Линда Маккарти - IT-безопасность: стоит ли рисковать корпорацией?
Резюме: Займите активную позицию
Как случилось, что финансовая сеть компании, вошедшей в список Fortune 500, оказалась такой уязвимой для атаки? Виной тому плохое руководство, недостаточное обучение, отсутствие связи между сотрудниками и сложная система прохождения отчетов (слишком много уровней руководящей иерархии).
Хотя руководящие сотрудники миссис Смит ясно себе представляли важность безопасности, они не предприняли никаких действий для получения подтверждения, что безопасность действительно обеспечена. Указаний «решить проблему» не достаточно. Руководители должны занимать активную позицию в вопросах безопасности. По крайней мере, руководители должны требовать четкого подтверждения в письменном виде того, что проблемы безопасности решены. В таком случае руководству из отчетов будет ясно видно, например, что проблемы безопасности не могут решаться по причине того, что на дополнительный штат сотрудников не выделено средств.
Во многих случаях безопасность зависит от финансирования. Степень важности информации, которую вы пытаетесь защитить, обычно определяет, сколько вам нужно потратить на ее защиту. Часто, квартал за кварталом, системы остаются подверженными риску только потому, что никто не думает о финансировании безопасности до начала взломов.
При таком развитии событий миссис Смит чрезвычайно повезло. Ведь информация компании могла быть уничтожена, а системы обрушились бы на несколько дней. Ей также повезло, что факт взлома не просочился наружу. Это вовсе не тот случай, когда генеральному директору хотелось бы попасть в выпуск новостей CNN. Ядовитые осадки плохой рекламы нанесли бы гораздо больше убытков, чем причинил в действительности сам взлом.
Руководители часто просят меня рассказать им о безопасности в Интернете и в интранет. При этом я часто обсуждаю с ними случай в ISD. Я не устаю повторять: «Да, это действительно произошло. И может произойти снова». Чтобы «забить гвоздь до конца», я говорю: «ISD — это компания с миллиардными годовыми доходами. Если такое могло случиться с ними, то почему вы считаете, что у вашей сети есть иммунитет? Вы знаете состояние безопасности вашей сети? Когда вы в последний раз получали итоговый отчет по вопросам безопасности?» В этот момент многие из моих слушателей покрываются холодным потом.
Попытайтесь понять это, и вы избежите проблем потоотделения, когда вас поставят перед свершившимся фактом. Вам поможет в этом активная позиция в вопросах безопасности.
Мы пойдем другой дорогой…
Сила, скрывающаяся в блестящей идее, может помочь ей, как крохотному бутону, распуститься пышным цветом и превратиться в предприятие с миллиардным годовым доходом (как, например, ISD) и с почти непрерывным ростом. Но, как и подснежники, такие первоцветы так же быстро могут увянуть и погибнуть. Ситуация может выйти из-под контроля, особенно когда в компании формируется фальшивое отношение к безопасности. ISD пока везет — но пока. Не ставьте на кон будущее вашей компании. В следующем разделе обсуждается, что нужно было сделать ISD.
Правильно относиться к безопасности на любом уровне сотрудников
При решении проблем безопасности нужно учитывать уровень развития компаний. То, что хорошо для одной компании, может быть ненужным для другой. Каждой компании необходимо понять, что ей нужно от безопасности, а затем перейти к практическому осуществлению этих идей на всех своих уровнях. Из этого процесса не могут быть исключены руководители.
Когда вышестоящие руководители не придают значения безопасности или вообще не хотят за нее отвечать (как будто бы эту работу будут делать другие), то они отправляют сотрудникам нижнего уровня указания, о выполнении которых затем не заботятся. В ответ на это сотрудники нижнего уровня часто теряют интерес к безопасности вообще. Так указания посылать опасно!
Не перекладывать работу на другие плечи
Слишком часто руководители сидят довольно высоко, и их контакт с массами ослабевает или теряется вообще. В такой ситуации страдает и безопасность. Рассмотренный нами случай показал, сколько проблем может возникать, когда выполнение обязанностей по укреплению безопасности направляется диктатом сверху.
Просто возвысить голос о важности безопасности недостаточно. Фактически каждому известно, что компьютерная безопасность — это важная проблема. К несчастью, все думают, что эта проблема важна для кого-то другого.
Помните, что мы все отвечаем за защиту и безопасность нашей информации. Это касается как руководителя самого высокого уровня, так и технического работника, стоящего на самой нижней ступеньке.
Уменьшать количество уровней руководства до минимума
Когда слишком много уровней вовлечено в поддержание безопасности, сообщения о ее состоянии могут быть неверно истолкованы, неправильно поняты или могут просто потеряться. Если вы являетесь генеральным директором и не можете понять, кто же из ваших руководителей отвечает за безопасность в компании, то пристально вглядитесь в цепочку прохождения распоряжений. Слишком большое количество звеньев может ослабить любую крепкую цепь (рисунок 3.1).
Рисунок 3.1
Если вы находитесь на нижнем конце цепочки, то точно узнайте, кто захотел от вас выполнения данной задачи. Помните, что «руководство» — это лишь понятие, а не имя конкретного лица. К понятию нельзя обратиться, если вы захотите сообщить о решении проблемы или о затруднениях во время работы.
Предоставлять отчеты вышестоящему руководству
Недавно я беседовала с генеральным директором большой промышленной компании о вопросах безопасности. Она захотела разобраться, как ей узнать о наличии риска для ее сети.
Я задала ей следующие вопросы:
1. Получали ли вы когда-нибудь итоговые отчеты по вопросам безопасности?
2. Есть ли у вас руководитель службы безопасности?
3. Есть ли у вас эксперты по вопросам безопасности?
Генеральный директор ответила «Нет» на каждый из вопросов. Она также не была уверена в том, проводился ли в ее фирме когда-нибудь аудит безопасности. Она не знала, нанимать ли ей консультанта по вопросам безопасности. Я посоветовала ей попросить своих линейных менеджеров провести аудит безопасности и представить ей одностраничный итоговый отчет в течение 30 дней. Я также сказала: «Если ваши сотрудники не смогут провести аудит безопасности или представить вам итоговый отчет по вопросам безопасности, то, определенно, вы нуждаетесь в помощи со стороны».
Системные администраторы и все те, кого чаще всего обвиняют в проблемах безопасности, должны стараться регулярно представлять итоговые отчеты о состоянии безопасности своему руководству (рисунок 3.2). В идеале в таких отчетах нужно предлагать руководству выделять средства, увеличивать штат, обеспечивать обучение или предоставлять все то, что вам необходимо для решения проблем. В худшем случае нужно представлять просто письменные докладные записки, чтобы прикрыть себя в будущем.
Даже если результаты аудита безопасности будут хорошими и без обнаруженных серьезных рисков для безопасности, руководству все равно нужно представлять итоговый отчет. Как я уже говорила (и много раз!), проблемы безопасности не всегда видны невооруженным глазом. Об этом можно забыть после решения проблемы. Это еще одна причина, по которой высшие руководители должны требовать краткий (в одну страницу) итоговый отчет по вопросам безопасности на регулярной основе.
Сделать безопасность общей целью
Трудности по обеспечению безопасности, возможно, у вас возникают из-за того, что все слишком заняты своей работой. Если такие трудности в вашей компании возникают, то постарайтесь, чтобы в задачи руководителя любого уровня были включены и вопросы безопасности.
Учить или учиться самому сколько нужно
Чтобы система безопасности заработала, каждому сотруднику необходимо знать основные правила ее работы. Хотя они знают правила, все же никому не повредит, если вы будете предлагать им эти правила соблюдать. Используйте электронную почту и напоминайте регулярно о важности защиты информации, работы с паролями, безопасности системы и т. д. Если вы или ваши сотрудники не проходили обучения основным методам защиты, то обучайтесь сами и следите, чтобы проводилось обучение сотрудников.
В идеале в вашей компании уже должны быть специалисты, знающие о безопасности достаточно, чтобы самостоятельно планировать и проводить основные учебные занятия. Если они не могут этого делать, то найдите время для организации обучения на стороне. Перед тем как сказать: «У нас просто нет времени на это», подумайте конструктивно. Обучение не обязательно должно быть громоздким и отнимать много времени. Некоторые фирмы предлагают учебные видеофильмы, которые можно просматривать во время перерывов в работе, а также курсы индивидуального обучения по электронной почте. Обучение не обязательно должно предполагать 30 парт, установленных рядами. Подберите метод, который бы заработал в вашей компании.
