Линда Маккарти - IT-безопасность: стоит ли рисковать корпорацией?
• Теоретически размещение политик и процедур на сервере должно было бы обеспечивать их легкую доступность для системных администраторов. На практике никто не сказал системным администраторам, как добраться до этого сервера.
• Любой из системных администраторов, кому бы посчастливилось найти эти политики и процедуры, не смог бы их понять. Большей частью эти политики и процедуры были так запутаны и плохо написаны, что были непригодны к применению.
• Руководство, очевидно, не считало проблему политик и процедур важной.
Резюме: Безопасность — жертва войны
Политики безопасности образуют первую линию обороны. Без них компания будет ввергнута в войну. От местных сражений между различными обслуживающими подразделениями компании вы перейдете к настоящей войне с хакерами, заинтересованными в сражениях другого рода. Им чужды политические ухищрения, ими руководит только грубое желание изменить, украсть или уничтожить информацию. И когда начнется такая война, то будет все равно, кто выиграет небольшие бои между подразделениями. Принимая во внимание количество энергии, которая тратится на ведение внутренних политических игр, я могу держать пари о том, что хакер со всей вероятностью победит в любой из внешних битв.
Если в вашей компании нет политик и процедур, то поручите кому-нибудь их создать и поддерживать. Если среди ваших сотрудников нет того, кто смог бы с этим справиться, то наймите «вольного стрелка» для выполнения такой задачи. Еще лучше, если такой человек со стороны научит ваших сотрудников, как это делается. На худой конец, купите книгу по данной теме, чтобы можно было для начала получить справочную информацию.
После того как политики будут написаны, обеспечьте их постоянное обновление. Устаревшие политики скорее вредны, чем бесполезны, так как создают видимость безопасности, в то время как ее в действительности нет.
Мы пойдем другой дорогой…
Действительные причины музейной дилеммы не были техническими. Они заключались в инертности, политиканстве и плохом руководстве. Не допускайте, чтобы такое произошло с вашей сетью.
Главной проблемой было то, что музей эксплуатировал свою сеть без политик и процедур. Политики и процедуры составляют фундамент безопасности. Без них невозможно поддерживать управление безопасностью. Как своими действиями, так и бездействием персонал музея создал обстановку, в которой стало небезопасно пользоваться их сетью.
Вот что они должны были сделать вместо этого.
Возложить на кого-либо из сотрудников ответственность за политики и процедуры.
Кто-то должен отвечать за политики и процедуры. Если ваши политики и процедуры устарели или плохо написаны, сделайте что-нибудь! Поручите кому-либо из сотрудников писать, проверять и распространять политики и процедуры. Если компания велика, то имеет смысл создать целую группу для решения этой задачи.
Что более важно, добейтесь того, что ваши политики и процедуры выполняются. Напомню, что в 2000 году на оборонные системы США было предпринято 250 000 попыток кибератак. Из 245 атак, которые были успешными, 96 процентов могли бы потерпеть неудачу, если бы пользователи выполняли имеющиеся протоколы безопасности.
Разграничить обязанности по поддержке безопасности между группами
Если в вашей компании имеются группы обеспечения безопасности и группа системных администраторов, то вы должны ясно определить их роли и обязанности. Являются ли системные администраторы ответственными за настройку систем? Отвечает ли группа обеспечения безопасности за информирование о неувязках?
Если обязанности не будут закреплены официально, то ничего не будет делаться. И будет не с кого спросить за возникшие проблемы.
После четкого определения ролей вы должны добиться того, чтобы каждая группа делала то, чего от нее хотят. Проследите это! В нашей истории предполагалось, что группа обеспечения безопасности отвечает за политики и процедуры. И все же они не обновляли процедуры, не писали их правильно и понятно для каждого и не сделали их легкодоступными. Короче, они не выполнили своей работы. Кто-то должен был это заметить и проследить, чтобы такая работа была проделана.
Не надеяться на чудо
Системные администраторы, отвечавшие за настройку безопасности, не знали, как это делать. Из-за плохого состояния процедур в такой неразберихе действительно виноваты не они. Их вина тем не менее была в том, что, вместо того чтобы сообщить о проблеме руководству и работать над ее решением, они ничего не делали. Может быть, они ждали, когда на их серверы сойдет небесная благодать?
Если в вашей компании политики и процедуры четко не определены, то нужно искать пути по внесению в них ясности. Если необходимо, обратитесь за помощью к руководству. Не сидите и не ждите чуда.
Пересматривать процессы
Одним из вопросов, которого мы действительно не касались в данном аудите, был вопрос о том, должна ли была группа обеспечения безопасности писать политики и процедуры для музея. Это само собой подразумевалось, так как обычно всегда этим занимаются именно они.
Я думаю, вы слышали рассказ об отрезанном куске говядины. Некая домохозяйка всегда отрезала конец куска мяса, перед тем как его готовить. Однажды муж спросил ее, зачем она это делает. «Я не знаю. Моя мать всегда так делала», — отвечала она и спросила свою мать об этом. Та ей ответила: «Я не знаю. Моя мать всегда так делала». Наконец, прабабушка рассказала женщине: «После этого кусок помещается в сковородку». Оказалось, что у старой женщины была только одна сковорода, и она была слишком мала, чтобы вместить кусок говядины стандартного размера. Разумеется, у ее потомков были сковородки всех размеров. Они просто выбрасывали лучшую часть куска по традиции, так как не хотели пересмотреть процесс.
Может быть, пять лет назад при установке системы и было лучшим вариантом поручить написать политики и процедуры группе обеспечения безопасности. Но это не означает, что такой выбор все еще остается лучшим. Найдите время для периодического изучения того, достались ли все роли и обязанности людям, способным лучшим образом сделать работу. Не оправдывайте свои действия тем, что ваши предшественники поступали так же.
Иногда — просто сдаться
В компаниях все варится в одном котле — и плохое, и хорошее. Даже если мы захотим казаться выше всего этого, то все равно мелочные политиканы будут продолжать копошиться. Иногда лучше дать одной из сторон взять верх, когда битва не так уж значительна или когда участие в ней отвлекает вас от настоящей работы. Если такая борьба становится более важной, чем защита информации, то победителем в настоящей войне окажется хакер.
Выполнять свои обязанности
Если вы являетесь системным администратором, то вы отвечаете за установку и поддержку средств безопасности вашей системы. Эта ответственность лежит на вас, даже если в вашей компании есть подразделение по обеспечению безопасности, следящее за вторжениями, средствами контроля, политиками и процедурами. В конечном счете, когда что-то пойдет не так, все повернется к вам (и против вас). Всегда помните об этом.
Контрольный список
Используйте этот список для определения того, правильно ли используются в вашей компании политики и процедуры для повышения безопасности.
— Легко ли читать и понимать политики?
— Есть ли у каждого сотрудника экземпляр политик или знает ли каждый, по крайней мере, где политики находятся?
— Несет ли кто-нибудь личную ответственность за политики и процедуры?
— Посещает ли этот сотрудник конференции по вопросам безопасности или же другим способом держит себя в курсе современного состояния вопросов безопасности?
— Обновляются ли на регулярной основе политики и процедуры?
— Планируются ли профилактические аудиты политик и процедур?
— Осуществляют ли руководители всех уровней поддержку политик и процедур?
— Обучаются ли новые сотрудники политикам и процедурам безопасности?
— Имеется ли справочный материал по политикам и процедурам?
Заключительные слова
В рассказанной истории руководители обеих групп должны были помогать решению проблемы — для этого руководство и существует. К сожалению, эти менеджеры «зависли» на своих политических амбициях. Вдохновляйте ваших менеджеров на то, чтобы они оглядывали всю панораму (безопасности информации), а затем начинали действовать, опираясь на полученные факты.
Системные администраторы никогда не должны оставлять системы широко открытыми только потому, что он не знают, как настраивать безопасность. И в то же время настройки систем не должны диктоваться сверху. Их нужно согласовывать и делать понятными людям, которые отвечают за установку и обслуживание систем.