Manažer bezpečnosti: Přípravy na akvizici a slučování

16. 2. 2011

Sdílet

Ne všechno, co jako manažeři bezpečnosti děláme, musí zahrnovat pohromu.

Už jsem zažil několik sloučení a akvizic, takže když se naše společnost připravuje na koupi  malé firmy, už dost dobře vím, co mám dělat. To znamená, že tentokrát nebudu informovat o žádné krizi, ale doufám, že absence těžkostí manažery bezpečnosti, kteří tuto rubriku čtou, uklidní a ujistí, že události nemusí být vždy plné problémů.

Můj posudek pro akvizice a slučování obvykle začíná rozhovorem s ředitelem informačních technologií kupované firmy. V tomto případě je však daná firma tak malá, že takového pracovníka nemá a funkce IT je v ní zcela outsourcována, takže jsem se namísto toho setkal s výkonným ředitelem. Mohl mi poskytnout jen pár minut, proto byly moje dotazy stručné. Chtěl jsem vědět, jaká data společnosti považuje za citlivá, kde jsou uložena a zda někdy došlo k narušení zabezpečení.

V malé společnosti bude výkonný ředitel pravděpodobně znát všechny zaměstnance, kteří by mohli negativně reagovat na zprávu o akvizici. Je dobré o takových lidech vědět, protože pracovníci, kteří se cítí ohroženi zmíněnou koupí, mohou způsobit škodu.

V jednom případě, který jsem v rámci svých pracovních zkušeností zažil, změnil zaměstnanec algoritmy zdrojových kódů, na kterých dělal. Byl odhalen a následně propuštěn, nicméně nám oznámil, že akci pojal jako „zabezpečení práce“. Nebylo to z jeho strany dobré řešení, a proto to nefungovalo. Ani akce pracovníka jiné firmy, který se rozhodl odnést si domů pozlacené elektronické konektory, které by mu pomohly finančně přežít v případě propuštění. Vysvětloval, že plánoval tento majetek vrátit poté, co by se ujistil, že nebude vyhozen.

Kromě ředitele kupované firmy jsem se také setkal s konzultanty, kteří řídili infrastrukturu IT. Byli velmi zdvořilí a měli již připravenu hromadu informací, aby mi usnadnili práci: síťové diagramy, seznamy serverů a IT vybavení, kontrakty s dodavateli služeb, místa kontaktu atd.

Vždy si s sebou nosím USB paměť s nástroji, jako jsou Microsoft Baseline Security Analyzer, Sysinternal RootkitRevealer a Wireshark (open source analyzér pro kontrolu síťového provozu). Díky nim mohu získat pohled na stav zabezpečení počítačů a serverů z hlediska záplat, základních konfigurací, antivirového softwaru a zjistit, zda neprobíhají nějaké podezřelé síťové přenosy, které by poukazovaly na kompromitovanou nebo napadenou síť. Vím, že to není 100% indikace, ale protože jsem měl jen omezené množství času, musel jsem je použít. Nedostatek času také znamená, že má doporučení budou založena na určitých předpokladech, protože své nástroje mohu spustit jen na několika málo počítačích.

Tento případ vypadal velmi obvykle jako u většiny akvizic, které jsem již měl za sebou – mnoho počítačů nebylo aktualizovaných bezpečnostními záplatami a antivirový software nepocházel od významného dodavatele.

Nezjistil jsem žádnou podezřelou aktivitu v síti, ale firma měla slabé zásady firewallu, nezabezpečené přístupové body do bezdrátové sítě a nezajištěný vzdálený přístup. Také nevěnuje žádnou pozornost ochraně duševního vlastnictví a má velmi otevřenou sdílenou adresářovou strukturu.

Den č. 1
V životním cyklu akvizic naší společnosti nastává den č. 1 v okamžiku, kdy se kupovaná firma stává naším vlastnictvím z právního hlediska. S blížícím se dnem č. 1 musíme pracovat na tom, aby zaměstnanci kupované firmy mohli přistupovat k různým aplikacím a službám, jako jsou e-mail, benefity a výplatní pásky.

Povolil jsem použití produktu Citrix XenApp, abych jim poskytl přístup k prostředkům naší firmy pomocí dvoufaktorové autentizace. Jediným omezením je to, že nemohou přenášet žádná data ze svých počítačů do prostředí Citrix a naopak. Je to malé nepohodlí, které ale bude trvat jen krátkou dobu, dokud neodstraníme nalezené bezpečnostní problémy a nepropojíme sítě. V ten okamžik se stane naše nové pracoviště rozšířením našeho současného korporátního prostředí pomocí dedikované sítě VPN a spojů MPLS.