Маккарти Л. It-безопасность: стоит ли рисковать корпорацией? Пер с англ

Вид материала

Книга

Подобный материал:

• «хм «Триада», 9393.37kb.
• Анастази А. А 64 Дифференциальная психология. Индивидуальные и групповые разли- чия, 11288.93kb.
• Роджер Л. М2Э вирус ответственности.: Пер с англ, 2943.44kb.
• Новые поступления литературы (июль сентябрь 2002) математика инв. 62350 в 161., 125.41kb.
• Указатель произведений литературы зарубежных стран (библиотека кф ат и со), 250.17kb.
• Литература для клинических интернов по специальности «терапия» Кафедра факультетской, 55.33kb.
• Куртц П. К93 Искушение потусторонним: пер с англ, 7904.74kb.
• The guilford press, 6075kb.
• The guilford press, 6075.4kb.
• Жизнь счастливого человека (А. Маслоу), 76.37kb.

Резюме: Обеспечьте финансирование обучения

Обучение является клеем, скрепляющим все части программы обеспечения безопасности. Это довольно дешевый клей. К сожалению, руководители часто забывают сравнить стоимость обучения безопасности со стоимостью «уборки» после большого инцидента. Исследование, проведенное в Британии группой Price Waterhouse Coopers, показало, что 44 процента фирм, участвующих в исследовании, пострадали от атак в 2001 году и стоимость восстановительных работ составила в среднем 30 000 долларов. Для сравнения - 70 процентов тех же самых фирм потратили меньше одного процента из своих бюджетов на безопасность5. Американские фирмы не намного больше потратили на обучение по вопросам безопасности. Эти расходы лишь капля в ведре по сравнению с тем, что необходимо затратить, чтобы остановить волну компьютерной преступности, годовой доход которой оценивался в 1999 году уже в 10 миллиардов.


Компьютерные преступления и атаки на безопасность систем достигли уровня, на котором подвергаются риску здоровье экономики и благополучие целых наций.


Если в вашей компании нет надлежащих программ обучения, то вы сами можете стать частью национального риска. По крайней мере, не обеспечив простого обучения мерам безопасности системных администраторов, вы можете подвергнуть риску вашу компанию. Должны иметься четкие указания по обучению системных администраторов тому, как настраивать системы и как выполнять политики и процедуры. Еще важнее, чтобы кто-то отвечал за полное прохождение учебных программ всеми сотрудниками.


Другой вариант - это отправка сотрудников на обучение во внешние организации. Если ваша компания выберет такой вариант, то убедитесь в том, что средств в бюджете на это выделено достаточно. Слишком часто статья бюджета на обучение первой попадает под топор сокращения расходов. Такое сокращение влечет за собой увеличение риска. Экономия денег на обучении может улучшить баланс в текущем квартале. Но расходы резко возрастут, если информация в вашей сети будет уничтожена.


Кроме всего, поймите, как важно иметь обученных сотрудников. Скотт Рамси (Scott Ramsey), национальный директор служб информационной безопасности фирмы Ernst & Young, говорит: «Организации внедряют технологии, позволяющие им обходиться меньшим числом людей. Но их руководство часто не находит времени или денег для обучения людей тому, как эти технологии использовать или защищать». Системные администраторы не рождаются со знаниями в области безопасности. Большинство из них нужно научить настраивать безопасность.


Также нужно помнить, что обучение - процесс непрерывный. Как невозможно научиться всему на рабочем месте, так же невозможно все узнать на недельных курсах. Сделайте непрерывное обучение частью стандартной поддержки самих сотрудников.


И наконец, постройте четкую цепь управления. Конечно, вы не хотите сокращать свой обслуживающий персонал. Но когда для корпоративной сети требуется много системных администраторов, то нужно, чтобы решения по вопросам безопасности и политикам доходили до каждого системного администратора. Если каждый из них будет устанавливать политики и процедуры независимо, то риск ошибки возрастет пропорционально численности персонала.

=====================

5. Очевидно, автор имеет в виду расходы на обучение. - Примеч. пер.

Мы пойдем другой дорогой...

Как и в других видах повседневной технической поддержки, в обучении безопасности не много романтики. Тем не менее оно столь же необходимо для долгой поездки, как и проверка тормозов или уровня масла в вашей машине. Игнорируя этот факт, InterMint чуть-чуть не оказалась выброшенной на обочину информационного хайвэя.


Вот что им следовало бы сделать во избежание этого.

Просвещать высшее руководство

Если руководство поднимет тревогу, что у них не все в порядке с безопасностью, то большинство в компании последует его примеру. Руководство должно обеспечить доступность занятий по безопасности для сотрудников всех уровней - это касается и высшего руководства.


Хотя все руководители должны проходить обучение безопасности, но не всегда можно на этом настаивать. По самой меньшей мере, высшее руководство должно представлять себе, почему безопасность важна.


Причина этого проста. Мало кто из генеральных директоров выделит средства, если ему непонятна важность цели. Ему нужно объяснить существующий риск. Подумайте об этом. Будете ли вы покупать страховку на случай землетрясения, если вы живете в Уэст-Бенд, штат Индиана?6 Вряд ли. Купите ли вы эту страховку, если ваш дом высится над разломом Сан-Андреас в штате Калифорния? Вы ответите «Да» (если только вы не законченный глупец), потому что вы осознаете риск. По моему опыту, руководители, осознавшие риски, более склонны выписывать чеки на обучение.

Отстаивать бюджет обучения безопасности

Не позволяйте выбрасывать в первую очередь статью на обучение безопасности из напряженного годового бюджета. Иначе придется заплатить позднее. Создаваемая сегодня безопасность требуется для скрепления всех последующих частей. Ведь вам не придет в голову вложить все средства в разработку нового продукта, а затем не запереть двери лабораторий? Конечно нет. Но, оставляя открытыми ваши корпоративные сети, вы с большой вероятностью можете подвергнуться такому же риску.

Включать вопросы безопасности в обязанности руководства

Некоторые из руководителей ловят случай для продвижения по служебной лестнице. Иначе говоря, они прыгают от одних денег к другим. Для того чтобы чеки к ним поступали, им нужно их заслужить, выполняя поставленные перед ними цели. Чтобы при таком продвижении руководители не забывали о вопросах безопасности, постарайтесь, чтобы в поставленные перед ними цели была включена безопасность. Включите награду за достижение цели по обеспечению безопасности в план премий.


Когда система генерального директора InterMint была взломана, то перед одним из руководителей сразу же возникла цель по решению этой проблемы. Но то, что один из менеджеров имеет цель в вопросах безопасности, не много значит, если вся остальная цепочка управления не имеет таких целей. Если бы перед начальником Смиты была поставлена цель в отношении безопасности, то мне пришлось бы гораздо больше потрудиться для взлома систем операционного зала.

====================

6. В районе оз. Мичиган, т. е. в зоне слабой сейсмической активности. -Примеч. пер.

Делать обязательным обучение системных администраторов

Системные администраторы чрезвычайно занятые люди. Очень легко составить для системного администратора общий учебный план, а затем в конце года убедиться в том, что по нему ничего не сделано.


Часто системные администраторы так заняты, что не могут оставить свои сети или клиентов. Не создавайте ситуацию, в которой системные администраторы не могут оставить свою работу хотя бы на неделю. Например, Тия не должна чувствовать, что если она будет отсутствовать неделю, то вся ее сеть обрушится, или же по возвращении ее будет ждать полный беспорядок. Для этого, пока она будет на занятиях, ее начальник должен поручить ее территорию другому сотруднику. Нельзя допускать и того, чтобы после полного учебного дня ваши люди должны были отработать еще шесть часов, делая ваших пользователей счастливыми. Системные администраторы просто сбегут с занятий, если увидят в них дополнительную нагрузку к той работе, которую они обязаны сделать в этот же день. А вы сами стали бы заниматься при таких условиях?


Чтобы заставить системных администраторов вашей компании получить необходимое им

обучение, отражайте его в служебной характеристике.

Посещать семинары по безопасности

Семинары по вопросам безопасности - это прекрасное место для распространения и получения информации, которую трудно получить где-либо еще. Выберите некоторые из профессиональных семинаров по безопасности для посещения вашими системными администраторами (такие, как SANS и USENIX). Так как всех туда послать невозможно, то пошлите по одному человеку на каждую конференцию и поручите им поделиться полученными там знаниями. Если возможно, то пусть они сделают краткий доклад по возвращении с семинара.


Те из вас, кто уже имеет большой опыт в вопросах безопасности, могут предложить свои выступления на таких конференциях.

Организовывать деловые ланчи

Большинству из нас крайне не хватает времени. Если вы пытаетесь втиснуть обучение в ваш перегруженный дневной график, то вспомните о том, что почти всем нужно есть! Попытайтесь проводить ежемесячно или ежеквартально доклады во время ланча. Выберите важные темы по безопасности и распределите намеченный материал между своими и приглашенными докладчиками. Это хороший способ держать ваших системных администраторов в курсе важных вопросов безопасности и эффективно использовать ценное время.

Распространять информацию по безопасности

Не заставляйте всех бегать в поисках свежей информации. Поручите одному из сотрудников поддерживать свою осведомленность на современном уровне и передавать остальной группе информацию об ошибках, снижающих безопасность, патчах, новых видах уязвимых мест, продуктах и т. д.


Не пожалейте дать его должности звучное название, а ему самому добавку к заработной плате. Многие работают из убеждений, но даже им деньги не повредят. Работа по поддержанию вашей группы в хорошо информированном состоянии заслуживает вознаграждения. Не пренебрегайте распространением информации. Некоторые люди любят придерживать ее, помня старое изречение: «Информация - это власть». Я лично нахожу таких людей небезопасными. Но их кругом слишком много. Помните об этом, стараясь обеспечить вашу компанию потоком фактов по вопросам безопасности.

Присоединиться к спискам рассылки по вопросам безопасности

Важно вовремя узнавать об очередной угрозе, возникающей в Интернете. Если ваш персонал технической поддержки не будет в курсе новых дыр и проблем в безопасности, то хакеры опередят его на несколько шагов. Добейтесь, чтобы ваши системные администраторы были лидерами в информационной стае, иначе она растопчет их. При сборе информации большую помощь окажут защищенные псевдонимы.

Выпускать «белые статьи»7

Я знаю множество действительно талантливых системных администраторов. Если вы один из них, то поделитесь своим опытом с другими. «Белые статьи» являются отличным способом это сделать.


«Белые статьи» сделают вас более известным за пределами вашей компании. Они будут позитивным посланием, показывающим всему миру стремление вашей компании к открытости технологий и информации.

Писать в периодические издания

Хороший материал ищут многие газеты, журналы и бюллетени, освещающие вопросы безопасности. Если у вас есть что рассказать о технической поддержке, о продуктах, инструментах и т. п., то поделитесь своей информацией с другими. Это прекрасный способ поразить публику.

Превращать инструменты в продукты

Если вы разрабатываете инструменты для поддержки безопасности в вашей среде, то подумайте о превращении их вашей компанией в выпускаемые продукты или выставьте их в Интернете для бесплатного пользования. Может быть, ваши инструменты смогут применять и другие люди.

Контрольный список

Используйте этот список для определения того, как идут дела с обучением в вашей компании. Можете ли вы поставить «Да» против каждого пункта?


- Все ли руководители (сверху донизу) выразили общее стремление к безопасности?

- Подкрепили ли они это стремление финансированием обучения безопасности?

- Имеется ли программа обязательного обучения системных администраторов?

- Включены ли в эту учебную программу темы по настройке и поддержке безопасности?

- Существуют ли политики обучения безопасности?

- Составлены ли они тщательно, отвечают ли современным требованиям и широко

ли известны?

-Все ли сотрудники, включая и высшее руководство, обучаются их обязанностям в области безопасности в компании?

- Существует ли инфраструктура для повышения и продолжения образования в сфере безопасности?


=====================

7. White papers - документы для широкого ознакомления с официальной информацией. - Примеч. пер.