Бид та бүхэндээ АНУ-ын “Tripwire” програм хангамжийн компанийн 2012 оны 5-р сард гаргасан мэдээллийн технологийн аюулгүй байдлын хамгийн шилдэг 20 сургамжтай явдалаас энэ удаад 5-ийг нь хүргэж байна.

Мэдээллийн аюулгүй байдлын салбарт олон жил ажиллаад ирэхээр бид өөрчлөлт бол мэдээллийн аюулгүй байдлын зөвхөн тогтмол юм гэдгийг ойлгож ирэв. Систем, хүмүүс, танай компанийн аюулгүй байдлын нөхцөл байдал, мэдээлэл үргэлжийн хөдөлгөөнд оршдог.

Мэдээллийн технологийн мөнхийн хувьсах өөрчлөлттэй хөл нийлүүлэхийн тулд бид шинжээч, дадлагажигч нараа суралцсан зүйлээ дамжуулж чадаж байгаа эсэхийг харах зорилгоор туслалцаа үзүүлдэг. Бид “Танд мэдээллийн технологийн аюулгүй байдлын талаар өгөх хамгийн шилдэг, сургамжтай зөвлөгөө юу вэ?” гэсэн нэгэн энгийн асуулт асуулаа.

Та бүхэн аюулгүй байдлын салбарын шилдэг мэргэжилтэнгүүд, сүлжээний администраторууд, компанийн мэдээллийн аюулгүй байдал хариуцсан мэргэжилтэнгүүдийн өгсөн хамгийн шилдэг зөвлөгөөнүүдийг анхааралтай уншаарай. Эдгээр сургамжтай явдалууд бодит амьдралын туршлагаас гарсан нэгэн хянагч, нэгэн салбарын хамтрагч, нэг кейс нь огт танихгүй нэг хүнд тохиолдсон үйл явдалууд юм.

Зөвлөмж #1. Аюулгүй байдал ажиллах боломжийг бий болгох ѐстой болохоос саад болох ѐсгүй

“Би таныг юу хийдэг талаар юу ч мэддэгүй, миний мэдэх юм гэвэл та ажлаа төгс хийдэг ч та намайг ажлаа хийх чадваргүй болгодог” хэмээн нэгэн компанийн удирдах албан тушаалтан одоогийн Met rolinx компанийн Мэдээллийн аюулгүй байдлын зөвлөх Стюварт Аленд 1 хэлэв.

Тухайн нөхцөл байдлын үр нөлөөг шууд ойлгоогүй Ален эрс татгалзан “Тийм ээ би ажлаа сайн хийж байгаа. Бидний мэдээлэл аюулгүй байгаа. Тэгэхээр үүнийг анхааръя” гэсэн хариу өгөв.

Удирдах албан тушаалтан хариуд нь “Аан гээч Стюварт, би чамайг сорьѐ! Над шиг хүмүүст мэдээллийн аюулгүй байдлыг хадгалсан хэвээрээ илүү сайн ажиллах боломжийг олгоход чи өөрийн аюулгүй байдлын ур чадвараа гаргах арга замыг ол” гэж хариулав.

Ален эхэндээ хэлсэн үгийг нь үгүйсгэж байснаа хүлээн зөвшөөрсөн ч энэ үг түүний бодол санаанд хэдэн долоо хоногийн турш буюу мэдээллийн аюулгүй байдлыг хадгалсан хэвээр бизнесийн уян хатан байдлыг бий болгох бүрэн хэмжээний хамгаалалтын ханын бодлого дахин бичих хүртэл толгойд нь эргэлдсээр байв.

Удирдах албан тушаалтны сорилт түүний албан тушаалыг өөрчлөв. Тэрээр тухайн зөвлөгөөг аваагүй байсан бол өнөөдрийнх шиг зөвлөх болохгүй байх байсан. Эцэст нь Алены аюулгүй байдлын уриа үг “Би мэдээллийн аюулгүй байдлын туршлагуудыг үр ашигтай ашиглах замаар ажиллах боломжийг бий болгоно” болов.

Зөвлөмж #2. Хүмүүстэй хамтран ажилла. Тэдэнтэй битгий тэмц.

“Технологи ажиллагсдад Мэдээллийн технологийн газар бараг шаардлагагүй цэгт хүртлээ хөгжжээ. Тиймээс аюулгүй байдлын мэргэжилтэнгүүд ажиллагсадыг барихын тулд тэмцэж эхэлсэн нь балга ус уухын төлөө чармайж байгаатай адил зүйл болов. Тэд юу хүсч байгаагаа хийдэг” гэдгийг N ASA/Dynectics-д олон нийтийн мэдээллийн хэрэгсэлийн стратегич Кевин Жонс2 ойлгов.

“Бид ихэвчилэн хүмүүстэй тэмцэж, технологийн илүү дэвшилтэт системийг нэвтрүүлэхийг оролддог. Хэрвээ та өөрийн мэдээллээ аюулгүй байлгахыг хүсч л байгаа бол хүмүүстэй хамтран ажилла” хэмээв.

“Хүмүүстэй хамтран ажилла” гэдэг нь хэрэглэгчдийн санаа, зан төлвийг ойлгоно гэсэн үг юм. Тэд яагаад хийдэг вэ гэдгийн цаана байгаа шалтгаан бол тэд юу хийдэг вэ гэдэг юм” гэж Жонс хэлэв.

Ханануудыг нураахдаа түншлэлийн аюулгүй ажиллагааг хийх, хэрэглэгчийг илүү зөвөөр ойлгох, уламжлалт аюулгүй байдлын хандлагыг өөрчлөхөд хэдэн сарыг зарцуулсан Жонстой хэлэлцээрт хүрэхэд амар байгаагүй.

Хэрэглэгчдийн сэдэлжүүлэлтийг ойлгох хэрэгцээ нь идэхижүүлэлтийн төлөөлөгч Тони Робинсын хүмүүсийн тодорхой байдал, тодорхой бус байдал, ач холбогдол, хайр, харилцаа холбоо, өсөлт, хувь нэмэр зэрэг үндсэн санааг ойлгох тухай зөвлөмжөөс гардаг.

“Би өөрийн зөвлөгөөндөө, өдөр тутмын үйл ажиллагаандаа Робинсын зөвлөгөөг ашигладаг учраас би хэн нэгний санааг ойлгож, муухай аашинд урам хугаралгүй биеэ барьж чаддаг” хэмээн Бландер хэллээ.

Зөвлөмж #3. Нэгдүгээрт асуудал, дараа нь шийдэл

“Та асуудлаа ойлготлоо шийдэл олохыг бүү оролд” хэмээн мэдээллийн технологийн ахмад удирдах албан тушаалтан SAP -ийн дэд ерөнхийлөгч, бизнесийг сайн явуулахын төлөө номлогч Норман Д.Маркст 3 зөвлөв.

“Та мэдээллийн технологийн аюулгүй байдлын хэтийн төлвөөр аюулгүй байдлын хэмжүүрийн түвшинг тодорхойлохоосоо өмнө эрсдэлийг ойлгох шаардлагатай гэсэн үг” хэмээн Маркс хэлэв.

Марксыг Solectron-д байхад нь удирдах менежерүүд түүнээс компанийн хэмжээнд биет болон мэдээллийн технологийн аюулгүй байдлын хоѐуланд нь зориулж бүх зөөврийн компьютерүүдийг шифрлэх санхүүжилт шаардахыг хүссэн.

Зөвлөмж #4. Үндсэн ойлголтуудыг ахин дахин сургах

“Та өөрийгөө аль хэдийнэ мэддэг гэж боддог эсвэл ерөнхий ойлголт гэж үздэг энгийн зүйлүүдийг ярилцахаас хэзээ ч бүү эмээж байгаарай, харин тийм зүйлийг ахин дахин давтаж байгаарай” хэмээн ESET-ийн нэрт судлаач Арье Горецкий 4 хэллээ.

Аюулгүй байдлын салбарт хамгийн сүүлийн үеийн, хамгийн том аюул, нийтлэг тохиолдох практикуудаар хөөцөлдөхийн оронд та аюулгүй байдлын энгийн практикуудын талаар боловсон хүчнээ ахин дахин сургах нь илүү үр дүнтэй байна хэмээн Горецкий хэллээ.

“Аюулгүй байдлын хамгийн үндсэн ойлголтуудыг зөв хийх талаар мартах нь амархан байдаг. Эхлээд үндсэн ойлголтуудад анхаараад хангалттай бүртгэл хийх нь надад харилцагчдад „хөлөг онгоцыг зөв залах‟, тэдгээрийн орчинд яг юу тохиолдож байгаа талаар олж мэдэхэд нь туслах боломжийг олгодог” хэмээн Industri al Defender-ийн аюулгүй байдал, хяналтын ахлах менежер Жакоб Китчел5 давтан хэлэв.

Зөвлөмж #5. Мэдээллийн аюулгүй байдал, нууцлал ажилтнаас эхэлдэг

“Танай ажиллагсад мэдээллийн нууцлал, хамгаалалтын ач холбогдолыг ойлгохгүй байвал та ямар хамгаалалтын хана, халдлага илрүүлэгч ашиглах нь онц биш” хэмээн мэдээллийн технологийн зөвлөх, “Үл үзэгдэгч дайсан: Хар үнэг”-ийг зохиогч Антони Р.Ховард 6 хэллээ.

“Танай байгууллагын хэн нь ч мэдээллийн аюулгүй байдал, нууцлалын бодлого, оюуны өмчийн хамгаалалт, мэдээлэл алдах зэрэг нь ямар чухал зүйл болох, өөрсдөд нь хэрхэн нөлөөлж болох талаар таныг хэлэхээс нааш тэдгээрийг анхаарч үзэхгүй байвал үүнээс сэргийлэхийн тулд юу хийхийг нь тэдэнд хэлээрэй” хэмээн Ховард зөвлөлөө. Тээрээр мөн компани өөрөө өөрийгөө мэдээллийн хулгайчаас хэрхэн хамгаалж чадах вэ гэдгийг тайлбарлахын тулд веб сургалт зэрэг үндсэн сургалт хийхийг зөвлөдөг.

Эцэст нь таны хийхийг хүсэх зүйл гэвэл таны ажил, ажиллагсадын хувийн амьдрал аль алинд нь хэрэгтэй хамтын үр ашигтай нууцлалын соѐлыг бий болгох байх болно хэмээн Ховард хэллээ.