Computerworld, США

ИТ-руководителям следует уделять больше внимания плохим новостям, поступление которых зачастую сопровождается полезной для последующей ликвидации изъянов информацией, и поощрять честность и откровенность

Если мой сын пытается скрыть свои ошибки, это не делает мне чести. В конце концов, ведь именно я должен научить его отвечать за свои поступки, бережно относиться к хрупким предметам, не оставлять домашние задания на последний день каникул и выполнять их правильно и аккуратно — если и не в этот раз, то хотя бы в следующий.

Жаль, что этого принципа крайне редко придерживаются руководители проектов и люди, отвечающие за работу ИТ.

Подобные ситуации довольно часто повторяются в корпоративном мире. Например, приходит время подвести итоги испытаний функционирования сети или приложений, и эксперт — тестировщик или независимый консультант — объявляет о наличии брешей в системе безопасности. Это приводит в замешательство весь коллектив. Так что же, риск потери данных лишил команду присутствия духа?

Без понимания природы уязвимых мест — условий возникновения ошибки или какого-то иного изъяна — реальные причины останутся за кадром и не будут устранены. В этом случае администраторы и разработчики не учатся на своих ошибках, а качество систем неизбежно и неуклонно падает

Нет, новость плоха тем, что люди лишатся своих премий или даже будут наказаны, если их наняли для поиска ошибок, а уязвимые места впоследствии обнаружились сами по себе.

Неизбежно возникнет желание подменить отчет — изменить формулировки, скрывая факторы риска путем понижения уровня опасности, или выстроить уязвимые места в таком порядке, чтобы ни одно из них нельзя было квалифицировать как непосредственную угрозу.

Иногда реакция на оценки приглашенного консультанта по безопасности может оказаться даже враждебной. Эксперт будет обвинен в некомпетентности, в использовании не получивших широкого употребления методов, а его выводы признаны не соответствующими политике управления рисками, принятой в организации.

Результаты исследований и отчеты оперативно корректируются с тем, чтобы внутренние аудиторы и сотрудники компании не успели ознакомиться с первоначальными результатами, или же как можно быстрее отправляются подальше в архив.

В ситуации, о которой идет речь, юрисконсульт компании исказил результаты исследований системы безопасности и выводы аудиторов до того, как они попали на стол к руководству. В отчете подтверждалась надежность защиты информации, и в случае привлечения организации к судебной ответственности придраться было фактически не к чему. Юрисконсульт поступил нечестно, неконструктивно и просто по-детски.

Но если взглянуть на вещи шире, оказывается, что это лишь одно из тех искажений, для сокрытия которых с течением времени понадобится еще более изощренный обман и которые из препятствий на дороге ИТ превратятся в проблемы юридического и финансового характера.

Предположим, что эксперт обладает достаточно высоким уровнем компетентности, а результаты его исследований по-настоящему объективны, но почему обязательно следует кого-то наказывать за выявленные изъяны?

Ведь чаще всего вопросы, связанные с безопасностью, возникают из-за нестыковки управляющих элементов или вследствие совершенно невинных ошибок.

Имеет смысл проанализировать недостатки и уязвимые места с тем, чтобы определить, не вызвано ли их появление некомпетентностью или злым умыслом.

Наказание после поверхностного расследования не может заменить глубокого изучения причин возникновения нештатных ситуаций.

Без понимания природы уязвимых мест — условий возникновения ошибки или какого-то иного изъяна — реальные причины останутся за кадром и не будут устранены. В этом случае администраторы и разработчики не учатся на своих ошибках, а качество систем неизбежно и неуклонно падает.

Ошибки совершают все, и в здоровой организации можно даже посмеяться над этим, вручив премию «Неумелые ручки» за наиболее интересный перл в конфигурации или пригласив разработчика на тарелку спагетти после распутывания очередной заковыристой ошибки.

Когда за робкие извинения я даю своему сыну дополнительный ломтик сыра, он все понимает — воспитательный процесс должен основываться на том, что лучше признать вину, учась на собственных ошибках, чем скрыть ее и солгать. Обязательно нужно дать ему понять, что если и не удастся совсем избежать насмешек, то серьезных последствий признания своей вины можно не опасаться. Однако припрятывание результатов анализа работы системы безопасности или, что еще хуже, насаждение в организации атмосферы страха, боязни выявления фактов и отчетов об обнаруженных уязвимых местах в долгосрочной перспективе будет иметь гораздо более негативный эффект, чем снижение качества.

Деморализация и всеобщее недоверие крайне опасны. У людей возникает желание подделать отчеты и результаты аудита. Жесткая реакция на небольшое осложнение — прекрасный способ создать себе гораздо более серьезные проблемы, которые выйдут далеко за пределы ИТ-службы. При этом следует учесть, что в сегодняшних условиях ужесточения нормативных актов многие элементы системы информационной безопасности находятся в непосредственной близости, а в некоторых случаях и прямо подпадают под действие новых норм и правил типа Акта Сарбейнса-Оксли или Акта об отчетности и безопасности медицинского страхования (HIPAA).

К примеру, конфигурация сетевого экрана финансовой компании должна предполагать возможность проведения финансового контроля за любым процессом или бухгалтерским приложением, функцией которого является размещение нужных фондов в нужном месте.

Сокрытие, подлог или какое-то иное искажение состояния этих показателей и дезинформация ответственного сотрудника компании ни к чему хорошему не приведет.

Искажение показателей может породить подозрение в несоблюдении требований других нормативных актов.

Очевидно, что ИТ-руководителям следует уделять больше внимания плохим новостям, поступление которых зачастую сопровождается полезной для последующей ликвидации изъянов информацией, и поощрять честность и откровенность.

Уверен, что недобросовестные руководители, а также те, кто пользуется недостаточно гибкими техническими методологиями, и дальше будут искать виновных в случае обнаружения факторов непредвиденного риска.

Однако хотелось бы пожелать им поучиться профессиональному отношению к подчиненным у представителей тех организаций, в которых честность никогда не отражается отрицательно на карьере. 

Поделитесь материалом с коллегами и друзьями