Линда Маккарти - IT-безопасность: стоит ли рисковать корпорацией?
В идеале в вашей компании уже должны быть специалисты, знающие о безопасности достаточно, чтобы самостоятельно планировать и проводить основные учебные занятия. Если они не могут этого делать, то найдите время для организации обучения на стороне. Перед тем как сказать: «У нас просто нет времени на это», подумайте конструктивно. Обучение не обязательно должно быть громоздким и отнимать много времени. Некоторые фирмы предлагают учебные видеофильмы, которые можно просматривать во время перерывов в работе, а также курсы индивидуального обучения по электронной почте. Обучение не обязательно должно предполагать 30 парт, установленных рядами. Подберите метод, который бы заработал в вашей компании.
ИТОГОВЫЙ ОТЧЕТ ПО ВОПРОСАМ БЕЗОПАСНОСТИ
Дата: мая 22, 2002
Кому Изабель Уинфри, вице-президенту и директору по информационным технологиям
Джеффу Сен-Пьеру, вице-президенту и финансовому директору
От кого: Майка Нельсона, директора внутреннего аудита
По вопросу: Аудит финансовой безопасности
ОБЩАЯ ОЦЕНКА
НАСТОЯЩЕЕ СОСТОЯНИЕ СРЕДСТВ БЕЗОПАСНОСТИ ФИНАНСОВОЙ СЕТИ НЕ ОБЕСПЕЧИВАЕТ ДОСТАТОЧНОЙ ЗАЩИТЫ ИНФОРМАЦИИ КОМПАНИИ ISD.
ИНФОРМАЦИЯ В СЕТИ ISD ПОДВЕРГАЕТСЯ СЕРЬЕЗНОМУ РИСКУ НЕАВТОРИЗОВАННОГО РАСКРЫТИЯ, ИЗМЕНЕНИЯ И УНИЧТОЖЕНИЯ.
РИСКИ ДЛЯ БЕЗОПАСНОСТИ, О КОТОРЫХ БЫЛО ДОЛОЖЕНО ГОД НАЗАД, НЕ УСТРАНЕНЫ. РЕЗУЛЬТАТЫ АУДИТА ПОКАЗЫВАЮТ, ЧТО РИСКИ ДЛЯ БЕЗОПАСНОСТИ ФИНАНСОВОЙ СЕТИ В ДЕЙСТВИТЕЛЬНОСТИ ВОЗРОСЛИ.
Обнаружен ряд причин такого положения дел:
• Недостаточное обучение.
• Недостаточность средств для расширения штата специалистов по вопросам безопасности.
• Плохая связь между высшим руководством и линейными менеджерами.
• Отсутствие стандартов на настройки безопасности рабочих станций.
• Неправильное использование механизмов предупреждения, обнаружения и докладов о неавторизованном доступе к информации.
РУКОВОДСТВО ДОЛЖНО ПРИНЯТЬ НЕОТЛОЖНЫЕ МЕРЫ ДЛЯ УМЕНЬШЕНИЯ ИМЕЮЩЕГОСЯ РИСКА.
Аудит проводил: Мартин Паттерсон, администратор по вопросам безопасности
Отчет получил:
Дата получения:
Рисунок 3.2
Обеспечить понимание вопросов безопасности всеми руководителями
Особенно важно, чтобы все руководители понимали риски, связанные с незащищенностью систем. Если этого не будет, то принимаемые ими решения непреднамеренно могут подвергать опасности репутацию компании, конфиденциальность информации и сказаться на финансовых результатах. Вам вовсе не обязательно для этого быть экспертом по безопасности, но вы должны разбираться в основах и говорить как специалист.
Поддерживать прямую связь с руководством
Слишком часто системные администраторы жалуются на свои беды своим терминалам, а не начальству. Иногда системные администраторы обнаруживают, что жаловаться своему начальству не намного лучше, чем говорить со своим «железным другом».
Если вы являетесь директором (или каким-то другим руководителем), то обеспечьте вашим людям легкий доступ к своему времени и вниманию. Особенно будьте внимательны, когда возникнут проблемы с безопасностью! Первую линию обороны вашей сети будут составлять хорошо налаженные каналы общения с людьми, находящимися рядом с машинами.
Если вы являетесь системным администратором, то убедитесь в том, что разговор с вашим ближайшим начальником будет полезен для решения проблемы. Если вы в этом не уверены, то должны набраться смелости и обратиться к следующему руководителю в управленческой цепочке ради достижения результатов.
Контрольный список
Используйте этот список, чтобы определить, позволяет ли организационное строение вашей компании и имеющиеся в ней уровни руководства надлежащим образом решать вопросы безопасности. Можете ли вы поставить «Да» напротив каждого пункта?
— Регулярно ли представляются руководству итоговые отчеты по вопросам безопасности?
— Существует ли надежный канал связи между высшим руководством и исполнителями? И что более важно — все ли знают, что он собой представляет и где находится?
— Возлагается ли ответственность за безопасность на вице-президента, директора по вопросам безопасности или другого руководителя? Чем выше такой руководитель находится в руководящей структуре, тем лучше! Убедитесь, что руководитель, отвечающий за безопасность, не спрятан в глубинах бюрократической системы и имеет реальную власть. Иначе он будет только козлом отпущения.
— Демонстрирует ли руководство свою приверженность программе безопасности компании, должным образом ее представляя и совершенствуя?
— Предусмотрено ли достаточное финансирование безопасности и доступны ли эти средства?
— Понимают ли все системные администраторы важность немедленного доклада о проблемах безопасности и их быстрого решения?
— Является ли обучение лучшему пониманию вопросов безопасности частью профессиональной ориентации новых сотрудников всех уровней — от линейных менеджеров до высшего руководства?
— Предпринимаются ли шаги в получении всеми сотрудниками (сверху донизу) ясного представления о политиках защиты информации компании?
— Учитывается ли реально существующая в компании культура общения между руководителями и исполнителями при разработке политик и процедур безопасности?
— Знают ли сотрудники, к кому обращаться в случае возникновения бреши в защите и неопределенности в своих обязанностях?
— Регулярно ли проводится аудит безопасности?
Заключительные слова
Если вы генеральный директор и надеетесь, что ваша интранет будет в безопасности и не проверяете ее, то вас может ждать большой сюрприз. Угрозы благополучию предприятий продолжают возрастать и требуют все более высоких уровней защиты корпоративных интранет.
В начале 1990-х годов мы подошли к выбору дорог в компьютерной безопасности. Несколько лет назад многие компании выбрали кривую тропинку (с меньшей защитой или без нее) из-за того, что риски были небольшими и последствия менее опустошающими. Теперь другая ситуация. Сегодня угроза информации в интранет высока как никогда. Если ваша интранет все еще подвергается риску вследствие стандартной настройки, недостаточного финансирования безопасности и плохой культуры общения внутри компании, то вам нужно немедленно включиться в работу.
Как ясно показывает рассмотренный случай, плохая культура общения представляет собой один из главных рисков для безопасности. Большинство из нарушений, реально обнаруженных в данном исследовании, довольно обычны — простые пароли, стандартные настройки и т. д. На нынешнем этапе компьютерной революции, ни одна уважающая себя компания не должна страдать от таких простых симптомов, так как большинство из них устраняется довольно легко в условиях хороших взаимосвязей в компании.
В отличие от вооруженных ограблений, компьютерным преступлениям не придается большого значения. Часто скрываемые жертвами с целью предотвратить дальнейший ущерб (ценам акций, репутации и т. д.), компьютерные преступления увеличиваются в количестве с феноменальной скоростью. По данным Центра защиты национальной инфраструктуры (National Infrastructure Protection Center), подразделения ФБР, работающего с правительственными органами и частными компаниями, начиная с 1998 года, количество компьютерных преступлений ежегодно удваивается. Нарастающий итог ущерба от таких преступлений увеличивается соответственно. В обзоре, представленном Information Week[16] и Price Waterhouse Coopers[17] в середине 2000 года, стоимость ущерба за этот год только от компьютерных вирусов оценивается в 1,6 триллиона долларов. Как отметил представитель ФБР Лесли Уайзер (Lesly Wiser) в своем докладе Конгрессу по вопросам кибербезопасности в августе 2001 года: «Эти цифры превосходят валовой национальный продукт сразу нескольких государств».
Директор по информационным технологиям любой компании должен быть в курсе любого из рисков для своей корпоративной сети, включая и факты ее успешных взломов. Я уверена, что ваш директор по информационным технологиям хочет узнавать о взломах от линейных менеджеров, а не из выпуска новостей CNN Headline. И если у вас нет прямого канала связи наверх, то создайте его.
Глава 4
Сетевой доступ
Обнаружение играет очень важную роль в любой архитектуре безопасности. Рано или поздно противник захочет скомпрометировать вашу организацию, и на его стороне будут время и ресурсы. Для эффективного обнаружения большую важность имеют уровни защиты. Программы-датчики обнаружения вторжения, honeypots[18] и системные журналы играют ключевую роль в обнаружении.