Маккарти Л. It-безопасность: стоит ли рисковать корпорацией? Пер с англ
| Вид материала | Книга |
СодержаниеЗаключительные слова Глава 6 Безопасность вне плана |
- «хм «Триада», 9393.37kb.
- Анастази А. А 64 Дифференциальная психология. Индивидуальные и групповые разли- чия, 11288.93kb.
- Роджер Л. М2Э вирус ответственности.: Пер с англ, 2943.44kb.
- Новые поступления литературы (июль сентябрь 2002) математика инв. 62350 в 161., 125.41kb.
- Указатель произведений литературы зарубежных стран (библиотека кф ат и со), 250.17kb.
- Литература для клинических интернов по специальности «терапия» Кафедра факультетской, 55.33kb.
- Куртц П. К93 Искушение потусторонним: пер с англ, 7904.74kb.
- The guilford press, 6075kb.
- The guilford press, 6075.4kb.
- Жизнь счастливого человека (А. Маслоу), 76.37kb.
Заключительные словаВ мире компьютеров время - это все! Время вычислений процессора, время доступа памяти, время появления на рынке и т. д. - все протекает невероятно быстро. За 30 миллисекунд сигнал, летящий со скоростью света, может пройти расстояние от одного побережья Соединенных Штатов до другого. Иногда мне кажется, что с такой же скоростью некоторые менеджеры меняют одну работу или компанию на другую. Менеджеры ищут продвижений по службе, больших заработков, доли в акциях и т. д. Правду говоря, их особо не в чем упрекнуть. Я бы и сама не отказалась от места вице-президента или от кучи акций. Сегодня на деловом рынке большинство людей не работают в одной компании всю свою жизнь. Это ведет к краткосрочному мышлению. Достигли своей цели, получили свою премию и двигайтесь дальше к следующей возможности. По этой причине любая компания, которая действительно заботится о безопасности информации, должна ставить перед сотрудниками цели по вопросам безопасности на год. Чтобы их не затоптали пробегающие через компанию руководители, цели безопасности нужно связывать с остальными служебными целями и получением премий. Одной из таких целей является защита бюджета на обучение. При общем взлете бюджетов на развитие информационных технологий в 2002 году (с увеличением на 92 процента числа фирм, затрачивающих более 1 миллиона долларов на безопасность) основная часть этих расходов идет на старые проекты, отложенные из-за У2К-кризиса9. Теперь посмотрим, задумаются ли над проблемой обучения компьютерной безопасности при осуществлении инициатив по национальной защите после событий 11 сентября 2001 года. Но мне кажется, что историческим выбором как правительственных органов, так и частных компаний будет вложение средств, скорее, в новое оборудование и развитие технологий, чем в обучение, необходимое для поддержки безопасности. ================================= 8. Stock options - акции, продаваемые компанией своим сотрудникам по фиксированной цене. - Примеч. пер. 9. Кризис, вызвавший переделку программного обеспечения из-за некорректного восприятия двух последних нулей в дате 2000 года. - Примеч. пер. Глава 6 Безопасность вне планаОдин из моих наставников сказал, что использование технологий безопасности в политических целях является наихудшим видом вынужденного брака. По моему опыту, кроме того, что это правда, еще и дети от такого брака получаются уродливыми. Ребекка Бейс, исследователь и специалист по стратегии в области безопасности Представьте себе, что сейчас 6.30 утра и вы пациент больницы, ожидающий операцию. Это обычная операция по удалению желчного пузыря (чего мы только не удаляем) - и всего-то. Но вы не знаете, что компьютерная сеть больницы была недавно переделана по новому проекту. Персонал технической поддержки перенес все критичные1 приложения из одного большого компьютера в распределенную сетевую среду (для оптимизации работы больницы). Стремясь быстрее перейти с одной платформы на другую, руководство не стало разрабатывать политики и процедуры безопасности для новых систем. Поэтому персонал, обслуживающий компьютеры больницы, не провел настроек безопасности. На внешний взгляд, сеть после такой оптимизации работала гладко. Но если заглянуть внутрь, то каждый мог украсть, изменить или уничтожить информацию о пациентах, хранящуюся на серверах сети. Вчера при поступлении в больницу вас проверили перед операцией на отсутствие у вас какого-либо сопутствующего заболевания. Вам сделали анализ крови и рентгенографию грудной клетки - стандартные предоперационные процедуры. На следующий день вы проснулись рано, в 4.00 утра, за несколько часов до операции. Вы немного нервничали из-за предстоящего удаления желчного пузыря. Наконец, вспомнив все проблемы, которые он вам создавал, вы решаете, что его лучше удалить. Вы успокоились, заснули и увидели несколько приятных снов. В шесть утра все закрутилось. Из операционной позвонил доктор и предупредил медсестру, чтобы предоперационные анализы были вместе с вами присланы в операционную. Так как результатов анализов в отделение еще не поступало, то сестра использовала компьютер для их получения. Они были нормальными. Или стали такими. Ваша медсестра не знала, что сервер был взломан хакером, который изменил результаты ваших анализов с плохих на хорошие. До этого изменения на вашей рентгенограмме легких было видно подозрительное затемнение - может быть, легкий застой, а может быть, пневмония. Это давало повод доктору отложить операцию , чтобы избежать возможных осложнений, которые могли бы вести к остановке дыхания. ================== 1. То есть жизненно важные для выполнения больницей своих задач. - Примеч. пер. Доктор этих результатов не получил и начал операцию. Желчный пузырь был удален так же, как и ваши миндалины много лет назад. Кажется, операция проведена успешно. Но анестезиолог говорит хирургу, что дыхание не восстанавливается. Он просит сделать рентгеноскопию грудной клетки и обнаруживает обширную пневмонию. Затем он просит показать предоперационную рентгенограмму и видит на ней в том же месте затемнение меньших размеров. Он хочет узнать у хирурга, почему тот делал операцию пациенту с пневмонией. Но хирургу некогда, он заполняет ваше свидетельство о смерти. Хотите узнать почему? У вас отказали легкие, и вы умерли. Это один из случаев, когда информационная безопасность означает не просто защиту информации - она означает защиту жизни. Довольно мрачно, если подумать о том, в какой степени в реальных больницах полагаются на их компьютеры. Рассмотрим другой пример... |