IT-безопасность: стоит ли рисковать корпорацией?
IT-безопасность: стоит ли рисковать корпорацией? читать книгу онлайн
Информационные технологии все глубже проникают в нашу жизнь, Не говоря о фирмах, непосредственно занятых разработками или внедрением ИТ, без них уже не могут обойтись банки, крупные торговые фирмы, госпитали, музеи… И этот список легко продолжить. И все чаще объектом грабителей, террористов или просто вандалов становятся информационные системы и сети и хранимая в них информация. Как убедиться, что ваша информация надежно защищена? Что злоумышленник или просто резвящийся тинэйджер, украв или уничтожив данные в вашей сети, не разрушит и вашу личную судьбу, и судьбу всей компании? Этим вопросам и посвящена книга, которую вы держите в руках. Увы, технические проблемы безопасности не всегда очевидны для тех, кто принимает решения о выделении средств и проведении необходимых мероприятий. Но в книге вы и не найдете технических деталей, необходимых системным администраторам и специалистам по безопасности. Автор разбирает конкретные достаточно типичные ситуации, с которыми она сталкивалась как аудитор безопасности, и приводит простые советы, как убедиться в том, что в вашей компании такое невозможно.
Книга даст массу полезных советов для руководителей верхнего уровня и специалистов, отвечающих за информационную безопасность компаний.
Внимание! Книга может содержать контент только для совершеннолетних. Для несовершеннолетних чтение данного контента СТРОГО ЗАПРЕЩЕНО! Если в книге присутствует наличие пропаганды ЛГБТ и другого, запрещенного контента - просьба написать на почту [email protected] для удаления материала
Иногда — просто сдаться
В компаниях все варится в одном котле — и плохое, и хорошее. Даже если мы захотим казаться выше всего этого, то все равно мелочные политиканы будут продолжать копошиться. Иногда лучше дать одной из сторон взять верх, когда битва не так уж значительна или когда участие в ней отвлекает вас от настоящей работы. Если такая борьба становится более важной, чем защита информации, то победителем в настоящей войне окажется хакер.
Выполнять свои обязанности
Если вы являетесь системным администратором, то вы отвечаете за установку и поддержку средств безопасности вашей системы. Эта ответственность лежит на вас, даже если в вашей компании есть подразделение по обеспечению безопасности, следящее за вторжениями, средствами контроля, политиками и процедурами. В конечном счете, когда что-то пойдет не так, все повернется к вам (и против вас). Всегда помните об этом.
Контрольный список
Используйте этот список для определения того, правильно ли используются в вашей компании политики и процедуры для повышения безопасности.
— Легко ли читать и понимать политики?
— Есть ли у каждого сотрудника экземпляр политик или знает ли каждый, по крайней мере, где политики находятся?
— Несет ли кто-нибудь личную ответственность за политики и процедуры?
— Посещает ли этот сотрудник конференции по вопросам безопасности или же другим способом держит себя в курсе современного состояния вопросов безопасности?
— Обновляются ли на регулярной основе политики и процедуры?
— Планируются ли профилактические аудиты политик и процедур?
— Осуществляют ли руководители всех уровней поддержку политик и процедур?
— Обучаются ли новые сотрудники политикам и процедурам безопасности?
— Имеется ли справочный материал по политикам и процедурам?
Заключительные слова
В рассказанной истории руководители обеих групп должны были помогать решению проблемы — для этого руководство и существует. К сожалению, эти менеджеры «зависли» на своих политических амбициях. Вдохновляйте ваших менеджеров на то, чтобы они оглядывали всю панораму (безопасности информации), а затем начинали действовать, опираясь на полученные факты.
Системные администраторы никогда не должны оставлять системы широко открытыми только потому, что он не знают, как настраивать безопасность. И в то же время настройки систем не должны диктоваться сверху. Их нужно согласовывать и делать понятными людям, которые отвечают за установку и обслуживание систем.
И разумеется, политики и процедуры необходимо постоянно обновлять. Устаревшие политики и процедуры подобны неисправным ремням безопасности. Они создают видимость того, что ваш автомобиль обеспечит вам нужную защиту в случае аварии, когда в действительности это не так. «Пристегните» вашу информацию («исправными ремнями») перед аварией.
Рано или поздно авария произойдет. Опуская все остальные факторы, мы знаем, что высокая плотность транспортного потока является причиной большой вероятности дорожных происшествий. Даже не имея точных данных, мы можем заключить, что трафик в Интернете становится более интенсивным. В феврале 2002 года количество пользователей Интернета во всем мире оценивалось в 544 миллиона. Только в Северной Америке их насчитывалось 181 миллион. Это несомненный рост по сравнению с 25 миллионами пользователей в США в недалеком от наших дней 1997 году. Добавьте сюда пользователей из остальных частей планеты и пользователей интранет, и вы легко можете предсказать, что мы увидим серьезные схватки в сети. Правильные политики и процедуры могут помочь вашей компании не исчезнуть в столкновениях.
Глава 9
Безопасность аутсорсинга
Если вы подключаетесь к партнерам, или передаете на аутсорсинг ИТ-инфраструктуру, операции с ценными бумагами, сеть поставок и производство, или же поддерживаете какой-либо другой вид доступа к вашей среде или интеллектуальной собственности, то вам следует убедиться в том, что люди и процессы, которым вы доверяете, имеют равную с вашей степень защиты. Думая по другому и не сумев тщательно проконтролировать состояние безопасности другой стороны и провести его аудит, вы, возможно, обнаружите, что атаки на вас производятся со стороны партнера, которому вы доверились.
Вы — вице-президент по вопросам поставок большой компании, выпускающей компьютеры. Прошлый год был напряженнее других, так как ваша компания решила перейти на аутсорсинговую модель поставок своей продукции, что затронуло все стороны деятельности вашей службы. Этот переход завершен, все идет гладко, и вы наконец-то облегченно вздохнули. Вы на себе ощутили всю тяжесть задачи выбора правильного партнера по перевозке продукции и перехода на новую бизнес-модель.
Сейчас, когда вы и ваша команда осуществили цели, поставленные компанией перед вашим подразделением, наступает время выбраться всем коллективом на природу. Вы запланировали провести ваш отпуск на лыжах в Аспене. Так как утром уже надо уезжать, вы хотите отправить несколько сообщений по электронной почте и убрать на рабочем столе.
Вы закончили уборку стола, отправку почты и готовы уйти. Но когда вы отрываете на мгновение свой взгляд от стола, то замечаете директора по информационным технологиям, быстро идущего по проходу. Кажется, он направляется в ваш офис. Взглянув на него снова, вы видите, что его походка стремительна, а выражение лица — агрессивно. Ну вот. Вам уже приходилось видеть его таким. Это предвещает неприятности.
Да, он действительно шел в ваш офис. Он вошел и закрыл дверь. Вместо того чтобы поблагодарить вас за хорошо сделанную работу, он обрушивается на вас с упреками в отношении выбранной вами компании для перевозки продукции. Очевидно, хакер взломал сеть этой компании. Наступил пик продаж, происходящий в конце каждого года, но не удается отправить ни одной единицы продукции!
Вы замечаете, что лицо директора становится багровым и его всего трясет. Вот-вот он раздавит вас, как жука. Ну как вы могли знать, что системы вашего нового партнера не защищены? Вы доверили ему отправку вашей продукции и считали, что он будет поддерживать безопасность со своей стороны.
Но вы не знаете (и можете никогда не узнать), что хакер пробрался из вашей сети в сеть подрядчика и обрушил все его системы. На его стороне защита в полном порядке. Это ваша сеть поставила его под угрозу. Так как вы уже тонете, то вы, разумеется, не собираетесь копаться во внутренних процедурах. Вместо этого вы показываете пальцем на партнера (и обвиняете во всем его).
Как не оказаться на месте этого партнера? Ведь слишком часто сторонние подрядчики становятся объектом обвинений из-за ошибки основного партнера. Рассмотрим пример…
Забыли о безопасности?
Как и многие другие компании в 90-х годах, фирма S&B Systems искала прогрессивные методы ведения своего бизнеса. И как многие свои современники, фирма ухватилась за идею аутсорсинга.
В принципе аутсорсинг означает оплату услуг другой компании по выполнению части ваших функций. Например, S&B не хотела непосредственно нанимать (и платить им жалованье) 70 секретарей для работы по приему посетителей в различных странах. Вместо этого они передали эту службу подрядчику. Такой секретарь, сидящий в холле, выглядел внешне как служащий S&B Systems, но в действительности он работал в фирме по обеспечению обслуживающим персоналом с названием Job Power. После успешного аутсорсинга с секретарями S&B стала искать, как применить этот подход и для другого персонала.
Однажды руководство компании решило перевести на аутсорсинг все операции по перевозкам. Оно выбрало в качестве партнера фирму Express Time, имевшую многолетний опыт своевременных поставок и солидную репутацию. Для облегчения этого процесса S&B подключила Express Time к своей сети. Переход, казалось, проходил плавно. Вскоре у S&B Systems не было забот о поддержке и обеспечении персоналом отдела перевозок. Их выбор Express Time казался огромной удачей для обеих сторон.
