Линда Маккарти - IT-безопасность - стоит ли рисковать корпорацией?

Как минимум, должны разрабатываться и совершенствоваться политики и процедуры для установки систем, обслуживания информации и обеспечения основной физической безопасности. Если у вашего системного администратора не будет системных политик и процедур, то системы после установки могут иметь рискованные настройки. Это случилось в сети TransWorld. У них не было ни политик, ни процедур настройки безопасности, и система после установки была подвержена риску.

Если вся ваша сеть после установки имеет настройки с высоким уровнем риска, то последующий перевод системы на требуемый уровень безопасности будет связан со значительными затратами времени и людских ресурсов. Для того чтобы этого избежать, убедитесь в том, что ваши системы не остались в состоянии стандартных настроек и без необходимых политик и процедур. Подробнее о политиках и процедурах см. главу 8, «Безопасность внутренних сетей».

Привлечение экспертов со стороны не является признаком слабости вашей группы. Напротив, это признак здравомыслия! Пока ваша компания невелика, вам, возможно, не требуется штатный эксперт по безопасности на полный рабочий день. Поэтому имеет смысл, чтобы не раздувать штат и сберечь ресурсы, при необходимости привлекать эксперта на временную работу. Но не ждите, когда вся сеть выйдет из-под контроля.

Не так давно я беседовала с руководителем информационной службы компании, входящей в список Fortune 500. Я сообщила ему, что от инженеров и руководящих работников его компании я узнала о нескольких рискованных настройках систем в их сети. Им следовало бы нанять аудитора безопасности и протестировать их сеть. Я сказала, что аудит не обойдется им дорого и позволит точно узнать, какому риску они подвергаются. Ответ руководителя информационной службы был необычным. Он сказал: «Линда, это как если бы из моего самого дорогого костюма вытащили одну нитку. Ничего не стоит это сделать, но последствия будут дорогими». Я поняла его так, что по-настоящему дорогим будет не аудит, а «чистка» выявленных во время него зон риска. Проблемой при таком подходе будет то, что рано или поздно кто-то будет готов выдернуть эту нитку. Вопросами будут (кроме «Когда?»): «Кто?» и «С какой целью?». Надеюсь, что на вопрос «Кто?» будет ответ — аудитор, а не хакер, а на вопрос «С какой целью?» — анализ риска, а не выискивание возможной добычи.

Безопасность не является предметом, на который обращают внимание большинство технических специалистов или системных администраторов в учебных заведениях или при практической подготовке. Обеспечьте, чтобы ваши сотрудники имели хотя бы базовую подготовку. Помните, что проблемы безопасности не стоят на месте. Поэтому занятия по безопасности многолетней давности — не в счет.

Одной из проблем в TransWorld было то, что Джордж и Натан занимались (предположительно) защитой информации клиентов, не обучившись этому предмету в течение хотя бы одного часа. Это сумасшествие! Добейтесь, чтобы ваши сотрудники были обучены тому, как обеспечивать безопасность обслуживаемых ими систем.

Используйте этот контрольный список для определения того, рискует ли ваша компания из-за стандартных установок систем. Можете ли вы поставить «Да» напротив каждого пункта?

— Знаете ли вы, что пытаетесь защитить в вашей сети?

— Участвует ли руководство в оценке риска?

— Имеются ли политики и процедуры для настройки систем?

— Охватывают ли эти политики и процедуры разрешение доступа к файлам, пароли и установку патчей?

— Имеется ли политика, охватывающая физическую безопасность?

— Все ли учетные записи пользователей имеют пароли?

— Были ли изменены учетные записи, по умолчанию установленные во время установки системы?

— Входит ли в политику запрещение гостевых учетных записей, установленных по умолчанию?

— Регулярно ли отключаются неактивные учетные записи?

— Устанавливаются ли патчи безопасности совместно с установкой всех новых систем?

— Пытались ли вы взломать пароли системы (систем), которую вы обслуживаете, с целью тестирования ненадежных паролей?

— Проводите ли вы периодический аудит для проверки состояния имеющихся средств безопасности?

— Отслеживаете ли вы неавторизованные изменения файлов?

— Уверены ли вы в том, что все сотрудники, устанавливающие ваши системы, обучены политикам и процедурам безопасности вашей компании?