IT-безопасность: стоит ли рисковать корпорацией? - [51]

Страшно видеть, что может случиться с компанией, в которой нет четко определенных ролей и обязанностей. Когда такое доходит до обеспечения безопасности, то фраза «Это не моя работа» распространяется как леской пожар. В рассказанной истории Global Chips легко отделалась. Любой хакер, взломавший их систему, мог бы украсть проекты чипов или другую критичную информацию. Поэтому один только администратор брандмауэра таил в себе разрушительный потенциал для будущего целой компании.

Конечно, бездействие Джозефа потому, что «Это не его работа», является лишь частью проблемы. Менеджеры, наподобие Карла, обостряют эти проблемы, скрывая факты вместо того, чтобы взять на себя ответственность за свою территорию и построить крепкую группу технической поддержки.

Когда люди берут на себя ответственность за системы, то они также получают в наследство и ответственность за информацию в этих системах. Кажется, эти парни этого не осознали. У меня сложилось впечатление, что Карл больше интересуется игрой в гольф и хоккейной командой Sharks из Сан-Хосе, чем безопасностью компании. Я тоже люблю гольф и болею за Sharks, но я приношу домой чек за свою работу, а не за ее имитацию, Карл (и начальник Карла тоже) должен знать, что Джозеф выдает некондиционные результаты.[42]

Высшие руководители часто устраняются от того, что в действительности происходит на переднем крае. Тем не менее в этом случае именно высшее руководство было озадачено серией взломов. А линейные менеджеры явно уснули за рулем.

Для того чтобы система обеспечения безопасности работала, каждый уровень руководства должен брать на себя долю ответственности за обеспечение безопасности. Если высшее руководство не выделяет средств на обеспечение безопасности, то безопасность от этого страдает. Если линейные менеджеры не занимают активной позиции в поддержке системы безопасности, то безопасность также страдает. Если менеджеры среднего уровня не передают информацию наверх, то опять страдает безопасность. Не заставляйте страдать безопасность в вашей компании. Добейтесь понимания каждым своей роли.

Как заметил Маркус Ранум в своих интернетовских Firewalls FAQ, «Интернет, как и остальная часть нашего общества, измучен недоумками, наслаждающимися электронными эквивалентами росписям чужих стен краской из баллончика, срыванию чужих почтовых ящиков или оглашению улиц сигналом из своего стоящего посреди дороги автомобиля… Задачей брандмауэра является выкинуть этих сопляков из вашей сети, не нарушая вашей способности закончить работу». Вы удивитесь, как много таких «недоумков» вас окружают!

Что еще хуже, многие из этих нарушителей порядка переходят от раздражающего вандализма к настоящим преступлениям. Кто от них страдает? Почти что все. Исследование, проведенное CSI в 2002 году, установило, что 90 процентов респондентов обнаружили бреши в безопасности компьютеров. Хотя очевидными целями являются политические организации (как Белый дом) и фирмы, известные своей задиристостью (как Microsoft), существенному риску подвергаются все виды деятельности. Даже атаки, направленные на искажение внешнего вида веб-сайтов,[43] ранее считавшиеся шалостью, а не преступлением, в действительности приводят к большим убыткам. Эксперты оценивают стоимость простоев в американской экономике, связанных с нарушением безопасности, в 273 миллиарда долларов ежегодно. Особому риску подвергаются виды бизнеса, использующие Интернет.

В то время как Интернет открыл двери различным видам бизнеса для экспансии в мировую экономику, он также открыл множество окон для компьютерной преступности. Для того чтобы закрыть эти окна, требуются четкое и согласованное определение ролей и обязанностей, а также шлюзовые технологии, подобные брандмауэрам.