Перекладывание ответственности

Перекладывание ответственности

Затем я встретилась с группой обеспечения безопасности. Как и системные администраторы, персонал этой группы также знал, что сеть не защищена. Разумеется, они во всем обвиняли некомпетентных системных администраторов. Я их спросила, показывали ли они системным администраторам, как производить настройку безопасности, и они сообщили мне, что политики и процедуры могли быть взяты системными администраторами из Сети. Мне было сказано: «Любой, кто представляет, что он делает, должен знать, где их найти!»

Беседа с группой обеспечения безопасности подтвердила мои прежние подозрения. Действительно, парень, написавший политики и процедуры безопасности, покинул компанию два года назад. Они недавно поручили одному из сотрудников посмотреть, как их можно обновить. К сожалению, простое усовершенствование процедур на этой стадии было слишком незначительным, слишком запоздалым. Системы уже были широко открыты, а политики стали действительно непонятными.

Я продолжила беседу с группой обеспечения безопасности, системными администраторами и менеджерами, но их ответы большей частью касались одних и тех же проблем.

• Группа обеспечения безопасности отвечала за первоначальное написание политик и процедур. Но никто из них не отвечал за их обновление.

• Теоретически размещение политик и процедур на сервере должно было бы обеспечивать их легкую доступность для системных администраторов. На практике никто не сказал системным администраторам, как добраться до этого сервера.

• Любой из системных администраторов, кому бы посчастливилось найти эти политики и процедуры, не смог бы их понять. Большей частью эти политики и процедуры были так запутаны и плохо написаны, что были непригодны к применению.

• Руководство, очевидно, не считало проблему политик и процедур важной.