А ваша IT-инфраструктура защищена?

Обычно руководители отвечают, что ИБ в ответсвенности IT-подразделения. Здесь кроется фундаментальная ошибка – в ответсвенности IT- подразделения развитие и сопровождение IT-инфраструктуры предприятия. Но верно и то, что именно действия IT-подразделения несут в себе наибольшие риски информационной безопасности. Как показывает практика, в 90% случаев внимание безопасности уделяется по остаточному принципу. Это не потому-что IT некомпетентны или не справляются со своей работой, это потому, что в фокусе внимания другие задачи – максимально быстро предоставить сервис и поддержать его в работоспособном состоянии. IT-подразделение стремиться максимально быстро предоставить сервис, часто оставляя вопросы безопасности "напотом", а потом появляются новые задачи. Из-за спешки где-то остаются открыты порты, где-то пароли не сильны. Это и есть лучше точки входа для злоумыленников. Убедиться в этом самостоятельно вы можете задав вопросы вашему IT:

Как много корпоративных (не публичных) сервсов доступны из интернета?

Лучший ответ – "все корпоративные сервисы находятся внутри VPN/ Офисного-периметра и недоступны из интерента". Плохой ответ – "не знаю, надо глянуть". Худший ответ – "все доступны, ведь это удобно, не надо заморачиваться с VPN".

Как давно обновлялись критичные для компании IT-системы?

Лучший ответ "на всех системах стоят последние обновления", плохой ответ – "где-то год назад", худший ответ – "не знаю".

Есть ли уверенность в том, что у уволенных сотрудников не осталось корпоративной информации?

Лучший ответ – "конечно, ПК был изъят и защищен в день увольнения, а все доступы закрыты по регламенту. Вот задача, где все отмечено". Сомнительный ответ – "да", лучше уточнить. Худший, традицоинно – "не знаю".

За действиями админа кто-то приглядывает и сохраняется история его действий?

У ИТ-подразделения исключительный доступ ко всей информации ваших IT-систем. Они могут незаметно читать всю вашу переписку, копировать

базы данных или вносить в них изменения. В подовляющем большинстве IT-специалиты себя так не ведут, и чтут профессиональную этику. Но если они захотят, то без внешнего контроля вы никак об этом не узнаете.

Расследует ли кто-то инцидент и будет инфа по которой можно расследовать?

Чаще всего после взлома сервера, злоумышленник подчищает за собой следы. И если журналы доступа и действий не записывались на отдельный сервер, то невозможно будет расследовать инцидент и найти виновного. Контрольный вопрос вашему ИТ – "если сервер взломают и удалят все содержимое, как мы сможем найти злоумышленника?". Идеальный ответ – "у нас независимый сервер сбора логов авторизации, действий, привилегированного пользователя и запсь трафика". Худший ответ – "не знаю". Честный – "никак не сможем".

А вы узнаете, что вас взломали?

Если спросить админа, как он узнает, что сервер взломан, то худшим ответом будет – "сервер перестанет работать", честным ответом будет – "никак". Ведь плох не тот злоумышленник, который на ваши серверы ПО для майнинга устанавливает, а тот кто незаментно сливает или исправляет данные. Прошло то время, когда хакеры вредили и ломали сервера "just for fun". Сейчас хакеры финансово мотивированы (пруф) либо продать найденные у вас данные, либо пошантажировать вас, либо шпионить в пользу конкурентнов. Современный хакер не будет выдавать своего присутсвия.