Линда Маккарти - IT-безопасность - стоит ли рисковать корпорацией?

Доверие — это страшная вещь в сетях с неправильной настройкой. Как только вы войдете в одну машину, другие машины доверят вам войти в них. Если вам необходима доверительная конфигурация (а абсолютная необходимость возникает лишь в редких случаях), то вы должны обеспечить должную безопасность доверяемой машине. Это очень трудно сделать. По возможности поищите менее рискованную альтернативу.

Часто говорят, что тот, кто забывает историю, обречен ее повторить. Только что назначенные менеджеры и системные администраторы не должны считать безопасность принимаемых ими систем достаточной без проверки, проведенной собственноручно, — не зависимо от репутации предшественников. Если бы в данном аудите не были вскрыты оставшиеся от предшественников проблемы, то Мэтт мог бы испытать на себе, как доверие к Джо и Марлен разрушит его собственную репутацию.

Бездонных бюджетов не бывает, и в наступившей эре бережливости трудно выжить. Но и в этой ситуации рискованно искать обходные пути.

Здесь пользу может принести классификация систем. Вы не должны тратить средства на обеспечение безопасности наугад, то есть начинать с первой системы и двигаться справа налево, а затем остановиться, когда деньги закончатся. Если вы проведете оценку риска и классификацию систем, то сможете применить более практичный подход. Вы сможете использовать полученную информацию и сокращать средства, прежде всего для участков, где это причинит меньший вред.

В идеале, конечно, вы должны обеспечивать безопасность каждой системы. Но если бюджет не позволяет сделать этого прямо сейчас, то вы должны в первую очередь позаботиться о защите особо критичных систем.

Используйте аудиты безопасности для оценки уровня риска в вашей среде. Rockland General должна была провести аудит безопасности до переноса систем на новую платформу. Аудит выявил бы существующие риски безопасности, что помогло бы персоналу компьютерного зала получить финансирование, необходимое для обеспечения безопасности при таком переходе.

Разумеется, им следовало бы многое сделать. Я догадываюсь, что технический персонал противился проведению первоначального аудита, так как им действительно не хотелось, чтобы начальство узнало о существующих рисках. Зачем забираться в такие дебри только для того, чтобы показать начальству свое неумение устранить обнаруженные проблемы.

Другой очевидной проблемой в Rockland General была краткосрочность мышления менеджеров: «Получай свою премию и управляй своими людьми». При наличии корпоративной культуры, допускающей быстрое передвижение по служебной лестнице, обязанности по обеспечению безопасности должны отражаться в должностной инструкции! Нет безопасности — нет премии. Более того, сотрудники должны проявлять больше усилий, чтобы остаться в числе лучших профессионалов. По меньшей мере, нужно назначать на должности менеджеров только тех, кто показывает стабильные результаты в технической поддержке особо критичных машин.

Несомненно, конечная ответственность за риски безопасности лежит на руководстве. Но нечестно во всем обвинять людей, которых уже нет рядом с вами.

На системных администраторов часто обрушивается гнев за проблемы с безопасностью, даже если это не их вина. Не удивляйтесь, если менеджер, отказавшийся обеспечить необходимое финансирование поддержки безопасности, будет первым, кто набросится на вас, когда что-то пойдет не так.

В любом случае, когда что-либо происходит с обслуживаемыми вами машинами, люди будут обвинять в этом вас. Если компания, в которой вы работаете, не финансирует поддержку или обучение безопасности, то, может быть, стоит задуматься над обновлением вашего резюме.

Смена платформ и радикальное изменение конфигурации означают, что вы также потеряете знания ваших людей. Перед тем как осуществить такой переход, обеспечьте обучение персонала новым вещам. Системные администраторы не смогут однажды проснуться утром и обнаружить, что они таинственным образом во сне освоили операции по новой технологии. Им нужен кто-то, кто бы объяснил, какие добавить патчи, какие службы выключить и т.д.