Линда Маккарти - IT-безопасность: стоит ли рисковать корпорацией?

После оценки риска руководство должно было определить риск для каждого вида информации и предпринять шаги по сохранению ее в тайне. Они могли бы усилить меры по контролю доступа, ввести контроль над действиями пользователей, обнаружение вторжения и шифрование в системах с историями болезней.

Системы нужно было классифицировать по степени важности и построить их защиту, исходя из уровня риска для информации. Основными уровнями риска при такой классификации являются некритичный, критичный и особо критичный. После проведения классификации безопасность систем должна быть настроена в соответствии с политикой компании по защите информации.

Так как каждая компания имеет свой уровень развития и несет ответственность за свою информацию, то классификация и определение уровней безопасности должны проводиться исходя из конкретных условий (меняющихся от компании к компании).

В данном случае единственным человеком, кто хотя бы смутно представлял себе идею классификации систем, была Джилл. Да и то после того, как ей открыли на это глаза. Так относиться к технической поддержке компьютеров нельзя. Вы должны ясно представлять, что нужно защищать. Иначе вы не сможете убедиться в достаточности имеющегося у вас уровня безопасности.

Мы уже обсуждали это ранее (во второй главе), но нужно еще раз повторить. Стандартная установка систем порождает высокую степень риска для любой компании, в которой нет хороших политик и процедур безопасности. Установленные стандартно системы могут создать зияющие дыры в вашей сети.

Зачем оставлять приглашение хакерам, если вы можете этого не делать? Лучше внедрите правильные политики и процедуры по установке систем в вашей сети.

Доверие — это страшная вещь в сетях с неправильной настройкой. Как только вы войдете в одну машину, другие машины доверят вам войти в них. Если вам необходима доверительная конфигурация (а абсолютная необходимость возникает лишь в редких случаях), то вы должны обеспечить должную безопасность доверяемой машине. Это очень трудно сделать. По возможности поищите менее рискованную альтернативу.

Часто говорят, что тот, кто забывает историю, обречен ее повторить. Только что назначенные менеджеры и системные администраторы не должны считать безопасность принимаемых ими систем достаточной без проверки, проведенной собственноручно, — не зависимо от репутации предшественников. Если бы в данном аудите не были вскрыты оставшиеся от предшественников проблемы, то Мэтт мог бы испытать на себе, как доверие к Джо и Марлен разрушит его собственную репутацию.

Бездонных бюджетов не бывает, и в наступившей эре бережливости трудно выжить. Но и в этой ситуации рискованно искать обходные пути.

Здесь пользу может принести классификация систем. Вы не должны тратить средства на обеспечение безопасности наугад, то есть начинать с первой системы и двигаться справа налево, а затем остановиться, когда деньги закончатся. Если вы проведете оценку риска и классификацию систем, то сможете применить более практичный подход. Вы сможете использовать полученную информацию и сокращать средства, прежде всего для участков, где это причинит меньший вред.

В идеале, конечно, вы должны обеспечивать безопасность каждой системы. Но если бюджет не позволяет сделать этого прямо сейчас, то вы должны в первую очередь позаботиться о защите особо критичных систем.

Используйте аудиты безопасности для оценки уровня риска в вашей среде. Rockland General должна была провести аудит безопасности до переноса систем на новую платформу. Аудит выявил бы существующие риски безопасности, что помогло бы персоналу компьютерного зала получить финансирование, необходимое для обеспечения безопасности при таком переходе.

Разумеется, им следовало бы многое сделать. Я догадываюсь, что технический персонал противился проведению первоначального аудита, так как им действительно не хотелось, чтобы начальство узнало о существующих рисках. Зачем забираться в такие дебри только для того, чтобы показать начальству свое неумение устранить обнаруженные проблемы.

Другой очевидной проблемой в Rockland General была краткосрочность мышления менеджеров: «Получай свою премию и управляй своими людьми». При наличии корпоративной культуры, допускающей быстрое передвижение по служебной лестнице, обязанности по обеспечению безопасности должны отражаться в должностной инструкции! Нет безопасности — нет премии. Более того, сотрудники должны проявлять больше усилий, чтобы остаться в числе лучших профессионалов. По меньшей мере, нужно назначать на должности менеджеров только тех, кто показывает стабильные результаты в технической поддержке особо критичных машин.

Несомненно, конечная ответственность за риски безопасности лежит на руководстве. Но нечестно во всем обвинять людей, которых уже нет рядом с вами.

На системных администраторов часто обрушивается гнев за проблемы с безопасностью, даже если это не их вина. Не удивляйтесь, если менеджер, отказавшийся обеспечить необходимое финансирование поддержки безопасности, будет первым, кто набросится на вас, когда что-то пойдет не так.

В любом случае, когда что-либо происходит с обслуживаемыми вами машинами, люди будут обвинять в этом вас. Если компания, в которой вы работаете, не финансирует поддержку или обучение безопасности, то, может быть, стоит задуматься над обновлением вашего резюме.

Смена платформ и радикальное изменение конфигурации означают, что вы также потеряете знания ваших людей. Перед тем как осуществить такой переход, обеспечьте обучение персонала новым вещам. Системные администраторы не смогут однажды проснуться утром и обнаружить, что они таинственным образом во сне освоили операции по новой технологии. Им нужен кто-то, кто бы объяснил, какие добавить патчи, какие службы выключить и т.д.

В Rockland General технический персонал перенес всю особо критичную информацию больницы из большого старого компьютера, который они знали, как обслуживать, в незнакомую распределенную среду. И в процессе этого руководство не обеспечило им ни одного занятия по безопасности. Неудивительно, что с безопасностью возникли такие большие проблемы!