O bezpieczeństwie napisano już wszystko, a będzie napisane jeszcze kilka razy więcej. Samo bezpieczeństwo też nie jest prostym i jednoznacznym terminem, tak jak już nie jest nim "informatyka". Wyróżnijmy sobie rodzaje tego "bezpieczeństwa". Pierwszym niech będzie bezpieczeństwo dla takiego zwykłego użytkownika komputera - wiecie: antywirus, włączony firewall, niezostawianie haseł na żółtych karteczkach i siec bezprzewodowa zabezpieczona przez WPA1 - taki użytkownik to zbawienie dla branży. Mamy też bezpieczeństwo na poziomie instytucji z .gov w nazwie oraz innych korporacji - nazwijmy je uzasadnienie bardzo silnym. Na tym pokrótce wykreślonym schemacie, mamy szeroką, bliżej niezbadaną strefe bezpieczeństwa dla takich np MSP. Spokojnie można ją nazwać szarą strefą.
Absolutnie niezbadana, niedefiniowalna i całkowicie rozłożona na łopatki. Każdy średnio ogarnięty administrator znajdzie w necie wskazówki jak zabezpieczać sieci, ustawiać polisy, szkolić użytkowników, stawiać firewalle - jest tego masa. Nawet jak sobie podrażamy takiego ITIL'a albo zwyczajne procedury z centrali - wszystko napisane. Pojawia sie tylko jedno, wielkie ALE.
ALE po co.
W większości przypadków będzie to albo wylewanie dziecka z kąpielą, gdzie twardy dział informatyki tak ustali procedury, że ludzie pozabijają sie, nim dostaną do danych. To jednak nie najgorsza sytuacja, bo w sumie ludzie się kształcą, a i dane bezpieczne - i tak po zmianie administratora, albo kierownika IT, drugi to uprości, bo nie ma po co - zabezpieczymy sie tylko przed jakimś dzieckiem skryptu, albo przypadkowym atakiem. Jak będę kradł dane, to najpierw ukradnę laptopa prezentacyjnego, albo torebkę kierowniczki z pendrivem - jak juz musiałbym te dane kraść. Ta sytuacja za silnych polityk bezpieczeństwa i tak nie jest najgorsza, najgorsza jest taka, gdy dział IT, chce cos zrobić, ale nikt inny nie chce. Po co wypasiony firewall, gdy każdy ma nagrywarkę, a pracowników zwalnia się w trybie "nieprzyjaznym", każdy zdąży sobie nagrać co mu tam potrzebne Gdy ciało kierownicze nie ma pojęcia o informatyce i chce tylko aby to wszystko „jakoś działało”, to możemy dojść do śmiesznych paradoksów, wiecie: alufelgi do malucha. Samemu udało mi się znaleźć właśnie w takiej sytuacji, gdy jeden z elementów infrastruktury IT, delikatnie mówiąc, okazał się trochę na wyrost.
Przeprowadziłem ostatnio eksperyment myślowy z jednym z administratorów.
Pytam: Panie kolego, proszę mi wytłumaczyć dlaczego mamy wypasione firewalle, produkty jednej z topowych firm od spraw bezpieczeństwa, które wymagają oddzielnego serwera, licencji za kilkadziesiąt tysięcy, szkoleń po 4600 pln netto (3 dni) i 800 euro obsługi miesięcznie w centrali w jakimś pogańskim kraju? Bo widzi pa, ja tu mam takie urządzenie co sie wkręca w szafę, 1U zajmuje, jest jakaś nazwa firmy, ale to i tak pewnie jakiś Linux przykrojony przez magika, grunt, że jest support. Ono, to urządzenie, tez jest takim firewallem, dodatkowo ma opcje równoważenia obciążenia przez dwa łącza, statystki, qos, blokowanie p2p - czyli funkcje których nasze rozwiązanie nie posiada (bo nie wywaliliśmy kilkudziesięciu tysięcy na licencje i wdrożenie), dodatkowo, ono, to urządzenie będzie potrafił obsłużyć każdy student, którego przyjmę na praktyki (bez szkolenia, za przypomnę, 4600 pln netto trzy dni) i ono, to urządzenia kosztuje 3000 pln netto i przywiozą je jutro.
Administrator: Ale nasz firewall ma statefull packet inspection – Bóg wie, co tam jeszcze robi, logów, co nie miara, ledwo to ogarniam po szkoleniu...
Ja: To dobrze, niech pan broń boże do tych logów nie siada, pentagonu tu nie mamy, a robota stygnie, niech się pan czym pożytecznym zajmie..
No i co nam to daje, tak biznesowo, poza tym, że jesteśmy „dobrze zabezpieczeni” (czytaj: mamy drogiego firewalla). No co daje? Nic nie daje. To ja wole ten szmelc za 3000 zł, a za zaoszczędzoną kasę, kupie ludziom laptopy i większe łącze, a działowi informatyki nowy serwer.
Jak myślicie - co w realnym (i idealnym życiu, gdzie zarząd wie do jest czego informatyka) wybierze ciało kierownicze?
O to chodzi, ze połowa rozwiązań od bezpieczeństwa, jest o kant stołu potłuc, bo nie przekładają się w ŻADEN sposób na prawidłowe funkcjonowanie firmy, kosztują pieniądze, masę pieniędzy, nie są w pełni wykorzystywane i w efekcie utrudniają życie ludziom. Taniej i lepiej jest inwestować w pracowników i procedury bezpieczeństwa - efekt może nie natychmiastowy, ale długofalowy i pozostanie w firmie, a administrator (przypominam: 4600 - 3 dni) zawsze może odejść.
Uwaga dla komentujących - nie chodzi mi o bagatelizowania bezpieczeństwa w firmach i stawiania firewalli na ipchansach, chodzi o inwestycje z głową, oraz, co nie mniej ważne – kompleksowe podchodzenie do spraw bezpieczeństwa IT, tzn. przy współpracy i zrozumieniu zarządu…, a że często jest to niemożliwe? Cóż, ktoś musi zacząć to robić.
I takiej informatyki życzę Wam i sobie w nowym roku.
Subskrybuj:
Komentarze do posta (Atom)
1 komentarz:
Według mnie kluczowe w całym chyba IT jest podejście biznesowe. Nie tylko w zakresie bezpieczeństwa a choćby i przy definiowaniu wymagań na jakieś oprogramowanie/systemy ("guziki mają być tutaj a potem pani przeklepie te dane z papieru i już będzie lepiej..."). Niestety rzadko ludzie to czują. Najrzadziej chyba w pierwszych szeregach, na najniższych szczeblach hierarchii organizacji ale to chyba nie dziwi (w końcu od nich nikt tego nie wymaga a szkoda).
Zgroza i zgrzytanie zębami jest wtedy kiedy o biznesie nie można porozmawiać z ludźmi, którzy tym biznesem kierują ("zróbmy soft na bazie opensource - będzie taniej, wymagania wymyślcie - mniej więcej 'to i to' na pewno będzie dobrze a kto to kupi to już niech was o to głowa nie boli - jesteśmy tacy mocni, że ludzie będą od nas brali garściami i broń Boże nie rozmawiajcie z potencjalnymi klientami bo jeszcze coś głupiego wymyślą, zresztą to debile" - może trochę koloryzuję ale czegoś podobnego doświadczyłem).
Niestety tacy ludzie często pozostają nieświadomi i zadowoleni z siebie. Ktoś kiedyś mówił (chyba niejaki rudy zwierzak w orientalnej uczelni), że bez większego wysiłku zdobywa się małą część rynku - tak po prostu - i z tego się cieszą nieudacznicy. Cierpią ludzie z pomyślunkiem, dławionymi pomysłami, dzięki którym firma rozwinęłaby skrzydła...
Prześlij komentarz