IT-безопасность: стоит ли рисковать корпорацией? - [38]
Опрос остальных системных администраторов подтвердил подозрения Хосе. Ни один из них не был обучен поддержанию безопасности. С Тией даже не проводилось базового обучения как системного администратора целых шесть месяцев с момента ее поступления на работу! Для таких, как Тия, это большая проблема, так как она никогда раньше не занималась поддержкой платформ UNIX. Ее успех в настройке безопасности систем зависел от того, как она будет обучена одним из других системных администраторов. А так как другие системные администраторы не знали, как безопасность настроить, то и Тия не могла ничему от них научиться.
Дон, Кендзи, Смиту и Тию с Хосе объединяло то, что все они были очень умными людьми. У всех был опыт программирования, а Тия и Кендзи даже имели ученые степени по вычислительной технике. В нашей среде необразованных людей не встретишь. Просто их заталкивают на должности персонала технической поддержки, как это обычно случается с системными администраторами, и говорят, чтобы они учились в процессе работы.
Метод «плыви или тони» в области обеспечения безопасности редко срабатывает. Вы не сможете научиться защите систем на своем рабочем месте, если рядом с вами никто этим не занимается. Нужно создавать хорошо налаженную практику обучения. По меньшей мере, тот, кто уже обучен, как, например, Хосе, должен передать имеющиеся у него приемы и знания остальным сотрудникам. А именно приемы, как настроить общую безопасность, и знание того, почему некоторым системам необходимо обеспечивать повышенный уровень безопасности. В идеале остальные сотрудники тоже должны были бы пройти курс профессионального обучения безопасности, чтобы научиться настраивать и поддерживать сети, не допуская взлома.
Подобная ситуация сложилась по двум причинам. Во-первых, руководство обязано было обеспечить необходимое обучение. Оно не думало о проблемах безопасности в полной мере. Вместе с тем руководители не могут читать чужие мысли. Дон, Кендзи, Смита и Тия должны были указать на пробел в безопасности и попросить, чтобы им обеспечили необходимое обучение. Они этого не сделали.
По этому аудиту у меня было собрано достаточно информации. Я потратила несколько дней на составление отчета. Иногда на его составление уходит столько же времени, как и на само проведение аудита. Важно показать риски и рекомендуемые решения так, чтобы они были понятны руководству и вызывали у него стремление к действиям. На это нужно время. Некоторые аудиторы используют стандартный шаблон для всех своих аудитов и заполняют эту заготовку стандартными словами, описывая обнаруженные проблемы и рекомендации по их решению. Таким людям нужно менять профессию. Компании платят им не за стандартный набор проблем и решений. Компаниям нужно, чтобы эти специалисты ориентировались на определение рисков в их среде и на то, как в их среде эти проблемы устранить.
Написав такой ориентированный на их среду отчет, я передала мой труд нанявшему меня руководителю внутреннего аудита. Рэндаллу, в общем, он понравился. Ему не понравились мои находки, но он понял риски и узнал, что надо сделать для решения проблем. С отчетом в руках Рэндалл направился к своему начальству. Моя работа была на этом закончена.
Резюме: Обеспечьте финансирование обучения
Обучение является клеем, скрепляющим все части программы обеспечения безопасности. Это довольно дешевый клей. К сожалению, руководители часто забывают сравнить стоимость обучения безопасности со стоимостью «уборки» после большого инцидента. Исследование, проведенное в Британии группой Price Waterhouse Coopers, показало, что 44 процента фирм, участвующих в исследовании, пострадали от атак в 2001 году и стоимость восстановительных работ составила в среднем 30 000 долларов. Для сравнения — 70 процентов тех же самых фирм потратили меньше одного процента из своих бюджетов на безопасность.[32] Американские фирмы не намного больше потратили на обучение по вопросам безопасности. Эти расходы лишь капля в ведре по сравнению с тем, что необходимо затратить, чтобы остановить волну компьютерной преступности, годовой доход которой оценивался в 1999 году уже в 10 миллиардов.
Компьютерные преступления и атаки на безопасность систем достигли уровня, на котором подвергаются риску здоровье экономики и благополучие целых наций.
Если в вашей компании нет надлежащих программ обучения, то вы сами можете стать частью национального риска. По крайней мере, не обеспечив простого обучения мерам безопасности системных администраторов, вы можете подвергнуть риску вашу компанию. Должны иметься четкие указания по обучению системных администраторов тому, как настраивать системы и как выполнять политики и процедуры. Еще важнее, чтобы кто-то отвечал за полное прохождение учебных программ всеми сотрудниками.
Другой вариант — это отправка сотрудников на обучение во внешние организации. Если ваша компания выберет такой вариант, то убедитесь в том, что средств в бюджете на это выделено достаточно. Слишком часто статья бюджета на обучение первой попадает под топор сокращения расходов. Такое сокращение влечет за собой увеличение риска. Экономия денег на обучении может улучшить баланс в текущем квартале. Но расходы резко возрастут, если информация в вашей сети будет уничтожена.