Перекладывание ответственности

Затем я встретилась с группой обеспечения безопасности. Как и системные администраторы, персонал этой группы также знал, что сеть не защищена. Разумеется, они во всем обвиняли некомпетентных системных администраторов. Я их спросила, показывали ли они системным администраторам, как производить настройку безопасности, и они сообщили мне, что политики и процедуры могли быть взяты системными администраторами из Сети. Мне было сказано: «Любой, кто представляет, что он делает, должен знать, где их найти!»

Беседа с группой обеспечения безопасности подтвердила мои прежние подозрения. Действительно, парень, написавший политики и процедуры безопасности, покинул компанию два года назад. Они недавно поручили одному из сотрудников посмотреть, как их можно обновить. К сожалению, простое усовершенствование процедур на этой стадии было слишком незначительным, слишком запоздалым. Системы уже были широко открыты, а политики стали действительно непонятными.

Я продолжила беседу с группой обеспечения безопасности, системными администраторами и менеджерами, но их ответы большей частью касались одних и тех же проблем.

• Группа обеспечения безопасности отвечала за первоначальное написание политик и процедур. Но никто из них не отвечал за их обновление.

• Теоретически размещение политик и процедур на сервере должно было бы обеспечивать их легкую доступность для системных администраторов. На практике никто не сказал системным администраторам, как добраться до этого сервера.

• Любой из системных администраторов, кому бы посчастливилось найти эти политики и процедуры, не смог бы их понять. Большей частью эти политики и процедуры были так запутаны и плохо написаны, что были непригодны к применению.

• Руководство, очевидно, не считало проблему политик и процедур важной.

Резюме: Безопасность — жертва войны

Политики безопасности образуют первую линию обороны. Без них компания будет ввергнута в войну. От местных сражений между различными обслуживающими подразделениями компании вы перейдете к настоящей войне с хакерами, заинтересованными в сражениях другого рода. Им чужды политические ухищрения, ими руководит только грубое желание изменить, украсть или уничтожить информацию. И когда начнется такая война, то будет все равно, кто выиграет небольшие бои между подразделениями. Принимая во внимание количество энергии, которая тратится на ведение внутренних политических игр, я могу держать пари о том, что хакер со всей вероятностью победит в любой из внешних битв.

Если в вашей компании нет политик и процедур, то поручите кому-нибудь их создать и поддерживать. Если среди ваших сотрудников нет того, кто смог бы с этим справиться, то наймите «вольного стрелка» для выполнения такой задачи. Еще лучше, если такой человек со стороны научит ваших сотрудников, как это делается. На худой конец, купите книгу по данной теме, чтобы можно было для начала получить справочную информацию.

После того как политики будут написаны, обеспечьте их постоянное обновление. Устаревшие политики скорее вредны, чем бесполезны, так как создают видимость безопасности, в то время как ее в действительности нет.

Мы пойдем другой дорогой…

Действительные причины музейной дилеммы не были техническими. Они заключались в инертности, политиканстве и плохом руководстве. Не допускайте, чтобы такое произошло с вашей сетью.

Главной проблемой было то, что музей эксплуатировал свою сеть без политик и процедур. Политики и процедуры составляют фундамент безопасности. Без них невозможно поддерживать управление безопасностью. Как своими действиями, так и бездействием персонал музея создал обстановку, в которой стало небезопасно пользоваться их сетью.

Вот что они должны были сделать вместо этого.

Возложить на кого-либо из сотрудников ответственность за политики и процедуры.

Кто-то должен отвечать за политики и процедуры. Если ваши политики и процедуры устарели или плохо написаны, сделайте что-нибудь! Поручите кому-либо из сотрудников писать, проверять и распространять политики и процедуры. Если компания велика, то имеет смысл создать целую группу для решения этой задачи.

Что более важно, добейтесь того, что ваши политики и процедуры выполняются. Напомню, что в 2000 году на оборонные системы США было предпринято 250 000 попыток кибератак. Из 245 атак, которые были успешными, 96 процентов могли бы потерпеть неудачу, если бы пользователи выполняли имеющиеся протоколы безопасности.

Разграничить обязанности по поддержке безопасности между группами

Если в вашей компании имеются группы обеспечения безопасности и группа системных администраторов, то вы должны ясно определить их роли и обязанности. Являются ли системные администраторы ответственными за настройку систем? Отвечает ли группа обеспечения безопасности за информирование о неувязках?