Поддержание безопасности вашей организации в актуальном состоянии

Безопасность — одна из самых динамичных проблем во всех вычислениях. То, что система безопасна сегодня, не означает, что она будет безопасна завтра. Постоянно обнаруживаются новые эксплойты, и важно, чтобы вы защищали свою сеть от этих эксплойтов по мере их появления.

Я знаю многих администраторов, которые придерживаются подхода «установил и забыл» к сетевой безопасности. Они делают все возможное, чтобы убедиться, что система безопасна, протестируют ее, а затем никогда больше не прикасаются к безопасности. Дело не в том, что эти администраторы ленивы (ну, может быть, некоторые из них ленивы), а в том, что быть сетевым администратором — очень ответственная работа. Если кто-то не кричит вам, чтобы вы выполнили проект, то этот проект почти отойдет на второй план по сравнению с проектами с более высоким приоритетом. В конце концов, просто нет времени постоянно возиться с улучшением безопасности, если только высшее руководство не сделает безопасность одним из самых высоких приоритетов.

Microsoft многое сделала, чтобы помочь переутомленным администраторам поддерживать безопасную среду. Такие утилиты, как Служба обновления системы и Центр обновления Windows, позволяют автоматически загружать и устанавливать исправления безопасности. Это гарантирует, что на всех серверах и рабочих станциях будут установлены все последние обновления безопасности.

К сожалению, автоматическая загрузка и установка исправлений безопасности не гарантирует безопасность системы. Это просто делает тех администраторов, которые вынуждены использовать метод «установить и забыть», менее уязвимыми для нарушения безопасности. К счастью, есть некоторые вещи, которые вы можете сделать, чтобы сделать вашу организацию более безопасной, даже если вы слишком ограничены во времени, чтобы применить практический подход к безопасности.

Очевидно, что я был бы крайне небрежен в своих обязанностях автора технологии, если бы не сказал вам, что вы должны ежедневно проверять свои журналы безопасности и искать способы повышения безопасности вашей сети. Тем не менее, я достаточно реалистичен, чтобы признать, что многим компаниям не хватает ресурсов для столь детального управления безопасностью. Если вы из тех, кто никогда не прикасается к безопасности, потому что у вас просто нет времени, то я рекомендую следовать моему шестимесячному плану.

Хорошая часть шестимесячного плана заключается в том, что вам нужно заниматься безопасностью только раз в шесть месяцев. Опять же, это не идеально, но это намного лучше, чем вообще никогда не заниматься безопасностью. Согласно моему шестимесячному плану, вам нужно делать три вещи каждые шесть месяцев; пересмотреть свою корпоративную философию безопасности, проверить свою сеть на наличие известных уязвимостей и посетить мероприятие по обучению безопасности.

Пересмотреть философию безопасности

Периодический пересмотр философии корпоративной безопасности является важным, но часто упускаемым из виду шагом. Идея состоит в том, что вы должны определить, соответствует ли ваша политика безопасности потребностям и культуре корпорации.

Хороший, но довольно экстремальный пример — место, где я работал. В первые несколько дней моей работы мне недвусмысленно сказали, что компания не верит в кибербезопасность (помните, это было в начале 1990-х). Пользователям не присваивались пароли, а серверы хранились в незапертом шкафу.

Хотя это была моя первая работа по сетевому администрированию, я достаточно знал о сетях, чтобы понимать, что такое полное отсутствие безопасности было очень необычным. Когда я спросил, почему безопасность такая слабая, мне ответили, что компания маленькая (менее ста сотрудников) и что президент компании считает, что строгие правила безопасности, пароли, запертые двери и тому подобное отвлекают от работы. непринужденная атмосфера, которую он хотел создать.

Прошло несколько лет, и компания выросла до более чем тысячи сотрудников. Однажды сменилось руководство. Новый менеджер совершенно разорился, когда понял, что в такой большой сети практически нет безопасности.

Если бы эта организация перестала пересматривать философию безопасности пару раз в год, то наверняка наступил бы момент, когда кто-нибудь сказал бы: «Эта сеть начинает становиться довольно большой, может быть, нам стоит подумать о добавлении некоторой безопасности». Тогда можно было бы реализовать лучшую безопасность, прежде чем отсутствие безопасности стало бы огромной проблемой.

Проверьте свою сеть на наличие известных слабых мест

Второй шаг в моем шестимесячном плане — проверка вашей сети на наличие известных уязвимостей в системе безопасности. Я понимаю, что вы, вероятно, обновляете свои операционные системы с помощью Центра обновления Windows или чего-то подобного, но этого недостаточно. Вам нужно проверять безопасность остальной части вашей сети пару раз в год. Помните, что то, что сегодня считается безопасным, завтра может оказаться небезопасным.

Хорошим примером этого является беспроводная сеть. Несколько лет назад протокол WEP считался безопасным. Однако сегодня шифрование WEP — это шутка, потому что его так легко взломать. Теперь представьте, что несколько лет назад вы внедрили беспроводную сеть и использовали WEP в качестве единственной линии защиты. Ваша беспроводная сеть какое-то время была бы безопасной, но по современным стандартам считалась бы крайне небезопасной. Вот почему так важно выявлять подобные недостатки хотя бы пару раз в год.

Посетите мероприятие по обучению безопасности

Третья часть шестимесячного плана заключается в том, что вы должны посещать как минимум два учебных мероприятия, связанных с безопасностью, каждый год. Я знаю, что трудно найти время для занятий, и что занятия, как правило, очень дорогие и очень скучные. Тем не менее, я считаю, что оставаться в курсе ваших курсов по безопасности абсолютно необходимо. В противном случае вы можете не знать, на что обращать внимание, когда придет время для полугодовой проверки безопасности сети.

Если вы беспокоитесь о том, чтобы разорить банк своим обучением безопасности, вам не нужно потеть. Корпорация Майкрософт в течение года проводит бесплатные учебные занятия по различным темам. Просто посетите http://www.microsoft.com/events и найдите бесплатные обучающие мероприятия в вашем регионе.

Ярлыки для ярлыка

Обращаться к безопасности вашей сети два раза в год — это огромный путь по сравнению с тем, что в идеале должно быть сделано для обеспечения безопасности. Тем не менее, я один из тех людей, которые всегда ищут кратчайший путь к кратчайшему пути. Я могу дать вам несколько советов, которые могут значительно облегчить вашу жизнь.

Первая хитрость заключается в делегировании полномочий и заключении субподряда, когда это необходимо. Как я уже сказал, шестимесячный план далеко не идеален, и я знаю множество людей, у которых на самом деле даже нет времени следовать этому плану. Если вы так заняты, то пришло время обратиться за помощью. В идеале вы должны нанять кого-то, чья работа заключается в обеспечении безопасности. Если у вас нет на это бюджета, подумайте о том, чтобы консультант приходил несколько раз в год и проводил проверку безопасности вашей организации.

Еще один ярлык — подписаться на веб-сайты, связанные с безопасностью. Существует множество сайтов, которые будут присылать вам сообщения электронной почты с объяснением всех последних проблем с безопасностью. Одним из моих любимых является Relevant Security News (http://www.relevanttechnologies.com). The Relevant Security News — это бесплатный информационный бюллетень, связанный с безопасностью.

Хотя я считаю, что подписка на различные веб-сайты, связанные с безопасностью, — отличная идея, я рекомендую ограничить число подписок не более чем пятью. Причина в том, что если вы подпишитесь на слишком много рассылок, то вы не будете их читать. В конце концов, если у вас нет времени на надлежащую безопасность, откуда у вас будет время прочитать весь этот материал?

Возможно, лучший совет, который я могу вам дать, — получить благословение руководства на лучшую безопасность. К сожалению, это может быть очень трудно сделать. Многие руководители высшего звена рассматривают кибербезопасность как дорогостоящее мероприятие, за которое компания ничего не получает взамен. Однако, если вы сумеете привлечь на свою сторону руководство, вам будет намного легче получить ресурсы, необходимые для обеспечения безопасности организации.

Если вы можете убедить руководство в том, что к безопасности следует относиться серьезно, то вашей первой целью должно стать выяснение того, какой вклад вы вносите в планирование ИТ-бюджета. В идеале было бы неплохо, если бы вы могли выделить достаточно средств, чтобы нанять кого-то для обеспечения безопасности компании. Это избавит вас от бремени.

Если вы можете создать новую должность в сфере безопасности, то для вас важно убедить руководителей высшего звена в вашей компании, что должность менеджера по безопасности должна быть структурирована совершенно иначе, чем у других сотрудников. Чтобы быть эффективным, менеджер по безопасности должен иметь прямой доступ к высшему руководству компании. Это лицо также должно иметь полномочия предпринимать любые действия, необходимые для обеспечения соблюдения политики безопасности компании.

Конечно, убедить руководство в том, что нужно нанять кого-то, кто будет заниматься безопасностью в организации, где раньше безопасность не вызывала беспокойства, — сложная задача. Возможно, придется делать маленькие шаги. Даже если вы не можете получить достаточно денег из бюджета, чтобы нанять кого-то, возможно, вы сможете получить достаточно денег из бюджета, чтобы инвестировать в некоторые инструменты безопасности, которые помогут автоматизировать безопасность для вас.

Вывод

Хотя безопасность должна быть главным приоритетом, во многих компаниях ею пренебрегают из-за нехватки ресурсов. В этой статье я обсудил методы, которые вы можете использовать для обеспечения частичной безопасности вашей компании, даже если вам не хватает ресурсов для агрессивного создания безопасной сети.