Линда Маккарти - IT-безопасность - стоит ли рисковать корпорацией?

• Системные администраторы также не умели решать проблемы безопасности. Они обратились за помощью к руководству, но подобный вид обучения не был предусмотрен в бюджете. Поэтому их запрос был отложен для рассмотрения в будущем.

• Линейные менеджеры также запросили расширить штат сотрудников по обеспечению безопасности сети. На это в бюджете опять не оказалось денег. И снова окончательный ответ на этот запрос был отложен на будущее.

Через год также не нашлось денег на новых сотрудников. Тем временем линейные менеджеры ждали, когда будет одобрен новый штат и новые сотрудники займутся решением проблем безопасности. В итоге — все ничего не делали и только ждали.

Удивительно, как много можно узнать из бесед с сотрудниками. Досадным в этой истории являлось то, что линейные менеджеры знали, что их системы все еще оставались незащищенными. Тем не менее высшее руководство было в неведении. Это случилось потому, что оно не потребовало отчета о решении проблем. Линейные менеджеры знали, что ничего не делается, но не проявляли инициативы в докладе наверх. В результате этого высшее руководство по-прежнему оставалось в неведении. Оно твердо было уверено в том, что все сделано и все шло своим чередом.

Данная ситуация не является чем-то необычным. Как и многие компании, ISD проводила сокращение числа сотрудников. Поэтому запрос на увеличение штата сотрудников просто отклонялся. Может быть, линейные менеджеры недостаточно убедительно доказывали, почему такое увеличение штата сотрудников было абсолютно необходимо. Или их запрос потерялся среди других многочисленных запросов. Вы, возможно, знаете, что когда идет борьба за каждое рабочее место в условиях их ограниченности, то каждый запрос на нового сотрудника становится вопросом жизни или смерти.

Может быть и так, что запросы линейных менеджеров были достаточно убедительными, но их убедительность уменьшалась по мере продвижения через четыре уровня руководящей иерархии от запрашивающего руководителя до начальника, распоряжающегося финансированием. Несомненно, запрос финансирования был бы одобрен, если бы генеральный директор получил его собственноручно и в нем бы говорилось: «Эти средства требуются для устранения уязвимых мест в защите, так как вся сеть подвержена риску. Пока эта вакансия не будет занята, информация может быть легко украдена, изменена и уничтожена».

Как случилось, что финансовая сеть компании, вошедшей в список Fortune 500, оказалась такой уязвимой для атаки? Виной тому плохое руководство, недостаточное обучение, отсутствие связи между сотрудниками и сложная система прохождения отчетов (слишком много уровней руководящей иерархии).

Хотя руководящие сотрудники миссис Смит ясно себе представляли важность безопасности, они не предприняли никаких действий для получения подтверждения, что безопасность действительно обеспечена. Указаний «решить проблему» не достаточно. Руководители должны занимать активную позицию в вопросах безопасности. По крайней мере, руководители должны требовать четкого подтверждения в письменном виде того, что проблемы безопасности решены. В таком случае руководству из отчетов будет ясно видно, например, что проблемы безопасности не могут решаться по причине того, что на дополнительный штат сотрудников не выделено средств.

Во многих случаях безопасность зависит от финансирования. Степень важности информации, которую вы пытаетесь защитить, обычно определяет, сколько вам нужно потратить на ее защиту. Часто, квартал за кварталом, системы остаются подверженными риску только потому, что никто не думает о финансировании безопасности до начала взломов.

При таком развитии событий миссис Смит чрезвычайно повезло. Ведь информация компании могла быть уничтожена, а системы обрушились бы на несколько дней. Ей также повезло, что факт взлома не просочился наружу. Это вовсе не тот случай, когда генеральному директору хотелось бы попасть в выпуск новостей CNN. Ядовитые осадки плохой рекламы нанесли бы гораздо больше убытков, чем причинил в действительности сам взлом.

Руководители часто просят меня рассказать им о безопасности в Интернете и в интранет. При этом я часто обсуждаю с ними случай в ISD. Я не устаю повторять: «Да, это действительно произошло. И может произойти снова». Чтобы «забить гвоздь до конца», я говорю: «ISD — это компания с миллиардными годовыми доходами. Если такое могло случиться с ними, то почему вы считаете, что у вашей сети есть иммунитет? Вы знаете состояние безопасности вашей сети? Когда вы в последний раз получали итоговый отчет по вопросам безопасности?» В этот момент многие из моих слушателей покрываются холодным потом.