IT-безопасность: стоит ли рисковать корпорацией?

Маккарти Линда

ИТОГОВЫЙ ОТЧЕТ ПО ВОПРОСАМ БЕЗОПАСНОСТИ

Дата: мая 22, 2002

Кому Изабель Уинфри, вице-президенту и директору по информационным технологиям

Джеффу Сен-Пьеру, вице-президенту и финансовому директору

От кого: Майка Нельсона, директора внутреннего аудита

По вопросу: Аудит финансовой безопасности

ОБЩАЯ ОЦЕНКА

НАСТОЯЩЕЕ СОСТОЯНИЕ СРЕДСТВ БЕЗОПАСНОСТИ ФИНАНСОВОЙ СЕТИ НЕ ОБЕСПЕЧИВАЕТ ДОСТАТОЧНОЙ ЗАЩИТЫ ИНФОРМАЦИИ КОМПАНИИ ISD.

ИНФОРМАЦИЯ В СЕТИ ISD ПОДВЕРГАЕТСЯ СЕРЬЕЗНОМУ РИСКУ НЕАВТОРИЗОВАННОГО РАСКРЫТИЯ, ИЗМЕНЕНИЯ И УНИЧТОЖЕНИЯ.

РИСКИ ДЛЯ БЕЗОПАСНОСТИ, О КОТОРЫХ БЫЛО ДОЛОЖЕНО ГОД НАЗАД, НЕ УСТРАНЕНЫ. РЕЗУЛЬТАТЫ АУДИТА ПОКАЗЫВАЮТ, ЧТО РИСКИ ДЛЯ

БЕЗОПАСНОСТИ ФИНАНСОВОЙ СЕТИ В ДЕЙСТВИТЕЛЬНОСТИ ВОЗРОСЛИ.

Обнаружен ряд причин такого положения дел:

• Недостаточное обучение.

• Недостаточность средств для расширения штата специалистов по вопросам безопасности.

• Плохая связь между высшим руководством и линейными менеджерами.

• Отсутствие стандартов на настройки безопасности рабочих станций.

• Неправильное использование механизмов предупреждения, обнаружения и докладов о неавторизованном доступе к информации.

РУКОВОДСТВО ДОЛЖНО ПРИНЯТЬ НЕОТЛОЖНЫЕ МЕРЫ ДЛЯ УМЕНЬШЕНИЯ ИМЕЮЩЕГОСЯ РИСКА.

Аудит проводил: Мартин Паттерсон, администратор по вопросам безопасности

Отчет получил:

Дата получения:

Рисунок 3.2

Обеспечить понимание вопросов безопасности всеми руководителями

Особенно важно, чтобы все руководители понимали риски, связанные с незащищенностью систем. Если этого не будет, то принимаемые ими решения непреднамеренно могут подвергать опасности репутацию компании, конфиденциальность информации и сказаться на финансовых результатах. Вам вовсе не обязательно для этого быть экспертом по безопасности, но вы должны разбираться в основах и говорить как специалист.

Поддерживать прямую связь с руководством

Слишком часто системные администраторы жалуются на свои беды своим терминалам, а не начальству. Иногда системные администраторы обнаруживают, что жаловаться своему начальству не намного лучше, чем говорить со своим «железным другом».

Если вы являетесь директором (или каким-то другим руководителем), то обеспечьте вашим людям легкий доступ к своему времени и вниманию. Особенно будьте внимательны, когда возникнут проблемы с безопасностью! Первую линию обороны вашей сети будут составлять хорошо налаженные каналы общения с людьми, находящимися рядом с машинами.

Если вы являетесь системным администратором, то убедитесь в том, что разговор с вашим ближайшим начальником будет полезен для решения проблемы. Если вы в этом не уверены, то должны набраться смелости и обратиться к следующему руководителю в управленческой цепочке ради достижения результатов.

Контрольный список

Используйте этот список, чтобы определить, позволяет ли организационное строение вашей компании и имеющиеся в ней уровни руководства надлежащим образом решать вопросы безопасности. Можете ли вы поставить «Да» напротив каждого пункта?

— Регулярно ли представляются руководству итоговые отчеты по вопросам безопасности?

— Существует ли надежный канал связи между высшим руководством и исполнителями? И что более важно — все ли знают, что он собой представляет и где находится?

— Возлагается ли ответственность за безопасность на вице-президента, директора по вопросам безопасности или другого руководителя? Чем выше такой руководитель находится в руководящей структуре, тем лучше! Убедитесь, что руководитель, отвечающий за безопасность, не спрятан в глубинах бюрократической системы и имеет реальную власть. Иначе он будет только козлом отпущения.

— Демонстрирует ли руководство свою приверженность программе безопасности компании, должным образом ее представляя и совершенствуя?

— Предусмотрено ли достаточное финансирование безопасности и доступны ли эти средства?

— Понимают ли все системные администраторы важность немедленного доклада о проблемах безопасности и их быстрого решения?

— Является ли обучение лучшему пониманию вопросов безопасности частью профессиональной ориентации новых сотрудников всех уровней — от линейных менеджеров до высшего руководства?

— Предпринимаются ли шаги в получении всеми сотрудниками (сверху донизу) ясного представления о политиках защиты информации компании?

— Учитывается ли реально существующая в компании культура

общения между руководителями и исполнителями при разработке политик и процедур безопасности?

— Знают ли сотрудники, к кому обращаться в случае возникновения бреши в защите и неопределенности в своих обязанностях?

— Регулярно ли проводится аудит безопасности?

Заключительные слова

Если вы генеральный директор и надеетесь, что ваша интранет будет в безопасности и не проверяете ее, то вас может ждать большой сюрприз. Угрозы благополучию предприятий продолжают возрастать и требуют все более высоких уровней защиты корпоративных интранет.

В начале 1990-х годов мы подошли к выбору дорог в компьютерной безопасности. Несколько лет назад многие компании выбрали кривую тропинку (с меньшей защитой или без нее) из-за того, что риски были небольшими и последствия менее опустошающими. Теперь другая ситуация. Сегодня угроза информации в интранет высока как никогда. Если ваша интранет все еще подвергается риску вследствие стандартной настройки, недостаточного финансирования безопасности и плохой культуры общения внутри компании, то вам нужно немедленно включиться в работу.

Как ясно показывает рассмотренный случай, плохая культура общения представляет собой один из главных рисков для безопасности. Большинство из нарушений, реально обнаруженных в данном исследовании, довольно обычны — простые пароли, стандартные настройки и т. д. На нынешнем этапе компьютерной революции, ни одна уважающая себя компания не должна страдать от таких простых симптомов, так как большинство из них устраняется довольно легко в условиях хороших взаимосвязей в компании.

В отличие от вооруженных ограблений, компьютерным преступлениям не придается большого значения. Часто скрываемые жертвами с целью предотвратить дальнейший ущерб (ценам акций, репутации и т. д.), компьютерные преступления увеличиваются в количестве с феноменальной скоростью. По данным Центра защиты национальной инфраструктуры (National Infrastructure Protection Center), подразделения ФБР, работающего с правительственными органами и частными компаниями, начиная с 1998 года, количество компьютерных преступлений ежегодно удваивается. Нарастающий итог ущерба от таких преступлений увеличивается соответственно. В обзоре, представленном Information Week [16] и Price Waterhouse Coopers [17] в середине 2000 года, стоимость ущерба за этот год только от компьютерных вирусов оценивается в 1,6 триллиона долларов. Как отметил представитель ФБР Лесли Уайзер (Lesly Wiser) в своем докладе Конгрессу по вопросам кибербезопасности в августе 2001 года: «Эти цифры превосходят валовой национальный продукт сразу нескольких государств».

16

Еженедельный журнал для профессионалов в области ИТ- бизнеса. — Примеч. пер.

17

Аудиторская группа. — Примеч. пер.

Директор по информационным технологиям любой компании должен быть в курсе любого из рисков для своей корпоративной сети, включая и факты ее успешных взломов. Я уверена, что ваш директор по информационным технологиям хочет узнавать о взломах от линейных менеджеров, а не из выпуска новостей CNN Headline. И если у вас нет прямого канала связи наверх, то создайте его.

Глава 4

Сетевой доступ

Обнаружение играет очень важную роль в любой архитектуре безопасности. Рано или поздно противник захочет скомпрометировать вашу организацию, и на его стороне будут время и ресурсы. Для эффективного обнаружения большую важность имеют уровни защиты. Программы-датчики обнаружения вторжения, honeypots [18] и системные журналы играют ключевую роль в обнаружении.

Лэнс Спишнер, старший специалист по архитектуре безопасности в Sun Microsystems и основатель Honeynet Project

18

Средства защиты, направленные на обман хакера, с целью сбора о нем информации, и использующие эту информацию в дальнейшей борьбе с ним. — Примеч. пер.