Линда Маккарти - IT-безопасность: стоит ли рисковать корпорацией?

По этому аудиту у меня было собрано достаточно информации. Я потратила несколько дней на составление отчета. Иногда на его составление уходит столько же времени, как и на само проведение аудита. Важно показать риски и рекомендуемые решения так, чтобы они были понятны руководству и вызывали у него стремление к действиям. На это нужно время. Некоторые аудиторы используют стандартный шаблон для всех своих аудитов и заполняют эту заготовку стандартными словами, описывая обнаруженные проблемы и рекомендации по их решению. Таким людям нужно менять профессию. Компании платят им не за стандартный набор проблем и решений. Компаниям нужно, чтобы эти специалисты ориентировались на определение рисков в их среде и на то, как в их среде эти проблемы устранить.

Написав такой ориентированный на их среду отчет, я передала мой труд нанявшему меня руководителю внутреннего аудита. Рэндаллу, в общем, он понравился. Ему не понравились мои находки, но он понял риски и узнал, что надо сделать для решения проблем. С отчетом в руках Рэндалл направился к своему начальству. Моя работа была на этом закончена.

Обучение является клеем, скрепляющим все части программы обеспечения безопасности. Это довольно дешевый клей. К сожалению, руководители часто забывают сравнить стоимость обучения безопасности со стоимостью «уборки» после большого инцидента. Исследование, проведенное в Британии группой Price Waterhouse Coopers, показало, что 44 процента фирм, участвующих в исследовании, пострадали от атак в 2001 году и стоимость восстановительных работ составила в среднем 30 000 долларов. Для сравнения — 70 процентов тех же самых фирм потратили меньше одного процента из своих бюджетов на безопасность. [32] Очевидно, автор имеет в виду расходы на обучение. — Примеч. пер. Американские фирмы не намного больше потратили на обучение по вопросам безопасности. Эти расходы лишь капля в ведре по сравнению с тем, что необходимо затратить, чтобы остановить волну компьютерной преступности, годовой доход которой оценивался в 1999 году уже в 10 миллиардов.

Компьютерные преступления и атаки на безопасность систем достигли уровня, на котором подвергаются риску здоровье экономики и благополучие целых наций.

Если в вашей компании нет надлежащих программ обучения, то вы сами можете стать частью национального риска. По крайней мере, не обеспечив простого обучения мерам безопасности системных администраторов, вы можете подвергнуть риску вашу компанию. Должны иметься четкие указания по обучению системных администраторов тому, как настраивать системы и как выполнять политики и процедуры. Еще важнее, чтобы кто-то отвечал за полное прохождение учебных программ всеми сотрудниками.

Другой вариант — это отправка сотрудников на обучение во внешние организации. Если ваша компания выберет такой вариант, то убедитесь в том, что средств в бюджете на это выделено достаточно. Слишком часто статья бюджета на обучение первой попадает под топор сокращения расходов. Такое сокращение влечет за собой увеличение риска. Экономия денег на обучении может улучшить баланс в текущем квартале. Но расходы резко возрастут, если информация в вашей сети будет уничтожена.

Кроме всего, поймите, как важно иметь обученных сотрудников. Скотт Рамси (Scott Ramsey), национальный директор служб информационной безопасности фирмы Ernst & Young, говорит: «Организации внедряют технологии, позволяющие им обходиться меньшим числом людей. Но их руководство часто не находит времени или денег для обучения людей тому, как эти технологии использовать или защищать». Системные администраторы не рождаются со знаниями в области безопасности. Большинство из них нужно научить настраивать безопасность.

Также нужно помнить, что обучение — процесс непрерывный. Как невозможно научиться всему на рабочем месте, так же невозможно все узнать на недельных курсах. Сделайте непрерывное обучение частью стандартной поддержки самих сотрудников.

И наконец, постройте четкую цепь управления. Конечно, вы не хотите сокращать свой обслуживающий персонал. Но когда для корпоративной сети требуется много системных администраторов, то нужно, чтобы решения по вопросам безопасности и политикам доходили до каждого системного администратора. Если каждый из них будет устанавливать политики и процедуры независимо, то риск ошибки возрастет пропорционально численности персонала.

Как и в других видах повседневной технической поддержки, в обучении безопасности не много романтики. Тем не менее оно столь же необходимо для долгой поездки, как и проверка тормозов или уровня масла в вашей машине. Игнорируя этот факт, InterMint чуть-чуть не оказалась выброшенной на обочину информационного хайвэя.

Вот что им следовало бы сделать во избежание этого.

Если руководство поднимет тревогу, что у них не все в порядке с безопасностью, то большинство в компании последует его примеру. Руководство должно обеспечить доступность занятий по безопасности для сотрудников всех уровней — это касается и высшего руководства.

Хотя все руководители должны проходить обучение безопасности, но не всегда можно на этом настаивать. По самой меньшей мере, высшее руководство должно представлять себе, почему безопасность важна.

Причина этого проста. Мало кто из генеральных директоров выделит средства, если ему непонятна важность цели. Ему нужно объяснить существующий риск. Подумайте об этом. Будете ли вы покупать страховку на случай землетрясения, если вы живете в Уэст-Бенд, штат Индиана? [33] В районе оз. Мичиган, т. е. в зоне слабой сейсмической активности. — Примеч. пер. Вряд ли. Купите ли вы эту страховку, если ваш дом высится над разломом Сан-Андреас в штате Калифорния? Вы ответите «Да» (если только вы не законченный глупец), потому что вы осознаете риск. По моему опыту, руководители, осознавшие риски, более склонны выписывать чеки на обучение.

Не позволяйте выбрасывать в первую очередь статью на обучение безопасности из напряженного годового бюджета. Иначе придется заплатить позднее. Создаваемая сегодня безопасность требуется для скрепления всех последующих частей. Ведь вам не придет в голову вложить все средства в разработку нового продукта, а затем не запереть двери лабораторий? Конечно нет. Но, оставляя открытыми ваши корпоративные сети, вы с большой вероятностью можете подвергнуться такому же риску.