Глава 11 Оглядываясь назад: что будет дальше?
Глава 11
Оглядываясь назад: что будет дальше?
Хотя в их стране главное внимание сосредоточено на безопасности, в действительности американские предприниматели не вкладывают средства в устранение «дыр» в системах своей защиты. Похоже, они ждут «событий большого эмоционального значения» — например, утраты информации кредитных карточек клиентов для получения повода к вложению таких средств. Проблема состоит в том, что они могут получить этот повод слишком поздно.
Джон Кирби, директор по стратегиям защиты предприятий, безопасности и обеспечению тайны, информационным технологиям предприятий, Electronic Data Systems (EDS)
Некоторые изменения происходят так быстро, что трудно определить, как обеспечивать безопасность в таких условиях. Именно такая проблема возникает перед организациями, когда они начинают осваивать современные технологии и выяснять, какие уязвимые места в них имеются.
Руководство компании Costa Corp, в которой я проводила свой первый аудит по контракту, было вынуждено проводить его из-за произошедшего у них взлома, в результате которого была украдена и опубликована важная финансовая информация. Аудит безопасности, проведенный несколькими годами раньше, показал, что в системах не заделывались «дыры», они были уязвимы для атак и нуждались в защите и контроле. Тем не менее руководство никогда не выполняло рекомендаций аудита по устранению этих нарушений.
Хотя в Costa Corp проводилась оценка рисков, у них просто не было сотрудников, знающих, как обеспечивать безопасность систем. Поэтому системы оставались незащищенными и уязвимыми для атак. Мой аудит, проведенный через несколько лет после этого, показал, что эти системы по-прежнему подвергались риску: патчи, повышающие безопасность, не были установлены, пароли можно было легко угадать, не были отключены лишние службы, и нарушений безопасности стало больше, чем было выявлено при предыдущей оценке.
Взлом и потеря финансовой информации открыли глаза высшему руководству на эту проблему. Как правило, неавторизованный доступ и раскрытие конфиденциальной информации заставляют генерального директора или финансового директора лучше понимать вопросы безопасности. Проведенная мной оценка показала, что риски будут оставаться и даже увеличиваться, если не будет профинансировано принятие мер по укреплению защиты. Руководство вскоре выделило средства на мероприятия по улучшению безопасности (такие, как программные инструменты, расширение штата, обучение, политики[56] и средства контроля). Оно не ограничилось простым выделением средств, но проявило решимость в осуществлении этих мероприятий и повседневной поддержке безопасности.
Руководство ввело жесткую политику обеспечения настройки и поддержки безопасности систем. В качестве эффективного стимула для владельца каждой системы эта политика устанавливала, что если при тестировании системы в ней будут обнаружены уязвимые места, то либо они будут устранены в течение 48 часов, либо система будет отключена от сети. Эту политику поддерживал директор по информационным технологиям, и за ее выполнением следили по всей компании. Политики нуждаются в поддержке руководства, иначе они становятся бесполезными.
Когда пришел новый директор по информационным технологиям, то у него оказались другие взгляды на безопасность, Старый директор был приверженцем политики «соответствуй-или-умри», то есть либо ваша система соответствует политике, либо ее выбрасывают из сети. Такая политика стимулирует обеспечение безопасности, но требует, чтобы ее придерживались на всех уровнях компании. В каждой организации должны быть цели по обеспечению безопасности: должно проводиться обучение для того, чтобы люди поняли, как защитить свои системы; должны использоваться инструменты для тестирования, контроля и поддержки безопасности; люди должны тестировать и защищать свои системы и т. д. Так как новый директор по информационным технологиям не поддерживал эту политику, то многие системы сети со временем стали менее защищенными. Кроме того, он не сделал обеспечение безопасности корпоративной целью. Когда в бюджете не нашлось средств на осуществление важных инициатив в области электронной коммерции, то ради них было отложено приобретение инструментов обнаружения вторжения и тестирования безопасности. Таким образом, компания «перекачала» ресурсы из бюджета безопасности в бюджет поддержки деловых целей компании.
Более 800 000 книг и аудиокниг! 📚
Получи 2 месяца Литрес Подписки в подарок и наслаждайся неограниченным чтением
ПОЛУЧИТЬ ПОДАРОКЧитайте также
Назад к процессам и потокам
Назад к процессам и потокам Так же как и дом занимает некоторый участок земли в жилом массиве, так и процесс занимает некоторый объем памяти компьютера. Аналогично тому, как и обитатели в доме могут свободно войти в любую комнату, в которую пожелают, потоки в процессах все
Кнопки Вперед и Назад
Кнопки Вперед и Назад Чтобы заблокировать кнопки Вперед и Назад в Internet Explorer, создайте параметр типа DWORD ·NoNavButtons· со значением 1 в разделе HKCUSoftwarePoliciesMicrosoftInternet
Что будет дальше?
Что будет дальше? Прежде чем мы погрузимся в это занятие, я думаю вам бы хотелось знать что мы сейчас собираемся делать... особенно после того, как прошло столько много времени с прошлой главы.Тем временем я не бездействовал. Я разбил компилятор на модули. Одна из проблем, с
Назад в будущее
Назад в будущее Введение Могло ли действительно пройти четыре года с тех пор, как я написал четырнадцатую главу этой серии? Действительно ли возможно, что шесть долгих лет прошли с тех пор как я начал ее? Забавно, как летит время когда вы весело его проводите, не так ли?Я не
36 Назад к истокам
36 Назад к истокам Что же все-таки хотят пользователи? И как можно об этом узнать? Разработчикам программного обеспечения рекомендуется производить такие системы, которые хотят получить их клиенты и покупатели, — системы, более «ориентированные на пользователя». В любой
ГОЛУБЯТНЯ: Назад в будущее
ГОЛУБЯТНЯ: Назад в будущее Автор: Сергей ГолубицкийЗавершаем тематику Rockbox — альтернативной операционной системы для цифровых джукбоксов Archos, iRiver и iPod.После установки ROCKbox H300 Experimental, специализированного порта для iRiver H340, алгоритм которой мы разобрали на прошлой неделе,
Планшетка и ребёнок: есть контакт! Но будет ли польза и не будет ли вреда? Евгений Золотов
Планшетка и ребёнок: есть контакт! Но будет ли польза и не будет ли вреда? Евгений Золотов Опубликовано 17 января 2014 Что ни говорите, а комментарии — великая вещь: написать читаемую колонку — половина удовольствия; другую получаешь, когда читаешь
13-я КОМНАТА: Назад в будущее
13-я КОМНАТА: Назад в будущее Автор: Владимир ГуриевПонятно, почему писателям и читателям эта схема так симпатична. Поколения читателей привыкли к приключенческим романам, в которых если и найдется конюх, то обязательно лишенный наследства. И писателям особо голову ломать
9.7. Назад в прошлое
9.7. Назад в прошлое Одним из преимуществ компьютерной графики является возможность возвращать изображение в исходное состояние, независимо от количества проделанных операций. Но это не всегда возможно, то есть если вы закрыли создаваемое изображение, предварительно
Xfce: назад в будущее?
Xfce: назад в будущее? LinuxFormat #110 (октябрь 2008)Зададимся вопросом: чего мы хотим от интегрированной рабочей среды? Богатства и гибкости настроек? Их простоты и прозрачности? На все эти вопросы я ответил бы положительно, хотя в качестве главного фактора выделил бы сквозной
Назад, в Ялту
Назад, в Ялту Суть решения Кэтколл (Catcall), - смысл этого понятия мы поясним позднее, - в возвращении к духу Ялтинских соглашений, разделяющих мир на полиморфный и ковариантный (и спутник ковариантности - скрытие потомков), но без необходимости обладания бесконечной