Если вся ваша сеть после установки имеет настройки с высоким уровнем риска, то последующий перевод системы на требуемый уровень безопасности будет связан со значительными затратами времени и людских ресурсов. Для того чтобы этого избежать, убедитесь в том, что ваши системы не остались в состоянии стандартных настроек и без необходимых политик и процедур. Подробнее о политиках и процедурах см. главу 8, «Безопасность внутренних сетей».
Привлечение экспертов со стороны не является признаком слабости вашей группы. Напротив, это признак здравомыслия! Пока ваша компания невелика, вам, возможно, не требуется штатный эксперт по безопасности на полный рабочий день. Поэтому имеет смысл, чтобы не раздувать штат и сберечь ресурсы, при необходимости привлекать эксперта на временную работу. Но не ждите, когда вся сеть выйдет из-под контроля.
Не так давно я беседовала с руководителем информационной службы компании, входящей в список Fortune 500. Я сообщила ему, что от инженеров и руководящих работников его компании я узнала о нескольких рискованных настройках систем в их сети. Им следовало бы нанять аудитора безопасности и протестировать их сеть. Я сказала, что аудит не обойдется им дорого и позволит точно узнать, какому риску они подвергаются. Ответ руководителя информационной службы был необычным. Он сказал: «Линда, это как если бы из моего самого дорогого костюма вытащили одну нитку. Ничего не стоит это сделать, но последствия будут дорогими». Я поняла его так, что по-настоящему дорогим будет не аудит, а «чистка» выявленных во время него зон риска. Проблемой при таком подходе будет то, что рано или поздно кто-то будет готов выдернуть эту нитку. Вопросами будут (кроме «Когда?»): «Кто?» и «С какой целью?». Надеюсь, что на вопрос «Кто?» будет ответ — аудитор, а не хакер, а на вопрос «С какой целью?» — анализ риска, а не выискивание возможной добычи.
Безопасность не является предметом, на который обращают внимание большинство технических специалистов или системных администраторов в учебных заведениях или при практической подготовке. Обеспечьте, чтобы ваши сотрудники имели хотя бы базовую подготовку. Помните, что проблемы безопасности не стоят на месте. Поэтому занятия по безопасности многолетней давности — не в счет.
Одной из проблем в TransWorld было то, что Джордж и Натан занимались (предположительно) защитой информации клиентов, не обучившись этому предмету в течение хотя бы одного часа. Это сумасшествие! Добейтесь, чтобы ваши сотрудники были обучены тому, как обеспечивать безопасность обслуживаемых ими систем.
