IT-безопасность: стоит ли рисковать корпорацией? - [49]
День 2-й: Администратор брандмауэра
Тед встретил меня в холле и выписал пропуск. Он проводил меня до офиса Джозефа. При первой встрече Джозеф немного нервничал. Конечно, многие люди волнуются при приходе аудитора, поэтому я попыталась разрядить обстановку (с помощью хорошей шутки). Но Джозеф не оценил мой юмор и определенно не был склонен к приятной беседе. Отбросив мягкие манеры, я попросила у него документацию, которую заказывала. Он смог дать мне только сетевую схему. Когда я его спросила об остальной документации, то он сообщил: «У меня нет политик и процедур брандмауэра; это не моя работа - их писать. Я знаю, как настроен брандмауэр и что делать, если происходит взлом».
Вот это парень. Я ошиблась, посчитав, что он волнуется. Он был самонадеян! Он полагал, что раз знает, как поддерживать брандмауэр, то этого достаточно. Легко было видеть, что он не понимает ценность политик и процедур и видит во мне только аудитора (переводя это слово как «зануда»).
Временная безопасность
Кроме плохого ко мне отношения у Джозефа были необычные представления о методах технической поддержки. В общем, брандмауэр не улучшался несколько лет. Это было похоже на то, как если бы на двери, ведущие к разработкам новых чипов компании, к ее финансам, людским ресурсам и маркетинговой информации, был навешен старый ржавый замок. Легко было представить себе, как хакер стукнет в эту дверь и замок отвалится. Каждый раз, когда хакер взламывал брандмауэр, Джозеф ставил «заплатки» в систему или добавлял средство для обхода проблемы. При таком подходе, заключающемся в установке временных подпорок, брандмауэр скоро кишел заткнутыми дырами и стал трудно управляемым и тяжело обслуживаемым. Хотя Джозеф мог это называть рабочим состоянием безопасности, я назову это плохим состоянием безопасности.
Я еще поговорила с Джозефом и узнала, что в Global Chips имеется отдельное подразделение обеспечения безопасности для аудита компьютерной среды, для написания некоторых (но не всех) политик безопасности и для действий на случай вторжения. Джозеф отвечал за брандмауэр. Когда происходил взлом, то он посылал сообщение по пейджеру для вызова сотрудников группы обеспечения безопасности. Джозеф настойчиво подчеркивал: «За безопасность отвечают сотрудники группы обеспечения безопасности, а не я. Это их работа — обеспечивать выполнение политик безопасности компании». Было ясно, что я должна была выслушать другую сторону и побеседовать с кем-нибудь из группы обеспечения безопасности.
Джозеф, определенно, относился к категории людей, которую я обозначала большим «Н», то есть к неудачникам. С ним не только было трудно разговаривать, но он также был самонадеянным и скрывал информацию. Люди, скрывающие информацию и не делящиеся ей с другими, очень опасны. Они думают, что чем больше они информации утаивают для себя, тем большую ценность собой представляют. Я не хотела тратить на него время. Поэтому после такого милого разговора с Джозефом я попросила Теда запланировать мне беседу с экспертом компании по вопросам безопасности. Я двигалась дальше.
Руководители и безопасность
Следующим моим шагом была беседа с Карлом Санчесом, начальником Джозефа. Карл был одет довольно небрежно — в рубашку для гольфа и джинсы. Однако он был одним из тех людей, которые всегда ухитряются выглядеть хорошо одетыми независимо от того, что на них надето. У него была прекрасная улыбка, и, казалось, он не возражал против моего вторжения в его мир. На этот раз шутка для разрядки обстановки прозвучала с его стороны. Отбросив шутки, я спросила: «Давайте взглянем на серьезные взломы, произошедшие в вашей сети. Карл, по вашему мнению, что происходит?»
К моему удивлению, Карлу не казалось, что взломы были серьезными. Он будто бы жил в призрачном мире. Он полагал, что у него работает один из самых лучших в мире администраторов брандмауэра. В конце концов, Джозеф отлично работает, поддерживая брандмауэр, и точно знает, что делать, когда что-то идет не так.
Я сказала: «Послушайте, Карл, ведь если кто-то знает, как заткнуть дыру, то это не значит, что он знает, как построить плотину». Карл ничего не ответил. Возможно, он не понял моей точки зрения.
Я настойчиво продолжила беседу и сообщила Карлу, что они эксплуатируют брандмауэр, не имея политик и процедур, но он уже об этом знал. Его позиция заключалась в том, что за их написание отвечает не его группа. Мне пришлось потратить некоторое время на то, чтобы убедить Карла в том, что, логически рассуждая, его группа является единственной группой, которая смогла бы написать правильные политики и процедуры. Разумеется, убеждать Карла — это не моя работа. Но безопасность — это моя страсть, и я иногда немного увлекаюсь. Я твердо убеждена в том, что если люди получают деньги за то, чтобы двери сети были в исправности, то они должны относиться к этому серьезно!
Я кратко побеседовала с экспертом по вопросам безопасности Фрэнком Сапрой. Фрэнк сообщил мне, что его группу никогда не просили писать политики и процедуры для брандмауэра. Он объяснил, что его группа пишет большинство политик и процедур безопасности, но за брандмауэр отвечает группа Карла. Я спросила его о непрекращающихся взломах из Интернета. Он ответил, что основную часть времени они работают в режиме реагирования и что для надлежащей защиты компании от взломов им необходимо спроектировать новый комплекс брандмауэра и добавил, что его группа предлагала это Карлу год назад. Фрэнк выглядел как действительно умный парень. Он также казался уставшим. Думаю, он устал от бесплодных попыток объяснить руководству то, что им нужно сделать.