Энн Чен
Время подумать о программе обеспечения сохранности данных
Спросите любого менеджера по компьютерной безопасности, чего стоит добиться от главного исполнительного директора выделения ресурсов на создание общей системы защиты сети предприятия. Конечно, на волне истерии, вызванной появлением очередного вируса вроде почтовой инфекции Melissa, говорить с руководством намного проще. Однако трансформировать быстропреходящий интерес к проблемам безопасности в твердое решение о финансировании всеобъемлющей программы архитектуры ее обеспечения может оказаться непростой задачей.
Ларри Баррет, отвечающий за развитие информационных технологий в Управлении по делам малых предприятий (Small Business administration, SBA), считает, что ему удалось найти оптимальное решение. Подобно опытным полицейским, способным “вытянуть” показания из кого угодно, Барретт и его менеджер по программе обеспечения безопасности Хауард Боулден разыгрывают роли “хорошего” и “плохого” следователя. “Хороший следователь” Боулден разрабатывает архитектуру системы и программы обучения, а “плохой следователь” Барретт запугивает руководство и сотрудников управления страшными рассказами о последствиях нарушения режима безопасности и упущенных в связи с этим доходах. Похоже, это работает.
Инфраструктура обеспечения безопасности помогает Боулдену (слева) и Барретту (справа) избежать превращения компьютерной системы своей организации в исправительный дом для пользователей и каторгу для ИТ-специалистов
В нынешнем году доля расходов на обеспечение безопасности в бюджете Управления возросла с 2 до 15%. В результате Барретт смог приступить к осуществлению широкого плана, предусматривающего, в числе прочего, дополнительное обучение персонала и расширение штатов. Теперь можно наверстать упущенное - ликвидировать отставание в деле обеспечения безопасности, вызванное отвлечением ресурсов на другие проекты - в особенности на подготовку к 2000 году. Решение проблемы Y2K и в текущем году потребует более 25% бюджетных средств. Но зато в следующем Барретт решительно настроен сделать обеспечение безопасности приоритетным направлением в работе своего подразделения. “В будущем году, когда мы развернем активную подготовку к ведению электронной торговли, - сказал он, - безопасность будет для нас вопросом номер один. Уверенность служащих и клиентов в сохранности деловой информации станет важнейшим фактором успеха”.
Впрочем, примененный Барреттом подход приемлем не для каждого, поэтому многим придется изобретать что-то свое. Эксперты считают, что с этим лучше поторопиться. С завершением эпопеи Y2K и переходом к штурму твердынь электронной торговли главы ИТ-служб большинства организаций будут вынуждены искать дополнительные средства на создание полномасштабных систем обеспечения безопасности, способных отражать не только вирусные атаки.
По мнению экспертов, всеобъемлющие программы обеспечения безопасности должны предусматривать развертывание специальной аппаратуры и ПО, обучение персонала, а также разработку и проведение в жизнь стратегии использования антивирусного ПО каждым сотрудником, сохранения в тайне паролей и применения физических мер защиты компьютеров.
Побуждая высшее руководство к активности, ИТ-специалистам, считают эксперты, следует формулировать свои цели, используя деловую, а не техническую терминологию. Речь идет прежде всего о таких понятиях, как отдача от инвестиций в средства обеспечения безопасности, а также об анализе подходов к этому вопросу в конкурирующих компаниях. “ИТ-менеджеры должны разъяснять, что статья расходов на компьютерную безопасность переходит из раздела желательных в группу совершенно необходимых для поддержания конкурентоспособности предприятия в условиях экономики XXI века”, - отметил Боб Гейгер, менеджер-консультант по вопросам информационной безопасности фирмы James Martin & Co. (Ферфакс, шт. Виргиния).
Ликвидация отставания
До сих пор многие директора ИТ-служб не очень-то успешно решали проблему инвестиций во всеобъемлющую систему обеспечения безопасности. Проведенный недавно Бостонской исследовательской компанией OpenSystems Advisors опрос ИТ-менеджеров показал, что лишь 30% организаций имеют полноценную программу обеспечения безопасности и реализуют ее на практике. Большинство остальных либо только приступили к составлению таких программ, либо еще готовятся к их внедрению. Три процента респондентов охарактеризовали отношение к проблеме в их компаниях, как “невежественное и безразличное”.
В отличие от многих других ИТ-менеджеров, Боулден уже взял дело в свои руки. Вместе с директором ИТ-службы Барреттом он сумел убедить высшее руководство SBA в том, что им есть что терять. Ежегодно через SBA проходят кредиты на сумму свыше 45 млрд. долл., предоставляемые финансовыми учреждениями малым предприятиям по всей стране. В компьютерной сети Управления хранятся конфиденциальные документы миллионов таких предприятий, в том числе бизнес-планы и договоры займа. Важную роль Боулден отвел обучению персонала. Барретт дал ему зеленый свет на разработку курса по вопросам соблюдения мер безопасности для 3200 сотрудников SBA. Все служащие, от начальника управления Аиды Альварес (Aida Alvarez) до младших помощников, должны будут пройти обучение. Чтобы каждый получил именно те навыки, которые ему потребуются в работе, Боулден намерен ввести три уровня подготовки. Представители высшего руководства, включая Альварес, и менеджеры программ будут посещать учебные классы лично. Предназначенный для них курс составлен с учетом особенности исполняемых ими функций и дополнен разъяснениями, каким образом безопасность соотносится с вопросами финансирования, полномочиями и целями SBA. (Подобные курсы по вопросам безопасности, ориентированные на главных исполнительных директоров компаний, становятся все более популярны. См. врезку “Не можете сладить с директором - запишите его на курсы”.)
Менеджерам по безопасности и ИТ-специалистам Боулден намерен дать больше технической информации, в частности рекомендовать, как избежать “дыр” в системе безопасности сети и защитить узел Internet.
Конечным пользователям будет предложена программа, охватывающая основные вопросы принятого в организации режима безопасности, включая правила обращения с полученными по электронной почте присоединенными файлами, порядок использования антивирусного ПО и парольной защиты.
Все электронные курсы Боулден разрабатывает самостоятельно, используя ПО Macromedia Fireworks 1.0, Dreamweaver Attain 1.0, Authorware 4.0 Interactive Studio и Authorware Attain 5.0 фирмы Macromedia. Учебные материалы будут опубликованы в корпоративной интрасети SBA, и каждому сотруднику придется пройти соответствующий курс в установленный срок.
Обучение персонала является первым и наиболее важным пунктом всеобъемлющей программы обеспечения безопасности. По крайней мере, так считает главный директор по технологиям корпорации Scient (Сан-Франциско, шт. Калифорния) Скотт Фрисби: “Можно развернуть виртуальные частные сети, поставить защищенные коммутаторы и брандмауэры, но от всего этого мало толку, если пользователи сами станут впускать вирусы в систему”.
Непрерывная оценка текущей ситуации также служит необходимым компонентом всеобъемлющей программы обеспечения безопасности, вполне оправдывающим затраты. Вместо того, чтобы пытаться защитить сеть от всех мыслимых и немыслимых угроз, менеджерам по компьютерной безопасности следует, по мнению Фрисби, определять значимость хранимых в системе данных и концентрировать основные усилия на защите тех, что представляют наибольшую ценность для компании. Умные менеджеры по безопасности, такие, как Ян Коум из фирмы Yahoo (Санта-Клара, шт. Калифорния), именно так и поступают. Коум, кроме того, использует в работе методы хакеров для организации регулярных учебных атак на свои системы с целью поиска возможных изъянов в защите. Многие другие компании, включая фирму Iomega (Рой, шт. Юта) для выявления уязвимых мест нанимают внешних консультантов.
Физическая безопасность
Еще один часто недооцениваемый аспект проблемы, который необходимо учесть, - физическая безопасность. Вор не станет утруждать себя хакерскими упражнениями, если сможет просто войти в здание и похитить пароли, нацарапанные на прикрепленных к мониторам листочках. Иногда злоумышленники действуют еще наглее. По словам Гейгера из James Martin, после того, как один из клиентов его компании потратил миллионы долларов на брандмауэры и VPN для защиты серверов, кто-то проник в здание, разбил кирпичом стеклянную стену компьютерного зала и просто-напросто вынес оборудование.
Важной частью программы обеспечения безопасности являются также меры по ее проведению в жизнь. Коум часто сталкивается с нежеланием конечных пользователей подчиняться требованиям, обязывающим использовать в каждой системе свой отличный от других пароль и регулярно его обновлять. “Люди привыкают к определенному образу действий, - пояснил Коум, - и рассматривают соблюдение мер безопасности как дополнительную работу, без которой вполне можно обойтись”.
Останови вора! Чего стоили нарушения режима безопасности в 1998 г.
Эту проблему Коум решает, периодически меняя обязательную длину пароля, открывающего доступ в систему электронной почты и сеть. Кроме того, для защиты Yahoo от атак извне Коум использует распространяемое в виде исходных текстов ПО брандмауэра и антивирусных систем и организует постоянное автоматическое наблюдение за возможными вторжениями и другими угрозами.
Конечно, активная позиция высшего руководства значительно упрощает реализацию программы безопасности. “Если главный исполнительный директор поддерживает вас только на словах, сотрудники проявляют значительно меньшую аккуратность в соблюдении инструкций”, - комментирует ситуацию Гейгер. Он считает, что руководство корпорации должно всячески демонстрировать серьезность своего отношения к проблеме безопасности заявлениями, выпуском памятных записок и личным примером, строго соблюдая все предписанные меры предосторожности.
Чтобы добиться такой поддержки, ИТ-менеджерам нужно научиться думать по-новому. “С руководством лучше разговаривать на языке бизнеса, - считает главный исполнительный директор и президент фирмы Meta Security Group (Альфаретта, шт. Джорджия) Джефф Джонсон. - Не следует объяснять, каким образом хакер проникает в систему, - лучше напомнить, в какую сумму такое проникновение обойдется компании и ее первым лицам лично. Подчеркните, что затраты на осуществление мер безопасности - это инвестиции, приносящие вполне ощутимую отдачу”. Подсчитать ее не так сложно. Даже самые легко прогнозируемые последствия нарушения режима безопасности обычно оцениваются в весьма значительные суммы. Экономии от предотвращения даже одного такого случая может оказаться вполне достаточно для оплаты весьма обширной программы обучения (см. диаграмму).
Кроме того, менеджер ИТ-службы может обосновать инвестиции в безопасность, опираясь на технические требования приложений, открывающих новые возможности для ведения бизнеса. Удаленный доступ в сеть, электронные банковские услуги и экстрасети - все это имеет вполне очевидную ценность для компании. Но для успешного их использования необходимо подготовить почву, осуществив определенные меры в области безопасности. Ваши аргументы прозвучат еще более убедительно, если дополнить их информацией о том, что конкурирующие компании относятся к проблемам безопасности самым серьезным образом.
Менеджер по системным разработкам корпорации Itex (Портленд, шт. Орегон) Уильям Петерсен использует для этих целей презентации и диаграммы, подготовленные в программе PowerPoint корпорации Microsoft, а в качестве примеров приводит случаи из жизни других организаций. Готовясь к ответственному выступлению, Петерсен исследует практику конкурентов Itex, беседуя с коллегами на различных мероприятиях и изучая отраслевую прессу. “К концу моей презентации руководители начинают ясно понимать, что предоставление электронных банковских услуг требует вложения средств в безопасность, - уверяет Петерсен, компания которого специализируется на организации международных бартерных сделок. - Для них это становится столь же очевидным, как и для меня”.
Фрисби из Scient указывает также, что менеджеры, отвечающие за безопасность, должны убедить руководство компании в том, что безопасность требует регулярной финансовой подпитки, а не разовых инвестиций. В некоторых корпорациях это уже понимают. В 1996 г., когда фирма Iomega искала подрядчика для перестройки своей инфраструктуры, одним из требований к кандидатам было наличие основательного опыта и квалификации в вопросах безопасности.
После того, как на должность главного директора по ИТ был нанят Тим Гуд, он добился, чтобы статья расходов на поддержание безопасности автоматически включалась в смету затрат каждого проекта в сфере ИТ. А вот из бюджета подчиненного Гуду подразделения отдельная строка расходов “на безопасность” исчезла.
К этому можно добавить, что среди 45 сотрудников ИТ-службы Iomega нет специального менеджера по обеспечению безопасности. Все в равной мере отвечают за это направление. Каждый работник фирмы должен регулярно пользоваться ПО InterScan VirusWall фирмы Trend Micro и резервировать данные на сменном диске Zip.
Конечно, Гуду было проще, чем многим другим. В конце концов, он работает в компании, специализирующейся на производстве запоминающих устройств, так что ее высшее руководство в курсе проблем компьютерной безопасности. Его коллегам добиться того же будет сложнее, но все-таки это вполне возможно. Очередной вирус, скорее всего, не заставит себя долго ждать.
Не можете сладить с директором - запишите его на курсы
Вот что можно порекомендовать в тех случаях, когда не удается убедить руководителей предприятия в необходимости выделять средства на безопасность: посадите их снова за парту.
Серия семинаров SecuritExec ориентирована на исполнительных директоров компаний, главных бухгалтеров и директоров ИТ-служб и призвана дать им основные сведения о роли компьютерной безопасности в жизнедеятельности предприятия. Семинары организует и проводит фирма Meta Security Group (Альфаретта, шт. Джорджия) - дочернее предприятие исследовательской компании MetaGroup (Стамфорд, шт. Коннектикут). “Большинство учебных программ по вопросам компьютерной безопасности рассчитано на специалистов в этой области или конечных пользователей и посвящено техническим аспектам обеспечения безопасности, в частности использованию брандмауэров и средств шифрования информации с открытым и закрытым ключами, - рассказал президент и главный исполнительный директор Meta SecurityGroup Джефф Джонсон. - Но для высшего руководства важнее деловые аспекты, такие, как отдача от инвестиций”. Составленная Джонсоном с учетом мнения клиентов программа семинаров SecuritExec направлена на то, чтобы помочь руководителям предприятий понять, почему в современном мире одной лишь словесной поддержки усилий специалистов по обеспечению безопасности уже недостаточно.
Как отмечает Джонсон, с расширением электронной торговли корпорации уже не могут позволить себе пренебрегать проблемами безопасности. Однодневный учебный курс начинается с демонстрационной хакерской атаки: с Web-узла компании, предоставляющей, например, ссуды на строительство жилья, похищается конфиденциальная информация о клиентах. В результате компания теряет доходы. “Таким образом многие руководящие работники приходят к пониманию того, какой ущерб может нанести хакер, - пояснил Джонсон. - Однако они еще не видят себя в роли потенциальных жертв”.
Отчасти в силу полученного образования менеджеры обычно ощущают себя более комфортно, обсуждая ситуацию с позиций управления рисками и экономии затрат. Поэтому инструктор предлагает обучаемым схему экономической оценки программы обеспечения безопасности предприятия и помогает составить всеобъемлющий план. Домой участники семинара отправляются с наполовину готовым анализом соотношения затрат и доходов.
Кроме того, пройдя курс, руководители предприятий лучше понимают, каких усилий стоит планирование и реализация всеобъемлющей программы обеспечения безопасности. Эксперты объясняют им, что речь идет не просто об однократном развертывании какой-то определенной технологии. “Иногда, - вспоминает Джонсон, - директора приходят на занятия с уверенностью, что уже обеспечили безопасность своего предприятия на год вперед, отдав распоряжение о приобретении необходимых средств шифрования информации. Но при этом они совершенно не представляют себе уязвимые места своей системы. Откуда же возьмется хорошее решение, если неизвестно, какие направления больше всего нуждаются в защите?”
Хотя курс рассчитан на высших руководителей, Джонсон доволен, если его посещают и специалисты по безопасности, сопровождающие своих боссов: это поможет им разработать тактику обсуждения очередного годового бюджета. “Многие избегают обращаться к главным исполнительным директорам напрямую, учитывая их занятость, - пояснил Джонсон. - Однако в таких случаях просто необходимо отнять у руководства некоторое время, чтобы пояснить, насколько высоки ставки. Никто не захочет лишиться пары миллионов долларов только из-за того, что какой-то хакер стер данные по расчетам с клиентами. Предложите своему руководству подумать над таким сценарием”.