Линда Маккарти - IT-безопасность - стоит ли рисковать корпорацией?

Если вы являетесь системным администратором, то убедитесь в том, что разговор с вашим ближайшим начальником будет полезен для решения проблемы. Если вы в этом не уверены, то должны набраться смелости и обратиться к следующему руководителю в управленческой цепочке ради достижения результатов.

Используйте этот список, чтобы определить, позволяет ли организационное строение вашей компании и имеющиеся в ней уровни руководства надлежащим образом решать вопросы безопасности. Можете ли вы поставить «Да» напротив каждого пункта?

— Регулярно ли представляются руководству итоговые отчеты по вопросам безопасности?

— Существует ли надежный канал связи между высшим руководством и исполнителями? И что более важно — все ли знают, что он собой представляет и где находится?

— Возлагается ли ответственность за безопасность на вице-президента, директора по вопросам безопасности или другого руководителя? Чем выше такой руководитель находится в руководящей структуре, тем лучше! Убедитесь, что руководитель, отвечающий за безопасность, не спрятан в глубинах бюрократической системы и имеет реальную власть. Иначе он будет только козлом отпущения.

— Демонстрирует ли руководство свою приверженность программе безопасности компании, должным образом ее представляя и совершенствуя?

— Предусмотрено ли достаточное финансирование безопасности и доступны ли эти средства?

— Понимают ли все системные администраторы важность немедленного доклада о проблемах безопасности и их быстрого решения?

— Является ли обучение лучшему пониманию вопросов безопасности частью профессиональной ориентации новых сотрудников всех уровней — от линейных менеджеров до высшего руководства?

— Предпринимаются ли шаги в получении всеми сотрудниками (сверху донизу) ясного представления о политиках защиты информации компании?

— Учитывается ли реально существующая в компании культура общения между руководителями и исполнителями при разработке политик и процедур безопасности?

— Знают ли сотрудники, к кому обращаться в случае возникновения бреши в защите и неопределенности в своих обязанностях?

— Регулярно ли проводится аудит безопасности?

Если вы генеральный директор и надеетесь, что ваша интранет будет в безопасности и не проверяете ее, то вас может ждать большой сюрприз. Угрозы благополучию предприятий продолжают возрастать и требуют все более высоких уровней защиты корпоративных интранет.

В начале 1990-х годов мы подошли к выбору дорог в компьютерной безопасности. Несколько лет назад многие компании выбрали кривую тропинку (с меньшей защитой или без нее) из-за того, что риски были небольшими и последствия менее опустошающими. Теперь другая ситуация. Сегодня угроза информации в интранет высока как никогда. Если ваша интранет все еще подвергается риску вследствие стандартной настройки, недостаточного финансирования безопасности и плохой культуры общения внутри компании, то вам нужно немедленно включиться в работу.

Как ясно показывает рассмотренный случай, плохая культура общения представляет собой один из главных рисков для безопасности. Большинство из нарушений, реально обнаруженных в данном исследовании, довольно обычны — простые пароли, стандартные настройки и т. д. На нынешнем этапе компьютерной революции, ни одна уважающая себя компания не должна страдать от таких простых симптомов, так как большинство из них устраняется довольно легко в условиях хороших взаимосвязей в компании.

В отличие от вооруженных ограблений, компьютерным преступлениям не придается большого значения. Часто скрываемые жертвами с целью предотвратить дальнейший ущерб (ценам акций, репутации и т. д.), компьютерные преступления увеличиваются в количестве с феноменальной скоростью. По данным Центра защиты национальной инфраструктуры (National Infrastructure Protection Center), подразделения ФБР, работающего с правительственными органами и частными компаниями, начиная с 1998 года, количество компьютерных преступлений ежегодно удваивается. Нарастающий итог ущерба от таких преступлений увеличивается соответственно. В обзоре, представленном Information Week [16] Еженедельный журнал для профессионалов в области ИТ- бизнеса. — Примеч. пер. и Price Waterhouse Coopers [17] Аудиторская группа. — Примеч. пер. в середине 2000 года, стоимость ущерба за этот год только от компьютерных вирусов оценивается в 1,6 триллиона долларов. Как отметил представитель ФБР Лесли Уайзер (Lesly Wiser) в своем докладе Конгрессу по вопросам кибербезопасности в августе 2001 года: «Эти цифры превосходят валовой национальный продукт сразу нескольких государств».