| +13 голоса |
|
Для того чтобы парольная политика хорошо работала, она должна быть не только грамотно составлена, но и качественно доведена до персонала компании – ведь если о существовании закона никто не осведомлен, то какой от него может быть толк?
Доведение парольной политики (само собой разумеется, в рамках общей политики информационной безопасности организации) целесообразно провести в форме инструктажа с последующей сдачей персоналом мини-зачета по темам инструктажа. Как показывает практика, если после инструктажа не проводится проверка доносимых до сотрудников сведений, то эффективность такого мероприятия практически нулевая. При этом даже нет особой необходимости сулить какие-то кары тем, кто не сдаст зачет – в большинстве компаний сам факт наличия зачета заставляет сотрудников мобилизоваться и подойти к нему ответственно.
На инструктаже необходимо сконцентрироваться на том, что должен сделать сам сотрудник для реализации политики информационной безопасности, а также на том, что ждет тех сотрудников, которые в этой реализации не пожелают принять участие. Заставлять сотрудников учить политику «от корки до корки» не только бесполезно, но даже и небезопасно, потому что многие из них (весьма, надо сказать, справедливо) воспримут подобное предложение как издевательство, и отдел информационной безопасности наживет врагов в их лице.
«Парольные» инструктажи можно и нужно периодически повторять – опять-таки, с проведением зачетов после них. Периодичность лучше выбирать не очень частую – вполне достаточно повторения раз в полгода.
Как заставить пароли работать?
Ready, set, buy! Посібник для початківців - як придбати Copilot для Microsoft 365
| +13 голоса |
|
Слабо себе представляю, как я сижу и принимаю зачет у нескольких тысяч человек...наверное это не самая еффективная трата времени ISM. Другое дело онлайн-тренинг. Сейчас это доступно всем, есть бесплатные платформы, в рамках онлайн-обучения это возмножно, и даже обязательно. Но в любом случае онлайн-обучение никогда не заменит по эффективности живое общение. Опять, с современными технологиями его можно организовать например через видеоконференцию.
Ну а касательно паролей...люди предрасположены идти легким путем, соответственно если технически у людей есть возможность создавать легкие пароли, типа qwerty12345, то никакие тренинги, инструктажи, экзамены не помогут. Надо проводить регулярное тестирование паролей для выявления наиболее распространенных - password123, parol123, qazwsx123 и т.п. Опять же, бесплатных инструментов для этого - вагон и маленькая тележка.
"отдел информационной безопасности наживет врагов в их лице" -сотрудники обычно всегда враги отдела информационной безопасности и стараются по мере сил саботировать его предписания. Это идет еще со студенческих лет, когда они старались обмануть админов учебного класса и преподавателей и остается на всю жизнь. Им не нравиться то, что пароли должны быть сложными и регулярно меняться, поэтому они их записывают на мониторах, стикерах расклеенных в разных местах, им не нравиться что до некоторые сайты нельзя зайти прямо с рабочего компьютера и много чего другого не нравиться. Так что любой безопасник должен сразу знать что работает в стане врагов...