Dictatura IT sau controlul “cutiei negre”
Daca insa curiozitatea ar merge mai departe si ai fi interesat de drepturile de acces asupra unor fisiere mai speciale, precum, sa zicem, salariile, s-ar putea ca managementul sa confirme ca alaturi de personalul HR doar cativa “baieti” de la IT au privilegiul de a consulta netul salariatilor. Raspuns relativ natural, avand in vedere ca printerul de la HR se mai blocheaza, dar mai ales pentru ca intreg IT-ul a semnat un contract de confidentialitate.
Daca investigatia ta va aduce in fata managerilor executivi chestiuni precum strategii de securitate IT, proceduri de backup sau “segregation of duties”, este clar ca intrebarile nu li se adreseaza. Este o problema de competenta Directorului IT sau IT Managerului. El si “baietii” lui controleaza “black box-ul”. El este ca un preot pentru companie: poate “intra” in orice computer, oricand si oriunde, iar drepturile sale sunt totale.
Studii recente confirma ca marea majoritate a fraudelor bancare cunoscute nu au fost efectuate din exteriorul companiei, ci din interior, cu complicitatea personalului IT. Sunt binecunoscute cazurile Hungarian International Bank sau unele banci din Rusia fraudate de milioane de dolari de catre personalul IT din interior.
Acum cativa ani, am incercat sa-l invat pe directorul general cum sa evite o potentiala scurgere de informatii din calculatorul personal. I-am explicat metodele prin care eu pot accesa si manipula date din calculatorul sau, dar si mecanismele prin care pot fi depistat. Neavand un background tehnic, seful mi-a raspuns jenat ca nu va pricepe niciodata “chinezariile” mele. Spre surprinderea mea, dupa doar doua saptamani, directorul in cauza m-a anuntat ca a descoperit in logurile calculatorului sau primul “hacker”.
Experienta arata ca IT-ul continua sa fie privit in anumite firme ca un departament aparte, a carui activitate nu poate fi masurata sau controlata, lucru care este complet fals. Chiar daca board-ul este compus din persoane fara background IT (desi nu este indicat), el trebuie sa se asigure ca implementarea mecanismelor de securitate IT sunt in concordanta cu planul general de afaceri. In companiile multinationale, departamentele de audit intern includ personal specializat IT al carui rol este evaluarea procedurilor si controalelor de securitate IT implementate.
Implementarea unei strategii de securitate presupune printre multe alte varii activitati si stabilirea unui set de proceduri si politici IT scrise. Indiferent de standardul dupa care v-ati ghidat – COBIT sau BS7799 – un astfel de set trebuie sa includa minimal si:
- politica de securitate generala IT;
- politica de backup;
- politica de schimbare a parolelor;
- politica de antivirus;
- politica de comunicatii, email, Internet
Ca prim exercitiu, incercati sa aflati daca politica de backup adoptata in companie este cea mai buna din punctul de vedere al managementului riscului. In mod normal, ar fi trebuit sa fi fost implicat in stabilirea unei astfel de politici impreuna cu personalul IT, mai ales ca ea este o rezultanta a unui balans intre generozitatea bugetului IT alocat si riscurile asumate. Daca in ultimii ani, procesele de recuperare a datelor au decurs fara incidente majore inseamna ca politica, impreuna cu setul de proceduri destinat activitatii de backup au fost corecte. Daca insa in loc de fisierele importante, sterse absolut accidental de bodyguarzi, primiti din partea IT-ului un raspuns in genul “Sefu’ n-a pornit banda azi noapte”, probabil nu ati evaluat/asumat toate riscurile ori IT-ul nu si-a indeplinit integral taskurile.
“Nu crede in miracole! Bazeaza-te pe ele!” reprezinta una dintre legile lui Murphy legata de domeniul IT pe care doar IT-istii cu state vechi o inteleg. Implementarea unei solide politici de securitate IT ar trebui sa contribuie la demonetizarea acestei legi si in plus, sa confere managementului siguranta ca IT-ul este un proces controlabil si cuantificabil. Despre cum sa implementam o astfel de strategie de securitate, vom discuta in numarul urmator.