Перекладывание ответственности
Перекладывание ответственности
Затем я встретилась с группой обеспечения безопасности. Как и системные администраторы, персонал этой группы также знал, что сеть не защищена. Разумеется, они во всем обвиняли некомпетентных системных администраторов. Я их спросила, показывали ли они системным администраторам, как производить настройку безопасности, и они сообщили мне, что политики и процедуры могли быть взяты системными администраторами из Сети. Мне было сказано: «Любой, кто представляет, что он делает, должен знать, где их найти!»
Беседа с группой обеспечения безопасности подтвердила мои прежние подозрения. Действительно, парень, написавший политики и процедуры безопасности, покинул компанию два года назад. Они недавно поручили одному из сотрудников посмотреть, как их можно обновить. К сожалению, простое усовершенствование процедур на этой стадии было слишком незначительным, слишком запоздалым. Системы уже были широко открыты, а политики стали действительно непонятными.
Я продолжила беседу с группой обеспечения безопасности, системными администраторами и менеджерами, но их ответы большей частью касались одних и тех же проблем.
• Группа обеспечения безопасности отвечала за первоначальное написание политик и процедур. Но никто из них не отвечал за их обновление.
• Теоретически размещение политик и процедур на сервере должно было бы обеспечивать их легкую доступность для системных администраторов. На практике никто не сказал системным администраторам, как добраться до этого сервера.
• Любой из системных администраторов, кому бы посчастливилось найти эти политики и процедуры, не смог бы их понять. Большей частью эти политики и процедуры были так запутаны и плохо написаны, что были непригодны к применению.
• Руководство, очевидно, не считало проблему политик и процедур важной.