День 2-й: Системные администраторы против группы обеспечения безопасности
День 2-й: Системные администраторы против группы обеспечения безопасности
Выходные всегда проходят быстро, Я не успела это понять, как очутилась в холле, ожидая Кирстен и в готовности закончить аудит. Я немного волновалась.
Мне предстояло во второй части аудита показать, почему системы не защищены, и это означало проведение бесед. Я не боюсь бесед и встреч с людьми, но из слов Кирстен поняла, что ввязываюсь в войну, развязанную из-за настроек, политик и процедур и продолжающуюся уже несколько лет.
Хорошей новостью было то, что у меня появилось много энергии после уикенда. Обычно беседы меня подавляют. Это связано с тем, что мне часто приходится говорить с людьми, не заботящимися об информации, за обеспечение безопасности которой они получают деньги.
У меня было ощущение, что за обнаруженными рисками кроется война между группой обеспечения безопасности и системными администраторами. Вскоре я в этом не сомневалась.
Кирстен запланировала интервьюирование всех причастных к этому делу игроков. Она любезно предоставила мне несколько свободных часов утром перед проведением бесед. Я это оценила. (Кто знает, как выглядят эти парни до утреннего кофе?)
Перед тем как войти в зону боевых действий, я решила просмотреть политики и процедуры, выпущенные группой обеспечения безопасности. Обычно знакомство с политиками и процедурами позволяет составить мнение об отношении компании к вопросам безопасности. Компания, не имеющая хороших политик и процедур, как правило, не имеет и хорошей безопасности.
Я обнаружила несколько проблем с политиками и процедурами. Во-первых, их было трудно читать и понимать. Мое внутреннее чутье подсказывало, что системные администраторы, вероятно, не настроили безопасность из-за того, что они не поняли политик и процедур. Политики и процедуры также были устаревшими. Последнее изменение вносилось в них примерно три года назад. В результате некоторые политики даже не были технически корректны. Пунктуально выполняя один из документов процедур, вы бы проделывали в защите системы дыру и делали бы систему более уязвимой для атаки.
Чем дальше я продвигалась по материалам, тем больше убеждалась в том, что вначале документация была составлена кем-то, кто понимал важность политик и процедур. Вместе с тем у меня складывалось впечатление, что этот человек уже ушел из группы обеспечения безопасности или даже из музея.
Теперь я была готова к встречам с персоналом. К сожалению, это будут встречи с группами. Групповое интервью часто сопровождается напряженностью, — даже когда не ведется война. Я пошла на эту первую встречу, думая, что всегда смогу затем поговорить один на один с ключевыми игроками.