IT-безопасность: стоит ли рисковать корпорацией? - [50]
Мне было ясно, что в Global Chips имелось несколько проблем. При проведении аудитов я обычно обнаруживаю не одну проблему. Часто, проблемы безопасности являются результатом другой, еще большей проблемы — как в этом аудите. Так как роли и обязанности не были четко определены, то никто не нес ответственности за политики и процедуры для брандмауэра.
У вас не будет политик и процедур, пока кто-то не возьмет на себя ответственность за их написание и выполнение. Понятно, что решение этой проблемы будет чрезвычайно трудным, если ответственность за безопасность разделяется между подразделениями внутри компании. В некоторых организациях битва между подразделениями становится более важной, чем забота об информации, — как, например, в Global Chips. Этим парням все равно, кто победит в войне, пусть даже хакер, так как каждый из них стремится выиграть свое сражение. Они относятся к такому сражению более серьезно, чем к их настоящей работе по защите информации.
Серьезное отношение к поддержке безопасности
Администрирование брандмауэра является серьезной работой. Она должна восприниматься серьезно и администратором, и его начальником. Global Chips не имела крепкой брони, чтобы отразить угрозы для их информации. В любое время хакер мог проникнуть через брандмауэр и изменить, уничтожить или украсть информацию. Временное решение проблемы, которое одобряется руководством, не может считаться ни правильной реакцией сотрудников, ни правильным отношением руководства к такой реакции.
Карл не понимал, как рискованно управлять группой, работающей в режиме реагирования. Он заявлял, что в его подразделении разрабатывается новый комплекс для замены старого брандмауэра, и предсказывал, что они будут готовы к отключению старого брандмауэра через шесть-девять месяцев. Он очень неосторожно заявлял: «Не беспокойтесь об этом. Мы держим этот вопрос под контролем».
Но в первых рядах мы должны иметь людей, которые бы беспокоились! Можно было уже сказать, что меня засасывал этот аудит. Нужно было вновь обрести хладнокровие. Я завершила беседу. Я могла бы потратить еще день на тестирование брандмауэра, но все (кто что-либо значил) соглашались с необходимостью его замены из-за риска, который он представлял для сети. У меня было достаточно информации, чтобы на ее основании составить отчет, который ждало высшее руководство компании.
В моем отчете было определено множество рисков для безопасности. Их перечень возглавили:
• Неправильное распределение ролей и обязанностей.
• Ненадлежащие управление брандмауэром и его поддержка.
• Отсутствие официальных политик и процедур.
Так как я начала составлять мой итоговый отчета еще вчера, то внести в него детали было легко. Я потратила еще несколько часов на отчет, затем взяла направление на свои холмы. По дороге домой я чувствовала себя опустошенно. Легче иметь дело с компьютерами, чем с людьми. Человеческие существа очень сложны — иногда даже слишком сложны!
Когда я добралась домой, солнце уже зашло за холмы. Я скоротала, как могла, остаток вечера и постаралась не вспоминать о брандмауэре. И не вспомнила ни разу.
Мой последний день: Отношение к работе может говорить о многом
Я услышала звонок будильника, когда он уже заканчивался. В некоторые дни 4.30 утра наступает слишком быстро. Лишь несколько минут у меня ушло на то, чтобы сосредоточиться на событиях предстоящего дня, включая и окончание моей работы в Global Chips.
Это заставило меня двигаться. Я вылезла из постели и решила побегать на домашнем тренажере, не показываясь на люди, Закончив пробежку, я быстро приняла душ, собрала себя воедино и выскочила за дверь.
По дороге в Силиконовую долину я ничем не могла объяснить слепоту Карла, который считал, что его эксперт по брандмауэрам оказывает ему хорошую услугу. Как удается людям наподобие Джозефа легко дурачить таких, как Карл? Могут ли такие руководители, как Карл, действительно быть такими беспечными и небрежными в отношении охраняемой ими информации? Может быть, они убеждают себя в том, что все в порядке, из-за того, что не хотят думать об обратном? Думаю, что это вопросы, на которые даже аудиторы не смогут ответить.
Через несколько часов отчет был закончен. Встреча с Перри была назначена на 3.00 дня, и я была к ней готова. Точно в 3.00 я и Тед прибыли в здание Перри, чтобы представить мой отчет. Перри нас ждал.
Во время нашего быстрого продвижения по отчету я наблюдала за реакцией Перри. Она проявлялась в нежелании верить. Ну отчету, в общем, он верил. Но был изумлен тем, что реальный риск сводился к распределению ролей и обязанностей. Представьте себе, что вся ваша компания подвергается риску из-за того, что не четко определены роли и обязанности по обеспечению безопасности.
Я ничего не сказала в своем отчете о Карле и Джозефе. Такую информацию я никогда не передаю в письменном виде, лучше делать это в процессе обсуждений. Мне не нравится, когда людей увольняют, но иногда приходится это рекомендовать. Я указала в отчете, что существующее отношение сотрудников к своей работе будет продолжать ставить компанию под угрозу, даже если будет поставлен новый брандмауэр. Кто и как относится к своим обязанностям, было видно и без имен. Моя работа была сделана.