Линда Маккарти - IT-безопасность - стоит ли рисковать корпорацией?

Попытайтесь понять это, и вы избежите проблем потоотделения, когда вас поставят перед свершившимся фактом. Вам поможет в этом активная позиция в вопросах безопасности.

Сила, скрывающаяся в блестящей идее, может помочь ей, как крохотному бутону, распуститься пышным цветом и превратиться в предприятие с миллиардным годовым доходом (как, например, ISD) и с почти непрерывным ростом. Но, как и подснежники, такие первоцветы так же быстро могут увянуть и погибнуть. Ситуация может выйти из-под контроля, особенно когда в компании формируется фальшивое отношение к безопасности. ISD пока везет — но пока. Не ставьте на кон будущее вашей компании. В следующем разделе обсуждается, что нужно было сделать ISD.

При решении проблем безопасности нужно учитывать уровень развития компаний. То, что хорошо для одной компании, может быть ненужным для другой. Каждой компании необходимо понять, что ей нужно от безопасности, а затем перейти к практическому осуществлению этих идей на всех своих уровнях. Из этого процесса не могут быть исключены руководители.

Когда вышестоящие руководители не придают значения безопасности или вообще не хотят за нее отвечать (как будто бы эту работу будут делать другие), то они отправляют сотрудникам нижнего уровня указания, о выполнении которых затем не заботятся. В ответ на это сотрудники нижнего уровня часто теряют интерес к безопасности вообще. Так указания посылать опасно!

Слишком часто руководители сидят довольно высоко, и их контакт с массами ослабевает или теряется вообще. В такой ситуации страдает и безопасность. Рассмотренный нами случай показал, сколько проблем может возникать, когда выполнение обязанностей по укреплению безопасности направляется диктатом сверху.

Просто возвысить голос о важности безопасности недостаточно. Фактически каждому известно, что компьютерная безопасность — это важная проблема. К несчастью, все думают, что эта проблема важна для кого-то другого.

Помните, что мы все отвечаем за защиту и безопасность нашей информации. Это касается как руководителя самого высокого уровня, так и технического работника, стоящего на самой нижней ступеньке.

Когда слишком много уровней вовлечено в поддержание безопасности, сообщения о ее состоянии могут быть неверно истолкованы, неправильно поняты или могут просто потеряться. Если вы являетесь генеральным директором и не можете понять, кто же из ваших руководителей отвечает за безопасность в компании, то пристально вглядитесь в цепочку прохождения распоряжений. Слишком большое количество звеньев может ослабить любую крепкую цепь (рисунок 3.1).

Рисунок 3.1

Если вы находитесь на нижнем конце цепочки, то точно узнайте, кто захотел от вас выполнения данной задачи. Помните, что «руководство» — это лишь понятие, а не имя конкретного лица. К понятию нельзя обратиться, если вы захотите сообщить о решении проблемы или о затруднениях во время работы.

Недавно я беседовала с генеральным директором большой промышленной компании о вопросах безопасности. Она захотела разобраться, как ей узнать о наличии риска для ее сети.

Я задала ей следующие вопросы:

1. Получали ли вы когда-нибудь итоговые отчеты по вопросам безопасности?

2. Есть ли у вас руководитель службы безопасности?

3. Есть ли у вас эксперты по вопросам безопасности?

Генеральный директор ответила «Нет» на каждый из вопросов. Она также не была уверена в том, проводился ли в ее фирме когда-нибудь аудит безопасности. Она не знала, нанимать ли ей консультанта по вопросам безопасности. Я посоветовала ей попросить своих линейных менеджеров провести аудит безопасности и представить ей одностраничный итоговый отчет в течение 30 дней. Я также сказала: «Если ваши сотрудники не смогут провести аудит безопасности или представить вам итоговый отчет по вопросам безопасности, то, определенно, вы нуждаетесь в помощи со стороны».

Системные администраторы и все те, кого чаще всего обвиняют в проблемах безопасности, должны стараться регулярно представлять итоговые отчеты о состоянии безопасности своему руководству (рисунок 3.2). В идеале в таких отчетах нужно предлагать руководству выделять средства, увеличивать штат, обеспечивать обучение или предоставлять все то, что вам необходимо для решения проблем. В худшем случае нужно представлять просто письменные докладные записки, чтобы прикрыть себя в будущем.