Jednou z prvních věcí, které se pokouším v každém novém programu zabezpečení dělat, je měření úspěšnosti. Musím proto zjistit, jaký je náš současný stav, a nějakým způsobem ho změřit. To mi dává schopnost vytyčit kvantifikovatelné cíle, jako například „zaktualizovat 90 procent našich antivirových systémů“ nebo „záplatovat 90 procent našich systémů pomocí kritických aktualizací zabezpečení“.
Také mi to dává výchozí úroveň, vůči které mohu demonstrovat pokrok. Když se mě tedy ředitel IT zeptá, co jsem celý rok prováděl, mohu mu dát jasnou a čísly podloženou odpověď. Je to jeden ze způsobů, jak přistupovat k návratnosti investic – jednou z nejtěžších činností v oblasti zabezpečení totiž je ukázat to, jakou hodnotu společnost získává investicemi do bezpečnosti, a uvedená čísla nám v tom pomáhají.
Metriky pro patche
Hledal jsem tedy položky, které by bylo možné měřit. Jednou z nich je naše praxe ohledně instalace patchů. Stálí čtenáři vědí, že jejich implementaci považuji za jednu z nejdůležitějších záležitostí, kterou může firma udělat, aby se chránila před viry a zákeřnými exploity.
Před nedávnem jsme zažili nepříjemné virové epidemie jako například zamoření červem Conficker. Jejich vliv mohl být významně menší a možná zcela nulový, pokud by počítače naší firmy měly nainstalovány nejnovější opravy zabezpečení. Skutečně dobrým způsobem, jak přitáhnout patřičnou pozornost k problému implementace patchů, je ukázat, kolik z našich systémů je pozadu a jak významně – zde přichází ke slovu statistika.
Dobrou zprávou je, že naši správci systémů se instalaci opravných balíčků vůbec nebrání – to je příjemná změna vůči společnostem, kde jsem dříve pracoval. Ve skutečnosti mě vedly zkušenosti z předchozích firem možná až k příliš velké opatrnosti v přístupu k tomuto tématu.
Minulý týden jsem se setkal s naším ředitelem IT a ukázal jsem mu nasbíranou statistiku. K mému údivu nereagoval, jak jsem čekal. Myslel jsem si, že bude uvádět obvyklé důvody pro zdrženlivost – snížení stability systému kvůli instalaci patchů, dále příliš velkou náročnost z hlediska zdrojů apod. Namísto toho se mě ředitel IT zeptal, proč problém ještě nebyl vyřešen! Považuje jejich nasazení za základní činnost správců systémů a není podle něho žádný důvod, proč není vše v pořádku, tedy až na nedbalost. Na takovou odpověď jsem nebyl vůbec připraven. Chystal jsem se hájit myšlenku spolehlivého programu instalace patchů a namísto toho jsem musel vysvětlovat důvod jeho neexistence.
Postupovat rozvážně
Uvědomil jsem si, že v prostředí, kde čísla nejsou potřebná k přesvědčení lidí, aby se dělaly správné věci, existuje rovnováha mezi analýzou a akcí – příliš rozsáhlý sběr dat a jejich zpracování můžou vše zpomalit. Nedostatek dat může být stejně tak špatný, takže mým cílem bude usilovat o rovnovážný stav někde mezi.
Nyní musím zaměřit své úsilí na zlepšení naší situace s patchi. Na druhou stranu mám hromadu dobrých dat, která umožní demonstrovat, jak se věci zlepší, když na problému budeme pracovat. „Dvakrát měř, jednou řež“ je staré dobré pravidlo, které slyšel snad každý, ale po měření nastává čas pustit se do toho řezání.