Přiznejte chyby

Tento týden jsem si uvědomila, že jsem udělala vážnou chybu. Ano, když si přiznáte chybu, může to být pokládáno ...


Tento týden jsem si uvědomila, že jsem udělala vážnou chybu. Ano, když si
přiznáte chybu, může to být pokládáno za skvělé, pokud ovšem následuje náprava.
Státní organizace, ve které pracuji, zakoupila bezpečnostní zařízení typu
all-in-one, která slibovala zajistit funkce firewallu, systému prevence proti
proniknutí (IPS, Intrusion-Prevention System), VPN i monitorování sítě.
Instinktivně jsem cítila, že to není až tak dobrý nápad.
Byla k tomu řada důvodů, včetně toho následujícího: Tato iniciativa byla
sponzorována státem a doporučena vládním úředníkem pro bezpečnost. Dodavatel
toho zařízení má se státem výhradní kontrakt, přičemž zaměstnanci IT na státní
úrovni provozují databázový server pro reporty. Politicky to vypadalo jako
správné rozhodnutí. Já však mám vážně špatné svědomí a moc si sama sebe nevážím
kvůli tomu, že jsem podlehla tlaku měla jsem spíše věřit svému instinktu. Jak
už jsem uvedla, nevěřím tomu, že by jedno takové bezpečnostní zařízení mohlo
dělat tolik úkolů. Pokud vám váš firewall umožní provozovat sítě VPN, pak je to
skvělé. Ale nedělejte stejný produkt odpovědným i za prevenci proti proniknutí,
filtrování spamu a všechno to další, co si jen dokážete vymyslet. Koneckonců,
taky neočekáváte, že vaše myčka nádobí bude prát i prádlo. Proč asi nikdo
nepřišel s něčím takovým, jako je univerzální čisticí stroj? Protože by to pak
muselo být šílené zařízení pohybující se na kolech, aby tak mohlo manévrovat po
domě a vymetat podlahu. Muselo by mít ruce, aby utíralo prach. V břiše té věci
by byla kombinovaná pračka se sušičkou a musela by se plnit špinavým nádobím,
které by omyla a posílala druhým koncem ven. Dokážete si představit, kdyby se
porouchala a protáhla nádobí jiným cyklem? Jakkoliv by se mi líbila představa
naprogramovat celý dům, aby se sám o sebe staral, uvědomuji si, že to v
podstatě znamená naprogramovat jednotlivá zařízení tak, aby dělala konkrétní
věci. No dobře, už slyším, jak si říkáte: "Hej, děvče, tady mluvíme o
softwarových modulech, každý z nich je naprogramován na provádění konkrétních
věcí." Ale já odpovídám: "Hej, člověče, ten software je jen tak dobrý, jak
kvalitní je jeho naprogramování, a navíc sedí v jediném zařízení." Vím, že
některé velké a zavedené firmy nabízejí produkty s kombinovanými funkcemi, ale
my tady nemluvíme o jednom z velkých hráčů. Dodavatel v tomhle případě není
nijak známou veličinou. Možná získal výhradní kontrakt na tyhle druhy
bezpečnostních zařízení ve státní správě na základě takových těch obchodů typu
"já na bráchu...". Pak šlo toto doporučení od šéfa přes IT bezpečnost směrem ke
všem podřízeným ve státní správě. Neslyšela jsem náhodou, že ten úředník na své
pozici už dále nepracuje? Kromě toho, že zmiňovaného dodavatele neznám, a
nemohu si tudíž ověřit jeho historii, znepokojuje mě ještě ta skutečnost, že
nám nedodali žádnou podrobnou dokumentaci, ale jen dvě stránky o tom, jak ta
zařízení zapnout. To se u velkých dodavatelů zpravidla nestává například firma
Cisco dodává opravdu velké množství technické dokumentace. Požádala jsem
"záhadného" dodavatele o další podklady, přičemž jeho pracovníci se ale dál
pokoušeli o to, abych se s tímto stavem smířila. Říkali: "Dejte nám vědět, až
to budete instalovat a my vás tímto procesem provedeme." Jenže já nechci, aby
mě něčím prováděli. Chci, aby mi dodali to, co potřebuji, a pak mi zmizeli z
očí. Jak to napravit Takže co děláte vy, když uděláte velkou chybu? Krok 1:
připustit si, že jsem se zmýlil. Neházejte na nikoho vinu. Pojďte, řekněte to
se mnou pěkně nahlas: "Zmýlil jsem se. Udělal jsem chybu. Teď to musím
napravit." "Napravit to" znamená vymyslet, jak najít pro ta zařízení jiný účel.
Mám jich celkem osm. Můžu je zabalit a poslat zpět dodavateli. Ale ta zařízení
jsou v zásadě jen systémy, na kterých běží open source software pro různé
komponenty, třeba Openswan pro provoz sítí IPSec VPN. Proč bych je nemohla
rekonfigurovat pomocí řešení Snort a používat je pak jako síťové senzory?
Chtěla jsem skutečné firewally, ne zařízení typu děvče pro všechno. Ale výběr
toho správného firewallu a jeho implementace, to přece jen nebylo to, co mě
trápilo. Musela jsem jít za šéfem a vysvětlit mu, proč je použití těchto
zařízení příliš riskantní a proč bych je chtěla využít jiným způsobem. A
následně ho budu muset přesvědčit o tom, aby schválil nákup několika jiných
firewallů. Ufff. Sebrala jsem odvahu a řekla šéfovi, "Udělala jsem pořádnou
chybu a potřebuji vaší pomoc." Zavřel dveře mé kanceláře a sedl si. "Ale ne,"
pokračovala jsem, "není to osobní problém; je to technický problém." Zdálo se,
že se mu trochu ulevilo, a já jsem pokračovala o tom, že nemám žádnou důvěru v
ona zařízení a v jejich dodavatele a nejsem ochotná je instalovat do naší sítě
a ohrozit tak stabilitu a výkon našich sítí. Okamžitě odpověděl, "To není vaše
chyba. Já jsem schválil ten nákup a řekl vám, abyste jich osm koupila s tím, že
nejdřív jeden v našem prostředí otestujete." Jaká úleva!
Když můj šéf prokázal takovou velkorysost, mohla jsem vysvětlit, proč ta
zařízení nejsou vhodná jako podnikové firewally a nastínit svůj plán, jak je
využít jinak jako senzory detekce proniknutí. Ten plán se mu líbil a schválil
ho. A tady je poučení: Řekněte pravdu a připusťte, že jste se zmýlili. Lidé to
obvykle respektují. Doufejme, že máte tak skvělého šéfa jako já.
Řešíte podobné problémy jako C. J. Kellyová? Podělte se o svoje zkušenosti s
námi i se čtenáři Computerworldu. Můžete psát na adresu: bezpecnost@idg.cz.
(pal) 6 1594









Komentáře
K tomuto článku není připojena žádná diskuze, nebo byla zakázána.