Если вы начинаете свою работу с достаточным финансированием, на очередном витке ваш бюджет сократят: высшее руководство давно успело позабыть, насколько важны технологии для обеспечения информационной безопасности. Это уже не забавно, это жутко обидн
Компания заложила в бюджет достаточно средств на обеспечение безопасности. Но здесь-то и крылась проблема.
Я — жертва собственного успеха
Видите ли, я занимаю должность начальника службы безопасности в одной крупной фирме и неплохо справляюсь со своими обязанностями. И именно вследствие того, что я делаю свою работу добросовестно, у компании в этом плане серьезных проблем никогда не возникало. Поэтому-то окружающие и не видят, во что обходятся рутинные процедуры, обеспечивающие корпоративную безопасность. Неблагодарная работа, скажу я вам.
В конце концов, директор информационной службы компании вознамерился урезать мой бюджет. «У нас нет выбора, — говорит он. — Мы сокращаем расходы по всем направлениям деятельности. Почему ты так встревожился?»
«Потому что при сокращении бюджета всегда есть пространство для маневра. Пожертвуй тем, что не является жизненно необходимым. Можно купить ноутбуки не самой последней модели. Или, например, отказаться от запланированной модернизации программного обеспечения, — возражаю я. — Однако если ты попытаешься сэкономить на безопасности, рисковать будет вся компания. Если у меня не будет специалистов и техники, чтобы обнаружить в системе непрошенных гостей, или не хватит средств для установки новых средств защиты для предотвращения новых нападений, мы все можем очень быстро оказаться без работы».
«Хорошо, — подводит итог мой собеседник. — Но все же придется тебе затянуть пояс и сбавить обороты. Как и всем остальным».
Вот так. Как говорится, делай, что хочешь.
Конечно, я мог бы публично поиграть со статистикой нападений. Мог бы развить тему финансового разорения компании, на которую напали хакеры. Не сомневайтесь, я в курсе, где взять свежую статистику CERT Coordination Center; она свидетельствует о том, что с 2000 года количество атак возросло в четыре раза. Я подписан на профессиональную периодику, имею доступ к базе данных отчетов IDC, читаю аналитические материалы. У меня есть результаты ежегодных исследований ФБР и Computer Security Institute. Я хожу на конференции, которые устраивают такие организации, как Information Systems Audit and Control Association, Institute of Internal Auditors и Internet Security Alliance. Я, черт возьми, общаюсь с коллегами из других компаний, чьи системы подвергались атакам хакеров. Я знаю, что общая ситуация в области безопасности систем не слишком хороша; более того, она ухудшается. Я знаю, что моя фирма может стать жертвой злоумышленников в любой момент.
Ах, да! Я занимался тем, что называется «обучение руководства». Я задавал им вопрос: «Вы видите, сколько мы потратили на ликвидацию последствий от взлома системы?» Я пользовался разнообразными аналитическими методиками, чтобы показать им возможные последствия нападений.
Но слушать меня никто не желает. Так бывает до тех пор, пока не случится что-нибудь непредвиденное. Тогда уж понятно, на кого повалятся все шишки. Руководство начнет тыкать пальцем на службу безопасности и потребует экстренных мер. Сотрудники начнут кричать, что мы недостаточно оперативны и полезны. Скорее всего, в глубине души каждый понимает, что мы не виноваты. Но ведь кто-то должен взять на себя ответственность?!
Это ли не ирония?
Проблемы чаще всего создают сами сотрудники, не выполняющие установленные правила безопасности или использующие запрещенное программное обеспечение, благодаря которому хакер может проникнуть во внутрикорпоративную сеть. Но если система взломана, никто не принимает это во внимание. Кроме того, если бы бюджет был утвержден, можно было бы купить средства сканирования, необходимые для обнаружения запрещенных программ. Неприятностей можно было избежать.
И вот последняя капля: предположим, что вы обнаружили запрещенную программу. Никто в компании не узнает, как вам это удалось. Никто не сможет по достоинству оценить вашу заслугу, равно как и возможные последствия проникновения злоумышленников через образовавшуюся в системе «дыру». Это порочный круг. Если вы начинаете свою работу с достаточным финансированием, на очередном витке ваш бюджет сократят: высшее руководство давно успело позабыть, насколько важны технологии для предотвращения нападений. Это уже не забавно, это ужасно обидно.
Меня действительно очень огорчает, что руководители предпочитают потратить немалые средства на ликвидацию последствий атаки значительно меньшим вложениям в превентивные мероприятия. Я неоднократно поднимал этот вопрос. Впрочем, когда кризис уходит в прошлое, деньги опять же оказываются нужнее другим подразделениям компании. «Мы заплатим, если понадобится, но только в том случае, если нам нанесут серьезный ущерб», — говорит начальство.
Увы...
Вы можете возразить, что в этом-то как раз и заключается работа руководителя службы безопасности, что другие директора службы безопасности сталкиваются со схожими проблемами. Может быть, так оно и есть, и я в определенном смысле готов с этим согласиться. Только вот радости от этого мало. Да и компания рискует не меньше. Я серьезно подумывал о том, чтобы заложить в бюджет службы определенную сумму «на черный день», чтобы сокращение прошло не так болезненно. Но я же, в конце концов, занимаюсь безопасностью! И я бы не выбрал эту профессию, если бы не был честным человеком: «творческий подход» к бюджетированию вызывает у меня аллергию.
Мой приятель специализируется на тренингах по безопасности, уже много лет готовит консультантов. Он говорит: «Иногда имеет смысл закрыть глаза на проблему, чтобы показать боссам, сколько может стоить их бездействие». Раз уж мы говорим о бюджете, то «закрыть глаза на проблему», как мне кажется, означает быть не в состоянии предотвратить некоторые из возможных нападений. Когда поезд пойдет под откос, будем надеяться, последствия будут не такие ужасные. А руководство сделает правильный вывод и выделит дополнительные средства для предотвращения подобных ситуаций. Тогда можно будет спокойно жить... до нового финансового года.
Думаю, однако, что мне в любом случае предстоит посидеть за электронными таблицами, размышляя о минимизации рисков. Придется также повременить с покупкой нового ноутбука: по всему видно, что распрощаться со своим двухлетним «стариканом» мне пока не светит.
Аноним
By anonymous. Double-Edged Success. CSO, September, 2002