Глава 3 Поддержка со стороны руководства
Глава 3
Поддержка со стороны руководства
Руководители высшего звена, в том числе и директор по информационным технологиям, больше не могут, откинувшись на спинку кресла, думать, что проблемы компьютерной безопасности в полной мере решаются кем-то другим в их компаниях. Они должны играть активную роль в обеспечении безопасности их систем и организаций и давать логическое направление решения таких проблем.
Майк Хейгер, вице-президент по вопросам безопасности инвестиционной группы Oppenheimer Funds
Шесть месяцев назад вы добились успеха и стали директором по информационным технологиям крупной корпорации. Как хороший директор по информационным технологиям, вы неустанно напоминаете о важности вопросов безопасности руководителям высшего звена. Вы прямо даете знать о том, что ваша сеть должна быть безопасной. Точка. Все сказано. Вопросов никто не задает.
Представьте ваше удивление, когда однажды в понедельник утром вы открываете Mercury News и обнаруживаете название своей компании в заголовках — и не по причине поразительных успехов за квартал. В газете подробно рассказывается об атаке хакера на сеть вашей компании. Хакер украл конфиденциальную информацию и выставил ее в Интернете на обозрение всему миру. Это — новость первой полосы, и вы пытаетесь угадать, попадете ли вы в выпуск новостей CNN. Вы также пытаетесь догадаться, что будет с ценой ваших акций и что скажут акционеры.
Всю неделю ваш обслуживающий персонал пытается взять ситуацию под контроль. К несчастью, обнаруживается так много рисков для безопасности вашей сети, что задача кажется непреодолимой. Хакерское подполье ясно знает об этих рисках и, кажется, выбрало вашу сеть в качестве мишени для своих упражнений. Атаки не прекращаются — одна, две и все больше и больше.
Как же такое могло случиться? Вы говорили высшим руководителям компании, что безопасность является главной идеей, и ожидали, что ей будет отдан приоритет. Разве они вас не слушали? Как же они допустили, что электронные взломщики крадут секреты компании? Хуже того, продолжающиеся атаки понижают репутацию вашей компании, ради создания которой вы неустанно трудились. Вместе с репутацией компании не совсем хорошо выглядит и ваша. Это — ваша сеть, и в центре внимания оказываетесь вы.
Кажется невозможным? Невероятным? Может быть, ситуация и сфабрикована, но в ней может оказаться любой начинающий директор по информационным технологиям. Быстро продвигающиеся наверх руководители редко имеют полные знания о настройках сети и ее состоянии. Перед тем как занять этот пост, лишь немногие из кандидатов спрашивают о том, когда сеть подвергалась аудиту безопасности (и прошла ли его). Еще меньшее число из них знакомится с представленным им итоговым отчетом, отражающим уровень риска, или представляет себе, как выглядит на практике борьба за безопасность.
В крупных компаниях многослойная структура управления часто способствует отделению руководящих сотрудников высшего уровня от руководителей более низких звеньев. В результате этого нарушаются связи. Информация, движущаяся сверху вниз, может не дойти до исполнителей. Таким же образом сообщения, посылаемые наверх, легко могут попасть не по адресу или исказиться.
Очевидно, что управляющий, менеджер или директор никогда не задумываются о том, что их сеть может стать зоной действий хакеров и попасть на следующей неделе в выпуск 60 Minutes[12] или в Hard Copy.[13] Но пока вы не будете знать, что в действительности происходит «в окопах», ваша компания будет подвергаться риску. Добейтесь того, чтобы руководители в вашей компании оставили диктаторский стиль и спустились из заоблачной выси на землю. Налаживание каналов общения, открытых в сторону руководства, является одним из важных шагов в достижении реальной безопасности вашей сети. Рассмотрим пример…