В идеале, конечно, вы должны обеспечивать безопасность каждой системы. Но если бюджет не позволяет сделать этого прямо сейчас, то вы должны в первую очередь позаботиться о защите особо критичных систем.

Проводить тестирование безопасности

Используйте аудиты безопасности для оценки уровня риска в вашей среде. Rockland General должна была провести аудит безопасности до переноса систем на новую платформу. Аудит выявил бы существующие риски безопасности, что помогло бы персоналу компьютерного зала получить финансирование, необходимое для обеспечения безопасности при таком переходе.

Разумеется, им следовало бы многое сделать. Я догадываюсь, что технический персонал противился проведению первоначального аудита, так как им действительно не хотелось, чтобы начальство узнало о существующих рисках. Зачем забираться в такие дебри только для того, чтобы показать начальству свое неумение устранить обнаруженные проблемы.

Сделать руководителей подотчетными

Другой очевидной проблемой в Rockland General была краткосрочность мышления менеджеров: «Получай свою премию и управляй своими людьми». При наличии корпоративной культуры, допускающей быстрое передвижение по служебной лестнице, обязанности по обеспечению безопасности должны отражаться в должностной инструкции! Нет безопасности — нет премии. Более того, сотрудники должны проявлять больше усилий, чтобы остаться в числе лучших профессионалов. По меньшей мере, нужно назначать на должности менеджеров только тех, кто показывает стабильные результаты в технической поддержке особо критичных машин.

Несомненно, конечная ответственность за риски безопасности лежит на руководстве. Но нечестно во всем обвинять людей, которых уже нет рядом с вами.

Не расплачиваться за других

На системных администраторов часто обрушивается гнев за проблемы с безопасностью, даже если это не их вина. Не удивляйтесь, если менеджер, отказавшийся обеспечить необходимое финансирование поддержки безопасности, будет первым, кто набросится на вас, когда что-то пойдет не так.

В любом случае, когда что-либо происходит с обслуживаемыми вами машинами, люди будут обвинять в этом вас. Если компания, в которой вы работаете, не финансирует поддержку или обучение безопасности, то, может быть, стоит задуматься над обновлением вашего резюме.

Включать обучение в бюджет

Смена платформ и радикальное изменение конфигурации означают, что вы также потеряете знания ваших людей. Перед тем как осуществить такой переход, обеспечьте обучение персонала новым вещам. Системные администраторы не смогут однажды проснуться утром и обнаружить, что они таинственным образом во сне освоили операции по новой технологии. Им нужен кто-то, кто бы объяснил, какие добавить патчи, какие службы выключить и т.д.

В Rockland General технический персонал перенес всю особо критичную информацию больницы из большого старого компьютера, который они знали, как обслуживать, в незнакомую распределенную среду. И в процессе этого руководство не обеспечило им ни одного занятия по безопасности. Неудивительно, что с безопасностью возникли такие большие проблемы!

Подсчитывать очки

Мы уже обсудили виды рисков, сопровождающих краткосрочное мышление. Теперь поговорим об одном из способов эти риски избежать: о подсчете очков!

Высшее руководство должно подсчитывать очки по безопасности сотрудников всех уровней. Ни один из менеджеров, отвечающих за техническую поддержку компьютеров, не должен получать премию, пока он не добьется поставленных перед ним целей по обеспечению безопасности. Таким же образом системные администраторы должны набирать очки за то, как они защищают информацию, а не только за то, как они обеспечивают исправность сети и ее работу.

Контрольный список

Используйте этот список, чтобы определить, подвергается ли ваша компания риску по причине незнания того, каким этот риск является. Можете ли вы поставить «Да» напротив каждого пункта?

— Проводилась ли недавно оценка риска?

— Классифицированы ли системы по уровню риска (некритичные, критичные, особо критичные и т. д.)?

— Привязаны ли цели руководства к вопросам безопасности?

— Проводятся ли плановые аудиты для проверки ранее сделанной оценки риска?

— Привлекаются ли, при необходимости, внешние аудиторы для оценки и уменьшения риска? (Некоторые владельцы информации еще не знают, какие ценности они имеют!)

— Все ли сотрудники (как менеджеры, так и системные администраторы) назначаются на должности и оцениваются, основываясь на выполнении ими задач по обеспечению безопасности?

Заключительные слова

Оценка риска является одной из важнейших и наиболее игнорируемых задач в области безопасности. Как ни печально, но это действительно так. Вы должны понять, что у вас есть и что из вашего имущества заслуживает охраны.