Я связалась с менеджером внутреннего аудита Дорис, которая меня нанимала, и сказала ей о падающих небесах и причине этого. Она сообщила о ситуации заинтересованным сторонам и созвала совещание их представителей. На него пригласили Дэна (эксперта по безопасности JFC), Фреда (так называемого эксперта JFC по брандмауэрам), Дэйва (системного администратора), менеджеров всех причастных к данному вопросу групп технической поддержки и меня. Через два часа все участники собрались в зале.
Что мне нравится в профессиональных сотрудниках внутреннего аудита, так это то, что они понимают риск и имеют полномочия внутри компании, достаточные для того, чтобы вытащить вилку из розетки у любой системы, если есть необходимость. Я как раз и рекомендовала немедленно вытащить вилку у Drug10. И спасибо менеджеру внутреннего аудита за серьезное отношение к проблеме. Обслуживающий персонал работал всю ночь, устанавливая новую систему взамен Drug10. К следующему утру новая система была подключена к сети.
Последний день аудита: Кто несет ответственность за безопасность
После того как риск для сети JFC был уменьшен, я смогла закончить оставшуюся часть аудита. Результаты аудита показывали серьезные нарушения безопасности у большинства наиболее важных систем.
Во главе списка рисков были следующие:
• Не были сделаны исправления программ (патчи), повышающие безопасность.
• Существовала избыточность разрешений на доступ к файлам.
• Пароли легко было отгадать.
• Были включены ненужные сетевые службы.
Большое количество рисков не удивило меня. Когда такая важная система, как Drug10, настраивается столь плохо, что информация всей компании и ее клиентов подвергается риску, то я не могла ожидать, что обнаружу должный контроль над безопасностью других систем. Перед тем как написать отчет, я решила поговорить с Фредом, так называемым экспертом JFC по брандмауэрам. Зайдя в его офис, я попросила уделить мне немного времени. Когда я села и пыталась завязать с ним разговор, Фред продолжал печатать. Мне это очень не нравится. Когда люди печатают во время разговора с вами, то этим стараются показать две вещи: 1) «У меня есть дела важнее разговора с вами». 2) «Вам вовсе не нужно мое внимание (или вы не заслуживаете его)». Я не была настроена терпеть такое отношение ко мне, поэтому встала и попросила Фреда встретиться со мной в зале заседаний в конце холла.
Фред от своих манер общения не отказался и там. Пытаясь получить от него информацию, я обнаружила, что он саркастичен, заносчив и не очень умен. По моему мнению, он был типичным неудачником. Он попытался переложить ответственность на другого. Он путано стал мне объяснять, что все было бы в порядке, если бы Дэйв настроил безопасность на сервере базы данных. Он также сказал, что в его намерения не входило настраивать безопасность системы — это, по его мнению, была работа Дэйва.
