Computerworld, США
ИТ-руководителям следует уделять больше внимания плохим новостям, поступление которых зачастую сопровождается полезной для последующей ликвидации изъянов информацией, и поощрять честность и откровенность
Если мой сын пытается скрыть свои ошибки, это не делает мне чести. В конце концов, ведь именно я должен научить его отвечать за свои поступки, бережно относиться к хрупким предметам, не оставлять домашние задания на последний день каникул и выполнять их правильно и аккуратно — если и не в этот раз, то хотя бы в следующий.
Жаль, что этого принципа крайне редко придерживаются руководители проектов и люди, отвечающие за работу ИТ.
Подобные ситуации довольно часто повторяются в корпоративном мире. Например, приходит время подвести итоги испытаний функционирования сети или приложений, и эксперт — тестировщик или независимый консультант — объявляет о наличии брешей в системе безопасности. Это приводит в замешательство весь коллектив. Так что же, риск потери данных лишил команду присутствия духа?
|
| Без понимания природы уязвимых мест — условий возникновения ошибки или какого-то иного изъяна — реальные причины останутся за кадром и не будут устранены. В этом случае администраторы и разработчики не учатся на своих ошибках, а качество систем неизбежно и неуклонно падает |
Нет, новость плоха тем, что люди лишатся своих премий или даже будут наказаны, если их наняли для поиска ошибок, а уязвимые места впоследствии обнаружились сами по себе.
Неизбежно возникнет желание подменить отчет — изменить формулировки, скрывая факторы риска путем понижения уровня опасности, или выстроить уязвимые места в таком порядке, чтобы ни одно из них нельзя было квалифицировать как непосредственную угрозу.
Иногда реакция на оценки приглашенного консультанта по безопасности может оказаться даже враждебной. Эксперт будет обвинен в некомпетентности, в использовании не получивших широкого употребления методов, а его выводы признаны не соответствующими политике управления рисками, принятой в организации.
Результаты исследований и отчеты оперативно корректируются с тем, чтобы внутренние аудиторы и сотрудники компании не успели ознакомиться с первоначальными результатами, или же как можно быстрее отправляются подальше в архив.
В ситуации, о которой идет речь, юрисконсульт компании исказил результаты исследований системы безопасности и выводы аудиторов до того, как они попали на стол к руководству. В отчете подтверждалась надежность защиты информации, и в случае привлечения организации к судебной ответственности придраться было фактически не к чему. Юрисконсульт поступил нечестно, неконструктивно и просто по-детски.
Но если взглянуть на вещи шире, оказывается, что это лишь одно из тех искажений, для сокрытия которых с течением времени понадобится еще более изощренный обман и которые из препятствий на дороге ИТ превратятся в проблемы юридического и финансового характера.
Предположим, что эксперт обладает достаточно высоким уровнем компетентности, а результаты его исследований по-настоящему объективны, но почему обязательно следует кого-то наказывать за выявленные изъяны?
Ведь чаще всего вопросы, связанные с безопасностью, возникают из-за нестыковки управляющих элементов или вследствие совершенно невинных ошибок.
Имеет смысл проанализировать недостатки и уязвимые места с тем, чтобы определить, не вызвано ли их появление некомпетентностью или злым умыслом.
Наказание после поверхностного расследования не может заменить глубокого изучения причин возникновения нештатных ситуаций.
Без понимания природы уязвимых мест — условий возникновения ошибки или какого-то иного изъяна — реальные причины останутся за кадром и не будут устранены. В этом случае администраторы и разработчики не учатся на своих ошибках, а качество систем неизбежно и неуклонно падает.
Ошибки совершают все, и в здоровой организации можно даже посмеяться над этим, вручив премию «Неумелые ручки» за наиболее интересный перл в конфигурации или пригласив разработчика на тарелку спагетти после распутывания очередной заковыристой ошибки.
Когда за робкие извинения я даю своему сыну дополнительный ломтик сыра, он все понимает — воспитательный процесс должен основываться на том, что лучше признать вину, учась на собственных ошибках, чем скрыть ее и солгать. Обязательно нужно дать ему понять, что если и не удастся совсем избежать насмешек, то серьезных последствий признания своей вины можно не опасаться. Однако припрятывание результатов анализа работы системы безопасности или, что еще хуже, насаждение в организации атмосферы страха, боязни выявления фактов и отчетов об обнаруженных уязвимых местах в долгосрочной перспективе будет иметь гораздо более негативный эффект, чем снижение качества.
Деморализация и всеобщее недоверие крайне опасны. У людей возникает желание подделать отчеты и результаты аудита. Жесткая реакция на небольшое осложнение — прекрасный способ создать себе гораздо более серьезные проблемы, которые выйдут далеко за пределы ИТ-службы. При этом следует учесть, что в сегодняшних условиях ужесточения нормативных актов многие элементы системы информационной безопасности находятся в непосредственной близости, а в некоторых случаях и прямо подпадают под действие новых норм и правил типа Акта Сарбейнса-Оксли или Акта об отчетности и безопасности медицинского страхования (HIPAA).
К примеру, конфигурация сетевого экрана финансовой компании должна предполагать возможность проведения финансового контроля за любым процессом или бухгалтерским приложением, функцией которого является размещение нужных фондов в нужном месте.
Сокрытие, подлог или какое-то иное искажение состояния этих показателей и дезинформация ответственного сотрудника компании ни к чему хорошему не приведет.
Искажение показателей может породить подозрение в несоблюдении требований других нормативных актов.
Очевидно, что ИТ-руководителям следует уделять больше внимания плохим новостям, поступление которых зачастую сопровождается полезной для последующей ликвидации изъянов информацией, и поощрять честность и откровенность.
Уверен, что недобросовестные руководители, а также те, кто пользуется недостаточно гибкими техническими методологиями, и дальше будут искать виновных в случае обнаружения факторов непредвиденного риска.
Однако хотелось бы пожелать им поучиться профессиональному отношению к подчиненным у представителей тех организаций, в которых честность никогда не отражается отрицательно на карьере.