Доверяйте метрикам

Джонатан Фельдман

Среди ИТ-персонала “хорошим тоном” считается такой стиль работы, когда его присутствие практически незаметно. Однако это имеет и оборотную сторону; особенно если дело касается менеджеров по информационной безопасности: “незаметное” присутствие последних может быть истолковано как свидетельство недостаточной эффективности их работы.

В основе сетевой безопасно-сти лежит доверие. Но может ли персонал фирмы доверять человеку, деятельность которого связана с простоями, взломами и прочими негативными фактами? Ваше появление не должно производить фурор и сопровождаться миганием красных лампочек и воем сирен. Чтобы создать атмосферу доверия, менеджерам по безопасности нужно регулярно информировать окружающих о своих действиях. Если вы хотите, чтобы ваша служба безопасности пользовалась авторитетом у руководства, обеспечьте ее доступность и будьте готовы к обсуждению проблем.

Начать можно с совместного отслеживания метрик, таких, как метрики SNMP или метрики работы приложений. Одно из отделений ИТ, с которыми я сотрудничал, прежде чем инсталлировать спам-фильтр, предусмотрительно сохранило накопленные метрики службы электронной почты. После развертывания фильтра снятие метрик было продолжено. Такая практика позволила снизить среди персонала процент недовольных ложными срабатываниями фильтра. Несмотря на жалобы некоторых пользователей, анализ метрик показал, что это были единичные случаи и что основная деловая корреспонденция не терялась. Кроме того, менеджеры по ИТ имели возможность лучше контролировать работу электронной почты и могли отсеивать “мусор” в периоды известных вирусных эпидемий. Корреляция метрик помогает быстрее реагировать на подобные вспышки, поскольку вирус попадет в поле зрения ИТ-персонала еще на ранней стадии распространения.

В фокусе — данные

Перед тем как публиковать метрики внутри организации, используя, к примеру, ПО RRDTool, убедитесь, что полученный результат оправдает себя. Работа с большинством метрик под силу лишь специалистам, а не бизнес-менеджерам. Может быть, вам и интересно знать, сколько вирусов было обезврежено в прошлом месяце, но руководству эти знания ни к чему. Выбирая метрики для иллюстрации собственных действий, не зацикливайтесь на цифрах. Поинтересуйтесь в центральном офисе, какие метрики им хотелось бы увидеть. Если это не дало своего результата, сделайте, как говорится, шаг назад: решите, о чем вы будете говорить с руководством, а затем подумайте, какие показатели могли бы подкрепить ваши слова. Здесь вас поджидают как хорошие, так и плохие новости.

У начальства могут возникнуть сомнения, если ваши отчеты по безопасности окажутся слишком уж радужными.

Приобретя дорогостоящее ПО или устройство, представьте метрики, демонстрирующие качество его работы. Пользователи, чьи рабочие станции оснащены программными агентами централизованного управления конфигурированием ПО, чувствуют себя увереннее, если их ПК регулярно сверяются с центром на предмет соблюдения политики безопасности. Некоторые из подобных продуктов создают отчеты с результатами проверок. Такие отчеты служат неплохим свидетельством функциональности вашего ПО, особенно когда ему удается удержать нерадивых пользователей от разных соблазнов, подстерегающих их в Сети.

С помощью ПО централизованного управление вы можете бы-стро “залатать дыры” на ПК пользователей, изменить настройки реестра на более безопасные и т. д. В любой момент вы с чистой совестью отрапортуете руководству, что ваша служба работает оперативно.

Контролируйте все ИТ-процессы в вашей организации, особенно вновь появившиеся — например, такие, как оценка и устранение уязвимостей, проверка соблюдения серверных конфигураций, мониторинг неудачных авторизаций и особых отметок в журналах регистрации событий. Собирая все эти данные, вы всегда сможете четко ответить на вопрос, что происходит?

Время не ждет. Для того что-бы оправдать потраченные на безопасность средства, надо регулярно составлять достоверные отчеты, основанные на метриках. Если ваше руководство вдруг узнает из теленовостей о появлении очередного нового “червя”, то вы уже должны иметь под рукой соответствующий отчет..