Линда Маккарти - IT-безопасность: стоит ли рисковать корпорацией?

Тут можно читать онлайн Линда Маккарти - IT-безопасность: стоит ли рисковать корпорацией? - бесплатно полную версию книги (целиком) без сокращений. Жанр: Прочая околокомпьтерная литература, издательство КУДИЦ-ОБРАЗ, год 2004. Здесь Вы можете читать полную версию (весь текст) онлайн без регистрации и SMS на сайте лучшей интернет библиотеки ЛибКинг или прочесть краткое содержание (суть), предисловие и аннотацию. Так же сможете купить и скачать торрент в электронном формате fb2, найти и слушать аудиокнигу на русском языке или узнать сколько частей в серии и всего страниц в публикации. Читателям доступно смотреть обложку, картинки, описание и отзывы (комментарии) о произведении.

Читать книгу

Название:

IT-безопасность: стоит ли рисковать корпорацией?
Автор:

Линда Маккарти
Жанр:

Прочая околокомпьтерная литература
Издательство:

КУДИЦ-ОБРАЗ
Год:

2004
Город:

М.
ISBN:

0-13-101112-Х, 5-9579-0013-3
Рейтинг:

4.63/5. Голосов: 81
Избранное:

Добавить в избранное
Отзывы:

Читать комментарии
Ваша оценка:
100

1

2

3

4

5

Линда Маккарти - IT-безопасность: стоит ли рисковать корпорацией? краткое содержание

IT-безопасность: стоит ли рисковать корпорацией? - описание и краткое содержание, автор Линда Маккарти, читайте бесплатно онлайн на сайте электронной библиотеки LibKing.Ru

Информационные технологии все глубже проникают в нашу жизнь, Не говоря о фирмах, непосредственно занятых разработками или внедрением ИТ, без них уже не могут обойтись банки, крупные торговые фирмы, госпитали, музеи… И этот список легко продолжить. И все чаще объектом грабителей, террористов или просто вандалов становятся информационные системы и сети и хранимая в них информация. Как убедиться, что ваша информация надежно защищена? Что злоумышленник или просто резвящийся тинэйджер, украв или уничтожив данные в вашей сети, не разрушит и вашу личную судьбу, и судьбу всей компании? Этим вопросам и посвящена книга, которую вы держите в руках. Увы, технические проблемы безопасности не всегда очевидны для тех, кто принимает решения о выделении средств и проведении необходимых мероприятий. Но в книге вы и не найдете технических деталей, необходимых системным администраторам и специалистам по безопасности. Автор разбирает конкретные достаточно типичные ситуации, с которыми она сталкивалась как аудитор безопасности, и приводит простые советы, как убедиться в том, что в вашей компании такое невозможно.

Книга даст массу полезных советов для руководителей верхнего уровня и специалистов, отвечающих за информационную безопасность компаний.

IT-безопасность: стоит ли рисковать корпорацией? - читать онлайн бесплатно полную версию (весь текст целиком)

IT-безопасность: стоит ли рисковать корпорацией? - читать книгу онлайн бесплатно, автор Линда Маккарти

Тёмная тема

Шрифт:

↓

↑

Сбросить

Интервал:

↓

↑

Закладка:

Сделать

Вопрос, вполне подходящий для телевикторины $64 000 Question: [14] Одна из самых распространенных телевикторин, проводимая компанией CBS с 1950-х годов. — Примеч. пер. почему не устранили? Определенно, проблемы безопасности в ISD должны были быть решены. Либо линейные менеджеры [15] Line management — менеджеры нижнего уровня. — Примеч. науч. ред. не слышали распоряжения Чарльза сверху, либо они не хотели его услышать.

Скорее всего, когда Чарльз сказал своим людям: «Сейчас же устраните проблемы безопасности», он посчитал вопрос закрытым. Он никогда не проверял, выполняется ли его распоряжение. Какими бы причины не были, проблемы не были решены, и Чарльз не получил желаемых им результатов.

Говоря о результатах, я вспомнила, что у меня все еще работает Crack. Желая узнать, как много еще паролей Crack может взломать, я проверила файл crack.out снова. Невероятно! Было взломано еще 100 паролей. Еще более удивительным было то, что Crack не закончил свою работу! Он все еще «долбил», пытаясь угадать пароли. Очевидно, что пользователей никогда не учили тому, как выбирать надежные пароли. Также было очевидно, что системный администратор никогда не заботился о проверке надежности паролей.

Я схожу с ума, когда узнаю, что системные администраторы не обучают своих пользователей. Слишком часто при установке систем и формировании учетных записей пользователям не объясняют важность правильного выбора и правила обращения с паролем. Также довольно распространенным среди системных администраторов является отсутствие привычки тестировать пароли. Иногда у них действительно на это нет времени. Но во многих случаях они просто не знают, как это делать, и боятся или затрудняются спросить об этом.

Кстати, на проблему ненадежности паролей было указано в отчете по аудиту прошлого года. И в отличие от некоторых других проблем, указанных в отчете, проблема паролей могла быть решена с минимальными усилиями. Мне кажется, что никто так и не смог сделать эти усилия.

Тому, кто проводил аудит в прошлом году, должно быть стыдно за то, что в отчете не указывается, сколько ненадежных паролей было обнаружено. Мне трудно поверить, что положение с ними было хуже, чем в этом году. К тому времени, как Crack завершил свою работу, им было взломано целых 190 паролей в системе с 520 пользователями. Почти каждый второй пользователь имел ненадежный пароль. При таком соотношении лучше было бы отказаться от паролей вообще. Почему бы просто не транслировать пароли по National Public Radio, чтобы напоминать их любому служащему, который позабыл свое второе имя или день рождения?!

Как дальше выяснилось, ненадежные пароли были лишь вершиной айсберга, угрожающего безопасности сети ISD. Главные проблемы, по-видимому, были сосредоточены в одной области: в области рисков безопасности, вызываемых самими людьми. Чтобы полностью выявить эти проблемы, я приступила к беседе с сотрудниками.

Для определения нарушений связей между сотрудниками я начала с верхнего уровня руководства и пошла сверху вниз. На своем пути я сделала ряд блестящих открытий.

• Руководство высшего уровня никогда не требовало и не получало отчетов о том, делаются ли какие-либо изменения в сети, повышающие ее безопасность.

• Руководители просто считали, что проблемы безопасности будут решены только потому, что они об этом сказали.

• Отдел системных администраторов был неукомплектован, и его сотрудникам не хватало времени на решение этих проблем в системах.

• Все рабочее время системных администраторов было занято подключением новых пользователей и поддержкой работы в сети систем компании. Если бы они захотели заняться решением этих проблем, у них бы просто не хватило времени.

• Системные администраторы также не умели решать проблемы безопасности. Они обратились за помощью к руководству, но подобный вид обучения не был предусмотрен в бюджете. Поэтому их запрос был отложен для рассмотрения в будущем.

• Линейные менеджеры также запросили расширить штат сотрудников по обеспечению безопасности сети. На это в бюджете опять не оказалось денег. И снова окончательный ответ на этот запрос был отложен на будущее.

Через год также не нашлось денег на новых сотрудников. Тем временем линейные менеджеры ждали, когда будет одобрен новый штат и новые сотрудники займутся решением проблем безопасности. В итоге — все ничего не делали и только ждали.

Удивительно, как много можно узнать из бесед с сотрудниками. Досадным в этой истории являлось то, что линейные менеджеры знали, что их системы все еще оставались незащищенными. Тем не менее высшее руководство было в неведении. Это случилось потому, что оно не потребовало отчета о решении проблем. Линейные менеджеры знали, что ничего не делается, но не проявляли инициативы в докладе наверх. В результате этого высшее руководство по-прежнему оставалось в неведении. Оно твердо было уверено в том, что все сделано и все шло своим чередом.

Данная ситуация не является чем-то необычным. Как и многие компании, ISD проводила сокращение числа сотрудников. Поэтому запрос на увеличение штата сотрудников просто отклонялся. Может быть, линейные менеджеры недостаточно убедительно доказывали, почему такое увеличение штата сотрудников было абсолютно необходимо. Или их запрос потерялся среди других многочисленных запросов. Вы, возможно, знаете, что когда идет борьба за каждое рабочее место в условиях их ограниченности, то каждый запрос на нового сотрудника становится вопросом жизни или смерти.

Может быть и так, что запросы линейных менеджеров были достаточно убедительными, но их убедительность уменьшалась по мере продвижения через четыре уровня руководящей иерархии от запрашивающего руководителя до начальника, распоряжающегося финансированием. Несомненно, запрос финансирования был бы одобрен, если бы генеральный директор получил его собственноручно и в нем бы говорилось: «Эти средства требуются для устранения уязвимых мест в защите, так как вся сеть подвержена риску. Пока эта вакансия не будет занята, информация может быть легко украдена, изменена и уничтожена».

Резюме: Займите активную позицию

Как случилось, что финансовая сеть компании, вошедшей в список Fortune 500, оказалась такой уязвимой для атаки? Виной тому плохое руководство, недостаточное обучение, отсутствие связи между сотрудниками и сложная система прохождения отчетов (слишком много уровней руководящей иерархии).

Хотя руководящие сотрудники миссис Смит ясно себе представляли важность безопасности, они не предприняли никаких действий для получения подтверждения, что безопасность действительно обеспечена. Указаний «решить проблему» не достаточно. Руководители должны занимать активную позицию в вопросах безопасности. По крайней мере, руководители должны требовать четкого подтверждения в письменном виде того, что проблемы безопасности решены. В таком случае руководству из отчетов будет ясно видно, например, что проблемы безопасности не могут решаться по причине того, что на дополнительный штат сотрудников не выделено средств.