LINEBURG


<< Пред. стр.

страница 9
(всего 25)

ОГЛАВЛЕНИЕ

След. стр. >>

То, что Хосе был правильно обучен, было чистой случайностью. Когда Хосе только начи­
нал работать, он обнаружил взлом системы генерального директора. В благодарность за
это руководство выделило средства на обучение Хосе, чтобы он смог обеспечивать безо­
пасность «административной» сети. Но остальные четверо системных администраторов,
обслуживающих системы юридического отдела, финансового отдела, отдела охраны
и операционного зала, не получили никакого обучения.
Так как другие системные администраторы не знали, как настраивать и поддерживать
безопасность, то они этого и не делали. Они оставили информацию в своих сетях откры­
той и доступной любому! Самым плохим было то, что электронная почта и базовые ката­
логи всех систем, за исключением административной, были оставлены открытыми для
всех желающих их прочитать, изменить или уничтожить. К сожалению, так происходит,
когда корпоративные сети поручаются системным администраторам, не имеющим опыта.
Такая неопытность может вам навредить!
Из всех задач, стоящих сегодня перед системными администраторами, обучение, возмож­
но, является задачей, которой они уделяют меньше всего времени. Перегруженные рабо­
той в условиях нехватки персонала, многие системные администраторы считают обучение
пустой тратой времени, отрывающей их от более неотложных задач ежедневной техниче­
ской поддержки и общих забот о рабочем состоянии сети. На самом же деле и по многим
причинам обучение системных работников является важным видом технической поддерж­
ки. Если такой вид поддержки откладывается (или совсем игнорируется), то последствия
могут быть ужасающими.




2. Security aliases - переменные адреса электронной почты. - Примеч. пер.
3. В данном случае сеть, в которой были собраны компьютеры высших руководителей компании, - Примеч. науч. ред.
74 Пробелы в обучении


Первый контакт: Тестирование безопасности
Несколько лет назад отдел внутреннего аудита InterMint Financial нанял меня для тестиро­
вания безопасности в офисе их компании. Работа по контракту с отделом внутреннего
аудита компании является обычным делом. В состав отделов внутреннего аудита, как пра­
вило, не входят эксперты по безопасности. Поэтому эти отделы заключают контракты на
выполнение работ по вопросам безопасности с экспертами, которые затем представляют
отчет о рисках. В данном случае отдел аудита попросил меня взглянуть на их корпоратив­
ную сеть и представить отчет по найденным рискам.
В отличие от большинства проводимых мной аудитов, этот не был вызван какой-либо воз­
никшей проблемой. Руководители компании хотели только убедиться в том, что уровень
риска в их корпоративной сети был низким. Вначале аудит показался глотком свежего воз­
духа. Компания хочет провести аудит не потому, что ей нужно реагировать на возникшую
проблему, а только потому, что ей нужно убедиться в отсутствии скрытых проблем!

День 1-й: Сбор фактов
Я начала этот аудит, как и большинство других, с просмотра сетевой схемы, чтобы понять
конфигурацию сети и возможные риски. Мне нравится проводить аудит корпоративных
сетей, потому что это одно из мест, в которых хакер будет искать секреты компании. Мне
заплатили за то, чтобы я вычерпала всю грязь. Для этого нужно было думать как хакер.
Так как я проводила аудит не сети разработчиков, то я не стала искать коды программ или
результаты исследований. Вместо них я искала стратегическую информацию высшего
уровня. Я делала то, что мог делать конкурент, притворившийся сотрудником компании.
Я искала легкий доступ к административным системам, хранящим стратегическую ин­
формацию компании или даже личные сведения о руководителях. Так как конкуренты мо­
гут иметь такие намерения и имеют их, то системы генерального директора, директора
по информационным технологиям и финансового директора нужно всегда считать потен­
циальными целями взлома. Для недопущения хакера к этим зонам и снижения риска
должны быть приняты дополнительные меры предосторожности при установке систем
и проводиться профилактический аудит.
В первый раз, когда со мной говорил руководитель внутреннего аудита Рэндалл Миллен,
он подчеркнул, что хочет от меня проведения аудита безопасности с целью лишь под­
твердить отсутствие риска. Мой аудит, однако, был первым случаем, когда отдел внутрен­
него аудита проверял безопасность корпоративной сети, поэтому я была уверена, что риск
будет обнаружен. Данная компания не поразила меня особой расслабленностью в вопро­
сах безопасности. Компании, не проводящие аудита безопасности своих сетей, не могут
иметь доказательств их безопасности. Они лишь предполагают, что сети безопасны.
По моему опыту, такое предположение само по себе является одним из главных рисков.
Я продолжила изучение сетевой схемы и типов хранящейся в сетях информации. Я об­
наружила много аппетитных вещей. Они начинались с того, что вся административная ин­
формация хранилась в сети. Для получения призовых очков тем не менее имелись систе­
мы юридического и финансового отделов и отдела охраны компании, которые обещали
улов соблазнительной конфиденциальной информации. Я запланировала систематически
нападать на каждую систему в этих группах, фокусируясь на самой вкусной конфиденци­
альной информации. Характер этой информации обеспечивал в случае успешного взлома
систем вполне понятное изумление.
Интересной особенностью сетевой схемы было то, что информация отделов хранилась
в разных сетях, обслуживаемых разными сотрудниками. Административные системы кон­
тролировались Хосе Гарсией, юридические системы - Дон Форбс, финансовые системы -
Обучение безопасности 75

Кендзи Абэ, операционный зал - Смитой Кумар, а охрана компании - Тией Фэрчайлд.
Такая структура обслуживания уже добавляла риск в общую картину. Она также увеличи­
вала вероятность плохой обученности или плохих процедур у множества системных ад­
министраторов, отвечающих за сеть. Я понимаю, что одному системному администратору
невозможно тщательно обслуживать тысячи машин, и поэтому компании обычно имеют
более одного сотрудника на этом участке. Но чем больше людей занимаются одним делом,
тем выше становится общий риск и, конечно, больше возможностей появляется у пред­
приимчивого хакера. Не делайте такой ошибки. Хакеры знают о вероятности риска, свя­
занного с чрезмерным количеством обслуживающего персонала. То, о чем они мечтают, -
это толпы системных администраторов, мало знающих, как обеспечивать безопасность
наиболее важных систем.

День 2-й: Тестирование систем
После моих первоначальных исследований я решила, что в этом аудите требуется тест на про­
никновение. Были три причины для такого тестирования. Во-первых, руководитель аудита не
знал, какой риск имеется (и есть ли он вообще) в сети. Это говорило мне о том, что руково­
дство ничего не знает о состоянии безопасности. Они, скорее всего, думают, что все в поряд­
ке, так как никто не говорил им другого. Было ясно, что это случай, когда я была должна до­
казать руководству возможность взлома их систем. Во-вторых, я считала, что из-за характера
содержащейся в них информации эти системы будет просто интересно взламывать. Послед­
ней причиной было то, что я хотела поиграть с моими новыми игрушками. Брэд Пауэлл, давно
известный в наших кругах эксперт по безопасности, только что передал мне несколько от­
личных новых инструментов взлома.
Как и хакеры, профессионалы по вопросам безопасности часто передают друг другу но­
вые инструменты для взлома систем. Конечно, вы должны входить в наш закрытый круг,
чтобы получить их. Это является частью нашего кодекса чести. В любом случае я уже по­
пробовала эти инструменты в своей сети, и они работали чудесно. Теперь мне представи­
лась возможность применить их в «реальном мире».
Я начала аудит с зондирования информации в административных системах, а затем запус­
тила свои обычные тесты на дыры. (В общем, я делала то же, что делал бы хакер.) К удив­
лению, я обнаружила, что административная система довольно крепка. Хосе, очевидно,
знал свое дело и потратил время на обеспечение защиты систем. Несомненно, он был
хорошо обучен и знал точно, что ему делать для поддержки его административных машин.
Разумеется, некоторые из экспертов по безопасности стали бы спорить и хвастаться, что
они могут забраться в любую машину. Тем не менее во время моего теста на проникнове­
ние я проверила все уязвимые места. Если после проведения всех запланированных мной
тестов я не смогла проникнуть в систему, то это значит, что система тест прошла. А систе-
мы Хосе прошли через мои тесты победным маршем.
Продолжая работать на административных системах, я попросила Хосе создать мне учет­
ную запись. Я также дала ему понять, что он хорошо поработал. Системные администра­
торы редко слышат такое от аудиторов безопасности, и улыбка Хосе подтвердила, что он
оценил мои слова.
Я вошла в одну из систем Хосе и поискала ошибки в базовой системе файлов и настрой­
ках. Такие ошибки не могут быть обнаружены вне сети - ими являются избыточность
в разрешении доступа к файлам, наличие неактивных учетных записей и программы setu-
id (set user ID - установка идентификатора пользователя). В общем, система выглядела
хорошо. Еще оставалась возможность кое-что усовершенствовать, но ничего такого, что
я могла бы указать в отчете. После выхода из системы я сообщила Хосе, что ему можно
76 Пробелы в обучении

было бы ужесточить разрешения на доступ к файлам в большинстве своих систем. Короче
говоря, он проделал блестящую работу. И я собиралась сказать начальству: «Этот парень -
звезда!»
Коллеги Хосе вовсе не заслуживали такой же оценки. Юридические системы были пора­
зительно уязвимыми. Мне хватило нескольких минут, чтобы получить контроль над
первой системой. Я без усилий прошлась по системам всех юристов компании. Очевидно,
Дон имела совершенно другой подход к установке и обслуживанию систем. Выглядело
так, как если бы Дон (или ее начальник) считали юридические системы не столь важными,
чтобы их защищать или контролировать. Несомненно, юристы InterMint испугаются, это
узнав.
Я обнаружила, что юридические системы открыты настежь. Либо Дон не имела времен»
или желания настроить безопасность, либо она не знала, как это делать. Контроль и на­
блюдение также не работали - никто не заметил, как я перепрыгивала из одной системы
в другую, выискивая все их юридические секреты. Я уверена, что конкурентам очень бы
хотелось взглянуть на некоторые отрывки из информации, по которой я прошлась. Я на­
брала достаточно свидетельств (по доступу к файлам ограниченного пользования и юри­
дическим документам), чтобы обеспечить юридический отдел ночными кошмарами,,
и перешла на финансовые системы.
Системы Кендзи были защищены не лучше, чем системы Дон. Через несколько минут
я имела доступ к первой системе в финансовой сети. Еще через несколько минут я получи­
ла контроль над всеми финансовыми системами. Может быть, в этой компании юридиче­
ская и финансовая информация считается не столь важной, чтобы ее защищать?
Или Кендзи и Дон просто бестолковы? Моим предположением было то, что руководство
не понимает вопросов безопасности и риск для своей информации. Оно никогда серьезно
не смотрело на меры защиты информации в своей сети. Если бы руководство поняло, что
вся их информация в сети доступна любому, то, я уверена, их бы расстроила мысль о том,
что кроме штатных сотрудников во внутренней сети могут законно присутствовать и дру­
гие. Подрядчики, клиенты, консультанты, временные сотрудники, надомные работники -
выбор большой. В зависимости от вида бизнеса и степени развития компании список мо­
жет быть еще длиннее.
Состояние систем Смиты было еще хуже. Я смогла получить полный контроль и доступ
к информации в ее системах так же, как и в двух ранее тестируемых сетях. Но действи­
4
тельно пугало то, что я смогла бы сменить пароль, хранящийся в PROM аппаратной час­
ти, и обрушить систему. Смита лишилась бы доступа к ее системам до тех пор, пока я не
сообщила бы ей новый пароль, иначе ей пришлось бы менять PROM в аппаратуре,
С небольшими творческими способностями (и еще с меньшими моральными устоями)
хакер мог бы захватить власть над всем операционным залом и перевести несколько мил­
лионов долларов на оффшорный счет. Чтобы разориться за неделю, такой компании нуж­
но потерять несколько миллиардов долларов, поэтому что для них значат несколько мил­
лионов при таком богатстве?
Теперь меня стала беспокоить легкость, с какой можно было взломать системы фирмы.
Конечно, последняя группа (системы отдела охраны компании) должна была опровергнуть
мое мнение. Уж над этими-то системами должен осуществляться тщательный контроль.
Не так ли?
А вот и нет! Тию, должно быть, учили «защищать» свою сеть Дон, Кендзи или Смита!
Снова я, никем не замеченная, получила полный контроль над системами. Некоторая по­
лученная мной информация была действительно аппетитной. Среди всего прочего я смог-
4. Programmable Read-Only Memory - программируемое ПЗУ. - Примеч. пер.
77
Обучение безопасности

ла добраться до файлов с подробной информацией по ведущимся расследованиям. Пред­
ставьте себе, что вы мошенник, по которому ведется расследование в компании. Имея са­
мый малый опыт взлома, вы сможете получить всю информацию по расследованию, про­
водящемуся против вас. Убрать немного информации здесь, изменить немного информа­
ции там, и вот - никаких вопросов к вам от отдела охраны! Расследование закрыто.
Я набрала достаточно фактов, чтобы закончить в аудите раздел тестирования. К тому же
я чувствовала, что вволю начиталась конфиденциальной информации за этот день. Как
большинство профессионалов в вопросах безопасности, меня беспокоила, главным обра­
зом, защищенность сетей. В данном случае очень беспокоила. Такая большая сеть и с та­
ким чрезвычайным уровнем риска вызывала у меня подавленность. Так как эта корпора­
тивная сеть существовала уже пять лет, то, скорее всего, такой уровень риска присутство­
вал все это время.
Многие думают, что аудиторы безопасности наслаждаются, обнаруживая неряшливое от­
ношение к безопасности и риск в системах, и видят в этом смысл своего существования.
По правде сказать, иногда меня захватывает возможность взламывать одну систему
за другой. Как бы то ни было, в этот день у меня было более чем достаточно «прав на су­
ществование».
Я собрала материал и отправилась в суши-бар (Хигаши-Вест). Повара Ричард, Крейг
и Гарт всегда встречали меня там с улыбкой в конце тяжелого дня, Наградой мне будет
лучшее суши в Пало-Альто. Немного суши, немного участия и подбадривающая беседа
позволят мне забыть о депрессивном состоянии безопасности в корпоративных сетях.
Так и случилось.

День 3-й: Обучение безопасности оставлено за рамками бюджета
Не успела я забыться, как зазвонил будильник. Было 4.30 утра - как раз есть время, чтобы
пробежаться перед работой. В сонном состоянии я пошла на зарядку. Подсознательно
я все равно прикидывала мой дневной план по завершению аудита в InterMint.
После пробежки я отправилась в InterMint и встретилась в холле с руководителем аудита
Рэндаллом Милленом. Он выписал мне пропуск на этот день и определил время беседы
с системными администраторами.
Я не распространялась Рэндаллу о моих находках, Я просто сказала, что нашла некоторые
любопытные вещи, о которых сообщу позднее. Мне не хотелось слишком рано говорить
о них. По взгляду Рэндалла я поняла, что он доволен моей работой. Но он еще не знал, что
эта работа заставит его понять риск, увеличить финансирование и, что важнее остального,
обеспечить обучение.
Еще раньше мое чутье подсказывало о существовании здесь проблем с обучением. Я зна­
ла, на что похожа «окопная» работа системного администратора. Во многих компаниях
обучение является роскошью. Кроме того, что они должны быть быстрыми, сообразитель­
ными и способными справиться с любой неисправностью, системные администраторы
считаются всезнайками, выведенными в пробирке, унаследовавшими хорошую карму или
полученными с помощью другого метода, но только не в результате хорошего обучения.
Администраторы, не вписывающиеся в такие рамки, будут съедены в сыром виде - совсем
как суши.
Я побеседовала с каждым из системных администраторов отдельно, чтобы узнать их мне­
ние о том, почему административная сеть защищена, а другие системы широко открыты.
Чтобы сразу узнать больше, я начала с системного администратора, обслуживающего ад­
министративные системы. Хосе хорошо знал свою работу, и я хотела узнать, как он смог
этому научиться и почему другие этого не смогли сделать. Беседуя с Хосе, я обнаружила,
78 Пробелы в обучении


что он очень много знает. Он был доброжелателен, и с ним легко было говорить. Он пони­
мал всю важность административных систем. Как я уже говорила, система генерального
директора была взломана, когда Хосе только начал работать. Он быстро выяснил, где и ка­
кой недостаток имеется в системе. После этого случая в компании усилили контроль над
безопасностью, а Хосе прошел полный курс обучения по поддержанию безопасности в се­
ти. Я спросила его, что он думает о состоянии безопасности остальных систем компании.
Он не мог на это ответить, но сказал, что сомневается в хорошем состоянии безопасности,
так как никто из других системных администраторов не был обучен ее поддержке. Он так­
же деликатно заметил, что сомневается в способности коллег сделать свои системы безо­
пасными.
Опрос остальных системных администраторов подтвердил подозрения Хосе. Ни один из
них не был обучен поддержанию безопасности. С Тией даже не проводилось базового
обучения как системного администратора целых шесть месяцев с момента ее поступления
на работу! Для таких, как Тия, это большая проблема, так как она никогда раньше не зани­
малась поддержкой платформ UNIX. Ее успех в настройке безопасности систем зависел от
того, как она будет обучена одним из других системных администраторов. А так как дру­
гие системные администраторы не знали, как безопасность настроить, то и Тия не могла
ничему от них научиться.
Дон, Кендзи, Смиту и Тию с Хосе объединяло то, что все они были очень умными людьми.
У всех был опыт программирования, а Тия и Кендзи даже имели ученые степени по
вычислительной технике. В нашей среде необразованных людей не встретишь. Просто
их заталкивают на должности персонала технической поддержки, как это обычно случает­
ся с системными администраторами, и говорят, чтобы они учились в процессе работы.
Метод «плыви или тони» в области обеспечения безопасности редко срабатывает. Вы не
сможете научиться защите систем на своем рабочем месте, если рядом с вами никто этим
не занимается. Нужно создавать хорошо налаженную практику обучения. По меньшей
мере, тот, кто уже обучен, как, например, Хосе, должен передать имеющиеся у него прие­
мы и знания остальным сотрудникам. А именно приемы, как настроить общую безопас­
ность, и знание того, почему некоторым системам необходимо обеспечивать повышенный
уровень безопасности. В идеале остальные сотрудники тоже должны были бы пройти
курс профессионального обучения безопасности, чтобы научиться настраивать и под­
держивать сети, не допуская взлома.
Подобная ситуация сложилась по двум причинам. Во-первых, руководство обязано было
обеспечить необходимое обучение. Оно не думало о проблемах безопасности в полной
мере. Вместе с тем руководители не могут читать чужие мысли. Дон, Кендзи, Смита и Тия
должны были указать на пробел в безопасности и попросить, чтобы им обеспечили необ­
ходимое обучение. Они этого не сделали.
По этому аудиту у меня было собрано достаточно информации. Я потратила несколько
дней на составление отчета. Иногда на его составление уходит столько же времени, как
и на само проведение аудита. Важно показать риски и рекомендуемые решения так, чтобы
они были понятны руководству и вызывали у него стремление к действиям. На это нужно
время. Некоторые аудиторы используют стандартный шаблон для всех своих аудитов и за­
полняют эту заготовку стандартными словами, описывая обнаруженные проблемы и реко­
мендации по их решению. Таким людям нужно менять профессию. Компании платят им
не за стандартный набор проблем и решений. Компаниям нужно, чтобы эти специалисты
ориентировались на определение рисков в их среде и на то, как в их среде эти проблемы
устранить.
Обучение безопасности 79


Написав такой ориентированный на их среду отчет, я передала мой труд нанявшему меня
руководителю внутреннего аудита. Рэндаллу, в общем, он понравился. Ему не понрави­
лись мои находки, но он понял риски и узнал, что надо сделать для решения проблем.
С отчетом в руках Рэндалл направился к своему начальству. Моя работа была на этом
за кончена.

Резюме: Обеспечьте финансирование обучения
Обучение является клеем, скрепляющим все части программы обеспечения безопасности.
Это довольно дешевый клей. К сожалению, руководители часто забывают сравнить стои­
мость обучения безопасности со стоимостью «уборки» после большого инцидента. Иссле­
дование, проведенное в Британии группой Price Waterhouse Coopers, показало, что 44 про­
цента фирм, участвующих в исследовании, пострадали от атак в 2001 году и стоимость
восстановительных работ составила в среднем 30 000 долларов. Для сравнения - 70 про­
центов тех же самых фирм потратили меньше одного процента из своих бюджетов на
безопасность5. Американские фирмы не намного больше потратили на обучение по во­
просам безопасности. Эти расходы лишь капля в ведре по сравнению с тем, что необходи­
мо затратить, чтобы остановить волну компьютерной преступности, годовой доход ко­
торой оценивался в 1999 году уже в 10 миллиардов.
Компьютерные преступления и атаки на безопасность систем достигли уровня, на ко­
тором подвергаются риску здоровье экономики и благополучие целых наций.
Если в вашей компании нет надлежащих программ обучения, то вы сами можете стать ча­
стью национального риска. По крайней мере, не обеспечив простого обучения мерам безо­
пасности системных администраторов, вы можете подвергнуть риску вашу компанию.
Должны иметься четкие указания по обучению системных администраторов тому, как на­
страивать системы и как выполнять политики и процедуры. Еще важнее, чтобы кто-то от­
вечал за полное прохождение учебных программ всеми сотрудниками.
Другой вариант - это отправка сотрудников на обучение во внешние организации. Если
ваша компания выберет такой вариант, то убедитесь в том, что средств в бюджете на это
выделено достаточно. Слишком часто статья бюджета на обучение первой попадает под
топор сокращения расходов. Такое сокращение влечет за собой увеличение риска. Эконо­
мия денег на обучении может улучшить баланс в текущем квартале. Но расходы резко
возрастут, если информация в вашей сети будет уничтожена.
Кроме всего, поймите, как важно иметь обученных сотрудников. Скотт Рамси (Scott Ramsey),
национальный директор служб информационной безопасности фирмы Ernst & Young, говорит:
«Организации внедряют технологии, позволяющие им обходиться меньшим числом людей.
Но их руководство часто не находит времени или денег для обучения людей тому, как эти тех­
нологии использовать или защищать». Системные администраторы не рождаются со знаниями
в области безопасности. Большинство из них нужно научить настраивать безопасность.
Также нужно помнить, что обучение - процесс непрерывный. Как невозможно научиться
всему на рабочем месте, так же невозможно все узнать на недельных курсах. Сделайте не­
прерывное обучение частью стандартной поддержки самих сотрудников.
И наконец, постройте четкую цепь управления. Конечно, вы не хотите сокращать свой об­
служивающий персонал. Но когда для корпоративной сети требуется много системных
администраторов, то нужно, чтобы решения по вопросам безопасности и политикам дохо­
дили до каждого системного администратора. Если каждый из них будет устанавливать
политики и процедуры независимо, то риск ошибки возрастет пропорционально числен­
ности персонала.

5. Очевидно, автор имеет в виду расходы на обучение. - Примеч. пер.
Мы пойдем другой дорогой...
80


Мы пойдем другой дорогой...
Как и в других видах повседневной технической поддержки, в обучении безопасности не
много романтики. Тем не менее оно столь же необходимо для долгой поездки, как и про­
верка тормозов или уровня масла в вашей машине. Игнорируя этот факт, InterMint чуть-
чуть не оказалась выброшенной на обочину информационного хайвэя.
Вот что им следовало бы сделать во избежание этого.

Просвещать высшее руководство
Если руководство поднимет тревогу, что у них не все в порядке с безопасностью, то большин­
ство в компании последует его примеру. Руководство должно обеспечить доступность заня­
тий по безопасности для сотрудников всех уровней - это касается и высшего руководства.
Хотя все руководители должны проходить обучение безопасности, но не всегда можно на
этом настаивать. По самой меньшей мере, высшее руководство должно представлять себе,
почему безопасность важна.
Причина этого проста. Мало кто из генеральных директоров выделит средства, если ему
непонятна важность цели. Ему нужно объяснить существующий риск. Подумайте об этом.
Будете ли вы покупать страховку на случай землетрясения, если вы живете в Уэст-Бенд,
штат Индиана?6 Вряд ли. Купите ли вы эту страховку, если ваш дом высится над разломом
Сан-Андреас в штате Калифорния? Вы ответите «Да» (если только вы не законченный
глупец), потому что вы осознаете риск. По моему опыту, руководители, осознавшие рис­
ки, более склонны выписывать чеки на обучение.

Отстаивать бюджет обучения безопасности
Не позволяйте выбрасывать в первую очередь статью на обучение безопасности из напря­
женного годового бюджета. Иначе придется заплатить позднее. Создаваемая сегодня безо­
пасность требуется для скрепления всех последующих частей. Ведь вам не придет в голо­
ву вложить все средства в разработку нового продукта, а затем не запереть двери лабора­
торий? Конечно нет. Но, оставляя открытыми ваши корпоративные сети, вы с большой
вероятностью можете подвергнуться такому же риску.

Включать вопросы безопасности в обязанности руководства
Некоторые из руководителей ловят случай для продвижения по служебной лестнице.
Иначе говоря, они прыгают от одних денег к другим. Для того чтобы чеки к ним поступа­
ли, им нужно их заслужить, выполняя поставленные перед ними цели. Чтобы при таком
продвижении руководители не забывали о вопросах безопасности, постарайтесь, чтобы
в поставленные перед ними цели была включена безопасность. Включите награду за дос­
тижение цели по обеспечению безопасности в план премий.
Когда система генерального директора InterMint была взломана, то перед одним из руко­
водителей сразу же возникла цель по решению этой проблемы. Но то, что один из менед­
жеров имеет цель в вопросах безопасности, не много значит, если вся остальная цепочка
управления не имеет таких целей. Если бы перед начальником Смиты была поставлена
цель в отношении безопасности, то мне пришлось бы гораздо больше потрудиться для
взлома систем операционного зала.



6. В районе оз. Мичиган, т. е. в зоне слабой сейсмической активности. -Примеч. пер.
81
Обучение безопасности


Делать обязательным обучение системных администраторов
Системные администраторы чрезвычайно занятые люди. Очень легко составить для сис­
темного администратора общий учебный план, а затем в конце года убедиться в том, что
по нему ничего не сделано.
Часто системные администраторы так заняты, что не могут оставить свои сети или клиентов.
Не создавайте ситуацию, в которой системные администраторы не могут оставить свою рабо­
ту хотя бы на неделю. Например, Тия не должна чувствовать, что если она будет отсутство­
вать неделю, то вся ее сеть обрушится, или же по возвращении ее будет ждать полный
беспорядок. Для этого, пока она будет на занятиях, ее начальник должен поручить ее терри­
торию другому сотруднику. Нельзя допускать и того, чтобы после полного учебного дня ваши
люди должны были отработать еще шесть часов, делая ваших пользователей счастливыми.
Системные администраторы просто сбегут с занятий, если увидят в них дополнительную на­
грузку к той работе, которую они обязаны сделать в этот же день. А вы сами стали бы зани­

<< Пред. стр.

страница 9
(всего 25)

ОГЛАВЛЕНИЕ

След. стр. >>

Copyright © Design by: Sunlight webdesign