Линда Маккарти - IT-безопасность - стоит ли рисковать корпорацией?

В Rockland General технический персонал перенес всю особо критичную информацию больницы из большого старого компьютера, который они знали, как обслуживать, в незнакомую распределенную среду. И в процессе этого руководство не обеспечило им ни одного занятия по безопасности. Неудивительно, что с безопасностью возникли такие большие проблемы!

Мы уже обсудили виды рисков, сопровождающих краткосрочное мышление. Теперь поговорим об одном из способов эти риски избежать: о подсчете очков!

Высшее руководство должно подсчитывать очки по безопасности сотрудников всех уровней. Ни один из менеджеров, отвечающих за техническую поддержку компьютеров, не должен получать премию, пока он не добьется поставленных перед ним целей по обеспечению безопасности. Таким же образом системные администраторы должны набирать очки за то, как они защищают информацию, а не только за то, как они обеспечивают исправность сети и ее работу.

Используйте этот список, чтобы определить, подвергается ли ваша компания риску по причине незнания того, каким этот риск является. Можете ли вы поставить «Да» напротив каждого пункта?

— Проводилась ли недавно оценка риска?

— Классифицированы ли системы по уровню риска (некритичные, критичные, особо критичные и т. д.)?

— Привязаны ли цели руководства к вопросам безопасности?

— Проводятся ли плановые аудиты для проверки ранее сделанной оценки риска?

— Привлекаются ли, при необходимости, внешние аудиторы для оценки и уменьшения риска? (Некоторые владельцы информации еще не знают, какие ценности они имеют!)

— Все ли сотрудники (как менеджеры, так и системные администраторы) назначаются на должности и оцениваются, основываясь на выполнении ими задач по обеспечению безопасности?

Оценка риска является одной из важнейших и наиболее игнорируемых задач в области безопасности. Как ни печально, но это действительно так. Вы должны понять, что у вас есть и что из вашего имущества заслуживает охраны.

По данным опроса Global Security Survey, проведенного в 2001 году журналом Information Week и группой Price Waterhouse Coopers, у 64 процентов респондентов не было политики безопасности, определяющей классификацию информации. Это несомненный рост по сравнению с 52 процентами в предыдущем году. Конечно, не все нарочно «игнорируют» проведение классификации информации. Почти у 70 процентов вообще нет политики защиты информации, определяющей их цели по обеспечению безопасности. Так ли уж небрежны компании в отношении безопасности информации? Вовсе нет. Просто рост в геометрической прогрессии количества информации, которую необходимо защищать, захлестнул компании. Придется ли им заплатить за свой недосмотр в будущем? Несомненно.

Чтобы действительно защитить свою сеть, вы должны провести тщательную оценку риска и затем использовать эту информацию для построения вашей стратегии безопасности. И это надо будет проделывать не один раз.

Как только будут добавляться новые системы, меняться системные платформы или предприниматься основательные организационные изменения, вы должны будете повторно проводить оценку риска. «Безопасность нельзя сводить к одноразовому мероприятию — ее нужно практиковать. Такая практика заключается в инструментах, обучении, системе оценок и методологии».

Вы являетесь менеджером административной информационной системы у крупного производителя микросхем. Ваша группа обеспечивает техническую поддержку сети компании и отвечает за работоспособность сети и решение возникающих в ней проблем. Это большой груз ответственности в большой компании. Это вместе с тем неблагодарная работа. Все сразу видят, когда сеть выходит из строя. Но никто не замечает, как хорошо и быстро работает сеть, если все в порядке, — это обычное для всех состояние сети.

Ваша группа также отвечает за поддержку брандмауэра компании. Этот брандмауэр защищает вашу сеть от большого плохого Интернета. Вы счастливы, что у вас работает один из лучших в мире экспертов по брандмауэрам. Как только возникает проблема, он тут же берет ее решение на себя. В окружении зрелых специалистов вам удается освободить для себя время, чтобы заняться нужными делами, как, например, политиками компании и бюджетом. И вот вы только что провели последние штрихи в бюджете отдела на следующий год.