Motivação para segurança por interesses próprios
É visto que as áreas de
segurança pecam em muitas organizações
em seu ponto de vista de como
a unidade de segurança de informação e
controles técnicos poderem afetar o desempenho dos usuários da organização e
administradores de sistema para assegurar que os controles e práticas trabalhem
efetivamente . Muitos usuários a praticam
de lábios , eles têm poucos esforços de segurança quando eles não estão
sendo assistidos ou até sofreram uma perda,
mas a segurança deteriora no final das contas por falta de uma motivação
natural, contínua em face à pressão dominando de desempenho de trabalho.
Em contraste, computadores mantêm seus perfis de segurança
porque é construído no sentido de usarem tais recursos quando customizados para
isto (isto é se administradores e usuários não
mexam com estes recursos). É necessário
construir a base de segurança no desempenho das pessoas. Muitos peritos
de segurança de informação reclamam a que não pode ser feito, porque o
desempenho de segurança não pode ser medido, contudo eles estão ansiosos em
tentar medir o risco de perda de informação. Eles reclamam que os gerentes não
poderão sustentar a discussão explícita de segurança em avaliações anuais de seu pessoal , por causa das pressões de motivar
desempenho de trabalho de pessoal que conta para o sucesso dos gerentes.
Se os empregados sabem que observando medidas de segurança
inibirão a habilidade deles para alcançar objetivos de trabalho especificada
pela administração, como incentivar eles
a levar a cabo estas medidas? A
motivação primária para segurança de informação tem que vir de recompensas e
penalidades diretamente associado com desempenho de trabalho; caso contrário,
os membros da organização vêem a segurança como estando em conflito com o
desempenho de trabalho deles/delas. Empregados sabem que eles podem melhorar o
desempenho deles/delas e podem receber posição e renda e avanço nos trabalhos deles/delas evitando
os constrangimentos de segurança por exemplo, um empregado pode trabalhar mais
rapidamente e melhor sem ter que pausar para fazer auxilio, usar software
pirata, evitando armazenar informação
sensível sem segurança.
Os interesses
pessoais de desenvolvimento no trabalho
e compensação financeira são motivadores
primário em um emprego, e deve ser incluída a segurança de informação como
regra para evitar o conflito com eles. A
organização tem que fazer três coisas para satisfazer esta necessidade
fundamental para a segurança realmente
ter sucesso:
1.
Inclua
tarefas específicas para proteger, e definir o
responsável para o empregador
estar incluindo descrições de aplicação
da segurança nos cargos.
2. Inclua avaliações específicas e discussões
com apoio dos empregados para a prática
de segurança em avaliações de desempenho anuais de trabalho . Note qualquer
esforço exemplar no interesse de segurança como também qualquer violação de
segurança caso aconteça.
3. Motive os
gerentes principais (diga-se aí a diretoria da organização) para assegurar o apoio deles pela segurança e a
ênfase sincera deles nas avaliações do
desempenho de trabalho dos empregados . Empregados geralmente seguem a
dianteira dos gerentes que devem desempenhar um
papel modelo para segurança de informação .
Os
gerentes podem considerar que vários fatores podem servir para avaliar
performance de segurança em avaliações de desempenho anuais, enquanto que incluindo, mas não
limitado a:
· Ações que causem ou resultem
em perdas de informação
relacionadas .
· Fidelidade e
efetividade de executar tarefas de segurança
.
· Endossos
de desempenho de segurança a bons
empregados por coordenadores de segurança, clientes, e parceiros.
· Recompensas e prêmios para desempenho de segurança exemplar
· Citações de
violação de segurança
· Elogios e críticas incluídaa em
relatórios de auditoria para a alta gerência.
· Informar sobre
suspeitos de vulnerabilidade e
incidentes de perda.
· Usando controle
efetivo de segurança, como software anti-vírus .
· Freqüência de treinamentos e apresentações de planos de consciêntização.
· Familiaridade
com documentos de segurança atualizados.
Em alguns procedimentos de avaliação, o processo começa
com um gerente que declara suas expectativas em relação ao empregado,
seguido pelo empregado que declara suas
metas por escrito. Identificado isto , o
próximo passo deveria incluir uma declaração geral em proteger os ativos da
organização, especificando que ativos específicos devem ser protegido, serem mantidos, e controles novos ou
modificações de controles que poderão serem feitos. Isto requer identidade
clara de donos, provedores, guardas, e usuários dos ativos e controles, desde
que os donos " de controle " ou operadores precisem ser diferenciados
desses que são constrangidos pelo controle.
Outra tática útil é desenvolver descrição de cargo e
práticas de avaliação que endereçam a
segurança às suas prática diárias, então os aplique a título de teste em
alguns unidades particularmente satisfatórias antes de rodar o conceito fora
para um número maior de unidades. Por exemplo, você poderia começar com TI e as
unidades de segurança para demonstrar a viabilidade da experiência.
Especialistas de segurança em qualquer organização deveriam ser os primeiros em
ter segurança no desempenho de suas
funcões e criar motivações incorporado nas suas revisões . Embora os títulos de
cargo podem não identificar os aspectos
de segurança das posições , eles geralmente possuem muito da informação
sensível dentro de uma organização e idnetifica quem têm deveres sensíveis. O
sucesso da segurança requer
motivação extra e consciência de sua
importância à organização.
Nenhum comentário:
Postar um comentário