Poté, co jsem v nové společnosti už několik měsíců zaměstnaný, jsem byl pozván, abych informoval výkonný management o stavu našeho zabezpečení. Měl jsem půl hodiny, abych se formálně představil a promluvil o svém přístupu, počátečních zjištěních a prioritách, které bychom měli mít.
Třicet minut samozřejmě není moc času a já jsem dospěl k závěru, že by měl můj projev trvat maximálně 15 minut, abych dal vedení prostor klást mi otázky. Musel jsem zajistit, aby ta čtvrthodina opravdu stála za to.
Mými posluchači byli: výkonný ředitel, šéf zabezpečení informací, finanční ředitel, technologický ředitel a viceprezidenti pro obchod, marketing, podporu a provoz. Řekl jsem jim, že pracuji v oblasti zabezpečení dost dlouho, abych věděl, jaké věci fungují.
Současná situace
Že existuje pravidlo minimálních oprávnění, které vynucuje řízení přístupu na základě přidělení jen těch oprávnění, která každý jednotlivě potřebuje. Že je potřebné pečovat o povědomí o zabezpečení a že změna chování zaměstnanců je jednou z nejdůležitějších složek silného zabezpečení. Že existuje princip, že jsme jen tak silní, jak silný je náš nejslabší článek. A existuje zásadní poznání, že zabezpečení je proces, a nikoli statické řešení.
Příklady z reálného světa mi pomohly mé body vysvětlit. Například slabý článek: Uvedl jsem, že i velkou společnost, jako je Target s rozpočtem mnoha milionů, rozsáhlým týmem zabezpečení a certifikacemi PCI a dalšími, bylo možné napadnout, protože její dodavatel klimatizace umožnil ohrožení počítače.
Chování zaměstnanců: Uvedl jsem mnoho nedávných narušení, která byla způsobena tím, že někdo udělal něco, co dělat neměl. Bezpečnost jako proces: Řekl jsem, že potřebujeme technologie, které pomohou zabezpečit společnost, ale že žádné zařízení ani software nemohou zaručit bezpečnou infrastrukturu. Zabezpečení je produktem lidí, zásad, procesů a technologií, které mohou při vhodném použití zlepšit naši bezpečnostní situaci, a snížit tak riziko.
Mluvil jsem jen pět minut a příliš mi ani nevadilo, že jsem dvě minuty ztratil tím, že výkonný ředitel popisoval nějaký příběh z války.
Dále jsem potřeboval manažerům sdělit výsledky mého rozboru stavu zabezpečení. Tento posudek, jak jsem vysvětlil, vycházel z věcí, jako moje zjištění během procesu přijetí nového zaměstnance, kontroly existující dokumentace, z posudků zabezpečení, rozhovorů, kontrol firemních procesů či monitorování naší sítě.
Strávil jsem nějaký čas soustředěním se na to, co lze zjistit z monitoringu sítě. Nedávno jsme ověřili koncept použití firewallu Palo Alto Networks, který měl všechny úžasné nadstandardní doplňky schopné ukázat, jak se naše síť využívá z perspektivy zabezpečení a rizika.
Řekl jsem, co jsme zjistili: Naše přenosy směřují a přicházejí z více než 60 různých zemí. Používáme více než 30 různých řešení pro ukládání souborů do cloudu. Zaměstnanci užívají software pro komunikaci peer-to-peer a software pro vzdálené ovládání jako LogmeIn, což obojí porušuje naše zásady pro podnikový vzdálený přístup.
Naši síť zaměstnanci také používají přístup na pornografické weby, což vytváří rizika z oblasti práva, lidských zdrojů i zabezpečení. Firewall nám ukázal, že jsme pod útokem, a označil typ používaného útoku. Označil i několik interních zdrojů, které byly potenciálně zkompromitované a komunikovaly se škodlivými internetovými řídicími servery.
Všichni pozorně naslouchali. Rozhostilo se nepříjemné ticho následované vyjádřením nedůvěry, že by naši zaměstnanci mohli dělat tak rizikové věci. Fakta však nelze ignorovat a hodnota nástroje, který takové chování odhalil, byla nám všem jasná.
Doporučení na zlepšení
To byla má šance přejít k mým nejdůležitějším zjištěním a doporučením. Zdůraznil jsem potřebu posílení podnikové sítě segmentací do bezpečnostních zón, omezení přístupu k rizikovým aplikacím a získání viditelnosti hrozeb pro naši společnosti.
Poslední bod byl vlastně slabě maskovanou žádostí o finanční prostředky na nákup nástroje, který by nám poskytl druh monitoringu, jaký jsme ověřili v rámci konceptu Palo Alto.
Doporučil jsem také vyzbrojení našich počítačů pokročilejšími schopnostmi detekce, zpřísnění skupinových zásad a plné šifrování disku. Závěrem jsem připomněl své přesvědčení, že technologie není celým příběhem – pomocí argumentace, že změna chování je základní, pokud se nechceme stát oběťmi typů narušení zabezpečení, jak jsme viděli ve zprávách v posledních několika letech.
Jinými slovy, musíme vytvořit povědomí o zabezpečení podnikové třídy a vzdělávací program. Podařilo se mi tedy předložit argumenty a prezentovat své obavy. Doufám, že nás to dostane na cestu k lepšímu zabezpečení.
Článek napsal skutečný manažer bezpečnosti, který zde vystupuje jako Mathias Thurman. Jeho pravé jméno ani jméno zaměstnavatele z pochopitelných důvodů neuvádíme.
Tento příspěvek vyšel v Computerworldu 11/2016. Časopis (starší čísla i předplatné těch nadcházejících) si můžete objednat na adrese našeho vydavatelství.
PŘEDPLATNÉ
ČLÁNKY DO MAILU