LINEBURG


<< Пред. стр.

страница 13
(всего 25)

ОГЛАВЛЕНИЕ

След. стр. >>

о безопасности. Но сомнительно, что он видит возможный риск для безопасности в ком­
пьютерной базе данных. Люди, не связанные непосредственно с информационной безо­
пасностью, редко это видят.
Представим себе, что вы как раз перед проведением большой выставки узнаете о том, что
ваша сеть не защищена. Этот факт заставит вас остерегаться ввода конфиденциальной ин­
формации в вашу собственную сеть.
Нелепо? Может быть. Но в точности с такой ситуацией столкнулся Джеральд Пушман
в музее Chambersburg Museum of Art2. Давайте посмотрим...
1. Фредерик Ремингтон-американский художник и скульптор (1861-1909гг.). -Примеч. пер.
2. В г. Чамберсбург, штат Пенсильвания. - Примеч. пер.
Безопасность внутренней сети 107


Незащищенная сеть
Джеральд Пушман был нанят руководить совершенно секретным проектом в Chambers-
burg Museum of Art. В музее он был новым руководителем, но не новичком в секретных
проектах. Он имел большой опыт в своем деле и знал, как хранятся секреты.
Джеральд заботился о физической безопасности и настройках средств защиты его ком­
пьютерных систем. Так как он придерживался стиля в руководстве «возьми в свои руки»,
а не стиля «отдай в другие руки» (ответственность за безопасность систем), то Джеральд
прежде всего встретился с администратором сети Кирстен Смит.
Кирстен работала в музее уже несколько лет и знала каждый дюйм сети. Джеральд сказал
ей, что вследствие конфиденциального характера информации проекта он озабочен со­
стоянием сети, в которой должны будут устанавливаться новые системы.
Кирстен ответила прямо: «Если вы собираетесь подключать системы к сети, то меня тре­
вожат установка и настройка этих систем, особенно из-за высокой секретности проекта».
Беседуя с Кирстен, Джеральд узнал, что серверы базы данных музея широко открыты для
доступа. На этих серверах хранилась крайне конфиденциальная информация. Из нее мож­
но было узнать не только о ценности произведений искусства, но также о дате и времени
их поступления и отправки и планах перевозок. Вор, специализирующийся на произведе­
ниях искусства и оснащенный по последнему слову техники, мог бы под видом сотрудни­
ка музея получить доступ к какой-либо одной системе сети и использовать эту информа­
цию для налета с целью похищения экспоната на его пути в музей или из него.
Удача Джеральда заключалась в том, что Кирстен была с ним достаточно откровенной
и сообщила так много сведений. Он попытался разузнать побольше и выяснил, что группа
обеспечения безопасности сражается с системными администраторами уже несколько лет из-
за принципов настройки безопасности систем. Так как общий подход к этому вопросу выра­
ботан не был, то у большинства систем в сети настройки безопасности не было вообще.
Джеральд понял, что, пока группа обеспечения безопасности и системные администра­
торы не уладят своих разногласий, безопасность его систем может быть скомпрометиро­
вана. Из-за такой предыстории конфликт вряд ли мог разрешиться быстро. Как временный
сотрудник, Джеральд решил установить свои системы отдельно от сети музея в изолиро­
ванном помещении. Представьте, что у вас строят отдельную сеть с тем, чтобы уберечь
информацию от краж и саботажа! Посмотрим, как ситуация дошла до такого состояния.

Начало событий: В обход корпоративной сети
Для того чтобы отделить свои системы от сети музея, Джеральд должен был создать свою
сеть и нанять своего системного администратора. На это требовалась добавка к его бюд­
жету в виде приличного количества долларов. Для одобрения такого шага Джеральд дол­
жен был встретиться с руководством музея.
Не нужно говорить, что руководство такому подходу не обрадовалось. По правде, оно про­
сто не поверило, что их собственная сеть не защищена. В конце концов Джеральд по­
лучил, что просил. Но руководство заставило его перед этим «попрыгать через кольцо».
Оно включило в пакет договора требование, чтобы он представил доказательства незащи­
щенности сети музея. И здесь на сцене появляюсь я.
108 Незащищенная сеть


День 1-й: Сбор доказательств
Джеральд передал мне всю информацию о месте действий. Он посвятил меня в детали
продолжающейся междоусобицы между системными администраторами и группой безо­
пасности. Я поговорила с Кирстен, и она сообщила мне, что вся информация в сети под­
вергается риску.
Узнав это, я поняла, что впереди у меня тяжелая работа. Во-первых, я должна была уста­
новить, действительно ли системы не защищены. И если так, то затем я должна буду опре­
делить причину этого.
Руководство в лице Джеральда чувствовало, что системы сети не защищены. Однако это
было лишь голословным заявлением. Каких-либо ощутимых доказательств этого не было,
но они должны быть найдены в моем аудите.
Так как главной задачей аудита была проверка предположения Джеральда, то я решила
провести аудиты систем, интервьюирование персонала и тестирование на проникновение.
В данном случае удача Джеральда заключалась в том, что Кирстен обеспечила его боль­
шим количеством информации. Такое происходит не всегда. Иногда вся сеть подвергается
риску, а персонал технической поддержки не говорит об этом ни слова. Зная это, я не пи­
тала особых надежд на то, что остальные сотрудники технической поддержки сообщат
мне такие же подробности, как Кирстен.
В некоторых аудитах полезно собрать как можно больше фактов перед проведением бесед
с персоналом. Тогда вы сможете их использовать как рычаг воздействия на сотрудников,
не испытывающих желания делиться с вами информацией или своим знанием сущест­
вующей проблемы. Так как мне казалось, что этот аудит будет именно таким, то я решила
собрать информацию до проведения бесед.
Кирстен создала мне учетную запись в сети и дала сетевую схему, по которой можно было
бы определить системы повышенного риска. Сетевая схема выглядела вполне логично.
Так как я обычно начинаю тестирование безопасности с систем с самым высоким уровнем
риска, то именно их я ищу в схеме. Однако я не смогла точно определить по схеме, какие
из систем попадают в эту категорию.
Я обратилась снова к Кирстен. Она показала мне группу систем, которые она считала пред­
ставлявшими наибольший риск. Мы немного поговорили об этом, чтобы убедиться, что
я ничего не пропустила. Со списком особо критичных целей я была готова начать аудит.
Я всегда удивляюсь, когда мне удается войти в первую намеченную для аудита систему даже
без ввода пароля. Это похоже на то, как если бы вы подошли к банкомату и он выдал бы вам
деньги до того, как вы достали свою карточку из бумажника. Я попала в такую же ситуацию.
Первая же выбранная мной система доверяла системе, в которой у меня была учетная за­
пись. Как только я открыла сессию на главном сервере базы данных, я смогла получить
доступ ко всем другим особо критичным системам. Мне даже не пришлось вытирать пот.
Доверительные отношения между этими системами были поразительными. Все они до­
веряли первой взломанной мной системе, поэтому я входила в одну систему за другой.
Очевидно, кто-то не обратил на это внимания при установке систем. А может быть, они
просто доверяли каждому, кто имел доступ к сети музея, В современном мире такой уро­
вень наивности может привести к большой беде! По словам Майкла Андерсона, эксперта
по компьютерному праву и бывшего агента Министерства финансов США, в 85 процентах
случаев промышленный шпионаж ведется изнутри компании-объекта.
Безопасность внутренней сети 109


Положительным являлось то, что технический персонал музея осуществлял регулярное
резервное копирование и хранил ленты вне помещений сети. И все же предоставление
свободного доступа к информации каждому в сети не было хорошей идеей. Как раз о та­
ком риске я и должна была сообщить руководству музея.
Основную часть дня у меня занял взлом важных систем и сбор доказательств, необходи­
мых для составления моего итогового отчета. Этап аудита, состоящий из взломов, был
очень прост. Сортировка всей полученной информации не заняла много времени.
Когда все было рассказано и сделано, мой список рисков выглядел следующим образом:
• Настройки безопасности особо критичных систем были недостаточными.
• Сами системы не были классифицированы (некритичные, особо критичные и т. д.).
• Легко можно было получить права суперпользователя.
• Пароли легко угадывались.
• Не были установлены патчи, повышающие безопасность.
• Не было механизмов обнаружения вторжения, позволяющих предотвратить,
обнаружить неавторизованный доступ к конфиденциальной информации или по­
лучить сведения о нем.
• Контрольных журналов просто не было.
• Имелась избыточность разрешений на доступ к файлам.
• Выполнялись ненужные сетевые службы.
Короче, Кирстен была права. Системы были широко открыты. Ни один из серверов базы
данных, подвергавшихся высокому риску, не имел серьезной защиты, Почему? Для за­
вершения аудита я должна была получить ответ на этот вопрос.
Мнение Кирстен на этот счет мне было уже известно. Нужны были факты. Так как была
вторая половина пятницы, то мне придется ждать следующей недели. Довольно странно
начинать аудит в конце недели, но так уж составлен график.
Я уже собирала вещи, когда вспомнила, что мне нужно лететь домой и встретиться в суб­
боту с моей сестрой. Мы поедем с ней в Сан-Франциско на уикенд, где я буду ее баловать.
Она гораздо младше меня — ей. 13 лет, поэтому я по возможности выкраиваю для нее время
по выходным: она удовлетворяет свои капризы, а я трачу на это деньги. Я похожа на ба­
бушку, которая не успела состариться. В этот уикенд мы должны посетить в Сан-Франци­
ско столько музеев, сколько сможем. Среди всего прочего, девочка занимается изобрази­
тельным искусством (и у нее это получается) и любит ходить в музеи и картинные
галереи. Было бы хорошо провести с ней выходные и посмотреть на музеи с другой точки
зрения - не как на объекты с высокой степенью риска и летучестью информации из-за
незащищенности систем, но как на само искусство ради искусства.
Кирстен проводила меня в холл и сказала, что встретит меня в понедельник в 9.00.

День 2-й: Системные администраторы против группы обеспечения
безопасности
Выходные всегда проходят быстро, Я не успела это понять, как очутилась в холле, ожидая
Кирстен и в готовности закончить аудит. Я немного волновалась.
Мне предстояло во второй части аудита показать, почему системы не защищены, и это оз­
начало проведение бесед. Я не боюсь бесед и встреч с людьми, но из слов Кирстен поняла,
что ввязываюсь в войну, развязанную из-за настроек, политик и процедур и продол­
жающуюся уже несколько лет.
110 Незащищенная сеть


Хорошей новостью было то, что у меня появилось много энергии после уикенда. Обычно
беседы меня подавляют. Это связано с тем, что мне часто приходится говорить с людьми,
не заботящимися об информации, за обеспечение безопасности которой они получают
деньги.
У меня было ощущение, что за обнаруженными рисками кроется война между группой обес­
печения безопасности и системными администраторами. Вскоре я в этом не сомневалась.
Кирстен запланировала интервьюирование всех причастных к этому делу игроков.
Она любезно предоставила мне несколько свободных часов утром перед проведением бесед.
Я это оценила. (Кто знает, как выглядят эти парни до утреннего кофе?)
Перед тем как войти в зону боевых действий, я решила просмотреть политики и процедуры,
выпущенные группой обеспечения безопасности. Обычно знакомство с политиками и про­
цедурами позволяет составить мнение об отношении компании к вопросам безопасности.
Компания, не имеющая хороших политик и процедур, как правило, не имеет и хорошей
безопасности.
Я обнаружила несколько проблем с политиками и процедурами. Во-первых, их было труд­
но читать и понимать. Мое внутреннее чутье подсказывало, что системные администра­
торы, вероятно, не настроили безопасность из-за того, что они не поняли политик и про­
цедур. Политики и процедуры также были устаревшими. Последнее изменение вносилось
в них примерно три года назад. В результате некоторые политики даже не были техниче­
ски корректны. Пунктуально выполняя один из документов процедур, вы бы проделывали
в защите системы дыру и делали бы систему более уязвимой для атаки.
Чем дальше я продвигалась по материалам, тем больше убеждалась в том, что вначале доку­
ментация была составлена кем-то, кто понимал важность политик и процедур. Вместе с тем
у меня складывалось впечатление, что этот человек уже ушел из группы обеспечения безо­
пасности или даже из музея.
Теперь я была готова к встречам с персоналом. К сожалению, это будут встречи с группа­
ми. Групповое интервью часто сопровождается напряженностью, - даже когда не ведется
война. Я пошла на эту первую встречу, думая, что всегда смогу затем поговорить один на
один с ключевыми игроками.

В чьих руках безопасность
Сначала я встретилась с системными администраторами. Так как они отвечали за настрой­
ку безопасности систем, то я хотела послушать их сторону первой. И конечно, еще потому,
что системные администраторы всегда рассматриваются как главные виновники проблем,
возникающих с безопасностью.
Я начала с общего вопроса: «Какие процедуры используются для настройки безопасно­
сти?» Невероятно, но ответом было: «Никаких». Их «процедура» заключалась в том, что­
бы соединить системы с сетью без каких-либо мер предосторожности.
Я продолжала на них давить: «Разве вы не отвечаете за настройку безопасности систем?»
Они отвечали: «Да, но группа обеспечения безопасности должна сказать нам, как это сде­
лать. Так как их политики и процедуры безопасности лишены всякого смысла, то мы не
знаем, как настраивать системы».
Я спросила далее о том, кто из них работает здесь дольше других. Один из системных адми­
нистраторов поднял руку и ответил: «Я работаю уже пять лет».
Я спросила: «И эта проблема была все эти годы?»
«Да, я так думаю» - был его ответ.
111
Безопасность внутренней сети


Невероятно! Выходит, эти парни знали, что их системы годами подвергались риску,
и даже не пошевелились, чтобы решить возникшие проблемы. Я попыталась им растол­
ковать, что информацию систем нужно обезопасить уже сейчас, а не еще через пять лет,
но, зная их историю, я не ждала быстрого решения проблемы.

Перекладывание ответственности
Затем я встретилась с группой обеспечения безопасности. Как и системные администра­
торы, персонал этой группы также знал, что сеть не защищена. Разумеется, они во всем об­
виняли некомпетентных системных администраторов. Я их спросила, показывали ли они
системным администраторам, как производить настройку безопасности, и они сообщили
мне, что политики и процедуры могли быть взяты системными администраторами из Сети.
Мне было сказано: «Любой, кто представляет, что он делает, должен знать, где их найти!»
Беседа с группой обеспечения безопасности подтвердила мои прежние подозрения. Дей­
ствительно, парень, написавший политики и процедуры безопасности, покинул компанию
два года назад. Они недавно поручили одному из сотрудников посмотреть, как их можно
обновить. К сожалению, простое усовершенствование процедур на этой стадии было
слишком незначительным, слишком запоздалым. Системы уже были широко открыты,
а политики стали действительно непонятными.
Я продолжила беседу с группой обеспечения безопасности, системными администратора­
ми и менеджерами, но их ответы большей частью касались одних и тех же проблем.
• Группа обеспечения безопасности отвечала за первоначальное написание политик
и процедур. Но никто из них не отвечал за их обновление.
• Теоретически размещение политик и процедур на сервере должно было бы обес­
печивать их легкую доступность для системных администраторов. На практике ни­
кто не сказал системным администраторам, как добраться до этого сервера.
• Любой из системных администраторов, кому бы посчастливилось найти эти полити­
ки и процедуры, не смог бы их понять. Большей частью эти политики и процедуры
были так запутаны и плохо написаны, что были непригодны к применению.
• Руководство, очевидно, не считало проблему политик и процедур важной.

Резюме: Безопасность -жертва войны
Политики безопасности образуют первую линию обороны. Без них компания будет вверг­
нута в войну. От местных сражений между различными обслуживающими подразделения­
ми компании вы перейдете к настоящей войне с хакерами, заинтересованными в сражени­
ях другого рода. Им чужды политические ухищрения, ими руководит только грубое жела­
ние изменить, украсть или уничтожить информацию. И когда начнется такая война, то бу­
дет все равно, кто выиграет небольшие бои между подразделениями. Принимая во внима­
ние количество энергии, которая тратится на ведение внутренних политических игр, я мо­
гу держать пари о том, что хакер со всей вероятностью победит в любой из внешних битв.
Если в вашей компании нет политик и процедур, то поручите кому-нибудь их создать и под­
держивать. Если среди ваших сотрудников нет того, кто смог бы с этим справиться,
то наймите «вольного стрелка» для выполнения такой задачи. Еще лучше, если такой чело­
век со стороны научит ваших сотрудников, как это делается. На худой конец, купите книгу
по данной теме, чтобы можно было для начала получить справочную информацию.
После того как политики будут написаны, обеспечьте их постоянное обновление. Устарев­
шие политики скорее вредны, чем бесполезны, так как создают видимость безопасности,
в то время как ее в действительности нет.
112 Мы пойдем другой дорогой...


Мы пойдем другой дорогой...
Действительные причины музейной дилеммы не были техническими. Они заключались
в инертности, политиканстве и плохом руководстве. Не допускайте, чтобы такое произош­
ло с вашей сетью.
Главной проблемой было то, что музей эксплуатировал свою сеть без политик и процедур.
Политики и процедуры составляют фундамент безопасности. Без них невозможно под­
держивать управление безопасностью. Как своими действиями, так и бездействием персо­
нал музея создал обстановку, в которой стало небезопасно пользоваться их сетью.
Вот что они должны были сделать вместо этого.

Возложить на кого-либо из сотрудников ответственность за политики
и процедуры
Кто-то должен отвечать за политики и процедуры. Если ваши политики и процедуры устаре­
ли или плохо написаны, сделайте что-нибудь! Поручите кому-либо из сотрудников писать,
проверять и распространять политики и процедуры. Если компания велика, то имеет смысл
создать целую группу для решения этой задачи.
Что более важно, добейтесь того, что ваши политики и процедуры выполняются. Напомню,
что в 2000 году на оборонные системы США было предпринято 250 000 попыток кибератак.
Из 245 атак, которые были успешными, 96 процентов могли бы потерпеть неудачу, если бы
пользователи выполняли имеющиеся протоколы безопасности.

Разграничить обязанности по поддержке безопасности между группами
Если в вашей компании имеются группы обеспечения безопасности и группа системных
администраторов, то вы должны ясно определить их роли и обязанности. Являются ли
системные администраторы ответственными за настройку систем? Отвечает ли группа
обеспечения безопасности за информирование о неувязках?
Если обязанности не будут закреплены официально, то ничего не будет делаться. И будет
не с кого спросить за возникшие проблемы,
После четкого определения ролей вы должны добиться того, чтобы каждая группа делала
то, чего от нее хотят. Проследите это! В нашей истории предполагалось, что группа обес­
печения безопасности отвечает за политики и процедуры. И все же они не обновляли про­
цедуры, не писали их правильно и понятно для каждого и не сделали их легкодоступными.
Короче, они не выполнили своей работы. Кто-то должен был это заметить и проследить,
чтобы такая работа была проделана.

Не надеяться на чудо
Системные администраторы, отвечавшие за настройку безопасности, не знали, как это де­
лать. Из-за плохого состояния процедур в такой неразберихе действительно виноваты
не они. Их вина тем не менее была в том, что, вместо того чтобы сообщить о проблеме руко­
водству и работать над ее решением, они ничего не делали. Может быть, они ждали, когда на
их серверы сойдет небесная благодать?
Если в вашей компании политихи и процедуры четко не определены, то нужно искать пу­
ти по внесению в них ясности. Если необходимо, обратитесь за помощью к руководству.
Не сидите и не ждите чуда.
Безопасность внутренней сети 113

Пересматривать процессы
Одним из вопросов, которого мы действительно не касались в данном аудите, был вопрос
о том, должна ли была группа обеспечения безопасности писать политики и процедуры
для музея. Это само собой подразумевалось, так как обычно всегда этим занимаются
именно они.
Я думаю, вы слышали рассказ об отрезанном куске говядины. Некая домохозяйка всегда
отрезала конец куска мяса, перед тем как его готовить. Однажды муж спросил ее, зачем
она это делает. «Я не знаю. Моя мать всегда так делала», - отвечала она и спросила свою
мать об этом. Та ей ответила: «Я не знаю. Моя мать всегда так делала». Наконец, праба­
бушка рассказала женщине: «После этого кусок помещается в сковородку». Оказалось,
что у старой женщины была только одна сковорода, и она была слишком мала, чтобы вме­
стить кусок говядины стандартного размера. Разумеется, у ее потомков были сковородки
всех размеров. Они просто выбрасывали лучшую часть куска по традиции, так как не хо­
тели пересмотреть процесс.
Может быть, пять лет назад при установке системы и было лучшим вариантом поручить
написать политики и процедуры группе обеспечения безопасности. Но это не означает,
что такой выбор все еще остается лучшим. Найдите время для периодического изучения
того, достались ли все роли и обязанности людям, способным лучшим образом сделать ра­
боту. Не оправдывайте свои действия тем, что ваши предшественники поступали так же.

Иногда - просто сдаться
В компаниях все варится в одном котле - и плохое, и хорошее. Даже если мы захотим ка­
заться выше всего этого, то все равно мелочные политиканы будут продолжать копошить­
ся. Иногда лучше дать одной из сторон взять верх, когда битва не так уж значительна или
когда участие в ней отвлекает вас от настоящей работы. Если такая борьба становится бо­
лее важной, чем защита информации, то победителем в настоящей войне окажется хакер.

Выполнять свои обязанности
Если вы являетесь системным администратором, то вы отвечаете за установку и поддерж­
ку средств безопасности вашей системы. Эта ответственность лежит на вас, даже если
в вашей компании есть подразделение по обеспечению безопасности, следящее за вторже­
ниями, средствами контроля, политиками и процедурами. В конечном счете, когда что-то
пойдет не так, все повернется к вам (и против вас). Всегда помните об этом.

Контрольный список
Используйте этот список для определения того, правильно ли используются в вашей ком­
пании политики и процедуры для повышения безопасности.
- Легко ли читать и понимать политики?
- Есть ли у каждого сотрудника экземпляр политик или знает ли каждый, по крайней
мере, где политики находятся?
- Несет ли кто-нибудь личную ответственность за политики и процедуры?
- Посещает ли этот сотрудник конференции по вопросам безопасности или же другим
способом держит себя в курсе современного состояния вопросов безопасности?
- Обновляются ли на регулярной основе политики и процедуры?
114 Заключительные слова


- Планируются ли профилактические аудиты политик и процедур?
- Осуществляют ли руководители всех уровней поддержку политик и процедур?
- Обучаются ли новые сотрудники политикам и процедурам безопасности?
- Имеется ли справочный материал по политикам и процедурам?

Заключительные слова
В рассказанной истории руководители обеих групп должны были помогать решению про­
блемы - для этого руководство и существует. К сожалению, эти менеджеры «зависли» на
своих политических амбициях. Вдохновляйте ваших менеджеров на то, чтобы они огля­
дывали всю панораму (безопасности информации), а затем начинали действовать, опира­
ясь на полученные факты.
Системные администраторы никогда не должны оставлять системы широко открытыми
только потому, что он не знают, как настраивать безопасность. И в то же время настройки
систем не должны диктоваться сверху. Их нужно согласовывать и делать понятными
людям, которые отвечают за установку и обслуживание систем.
И разумеется, политики и процедуры необходимо постоянно обновлять. Устаревшие по­
литики и процедуры подобны неисправным ремням безопасности. Они создают види­
мость того, что ваш автомобиль обеспечит вам нужную защиту в случае аварии, когда
в действительности это не так. «Пристегните» вашу информацию («исправными ремня­
ми») перед аварией.
Рано или поздно авария произойдет. Опуская все остальные факторы, мы знаем, что высо­
кая плотность транспортного потока является причиной большой вероятности дорожных
происшествий. Даже не имея точных данных, мы можем заключить, что трафик в Ин­
тернете становится более интенсивным. В феврале 2002 года количество пользователей
Интернета во всем мире оценивалось в 544 миллиона. Только в Северной Америке их
насчитывалось 181 миллион. Это несомненный рост по сравнению с 25 миллионами поль­
зователей в США в недалеком от наших дней 1997 году. Добавьте сюда пользователей из
остальных частей планеты и пользователей интранет, и вы легко можете предсказать, что
мы увидим серьезные схватки в сети. Правильные политики и процедуры могут помочь
вашей компании не исчезнуть в столкновениях.
Глава 9
Безопасность аутсорсинга


Если вы подключаетесь к партнерам, или передаете на аутсорсинг ИТ-инфра-
струюпуру, операции с ценными бумагами, сеть поставок и производство, или
же поддерживаете какой-либо другой вид доступа к вашей среде или интеллек­
туальной собственности, то вам следует убедиться в том, что люди и процес­
сы, которым вы доверяете, имеют равную с вашей степень защиты. Думая
по другому и не сумев тщательно проконтролировать состояние безопасности
другой стороны и провести его аудит, вы, возможно, обнаружите, что атаки
на вас производятся со стороны партнера, которому вы доверились.

Мэтью Арчибальд, директор Global Security Services, Palm Inc.


Вы - вице-президент по вопросам поставок большой компании, выпускающей ком­
пьютеры. Прошлый год был напряженнее других, так как ваша компания решила перейти
на аутсорсинговую модель поставок своей продукции, что затронуло все стороны деятель­
ности вашей службы. Этот переход завершен, все идет гладко, и вы наконец-то облегченно
вздохнули. Вы на себе ощутили всю тяжесть задачи выбора правильного партнера по
перевозке продукции и перехода на новую бизнес-модель.
Сейчас, когда вы и ваша команда осуществили цели, поставленные компанией перед ва­
шим подразделением, наступает время выбраться всем коллективом на природу. Вы запла­

<< Пред. стр.

страница 13
(всего 25)

ОГЛАВЛЕНИЕ

След. стр. >>

Copyright © Design by: Sunlight webdesign