IT-безопасность: стоит ли рисковать корпорацией?
Шрифт:
В Rockland General технический персонал перенес всю особо критичную информацию больницы из большого старого компьютера, который они знали, как обслуживать, в незнакомую распределенную среду. И в процессе этого руководство не обеспечило им ни одного занятия по безопасности. Неудивительно, что с безопасностью возникли такие большие проблемы!
Подсчитывать очки
Мы уже обсудили виды рисков, сопровождающих краткосрочное мышление. Теперь поговорим об одном из способов эти риски избежать: о подсчете очков!
Высшее руководство должно подсчитывать очки
Контрольный список
Используйте этот список, чтобы определить, подвергается ли ваша компания риску по причине незнания того, каким этот риск является. Можете ли вы поставить «Да» напротив каждого пункта?
— Проводилась ли недавно оценка риска?
— Классифицированы ли системы по уровню риска (некритичные, критичные, особо критичные и т. д.)?
— Привязаны ли цели руководства к вопросам безопасности?
— Проводятся ли плановые аудиты для проверки ранее сделанной оценки риска?
— Привлекаются ли, при необходимости, внешние аудиторы для оценки и уменьшения риска? (Некоторые владельцы информации еще не знают, какие ценности они имеют!)
— Все ли сотрудники (как менеджеры, так и системные администраторы) назначаются на должности и оцениваются, основываясь на выполнении ими задач по обеспечению безопасности?
Заключительные слова
Оценка риска является одной из важнейших и наиболее игнорируемых задач в области безопасности. Как ни печально, но это действительно так. Вы должны понять, что у вас есть и что из вашего имущества заслуживает охраны.
По данным опроса Global Security Survey, проведенного в 2001 году журналом Information Week и группой Price Waterhouse Coopers, у 64 процентов респондентов не было политики безопасности, определяющей классификацию информации. Это несомненный рост по сравнению с 52 процентами в предыдущем году. Конечно, не все нарочно «игнорируют» проведение классификации информации. Почти у 70 процентов вообще нет политики защиты информации, определяющей их цели по обеспечению безопасности. Так ли уж небрежны компании в отношении безопасности информации? Вовсе нет. Просто рост в геометрической прогрессии количества информации, которую необходимо защищать, захлестнул компании. Придется ли им заплатить за свой недосмотр в будущем? Несомненно.
Чтобы действительно защитить свою сеть, вы должны провести тщательную оценку риска и затем использовать эту информацию для построения вашей стратегии безопасности. И это надо будет проделывать не один раз.
Как только будут добавляться новые системы, меняться системные платформы или предприниматься основательные организационные изменения, вы должны будете повторно проводить оценку риска. «Безопасность нельзя сводить к одноразовому мероприятию — ее нужно практиковать. Такая практика заключается в инструментах, обучении, системе оценок и методологии».
Глава 7
Поддержка безопасности
Конечно,
Вы являетесь менеджером административной информационной системы у крупного производителя микросхем. Ваша группа обеспечивает техническую поддержку сети компании и отвечает за работоспособность сети и решение возникающих в ней проблем. Это большой груз ответственности в большой компании. Это вместе с тем неблагодарная работа. Все сразу видят, когда сеть выходит из строя. Но никто не замечает, как хорошо и быстро работает сеть, если все в порядке, — это обычное для всех состояние сети.
41
Очевидно, внутренняя сеть фирмы была создана по беспроводной технологии стандарта IIEЕ 802.11 (b), причем была защищена только точка входа. — Примеч. пер.
Ваша группа также отвечает за поддержку брандмауэра компании. Этот брандмауэр защищает вашу сеть от большого плохого Интернета. Вы счастливы, что у вас работает один из лучших в мире экспертов по брандмауэрам. Как только возникает проблема, он тут же берет ее решение на себя. В окружении зрелых специалистов вам удается освободить для себя время, чтобы заняться нужными делами, как, например, политиками компании и бюджетом. И вот вы только что провели последние штрихи в бюджете отдела на следующий год.
Но зазвонил телефон. Ваш эксперт сообщает вам, что очередной хакер проник в сеть компании через брандмауэр. Эксперт уже связался с группой обеспечения безопасности компании. Сотрудники группы будут определять путь хакера, а он займется выяснением способа, с помощью которого хакер осуществил взлом. Вы говорите: «Отлично. Только сообщите мне, когда проблема будет решена».
Можно вернуться к бюджету. Цифры выглядят хорошо — средства не такие уж большие, но вполне достаточные. Даже если у вас отнимут процентов 20, то и тогда оставшегося хватит безбедно прожить следующий год.
За составлением бюджета время пролетело быстро, и незаметно наступил конец рабочего дня. Вы уже собрались пойти домой, но вспомнили, что вам все еще не позвонил администратор брандмауэра. Ну да ладно. Пустяки. Вы надеетесь, что у него все под контролем. Можно еще успеть выбраться на хоккей. Sharks играют дома, и вы ни за что не пропустите игру.
На следующий день вам звонит ваш администратор брандмауэра: «Мы выкинули хакера из сети прошлой ночью. Я нашел, в чем проблема, и устранил дыру. Этим путем он больше не пройдет». Отличная работа! Вы знали, что все так и выйдет.
Что же здесь не так? Руководитель, отвечающий за поддержку брандмауэра и думающий, что взлом — это пустяк, должен искать себе новую профессию! Это не тот тип менеджера, которого я бы допустила к технической поддержке моей сети и брандмауэра.
Если вы думаете, что всякий, в чьи обязанности входит обеспечение безопасности вашей информации, действительно заботится о безопасности, то подумайте хорошенько. Цель компании защитить информацию не всегда становится целью каждого. Теперь посмотрим…