...
...
...

безопасность и качество

Концепция тотального управления качеством (Total Quality Management, TQM) не является чем-то новым. Организации всех типов и размеров давно пользуются принципами TQM для непрерывного совершенствования самых разных процессов от розничной торговли и научных исследований до производства и логистики. Но лишь сегодня эти принципы стали впервые применяться в новой важной области – в области сетевой безопасности.

Процедуры безопасности часто распространяются на все предприятие и оказывают непосредственное влияние на отношения с заказчиками, поставщиками и партнерами. Практически все современные организации подключены к сетям и подвержены угрозам, рискам и другим неприятностям, связанным с противоречиями и несовместимостями между правилами безопасности, установленными в самой организации и у ее соседей.

Управление безопасностью должно решать две трудные задачи. Первая из них связана с оценкой эффективности существующих правил и процедур. Вторая задача - сопоставление существующей реальности с требованиями и ожиданиями бизнеса. К сожалению, в большинстве случаев анализ безопасности базируется либо на традиционных экспертных оценках, выполненных небольшими группами специалистов, либо на данных, собранных специализированными системами. В обоих случаях компания оценивает эффективность отдельных, не связанных между собой элементов системы безопасности (правил работы с паролями, функций межсетевых экранов и т.д.) или анализирует изолированные параметры - например, среднее время наработки на отказ. При отсутствии целостного подхода компания зачастую упускает из виду общие правила безопасности, в частности, не учитывает отношение пользователей к этим правилам.

В результате компании с большим трудом справляются с задачами оценки стратегии безопасности и поиска брешей в системах защиты. Некомпетентность источников информации и неточность данных приводят к неверным выводам и решениям, порождают самоуверенность, более того – приводят к взломам сетей, которые вынуждают компанию полностью прекратить деловые операции.

Сотрудники школы менеджмента Массачусетского технологического института (MIT Sloan School of Management) Стюарт Мэдник (Stuart Madnick) и Майкл Сигел (Michael Siegel) разработали простое средство, которое помогает компаниям понять и измерить отношение своих работников и менеджеров к вопросам безопасности. Это средство использует принципы TQM и отличается систематическим научным подходом.

Тотальное управление качеством (TQM) представляет собой сочетание систем оценки качества и систем управления, побуждающих рядовых работников и сотрудников управленческого звена непрерывно оптимизировать деловые процессы. Культура TQM требует от организации с самого начала выполнять все задачи наилучшим образом и постоянно их совершенствовать. Мэдник и Сигел определили около 300 проблем безопасности, охватывающих три принципиально важные области: обеспечение доступности, минимизация уязвимости и гарантии конфиденциальности. Специалисты по безопасности говорят о том же самом в несколько иных терминах (доступность, целостность, конфиденциальность).

Три важнейших области безопасности требуют конкретных действий по пяти направлениям:

- выделение технологических ресурсов для безопасности;
- выделение финансовых ресурсов для безопасности;
- разработка бизнес-стратегии для безопасности;
- разработка правил и процедур безопасности;
- создание культуры безопасности.

Исследователи Массачусетского технологического института хотели выяснить вариации восприятия безопасности в разных функциональных отделах организации и "расширенного предприятия" снизу доверху, от рядовых работников до руководителей высшего звена. Сотрудникам предлагалась простая анкета, заполнение которой занимало не более 15 минут. Респонденты должны были ответить на ряд вопросов о безопасности на предприятии: - Как решается в вашей организации конкретная проблема безопасности (могут ли сотрудники привести примеры решения таких проблем)?

- Насколько важна эта проблема для вашей организации?

- Каково положение дел с этой же проблемой у вашего бизнес-партнера?

- Насколько важна эта проблема для бизнес-партнера?
и т. п.

После сбора анкет наступил главный этап исследования - анализ расхождений (gap analysis). Организация могла, к примеру, получить представление о том, насколько важной считает ту или иную проблему безопасности руководство и на каком этапе находится ее решение в настоящий момент. Расхождение между оценками руководства и текущим положением дел ясно показывает, где именно нужно совершенствовать правила безопасности и менять отношение сотрудников к установленным правилам.

Анализируя ответы сотрудников, организация может лучше понять свои потребности в сфере безопасности, внедрить более совершенные средства и правила защиты и обеспечить непрерывное совершенствование и повышение эффективности своих усилий в этой области. Поставщики и интеграторы систем безопасности могут воспользоваться этим исследованием для разработки более эффективных стратегий, продуктов и услуг.



Джефф Плейтон (Jeff Platon), вице-президент Cisco Systems по маркетингу средств безопасности


© Сетевые решения