IT-безопасность: стоит ли рисковать корпорацией? - [58]
Я думаю, вы слышали рассказ об отрезанном куске говядины. Некая домохозяйка всегда отрезала конец куска мяса, перед тем как его готовить. Однажды муж спросил ее, зачем она это делает. «Я не знаю. Моя мать всегда так делала», — отвечала она и спросила свою мать об этом. Та ей ответила: «Я не знаю. Моя мать всегда так делала». Наконец, прабабушка рассказала женщине: «После этого кусок помещается в сковородку». Оказалось, что у старой женщины была только одна сковорода, и она была слишком мала, чтобы вместить кусок говядины стандартного размера. Разумеется, у ее потомков были сковородки всех размеров. Они просто выбрасывали лучшую часть куска по традиции, так как не хотели пересмотреть процесс.
Может быть, пять лет назад при установке системы и было лучшим вариантом поручить написать политики и процедуры группе обеспечения безопасности. Но это не означает, что такой выбор все еще остается лучшим. Найдите время для периодического изучения того, достались ли все роли и обязанности людям, способным лучшим образом сделать работу. Не оправдывайте свои действия тем, что ваши предшественники поступали так же.
Иногда — просто сдаться
В компаниях все варится в одном котле — и плохое, и хорошее. Даже если мы захотим казаться выше всего этого, то все равно мелочные политиканы будут продолжать копошиться. Иногда лучше дать одной из сторон взять верх, когда битва не так уж значительна или когда участие в ней отвлекает вас от настоящей работы. Если такая борьба становится более важной, чем защита информации, то победителем в настоящей войне окажется хакер.
Выполнять свои обязанности
Если вы являетесь системным администратором, то вы отвечаете за установку и поддержку средств безопасности вашей системы. Эта ответственность лежит на вас, даже если в вашей компании есть подразделение по обеспечению безопасности, следящее за вторжениями, средствами контроля, политиками и процедурами. В конечном счете, когда что-то пойдет не так, все повернется к вам (и против вас). Всегда помните об этом.
Контрольный список
Используйте этот список для определения того, правильно ли используются в вашей компании политики и процедуры для повышения безопасности.
— Легко ли читать и понимать политики?
— Есть ли у каждого сотрудника экземпляр политик или знает ли каждый, по крайней мере, где политики находятся?
— Несет ли кто-нибудь личную ответственность за политики и процедуры?
— Посещает ли этот сотрудник конференции по вопросам безопасности или же другим способом держит себя в курсе современного состояния вопросов безопасности?
— Обновляются ли на регулярной основе политики и процедуры?
— Планируются ли профилактические аудиты политик и процедур?
— Осуществляют ли руководители всех уровней поддержку политик и процедур?
— Обучаются ли новые сотрудники политикам и процедурам безопасности?
— Имеется ли справочный материал по политикам и процедурам?
Заключительные слова
В рассказанной истории руководители обеих групп должны были помогать решению проблемы — для этого руководство и существует. К сожалению, эти менеджеры «зависли» на своих политических амбициях. Вдохновляйте ваших менеджеров на то, чтобы они оглядывали всю панораму (безопасности информации), а затем начинали действовать, опираясь на полученные факты.
Системные администраторы никогда не должны оставлять системы широко открытыми только потому, что он не знают, как настраивать безопасность. И в то же время настройки систем не должны диктоваться сверху. Их нужно согласовывать и делать понятными людям, которые отвечают за установку и обслуживание систем.
И разумеется, политики и процедуры необходимо постоянно обновлять. Устаревшие политики и процедуры подобны неисправным ремням безопасности. Они создают видимость того, что ваш автомобиль обеспечит вам нужную защиту в случае аварии, когда в действительности это не так. «Пристегните» вашу информацию («исправными ремнями») перед аварией.
Рано или поздно авария произойдет. Опуская все остальные факторы, мы знаем, что высокая плотность транспортного потока является причиной большой вероятности дорожных происшествий. Даже не имея точных данных, мы можем заключить, что трафик в Интернете становится более интенсивным. В феврале 2002 года количество пользователей Интернета во всем мире оценивалось в 544 миллиона. Только в Северной Америке их насчитывалось 181 миллион. Это несомненный рост по сравнению с 25 миллионами пользователей в США в недалеком от наших дней 1997 году. Добавьте сюда пользователей из остальных частей планеты и пользователей интранет, и вы легко можете предсказать, что мы увидим серьезные схватки в сети. Правильные политики и процедуры могут помочь вашей компании не исчезнуть в столкновениях.
Глава 9
Безопасность аутсорсинга
Если вы подключаетесь к партнерам, или передаете на аутсорсинг ИТ-инфраструктуру, операции с ценными бумагами, сеть поставок и производство, или же поддерживаете какой-либо другой вид доступа к вашей среде или интеллектуальной собственности, то вам следует убедиться в том, что люди и процессы, которым вы доверяете, имеют равную с вашей степень защиты. Думая по другому и не сумев тщательно проконтролировать состояние безопасности другой стороны и провести его аудит, вы, возможно, обнаружите, что атаки на вас производятся со стороны партнера, которому вы доверились.