Komentáře: Účinná obrana proti maskování

Od: Pavel

Pavel — Tue, 14 Oct 2008 20:29:40 +0000

Re: Unás to tak funguje.
Vypadá to, že máme podobnou kariérní historii. Mě se sice obdobné firmě podařilo na ŽL prodat SW za cca milion s téměř 7% marží, ale o dva týdny mě ukázali žalobu na 200 000 za mou (obchodníkem vynucenou) chybu. Nakonec jsme se dohodli na 75 tisících. Přidal jsem jim svou výpověd s čtrnáctidenní výpovědní lhůtou a s posledním kolegou jsme se s nimi opravdu za dva týdny rozloučili. Politika…
Nevím, jak je na tom ve Vaší firmě formální a skutečná bezpečnost, ale pokusil jsem se článkem naznačit, že se to dá snadno zjistit pomocí nasazení lidí do první linie. Minimálně to oživí porady, kde všechny grafy stoupají strmě vzhůru včetně toho, u něhož je napsáno Information Security. Jak by se asi zachoval generální ředitel, kdyby zjistil, že ho ředitel divize komerčního bankovnictví vodí za nos?

Od: Ročník 53

Ročník 53 — Mon, 22 Sep 2008 18:09:53 +0000

U nás to tak funguje.
Naše hlavní serverovna zabírá celé patro, je jištěna zrcadlem v jiné budově, a do ní se jen tak někdo nedostane. Tam do bezpečnosti skutečně nesmí mluvit nikdo, kdo není odborník na IT, tedy ani gen. ředitel naší opravdu veliké firmy.

Pak jsou místní podsítě, které jsou v různém stadiu bezpečnosti, ale striktně odděleny od citlivých dat. Přesto procházejí neustálou pravidelnou i namátkovou kontrolu, od níž se odvíjí odměny místních pracovníků a šéfů IT. Kde se pracuje s certifikáty a penězi, to jinak ani nejde.

Jinak jsem kdysi pracoval i pro jednu, dnes již neexistující firmu, kde bezpečnost spočívala v prohlášení, že zaměstnanci budou dodržovat bezpečnost dat, aniž by byli poučeni co se pod tím pojmem skrývá. Navíc v rámci úspor nařídil ředitel koupit jednu licenci offisů a ty chtěl rozkopírovat cca na 100 PC. Peníze nebyly na nic a dokonce mi už 10 let dluží nějaké výplaty. Vzhledem k tomu, že u státu mají sekeru za miliardy, tak už nic nedostanu. Maximálně podmínku. :))

Od: autor

autor — Mon, 22 Sep 2008 12:32:26 +0000

re: Určité řešení pro bezpečnost existuje
S tím, že IT by měl vést duševně zdravý paranoik lze jedině souhlasit.
Bohužel Vaše koncepce bude určitě fungovat ve firmě, kde serverovna nezabírá půlku, nebo dokonce celé patro.
Generální ředitel podle mě má, jako mluvčí akcionářů, právo bezpečnostní politiku v IT i zrušit, důležité je přesvědčit ho o negativních dopadech takového rozhodnutí a to jak v rámci podnikové strategie, tak v rámci každého dílčího projektu.

Od: Ročník 53

Ročník 53 — Sat, 20 Sep 2008 23:19:26 +0000

Určité řešení pro bezpečnost existuje.
Není to sice absolutní řešení, protože nic takového neexistuje, ale je nejlepší. To řešení je inteligentní a pracovitý paranoik odpovídající za bezpečnost sítí a dat.

Nesmí být líný dát přístupová hesla trezoru. Místnost pro servery musí být buď jen jeho, nebo pro několik vybraných a náhodně kontrolovaných jedinců. Zcela ve smyslu důvěřuj, ale prověřuj. Na chybu pracovníka musí pohlížet zcela paranoicky jako na úmysl. Svoji inteligenci musí použít k tomu, aby zkrotil svoji paranoiu a omezil počet a složitost hesel, které si musí uživatel pamatovat. V opačném případě jsou hesla na papírku pod klávesnicí, či na kalendáři s podrobným popisem „do SAPu, do mailu, do sítě, účetnictví atd…“. Pokud někdo poruší tato pravidla, musí být propuštěn, byť by to byl bratr jeho ženy.

O bezpečnostní politice na lokálních PC se ani nebudu zmiňovat. To je základ, byť se administrátor naběhá.

Hlavně – do bezpečnostní politiky v IT nesmí mít právo mluvit ani sám generální ředitel!