Я настойчиво продолжила беседу и сообщила Карлу, что они эксплуатируют брандмауэр, не имея политик и процедур, но он уже об этом знал. Его позиция заключалась в том, что за их написание отвечает не его группа. Мне пришлось потратить некоторое время на то, чтобы убедить Карла в том, что, логически рассуждая, его группа является единственной группой, которая смогла бы написать правильные политики и процедуры. Разумеется, убеждать Карла — это не моя работа. Но безопасность — это моя страсть, и я иногда немного увлекаюсь. Я твердо убеждена в том, что если люди получают деньги за то, чтобы двери сети были в исправности, то они должны относиться к этому серьезно!

Я кратко побеседовала с экспертом по вопросам безопасности Фрэнком Сапрой. Фрэнк сообщил мне, что его группу никогда не просили писать политики и процедуры для брандмауэра. Он объяснил, что его группа пишет большинство политик и процедур безопасности, но за брандмауэр отвечает группа Карла. Я спросила его о непрекращающихся взломах из Интернета. Он ответил, что основную часть времени они работают в режиме реагирования и что для надлежащей защиты компании от взломов им необходимо спроектировать новый комплекс брандмауэра и добавил, что его группа предлагала это Карлу год назад. Фрэнк выглядел как действительно умный парень. Он также казался уставшим. Думаю, он устал от бесплодных попыток объяснить руководству то, что им нужно сделать.

Мне было ясно, что в Global Chips имелось несколько проблем. При проведении аудитов я обычно обнаруживаю не одну проблему. Часто, проблемы безопасности являются результатом другой, еще большей проблемы — как в этом аудите. Так как роли и обязанности не были четко определены, то никто не нес ответственности за политики и процедуры для брандмауэра.

У вас не будет политик и процедур, пока кто-то не возьмет на себя ответственность за их написание и выполнение. Понятно, что решение этой проблемы будет чрезвычайно трудным, если ответственность за безопасность разделяется между подразделениями внутри компании. В некоторых организациях битва между подразделениями становится более важной, чем забота об информации, — как, например, в Global Chips. Этим парням все равно, кто победит в войне, пусть даже хакер, так как каждый из них стремится выиграть свое сражение. Они относятся к такому сражению более серьезно, чем к их настоящей работе по защите информации.

Серьезное отношение к поддержке безопасности

Администрирование брандмауэра является серьезной работой. Она должна восприниматься серьезно и администратором, и его начальником. Global Chips не имела крепкой брони, чтобы отразить угрозы для их информации. В любое время хакер мог проникнуть через брандмауэр и изменить, уничтожить или украсть информацию. Временное решение проблемы, которое одобряется руководством, не может считаться ни правильной реакцией сотрудников, ни правильным отношением руководства к такой реакции.

Карл не понимал, как рискованно управлять группой, работающей в режиме реагирования. Он заявлял, что в его подразделении разрабатывается новый комплекс для замены старого брандмауэра, и предсказывал, что они будут готовы к отключению старого брандмауэра через шесть-девять месяцев. Он очень неосторожно заявлял: «Не беспокойтесь об этом. Мы держим этот вопрос под контролем».

Но в первых рядах мы должны иметь людей, которые бы беспокоились! Можно было уже сказать, что меня засасывал этот аудит. Нужно было вновь обрести хладнокровие. Я завершила беседу. Я могла бы потратить еще день на тестирование брандмауэра, но все (кто что-либо значил) соглашались с необходимостью его замены из-за риска, который он представлял для сети. У меня было достаточно информации, чтобы на ее основании составить отчет, который ждало высшее руководство компании.

В моем отчете было определено множество рисков для безопасности. Их перечень возглавили:

• Неправильное распределение ролей и обязанностей.

• Ненадлежащие управление брандмауэром и его поддержка.

• Отсутствие официальных политик и процедур.

Так как я начала составлять мой итоговый отчета еще вчера, то внести в него детали было легко. Я потратила еще несколько часов на отчет, затем взяла направление на свои холмы. По дороге домой я чувствовала себя опустошенно. Легче иметь дело с компьютерами, чем с людьми. Человеческие существа очень сложны — иногда даже слишком сложны!

Когда я добралась домой, солнце уже зашло за холмы. Я скоротала, как могла, остаток вечера и постаралась не вспоминать о брандмауэре. И не вспомнила ни разу.

Мой последний день: Отношение к работе может говорить о многом

Я услышала звонок будильника, когда он уже заканчивался. В некоторые дни 4.30 утра наступает слишком быстро. Лишь несколько минут у меня ушло на то, чтобы сосредоточиться на событиях предстоящего дня, включая и окончание моей работы в Global Chips.