LINEBURG


<< Пред. стр.

страница 8
(всего 25)

ОГЛАВЛЕНИЕ

След. стр. >>

3. Не во всех ОС она поддерживается, и не каждый провайдер ее разрешает выполнять. - Примеч. пер.
65
Сетевой доступ


• Пароли легко было отгадать.
. • Были включены ненужные сетевые службы.
Большое количество рисков не удивило меня. Когда такая важная система, как Drug10, на­
страивается столь плохо, что информация всей компании и ее клиентов подвергается рис­
ку, то я не могла ожидать, что обнаружу должный контроль над безопасностью других
систем. Перед тем как написать отчет, я решила поговорить с Фредом, так называемым
экспертом JFC по брандмауэрам. Зайдя в его офис, я попросила уделить мне немного вре­
мени. Когда я села и пыталась завязать с ним разговор, Фред продолжал печатать. Мне это
очень не нравится. Когда люди печатают во время разговора с вами, то этим стараются по­
казать две вещи: 1) «У меня есть дела важнее разговора с вами». 2) «Вам вовсе не нужно
мое внимание (или вы не заслуживаете его)». Я не была настроена терпеть такое отноше­
ние ко мне, поэтому встала и попросила Фреда встретиться со мной в зале заседаний
в конце холла.
Фред от своих манер общения не отказался и там. Пытаясь получить от него информацию,
я обнаружила, что он саркастичен, заносчив и не очень умен. По моему мнению, он был
типичным неудачником. Он попытался переложить ответственность на другого. Он пута­
но стал мне объяснять, что все было бы в порядке, если бы Дэйв настроил безопасность
на сервере базы данных. Он также сказал, что в его намерения не входило настраивать
безопасность системы - это, по его мнению, была работа Дэйва.
Если вы работаете системным администратором, как Дэйв, то вы, возможно, вспомните
подобный случай. Когда защита взломана, то все показывают пальцем на вас.
Мне не хотелось тратить много времени на разговор с Фредом, так как нужно было писать
отчет. И все же я решила задать ему еще несколько вопросов, с тем чтобы подзадорить его,
(Ладно, с моей стороны это не совсем хорошо, но всем нам хочется иногда позабавиться.)
Оказалось, что Фред работает в JFC, обслуживая сеть и настраивая брандмауэры, уже пять
лет. Для JFC это означало, что пять лет ее безопасность подвергалась большому риску.
4
Ernst & Young сообщала в 1996 году, что более 20 процентов обследованных компаний не
имело сотрудников, занимающихся безопасностью. Но они не сообщили о том, что иметь
недобросовестного сотрудника на этой должности может быть так же плохо, если не хуже.
При отсутствии эксперта по безопасности пользователи хотя бы не будут заблуждаться,
предполагая, что их информация защищена, в то время как все будет наоборот.
Прием на должность эксперта по безопасности неподходящего сотрудника может под­
вергнуть риску всю компанию, особенно если ее руководство недостаточно разбирается
в этих вопросах и не знает, за какие промахи эксперт по безопасности должен отвечать.
Начальник Фреда, кажется, совсем этого не знал, Я думаю, что он даже не понимал риска.
А риск в JFC был существенным. Из-за плохой конфигурации вы даже не могли сказать,
не украл ли хакер конфиденциальную информацию для продажи конкуренту. Также нель­
зя было сказать, не оставил ли он за собой «троянского коня», «червя» или вируса,
которые бы могли позднее заразить информацию JFC и ее клиента - McConnell.
Что касается внешних подключений, то было невозможно сказать, где сеть начинается и
где кончается. Если вы работаете в JFC и хотите иметь внешнее подключение, то вам про­
сто надо обратиться к Фреду. Фред лично разрешал все подключения и хранил информа­
цию о них в неструктурированном файле. Поэтому нельзя было получить каких-либо
отчетов по соединениям, и в файле невозможно было чего-либо найти, В общем, сплош­
ная неразбериха.


4. Консалтинговая фирма по вопросам аудита, финансов, права, налогообложения и оценки. - Примеч. пер.
66 Мы пойдем другой дорогой...


Несколько дней у меня ушло на составление итогового отчета для руководства JFC. Я не­
много задержалась с его оформлением, так как хотела уместить множество факторов рис­
ка в пару страниц. Эти риски вызывались неправильной организацией разрешения внеш­
них подключений, слабой политикой брандмауэрной защиты, плохой разработкой поли­
тик и процедур и недостатками общей конфигурации системы. В отчете также указыва­
лось на слабое обучение, неэффективное руководство и невозможность проследить внеш­
ние подключения. Я вручила отчет Дорис и уехала. Теперь устранение этих проблем стало
ее обязанностью.

Резюме: Не подпускать к себе конкурентов
В данном случае проблема была обнаружена до возможного нанесения ущерба. Конечно,
обнаружить такие проблемы во время профилактического аудита безопасности соседних
систем удается не во всех компаниях. Многие из них вообще не беспокоятся об аудитах
безопасности - ни о профилактических, ни о каких-либо еще.
Сотрудники, подобные Фреду и Дэйву, существуют в действительности. Ни один из них не
думает о высших интересах компании. Поэтому и необходимы основные политики, проце­
дуры и средства контроля для защиты компании от простых ошибок, которые буквально мо­
гут разрушить ее. Без учета этих факторов общая картина начнет терять очертания.
Как показывает случай с JFC, такая потеря очертаний может случиться очень быстро. JFC
является растущей компанией. Их формула нового лекарства скоро позволит опередить
конкурентов. Что, если хакер, взломавший Drug10, был промышленным шпионом, рабо­
тающим на конкурента? А может быть, иностранное правительство надеется достать
передовую технологию для доморощенных компаний. Если верить Майклу Андерсону
(Michael Anderson), бывшему агенту Министерства финансов, в настоящее время рабо­
тающему в группе советников в Национальном центре по расследованию экономических
преступлений , то даже дружественные державы оказываются не такими дружественны­
ми в вопросах промышленного шпионажа. По его данным, стало известно, что французы
ставили «жучки» как в салоны самолетов первого класса, так и в роскошные номера оте­
лей, в которых предпочитали останавливаться руководители американских корпораций.
Другими серьезными игроками в промышленном шпионаже считаются японцы, израиль­
тяне и множество бывших агентов КГБ.
Правильно настроенный брандмауэр, безопасная конфигурация системы и механизмы об­
наружения (компоненты безопасности, отсутствующие в Drug10) образуют первую линию
обороны и закрывают дверь перед промышленным шпионажем, конкурентами и другими
противниками.

Мы пойдем другой дорогой...
При разработке нового продукта мы все стараемся держаться хотя бы на несколько шагов
впереди стаи. Но волки могут быть ближе от ваших пяток, чем вы думаете. В своей книге
«Информационная война: хаос на электронном суперхайвэе»6 Уинн Швартау замечает:
«Когда-нибудь вы станете (если уже не стали) жертвой информационной войны... Если не
вчера или сегодня, то обязательно завтра».


5. National White Collar Crime Center (NW3C) -другой вариант перевода: Национальный центр по расследованию
преступлений, совершаемых «белыми воротничками». - Примеч. пер.
6. Information Warfare: Chaos on the Information Superhighway. Winn Schwartau. «Суперхайвэй» некоторые
переводчики заменяют более понятным «автобан». - Примеч. пер.
Сетевой доступ 67

Если это звучит для вас немного мелодраматично, то задержимся и посмотрим на общую
7
цену проблемы. По данным офиса директора национальной контрразведки , только в 2002
году потери продаж в американской экономике от промышленного шпионажа оценивают­
ся суммой от 100 до 250 миллиардов долларов. Вы можете добавить сюда экономические
и моральные убытки от потери рабочих мест.
Даже единичный акт шпионажа может быть опустошительным. Vogon, фирма, зани­
мающаяся правовыми вопросами в компьютерной области, сообщает, что при проведении
аудита у одного из клиентов был обнаружен сотрудник, «скачивающий» конфиденциаль­
ную информацию для того, чтобы впоследствии открыть конкурирующую фирму. Этот
клиент подсчитал, что его убытки в случае, если бы такое пиратство не было раскрыто,
могли бы достигать 10 миллионов долларов.
Можете ли вы заявить в такой обстановке, что имеете все необходимые средства безопас­
ности? Не начнет ли ваше будущее расплываться и исчезать, как почти случилось с JFC?
Чтобы этого избежать, нужно сделать то же самое, что должна была сделать JFC.

Использовать типовые архитектурные схемы
Добейтесь, чтобы существовала безопасная архитектура для подключения внешних клиентов
к вашей сети (экстранет). Архитектура должна охватывать все проблемы. В ней необходимо
определить тип устанавливаемого брандмауэра, перечислить, какие службы разрешены, опи­
сать установленное программное обеспечение и четко определить все сетевые подключения.
Вам также нужно знать, какую архитектуру имеет клиент со своей стороны. Конечно, вы
должны до некоторой степени доверять клиентам. Но вы не можете позволить себе этого
без веских причин. В JFC было оказано неограниченное доверие без каких-либо техниче­
ских деталей, которые бы это доверие гарантировали. Не ставьте себя в их положение.
Несомненно, предлагайте свое доверие. Но вначале убедитесь, что ваши клиенты хотят
его заслужить и обеспечат вас подробной информацией о конфигурации систем на своей
стороне.
В мире бизнеса интернетовской эры доверие больше не сводится к рукопожатию. Оно
обеспечивается согласованной и отраженной в документах архитектуре.

Отслеживать внешние подключения
Необходимость внешних подключений может возникнуть быстро, особенно если вы рабо­
таете в растущей компании. В 1996 году Ernst & Young обнаружила, что целая треть обсле­
дованных ей компаний использует Интернет для обмена важной деловой информацией.
Затем произошла революция, создавшая электронную торговлю и вызвавшая небывалый
взлет количества внешних соединений. К 2002 году, уже 99 процентов респондентов име­
ли корпоративные веб-сайты. Из них 52 процента действительно занимались электронной
коммерцией на своих веб-сайтах. Сегодня реальные деньги и финансовая информация
обычным образом отправляется в киберпространство. Внешние соединения не являются
чем-то исключительным - они подразумеваются сами по себе.
Одна из главных проблем JFC заключалась в том, что они не могли даже сказать мне, сколько
внешних подключений у них есть. Заявки на подключения хранились в ASCII-файлах, но из
них не было ясно, какие заявки были утверждены и/или удовлетворены.
Поручите кому-нибудь (любому!) отслеживать внешние подключения. Дайте ему подроб­
ные инструкции, как вести записи. Если вы не сможете легко найти и получить отчет с ин-
7. Office of the National Counterintelligence Executive (NCIX) - офис спецслужбы США, созданной вместо
Национального центра контрразведки (NACIC). - Примеч. пер.
68 Мы пойдем другой дорогой...


формацией по внешним подключениям, то работа будет бесполезной. Будет лучше, если
сотрудник, отвечающий за внешние подключения, станет регулярно отчитываться об их
состоянии.

Отвечать за свою территорию
Если вы являетесь системным администратором, отвечающим за конкретные системы, то
помните, что эти системы представляют собой вашу территорию. Хотя вы разделяете эту
ответственность с администратором безопасности, вы все же отвечаете за каждую из сис­
тем, находящихся на вашей территории. В случае с JFC Фред «перевел стрелки» на Дэйва,
так как к концу того дня Drug10 уже принадлежал Дэйву.
И если вы - системный администратор, отвечающий за конкретную территорию, и не
знаете, как настроить безопасность находящихся на ней систем, то потребуйте немедлен­
но помощи. Не будете о помощи просить - вы ее не получите. Попросите обучить вас или
нанять кого-то еще, кто сумеет поддерживать безопасность на вашем участке. Если ваш
начальник не добьется финансирования обучения или помощи, то, возможно, вам придет­
ся подумать о другом месте работы. Помните, что если хакер взломает вашу сеть, то шиш­
ки посыплются на вас, а не на вашего начальника.

Требовать утверждения внешних подключений
Отслеживание внешних подключений - это хорошее начало для восстановления контроля
над вашей сетью. Но вам также следует заняться ограничением этих подключений. На самом
деле, не каждому желающему действительно нужен такой доступ. Для уменьшения риска вы
можете установить правила, по которым бы определялось, когда (и нужно ли) предоставлять
доступ по заявкам на подключение.
Статистика показывает увеличение количества подключений к Интернету, и стоит неверо­
ятный шум по поводу роста производительности, обеспечиваемого легким доступом к ин­
формации. Но расширение доступа не всегда ведет к повышению производительности.
Семьдесят восемь процентов участников опроса, проведенного CSI в 2002 году, сообщи­
ли, что ловили своих сотрудников за использованием подключения к Интернету не по на­
значению. Находящийся в Калифорнии Saratoga Institute сообщает, что в 2000 году более
60 процентов американских фирм наказывали сотрудников за незаконное использование
подключения к Интернету, Более того, в целых 30 процентах фирм даже прибегали к
увольнению сотрудников за онлайновый трейдинг8, азартные игры, посещение порносай­
тов и просто за перерасход времени доступа к Интернету. Прежде чем увеличивать произ­
водительность вашей компании при помощи расширения доступа, подумайте о возмож­
ных последствиях. Для начала поручите кому-нибудь из руководящих сотрудников выда­
вать разрешение на внешние подключения к другим сетям. Хорошо было бы также, чтобы
каждое из разрешений им подписывалось. При этом ответственность немного сдвинется
вверх по цепочке - и чем выше, тем лучше.
Я твердо убеждена в том, что если бы в JFC было необходимо утверждать подключение
Drug10, то кто-то бы задумался. По крайней мере, при этом прекратили бы «поджаривать»
Дэйва и повернулись бы к руководителю, отвечающему за выдачу разрешений.

Следить за выполнением политики процедур
По крайней мере, JFC для своей обороны предусмотрело политику для брандмауэров.
Хотя это была политика, одна на все случаи и смотрящая с высоты 30 000 футов, но всета-

8. Day trading-торговля ценными бумагами при помощи компьютера, ограниченная временем одного дня. -Примеч. пер.
Сетевой доступ 69

ки она была. В ней указывалось, что допускается только одно подключение к Интернету.
К сожалению, за ее выполнением не следили. Если бы было иначе, то Drug10 не был бы
установлен с рискованной конфигурацией.
Разработанные политики не имеют смысла, если затем они не подкреплены непрерывным
и безжалостным отслеживанием их выполнения.

Выключать ненужные службы
Ошибки в программном обеспечении и при установке конфигурации сетевых служб могут
приводить к образованию брешей в безопасности. От программных ошибок, к сожалению,
нам никогда не избавиться. Поэтому, чтобы уменьшить до минимума риск для вашей систе­
мы, вам нужно как можно меньше быть открытым для сетевых служб. Ненужные службы
(такие, как walld, fingerd, sprayd и т. д.) следует выключать. Работа таких служб дает хороший
повод для начала атаки против вашей сети по типу «отказ от обслуживания».
В политике безопасности вашего сайта должно ясно говориться, какие службы необходимы,
а какие создают неприемлемые риски и должны быть выключены. Если в политике вашего
сайта не упоминаются сетевые службы и вы не знаете, какие службы выключать, то наймите
администратора по безопасности или консультанта, которые вам помогут. Ничего не предпри­
нимайте в отношении служб в системах, которые вы обслуживаете, пока не узнаете точно, что
вам делать.

Подчеркивать важность обучения
Это я говорила уже не раз и буду повторять снова и снова: часто слабым звеном в безо­
пасности является незнание. Все технические достижения в мире будут бессильны, если
персонал не обучен и попросту игнорирует имеющиеся средства защиты.
Системный администратор JFC Дэйв ясно представлял себе, что безопасность нужна.
Но у него не возникло ни одной мысли, как ее настроить. Если вы окажетесь в подобной
ситуации, то учитесь, как настраивать безопасность, у того, кто это знает. Ни на кого не на­
дейтесь. Дэйв уже так поступил. Он подумал, что Фред возьмет на себя решение пробле­
мы. К несчастью, Фред не считал обеспечение безопасности Drug 10 частью своей работы.
Дэйв добился бы большего, если бы Фред научил его, как настраивать безопасность в дан­
ном случае. Еще большего Дэйв добился бы, если бы его начальник обеспечил надлежа­
щее обучение.

Проследить весь процесс настройки
Если я вам скажу, что установлю на вашей системе безопасную конфигурацию, то как про­
верить, что я именно так и сделаю? Если конечная ответственность за систему лежит на
вас, то потрудитесь отслеживать, как вам оказывается обещанная помощь. Используйте
случай приобрести опыт по настройке безопасности, наблюдая за реальным выполнением
процедур. Если у вас не было возможности присутствовать при этом, то хотя бы решитель­
но спросите специалиста, все ли он (она) сделал в соответствии с планом. Из-за ограниче­
ний по времени, наложения приоритетов решения проблем и просто спешки не всегда
нужно надеяться, что люди сделают то, что они собирались сделать.
Никогда не считайте, что проблемы безопасности решены, не проверив действительного
положения.
70 Заключительные слова


Не подключать незащищенные системы к Интернету
Это и так известно всем, но для еще большей ясности: Никогда в жизни не подключайте
незащищенный сервер базы данных к Интернету! (Если, конечно, вы не задумали
в дальнейшем ходить от двери к двери в униформе вашей компании и торговать энцикло­
педиями...)

Контрольный список
Используйте этот список для определения того, что делается в вашей компании для контроля
внешних подключений. Можете ли вы поставить «Да» напротив каждого пункта?
- Участвует ли руководство в процессе утверждения внешних подключений?
- Отслеживает ли кто-либо (предпочтительнее, кто-либо важный) внешние подключе­
ния?
- Знает ли руководство, сколько сотрудников компании и подрядчиков имеет внеш­
ние подключения?
- Выключены ли ненужные сетевые службы?
- Оценивается ли необходимость всех внешних подключений перед их утверждением?
- Проводятся ли в вашей компании профилактические аудиты для поддержания контро­
ля над внешними подключениями?
- Обеспечивается ли достаточное обучение сотрудников, отвечающих за безопасность?
- Имеются ли процедуры по отключению соединений при прекращении работы сотруд­
ников и подрядчиков?
- Существуют ли политики и процедуры для внешних подключений?
- Существуют ли политики и процедуры для установки брандмауэров?
- Существуют ли политики и процедуры для установки клиентских подключений
(экстранет)?
-И что самое главное: отслеживается ли выполнение политик и процедур, связанных
с подключениями?


Заключительные слова
Сегодня в насыщенной различными видами связи деловой среде внешние подключения
стали такой же частью бизнес-структуры, как телефоны, круглосуточная доставка и меж­
офисные низкие перегородки. На то, что ваш партнер расставил все средства защиты, про­
сто так полагаться нельзя. Уверенность можно получить только при наличии безопасной
архитектуры, правильного ее воплощения и тестирования.
McConnell Drugs поверила в то, что JFC расставило все необходимые средства защиты -
средства, которые защитили бы информацию как JFC, так и McConnell Drugs. Такое до­
верительное рукопожатие могло бы привести к уничтожению информации и репутации
McConnell, a JFC могла бы завершить свой путь в суде. Сотрудники McConnell легко мог­
ли бы «скачать» плохой файл, содержащий «троянского коня», «червя» или вирус.
Если вы все еще не знаете, какой разрушительной может быть атака вируса, то вы счаст­
ливчик. Исследование CSI 2002 года показало, что 85 процентов респондентов обнаружи­
вали вирусы. Это неудивительно, если принимать во внимание скорость, с какой новые его
«штаммы» распространяются. Как говорится в «Обзоре направлений развития атак»
("Overview of Attack Trends"), опубликованном CERT, «программы-вирусы, подобные
Code Red, распространяются самостоятельно до состояния глобального насыщения менее
чем за 18 часов». А ущерб? Computer Economics9 сообщила, что общий удар, нанесенный
Сетевой доступ 71


Code Red и его «двоюродным братом» Code Red II по американской экономике, оценива­
ется в 2 миллиарда долларов.
Внешние подключения представляют собой большую проблему и ими трудно управлять.
Знаете ли вы, сколько модемных подключений имеется в вашей компании? Разрешено ли
вашим инженерам устанавливать модемы в лаборатории, в которой хранится исходный
код вашей программы? Если вы не можете ответить на эти вопросы, то вас может ожидать
большой сюрприз.
К сожалению, даже компании с серьезными юридическими и моральными намерениями
контролировать доступ часто оказываются одураченными. Аудит безопасности одной
такой организации (большой больницы, где стремились закрыть доступ к конфиденциаль­
ным файлам пациентов) обнаружил в ней 75 неразрешенных модемов. Почти в каждом
случае врач или администратор, обладающие достаточной пробивной силой, находили об­
ходный путь вокруг политики, предусмотренной для внешних соединений. Для того что­
бы быть полезными, политики безопасности должны быть применимы к каждому без
исключений. Политики с правилами, которые легко «объехать», не стоят даже бумаги,
на которой они написаны.
Защита вашей системы от атак требует большего, чем «честное слово и одно крыло». 10
Она требует обучения, решительности и сильного стремления к контролю над доступом
к вашим системам. Анализируя контроль за доступом в вашей компании, убедитесь, что
правила являются действительно правилами, а не общими директивами, которые сотруд­
ники могут свободно игнорировать при малейшем ощущении их неудобства.




9. Независимая исследовательская организация, предоставляющая аналитическую информацию руководителям
в сфере ИТ и бизнеса. - Примеч. пер.
10. "Coming on the wing and the prayer" - первая строка песни Д.Макью «Бомбардировщики». - Примеч. пер.
Глава о
Обучение безопасности

Всегда существовал большой разрыв между тем, что пишут о безопасности,
и тем, что действительно происходит в реальном мире, - никто и никогда не бу­
дет говорить о том, как их взломали, о значительном инциденте, связанном
с безопасностью, о множестве проблем, выявленных последним аудитом безо­
пасности, и о том неприятном факте, что политики безопасности в их органи­
зации нет.
Дэн Фармер, исследователь в области безопасности
Вы быстро поднимаетесь по служебной лестнице. Причина этого кроется не в том, что вы
приятели с генеральным директором. Вы действительно являетесь генератором блестя­
щих идей, которые всегда помогают удерживать вашу компанию впереди конкурентов.
Вы не зазнались. Но вы уверены в успехе, сильны и видите перспективу. Клиенты, же­
лающие, чтобы их дела шли наилучшим образом, обращаются к вам, и ваши результаты
можно оценить докторской степенью.
В последние месяцы ваши идеи лились рекой. Вы так были увлечены работой, что даже не
задумывались о том, что все блестящие идеи по вашему бизнесу, планы и результаты
разработок, стратегии победы в конкурентной борьбе хранятся в одном мощном персо­
нальном компьютере.
Сегодня утром ваш секретарь сообщила вам, что она подготовила материалы для доклада
на совете директоров. Вы благодарите ее и думаете о том, как вам повезло получить себе
в помощники эту отличную студентку летних курсов университета по управлению бизне­
сом. Вы закрываете сессию на вашем компьютере, забираете материалы для доклада
и идете на совет директоров.
Но вы даже не предполагаете, что ваш любимый будущий мастер делового админи­
стрирования1 тайком собирает все ваши блестящие идеи и секреты компании. Она- шпи­
онка! Более того, она является подпольным экспертом по безопасности мирового класса и
может выуживать информацию из ваших систем, не оставляя после себя ни малейшего
следа своего посещения. У вас не будет ни одной улики в том, что она зашла прямо
в «переднюю дверь» вашего компьютера и украла ваши идеи.
Как и любой промышленный шпион, ваш секретарь продает информацию конкурентам.
На этот раз деньги достанутся ей без большого труда. Ваши системные администраторы
настроили системы так, что каждый может легко прочитать, изменить, уничтожить или
украсть информацию в вашей сети. Они не позаботились об установке средств контроля
за работой систем и обнаружения вторжения, поэтому никто не узнал о существовании
бреши в безопасности. Вы думаете, что я рассказываю фильм недели? Не заблуждайтесь.
Вы, как и большинство людей, всегда считали вашу корпоративную сеть тихой гаванью
для вашей информации. К сожалению, для поддержания тишины в этой гавани необходи­
мо хорошее обучение, но немногие люди, отвечающие за безопасность, это обучение по­
лучают. Рассмотрим пример...
1. MBA = Master of Business Administration, -Примеч. пер.
73
Обучение безопасности


Пробелы в обучении
Компания InterMint Financial являлась хорошо известным гигантом Уолл-стрит, и ее ин-
транет насчитывала более тысячи систем. Из-за больших размеров обязанности по обслу­
живанию этой мегасети были поделены между пятью сотрудниками: Хосе Гарсия, Дон
Форбс, Кендзи Абэ, Смитой Кумар и Тией Фэрчайлд, К несчастью, только Хосе Гарсия
был обучен настройке безопасности сети,
Хосе получил хорошее обучение по безопасности, когда «поднялся на борт». После обуче­
ния и приобретения некоторых практических навыков Хосе знал, что нужно делать для
управления «кораблем» безопасности. Он настраивал свои системы, постоянно помня
о безопасности, устанавливал средства контроля, использовал программы-детекторы
2
вторжения, управлял применением защитных псевдонимов и неусыпно следил за появле­
нием новых угроз. Хосе занимал активную позицию по защите своей сети.
Если бы каждый знал столько же, сколько и Хосе, то интранет InterMint была бы а пре­
красной форме. Однако в обязанности Хосе не входило обучение поддержке безопасности
остальных сотрудников.
Как и во многих компаниях, в InterMint не было программы обучения системных админи­
страторов вопросам безопасности. Да, обучение выглядело сверху вполне достаточным.
В компании была прекрасная программа обучения по защите информации для других со­
трудников. Было даже издано пособие по выбору надежных паролей. Но не было преду­
смотрено ни одного занятия по безопасности для людей, настраивающих системы.

<< Пред. стр.

страница 8
(всего 25)

ОГЛАВЛЕНИЕ

След. стр. >>

Copyright © Design by: Sunlight webdesign