Связь сокращает расстояния!


Безопасность и качество
Тема: Технологии Дата:  6.10.06

Cisco Systems - признанный лидер мирового рынка информационной безопасности. На исследования и разработки в этой области компания ежегодно расходует примерно 10% всех средств, ассигнуемых на НИОКР. Сейчас эта цифра составляет около 300 млн долларов в год, что превышает годовой оборот многих зарубежных компаний, работающих на рынке информационной безопасности. Такой подход позволяет Cisco Systems лидировать практически во всех сегментах рынка средств защиты информации, где представлены решения Cisco®.

Джефф Плейтон (Jeff Platon), вице-президент Cisco Systems по маркетингу средств безопасности, рассуждает о важности применения концепции «тотального управления качеством» в области сетевой безопасности Концепция "тотального управления качеством" (Total Quality Management, TQM) не является чем-то новым. Организации всех типов и размеров давно пользуются принципами TQM для непрерывного совершенствования самых разных процессов от розничной торговли и научных исследований до производства и логистики. Но лишь сегодня эти принципы стали впервые применяться в новой важной области – в области сетевой безопасности.

Процедуры безопасности часто распространяются на все предприятие и оказывают непосредственное влияние на отношения с заказчиками, поставщиками и партнерами. Практически все современные организации подключены к сетям и подвержены угрозам, рискам и другим неприятностям, связанным с противоречиями и несовместимостями между правилами безопасности, установленными в самой организации и у ее соседей. Управление безопасностью должно решать две трудные задачи. Первая из них связана с оценкой эффективности существующих правил и процедур. Вторая задача - сопоставление существующей реальности с требованиями и ожиданиями бизнеса.

К сожалению, в большинстве случаев анализ безопасности базируется либо на традиционных экспертных оценках, выполненных небольшими группами специалистов, либо на данных, собранных специализированными системами. В обоих случаях компания оценивает эффективность отдельных, не связанных между собой элементов системы безопасности (правил работы с паролями, функций межсетевых экранов и т.д.) или анализирует изолированные параметры - например, среднее время наработки на отказ. При отсутствии целостного подхода компания зачастую упускает из виду общие правила безопасности, в частности, не учитывает отношение пользователей к этим правилам. В результате компании с большим трудом справляются с задачами оценки стратегии безопасности и поиска брешей в системах защиты.

Некомпетентность источников информации и неточность данных приводят к неверным выводам и решениям, порождают самоуверенность, более того – приводят к взломам сетей, которые вынуждают компанию полностью прекратить деловые операции. Сотрудники школы менеджмента Массачусетского технологического института (MIT Sloan School of Management) Стюарт Мэдник (Stuart Madnick) и Майкл Сигел (Michael Siegel) разработали простое средство, которое помогает компаниям понять и измерить отношение своих работников и менеджеров к вопросам безопасности. Это средство использует принципы TQM и отличается систематическим научным подходом. "Тотальное управление качеством" (TQM) представляет собой сочетание систем оценки качества и систем управления, побуждающих рядовых работников и сотрудников управленческого звена непрерывно оптимизировать деловые процессы.

Культура TQM требует от организации с самого начала выполнять все задачи наилучшим образом и постоянно их совершенствовать. Мэдник и Сигел определили около 300 проблем безопасности, охватывающих три принципиально важные области: обеспечение доступности, минимизация уязвимости и гарантии конфиденциальности. Специалисты по безопасности говорят о том же самом в несколько иных терминах (доступность, целостность, конфиденциальность). Три важнейших области безопасности требуют конкретных действий по пяти направлениям: выделение технологических ресурсов для безопасности; выделение финансовых ресурсов для безопасности; разработка бизнес-стратегии для безопасности; разработка правил и процедур безопасности; создание культуры безопасности.

Исследователи Массачусетского технологического института хотели выяснить вариации восприятия безопасности в разных функциональных отделах организации и "расширенного предприятия" снизу доверху, от рядовых работников до руководителей высшего звена. Сотрудникам предлагалась простая анкета, заполнение которой занимало не более 15 минут. Респонденты должны были ответить на ряд вопросов о безопасности на предприятии: Как решается в вашей организации конкретная проблема безопасности (могут ли сотрудники привести примеры решения таких проблем)? Насколько важна эта проблема для вашей организации? Каково положение дел с этой же проблемой у вашего бизнес-партнера? Насколько важна эта проблема для бизнес-партнера?

После сбора анкет наступил главный этап исследования - анализ расхождений (gap analysis). Организация могла, к примеру, получить представление о том, насколько важной считает ту или иную проблему безопасности руководство и на каком этапе находится ее решение в настоящий момент. Расхождение между оценками руководства и текущим положением дел ясно показывает, где именно нужно совершенствовать правила безопасности и менять отношение сотрудников к установленным правилам. Анализируя ответы сотрудников, организация может лучше понять свои потребности в сфере безопасности, внедрить более совершенные средства и правила защиты и обеспечить непрерывное совершенствование и повышение эффективности своих усилий в этой области.

Поставщики и интеграторы систем безопасности могут воспользоваться этим исследованием для разработки более эффективных стратегий, продуктов и услуг. Первые результаты исследования оказались весьма интересными. В сентябре этого года они обсуждались на конференции по стандартам безопасности в Бостоне. Более подробную информацию можно получить на сайте MIT в разделе: http://web.mit.edu/smadnick/www/Projects/TSQM/TSQM%20Security%20Exec%20Summary.pdf. # # #О Cisco SystemsCisco Systems, Inc. (NASDAQ: CSCO) - мировой лидер в области сетевых интернет-технологий.

В 2004 году компания отметила 20-летие своей деятельности, неотъемлемыми атрибутами которой являются техническое новаторство, передовые позиции в отрасли и социальная ответственность. Информацию о решениях, технологиях и деятельности компании вы можете найти на www.cisco.ru и www.cisco.com. О текущих новостях Cisco читайте на http://www.cisco.com/global/RU/news/ и http://newsroom.cisco.






Эта статья взята с сайта Связист - Все о связи!.48
http://sviazist.nnov.ru

URL этой статьи:
http://sviazist.nnov.ru/article.php?storyid=780