Использовать экспертов

We use cookies. Read the Privacy and Cookie Policy

Использовать экспертов

Привлечение экспертов со стороны не является признаком слабости вашей группы. Напротив, это признак здравомыслия! Пока ваша компания невелика, вам, возможно, не требуется штатный эксперт по безопасности на полный рабочий день. Поэтому имеет смысл, чтобы не раздувать штат и сберечь ресурсы, при необходимости привлекать эксперта на временную работу. Но не ждите, когда вся сеть выйдет из-под контроля.

Не так давно я беседовала с руководителем информационной службы компании, входящей в список Fortune 500. Я сообщила ему, что от инженеров и руководящих работников его компании я узнала о нескольких рискованных настройках систем в их сети. Им следовало бы нанять аудитора безопасности и протестировать их сеть. Я сказала, что аудит не обойдется им дорого и позволит точно узнать, какому риску они подвергаются. Ответ руководителя информационной службы был необычным. Он сказал: «Линда, это как если бы из моего самого дорогого костюма вытащили одну нитку. Ничего не стоит это сделать, но последствия будут дорогими». Я поняла его так, что по-настоящему дорогим будет не аудит, а «чистка» выявленных во время него зон риска. Проблемой при таком подходе будет то, что рано или поздно кто-то будет готов выдернуть эту нитку. Вопросами будут (кроме «Когда?»): «Кто?» и «С какой целью?». Надеюсь, что на вопрос «Кто?» будет ответ — аудитор, а не хакер, а на вопрос «С какой целью?» — анализ риска, а не выискивание возможной добычи.