Линда Маккарти - IT-безопасность - стоит ли рисковать корпорацией?

Перри поручил своему ближайшему помощнику Теду Дэвису заботиться обо мне. Тед должен был организовать мои встречи с нужными людьми. Некоторым руководителям и сотрудникам технической поддержки нравится изматывать аудиторов, не отвечая на звонки и демонстрируя свою постоянную занятость. У меня не было ни времени, ни намерений играть в такие глупые игры. Обязанностью Теда было таких игр не допустить.

Как профессиональный аудитор компании, Тед мог легко и быстро добраться до людей на верхних уровнях управления компании. Он должен был устраивать мне встречи с ними и следить, чтобы я могла легко связаться с нужными людьми. Компания была значительной, и ей требовался быстрый ответ. В план игры не входили политические игры. Получив в свое распоряжение Теда для наведения ясности по данному вопросу, я начала обдумывать мой подход.

Некоторые аудиты состоят в основном из интервьюирования и составления итогового отчета. Как ни странно звучит, но иногда риск бывает так велик, что проблема смотрит на вас прямо в лицо. Так как риск уже был очевиден для директора по информационным технологиям, то внутреннее чутье мне подсказывало, что этот аудит будет именно таким.

Когда хакер может неоднократно проходить через брандмауэр, то обычно проблема заключается в плохой поддержке, настройках или самих средствах безопасности. Я все еще не представляла себе, сколько тестов мне нужно будет провести. Но я знала, что интервью могут дать мне ключ к сбору информации. Я стала в уме составлять список вопросов.

В основном эти вопросы будут касаться администратора брандмауэра Джозефа Уизерса. В конце концов, это он стоял ночами, пытаясь отогнать хакера, Тед запланировал мне встречу с Джозефом на завтра, и попросил его принести необходимую документацию — политики и процедуры брандмауэра, процедуры реагирования в чрезвычайных ситуациях и сетевую схему.

Тед также запланировал интервью с менеджером технической поддержки Карлом Санчесом. Так как обе эти встречи были намечены на следующий день, то, казалось, мне не дадут замочить ног до завтрашнего дня. Тогда я решила получить информацию от Теда.

Тед сообщил мне общие сведения о компании и произошедших взломах. Время моей командировки шло, и я начала писать отчет по аудиту. Обычно я пишу отчет в последнюю очередь, но у меня уже было достаточно информации о взломах для того, чтобы начать писать черновой вариант отчета. Тед проводил меня в офис для посетителей, я достала свой ноутбук и приступила к работе. Я закончила черновой вариант, чтобы внести в него детали после проведения аудита. (В настоящее время, я могу только строить догадки, а за них мне не платят. Эти парни хотели фактов, и у меня их скоро будет достаточно.) Для первого дня было уже хорошо.

Тед встретил меня в холле и выписал пропуск. Он проводил меня до офиса Джозефа. При первой встрече Джозеф немного нервничал. Конечно, многие люди волнуются при приходе аудитора, поэтому я попыталась разрядить обстановку (с помощью хорошей шутки). Но Джозеф не оценил мой юмор и определенно не был склонен к приятной беседе. Отбросив мягкие манеры, я попросила у него документацию, которую заказывала. Он смог дать мне только сетевую схему. Когда я его спросила об остальной документации, то он сообщил: «У меня нет политик и процедур брандмауэра; это не моя работа - их писать. Я знаю, как настроен брандмауэр и что делать, если происходит взлом».

Вот это парень. Я ошиблась, посчитав, что он волнуется. Он был самонадеян! Он полагал, что раз знает, как поддерживать брандмауэр, то этого достаточно. Легко было видеть, что он не понимает ценность политик и процедур и видит во мне только аудитора (переводя это слово как «зануда»).

Кроме плохого ко мне отношения у Джозефа были необычные представления о методах технической поддержки. В общем, брандмауэр не улучшался несколько лет. Это было похоже на то, как если бы на двери, ведущие к разработкам новых чипов компании, к ее финансам, людским ресурсам и маркетинговой информации, был навешен старый ржавый замок. Легко было представить себе, как хакер стукнет в эту дверь и замок отвалится. Каждый раз, когда хакер взламывал брандмауэр, Джозеф ставил «заплатки» в систему или добавлял средство для обхода проблемы. При таком подходе, заключающемся в установке временных подпорок, брандмауэр скоро кишел заткнутыми дырами и стал трудно управляемым и тяжело обслуживаемым. Хотя Джозеф мог это называть рабочим состоянием безопасности, я назову это плохим состоянием безопасности.