Линда Маккарти - IT-безопасность: стоит ли рисковать корпорацией?
- Название:IT-безопасность: стоит ли рисковать корпорацией?
- Автор:
- Жанр:
- Издательство:КУДИЦ-ОБРАЗ
- Год:2004
- Город:М.
- ISBN:0-13-101112-Х, 5-9579-0013-3
- Рейтинг:
- Избранное:Добавить в избранное
-
Отзывы:
-
Ваша оценка:
Линда Маккарти - IT-безопасность: стоит ли рисковать корпорацией? краткое содержание
Информационные технологии все глубже проникают в нашу жизнь, Не говоря о фирмах, непосредственно занятых разработками или внедрением ИТ, без них уже не могут обойтись банки, крупные торговые фирмы, госпитали, музеи… И этот список легко продолжить. И все чаще объектом грабителей, террористов или просто вандалов становятся информационные системы и сети и хранимая в них информация. Как убедиться, что ваша информация надежно защищена? Что злоумышленник или просто резвящийся тинэйджер, украв или уничтожив данные в вашей сети, не разрушит и вашу личную судьбу, и судьбу всей компании? Этим вопросам и посвящена книга, которую вы держите в руках. Увы, технические проблемы безопасности не всегда очевидны для тех, кто принимает решения о выделении средств и проведении необходимых мероприятий. Но в книге вы и не найдете технических деталей, необходимых системным администраторам и специалистам по безопасности. Автор разбирает конкретные достаточно типичные ситуации, с которыми она сталкивалась как аудитор безопасности, и приводит простые советы, как убедиться в том, что в вашей компании такое невозможно.
Книга даст массу полезных советов для руководителей верхнего уровня и специалистов, отвечающих за информационную безопасность компаний.
IT-безопасность: стоит ли рисковать корпорацией? - читать онлайн бесплатно полную версию (весь текст целиком)
Интервал:
Закладка:
Мы уже обсудили виды рисков, сопровождающих краткосрочное мышление. Теперь поговорим об одном из способов эти риски избежать: о подсчете очков!
Высшее руководство должно подсчитывать очки по безопасности сотрудников всех уровней. Ни один из менеджеров, отвечающих за техническую поддержку компьютеров, не должен получать премию, пока он не добьется поставленных перед ним целей по обеспечению безопасности. Таким же образом системные администраторы должны набирать очки за то, как они защищают информацию, а не только за то, как они обеспечивают исправность сети и ее работу.
Контрольный список
Используйте этот список, чтобы определить, подвергается ли ваша компания риску по причине незнания того, каким этот риск является. Можете ли вы поставить «Да» напротив каждого пункта?
— Проводилась ли недавно оценка риска?
— Классифицированы ли системы по уровню риска (некритичные, критичные, особо критичные и т. д.)?
— Привязаны ли цели руководства к вопросам безопасности?
— Проводятся ли плановые аудиты для проверки ранее сделанной оценки риска?
— Привлекаются ли, при необходимости, внешние аудиторы для оценки и уменьшения риска? (Некоторые владельцы информации еще не знают, какие ценности они имеют!)
— Все ли сотрудники (как менеджеры, так и системные администраторы) назначаются на должности и оцениваются, основываясь на выполнении ими задач по обеспечению безопасности?
Заключительные слова
Оценка риска является одной из важнейших и наиболее игнорируемых задач в области безопасности. Как ни печально, но это действительно так. Вы должны понять, что у вас есть и что из вашего имущества заслуживает охраны.
По данным опроса Global Security Survey, проведенного в 2001 году журналом Information Week и группой Price Waterhouse Coopers, у 64 процентов респондентов не было политики безопасности, определяющей классификацию информации. Это несомненный рост по сравнению с 52 процентами в предыдущем году. Конечно, не все нарочно «игнорируют» проведение классификации информации. Почти у 70 процентов вообще нет политики защиты информации, определяющей их цели по обеспечению безопасности. Так ли уж небрежны компании в отношении безопасности информации? Вовсе нет. Просто рост в геометрической прогрессии количества информации, которую необходимо защищать, захлестнул компании. Придется ли им заплатить за свой недосмотр в будущем? Несомненно.
Чтобы действительно защитить свою сеть, вы должны провести тщательную оценку риска и затем использовать эту информацию для построения вашей стратегии безопасности. И это надо будет проделывать не один раз.
Как только будут добавляться новые системы, меняться системные платформы или предприниматься основательные организационные изменения, вы должны будете повторно проводить оценку риска. «Безопасность нельзя сводить к одноразовому мероприятию — ее нужно практиковать. Такая практика заключается в инструментах, обучении, системе оценок и методологии».
Глава 7
Поддержка безопасности
Конечно, в этой фирме был брандмауэр, но ее сеть была широко открыта любому с картой 802.11(b). [41] Очевидно, внутренняя сеть фирмы была создана по беспроводной технологии стандарта IIEЕ 802.11 (b), причем была защищена только точка входа. — Примеч. пер.
Вы являетесь менеджером административной информационной системы у крупного производителя микросхем. Ваша группа обеспечивает техническую поддержку сети компании и отвечает за работоспособность сети и решение возникающих в ней проблем. Это большой груз ответственности в большой компании. Это вместе с тем неблагодарная работа. Все сразу видят, когда сеть выходит из строя. Но никто не замечает, как хорошо и быстро работает сеть, если все в порядке, — это обычное для всех состояние сети.
Ваша группа также отвечает за поддержку брандмауэра компании. Этот брандмауэр защищает вашу сеть от большого плохого Интернета. Вы счастливы, что у вас работает один из лучших в мире экспертов по брандмауэрам. Как только возникает проблема, он тут же берет ее решение на себя. В окружении зрелых специалистов вам удается освободить для себя время, чтобы заняться нужными делами, как, например, политиками компании и бюджетом. И вот вы только что провели последние штрихи в бюджете отдела на следующий год.
Но зазвонил телефон. Ваш эксперт сообщает вам, что очередной хакер проник в сеть компании через брандмауэр. Эксперт уже связался с группой обеспечения безопасности компании. Сотрудники группы будут определять путь хакера, а он займется выяснением способа, с помощью которого хакер осуществил взлом. Вы говорите: «Отлично. Только сообщите мне, когда проблема будет решена».
Можно вернуться к бюджету. Цифры выглядят хорошо — средства не такие уж большие, но вполне достаточные. Даже если у вас отнимут процентов 20, то и тогда оставшегося хватит безбедно прожить следующий год.
За составлением бюджета время пролетело быстро, и незаметно наступил конец рабочего дня. Вы уже собрались пойти домой, но вспомнили, что вам все еще не позвонил администратор брандмауэра. Ну да ладно. Пустяки. Вы надеетесь, что у него все под контролем. Можно еще успеть выбраться на хоккей. Sharks играют дома, и вы ни за что не пропустите игру.
На следующий день вам звонит ваш администратор брандмауэра: «Мы выкинули хакера из сети прошлой ночью. Я нашел, в чем проблема, и устранил дыру. Этим путем он больше не пройдет». Отличная работа! Вы знали, что все так и выйдет.
Что же здесь не так? Руководитель, отвечающий за поддержку брандмауэра и думающий, что взлом — это пустяк, должен искать себе новую профессию! Это не тот тип менеджера, которого я бы допустила к технической поддержке моей сети и брандмауэра.
Если вы думаете, что всякий, в чьи обязанности входит обеспечение безопасности вашей информации, действительно заботится о безопасности, то подумайте хорошенько. Цель компании защитить информацию не всегда становится целью каждого. Теперь посмотрим…
Кто отвечает за безопасность
Когда пять лет назад компания Global Chips подключилась к Интернету, она поставила и брандмауэр. Брандмауэр в то время справлялся со своими функциями — обеспечивал сотрудникам доступ к внешнему миру и преграждал путь хакерам. Однако технологии быстро меняются, a Global Chips годами не поддерживала и не улучшала свой брандмауэр должным образом. Это открыло дверь в их сеть.
Однажды хакер прошел через брандмауэр, как будто его и не было. Затем хакер свободно совершил долгую прогулку по интранет компании, собирая пароли и информацию. Персонал технической поддержки обнаружил хакера в сети, но не смог получить достаточно информации, чтобы отследить обратный путь к хакеру.
Читать дальшеИнтервал:
Закладка:
