Предоставлять отчеты вышестоящему руководству
Предоставлять отчеты вышестоящему руководству
Недавно я беседовала с генеральным директором большой промышленной компании о вопросах безопасности. Она захотела разобраться, как ей узнать о наличии риска для ее сети.
Я задала ей следующие вопросы:
1. Получали ли вы когда-нибудь итоговые отчеты по вопросам безопасности?
2. Есть ли у вас руководитель службы безопасности?
3. Есть ли у вас эксперты по вопросам безопасности?
Генеральный директор ответила «Нет» на каждый из вопросов. Она также не была уверена в том, проводился ли в ее фирме когда-нибудь аудит безопасности. Она не знала, нанимать ли ей консультанта по вопросам безопасности. Я посоветовала ей попросить своих линейных менеджеров провести аудит безопасности и представить ей одностраничный итоговый отчет в течение 30 дней. Я также сказала: «Если ваши сотрудники не смогут провести аудит безопасности или представить вам итоговый отчет по вопросам безопасности, то, определенно, вы нуждаетесь в помощи со стороны».
Системные администраторы и все те, кого чаще всего обвиняют в проблемах безопасности, должны стараться регулярно представлять итоговые отчеты о состоянии безопасности своему руководству (рисунок 3.2). В идеале в таких отчетах нужно предлагать руководству выделять средства, увеличивать штат, обеспечивать обучение или предоставлять все то, что вам необходимо для решения проблем. В худшем случае нужно представлять просто письменные докладные записки, чтобы прикрыть себя в будущем.
Даже если результаты аудита безопасности будут хорошими и без обнаруженных серьезных рисков для безопасности, руководству все равно нужно представлять итоговый отчет. Как я уже говорила (и много раз!), проблемы безопасности не всегда видны невооруженным глазом. Об этом можно забыть после решения проблемы. Это еще одна причина, по которой высшие руководители должны требовать краткий (в одну страницу) итоговый отчет по вопросам безопасности на регулярной основе.