს უყენებს კომპიუტერში, რაც მერე უჭედავთ და აფერხებთ" - ძალიან არაეფექტურია. კარგი შედეგი მივიღე, როცა კონტაქტზე გავდიოდი თანამშრომლებთან, უშუალოდ ვიყავი ჩართული მათთვის ამა თუ იმ პოლიტიკისა და გადაწყვეტილების შესახებ ინფორმაციის მიწოდების პროცესში, პრობლემების მოგვარებაში და როცა გრძნობდნენ ყურადღებას. თანამშრომელი უნდა გრძნობდეს, რომ შესაძლო შეფერხებისას, რაც უსაფრთხოების კონტროლის დამატებითმა მექანიზმმა შეიძლება გამოიწვიოს, აუცილებლად ჩაერთვება შესაბამისი გუნდი და აუცილებლად მოეკიდება ამ შეფერხებას, ან, თუნდაც, დისკომფორტს, ყურადღებით.

3. ასევე მნიშვნელოვანია, თუკი თანამშრომლების მხრიდან რაიმე სახის ინტერაქციაა საჭირო, მათთვის კონსულტაციის გაწევის ნაწილში აქტიურად იყოთ ჩართული და გაუმზადოთ და მიაწოდოთ სწორი და მათზე მორგებული დოკუმენტაცია.

4. თანამშრომელმა უნდა იცოდეს, რისთვის ინერგება ესა თუ ის პოლისი ან უსაფრთხოების ხელსაწყო და თვითონვე გრძნობდეს ამის საჭიროებას, ეს შედეგი კი ისევ და ისევ მასთან სწორი ფორმით კომუნიკაციითა და ინფორმაციულ/კიბერუსაფრთხოებაში ცნობიერების დონის ამაღლებით მიიღწევა. შედეგად მიიღებთ სასარგებლო უკუკავშირს და, მაგალითად, ზარს თხოვნით, რომ "მათ ერთ-ერთ თანამშრომელთან რატომღაც არ გავრცელდა პოლიტიკა და იქნებ გადაუმოწმოთ".

5. არასოდეს მოგერიდოთ შეკითხვების დასმის - დიახ, ქსელის ადმინისტრატორმა, რომელიც უკვე 10 წელია, მუდმივად მუშაობს ამ განხრით, შესაძლოა შეამჩნიოს თქვენზე ბევრად მეტი დეტალი, რაც უსაფრთხოებაში გასათვალისწინებლად მნიშვნელოვანია ან რაიმეს გაკეთება ცუდ შედეგს გამოიწვევს.

არასწორი მიდგომის შემთხვევაში თანამშრომელი აქტიურად ეცდება, გაექცეს ყველაფერს (თუნდაც მათთვის კომფორტის მომტანი ან მათი მუშაობის გაუმჯობესებაზე გათვლილი იყოს), რასაც კი თქვენ შესთავაზებთ, იმიტომ, რომ ყველგან დაგებულ მახეს დაინახავს, ეს კი გარკვეული ტიპის პროტესტს იწვევს. ამიტომ განსაკუთრებით მნიშნელოვანია გახსოვდეთ კიდე ისიც, რომ დიახ, თქვენ ძალიან მნიშვნელოვანი რგოლი ხართ, თუმცა ყველა დანარჩენი რგოლი ისეთივე მნიშვნელოვანია, ამიტომ უმჯობესია შეეცადოთ, მუდმივად არ გაუსვათ ხაზი თქვენს პოზიციას, ნუ გამოიჩენთ ქედმაღლობას, ნურავითარ შემთხვევაში ეცდებით დამტკიცებას, რომ სხვაზე მეტი იცით და ამიტომ არ თვლით საჭიროდ, მათთან, ვისაც ეხება, შეათანხმოთ ესა თუ ის გადაწყვეტილება (ეს დამანგრეველია ნებისმიერ სფეროში).

რაც შეეხება ტექნიკური იმპლემენტაციის ნაწილს - აქ ბევრი არაფერია სასაუბრო, მაგრამ მაინც ღირს რამდენიმე პუნქტის აღნიშვნა: ⦁ საჭირო რგოლების (მაგალითად, IT დეპარტამენტის) ეფექტურად ჩართულობას სწორად შერჩეული და დიპლომატიური მიდგომით მიაღწევთ; ⦁ თანამშრომლებისგან სწორ და ეფექტურ უკუკავშირს კარგი ან ცუდი შედეგის ან ტექნიკური ხარვეზის თუ დისკომფორტის შესახებ, რაც ძალიან მნიშვნელოვანია იმპლემენტაციის და შემდგომ გამართულად მუშაობის პროცესში, ასევე სწორად შერჩეული მიდგომებიდან გამომდინარე მიიღებთ. ⦁ ტექნიკური იმპლემენტაცია აუცილებელია იყოს ეტაპობრივი და დაიწყოთ შესაბამისად შერჩეული მცირე ჯგუფით და ნელ-ნელა გაზარდოთ მასშტაბი.

პირადი მაგალითი უსაფრთხოებისთვის საჭირო პროგრამული უზრუნველყოოფის ტექნიკური იმპლემენტაციის დროს: თითქმის ყოველთვის ვიწყებ ჩემს ოთახში მჯდარი თანამშრომლებისგან, რამდენიმე "შინაური" თანამშრომლისგან და აიტის თანამშრომლებისგან. მათთან კარგი ურთიერთობა (რომელიც სწორად შერჩეული მიდგომებიდან გამომდინარე ჩამომიყალიბდა) მაძლევს საშუალებას, ვთხოვო, შემეხმიანონ, თუ შეამჩნევენ კომპიუტერის შენელებულ მუშაობას, რაიმე ტიპის ხარვეზს, ანომალიას, შეფერხებას, დისკომფორტს და ა.შ., შესაბამისად, სწრაფად და ეფექტურად ვახერხებ ჩარევას და პრობლემს მოგვარებას, ან, ზოგ შემთხვევაში, თუ დისკომფორტი გამოწვეულია პროდუქტის შინაარსიდან გამომდინარე და ეს ასეც უნდა იყოს, ვახერხებ, ავუხსნა, რომ მეტი გზა არაა და მათგანაც პასუხია, რომ ეს მსუბუქი დისკომფორტი მისაღებია.

⦁ მნიშვნელოვანია შეგრძნება, რომ ერთად და ერთობლივი გადაწყვეტილებებით ქმნით უსაფრთხო სამუშაო გარემოს.

⦁. არასოდეს მოგერიდოთ მადლობის თქმის გაწეული კონსულტაციისთვის ან დახმარებისთვის!

ამიტომ, make security positive! პოზიციურობა და დიპლომატია უმნიშვნელოვანესი გასაღებია სასურველი შედეგის მისაღებად.