Baru-baru ini,
di bagian pertama artikel , kami mengatakan bahwa kami terkejut betapa sedikit perusahaan yang menganggap kurangnya otentikasi dua faktor sebagai ancaman serius terhadap keamanan informasi.
Untuk memahami alasannya, kami menyusun empat deskripsi pembuat keputusan - dua direktur dan dua kepala departemen TI, satu untuk perusahaan besar dan menengah. Menggunakan potret psikologis ini, kami akan mencoba memahami alasan sikap sembrono terhadap perusahaan keamanan informasi.
Terakhir kali, kami memeriksa
direktur departemen TI kilang FlyTech , dan hari ini saatnya berkenalan dengan kepalanya (dan dua karakter lainnya).
Konstantin
Perusahaan
Kilang minyak FlyTech, bagian dari pemegang minyak besar FlyOil. Secara total, lebih dari 3 ribu orang bekerja di kilang, tetapi sekitar seribu orang terhubung dengan teknologi komputer. Ini adalah unit tambahan (manajer, pembukuan, logistik, layanan penjualan, pemasaran), dan pekerja produksi yang bekerja dengan sistem kontrol industri melalui terminal pada Microsoft Windows.
Judul pekerjaan
CEO
Apa yang bertanggung jawab
- Untuk kelancaran operasi kilang secara keseluruhan.
- Untuk koordinasi unit yang efektif - keuangan, komersial, industri, transportasi, keamanan dan TI.
Secara kasar, setiap hari minyak harus dipasok ke kilang melalui rel dan pipa minyak, minyak harus diolah menjadi bensin, minyak tanah, bahan bakar minyak, dll. , karyawan harus menerima gaji, komputer harus bekerja dan melayani karyawan dan produksi. Untuk setiap fungsi secara individual, kepala departemen bertanggung jawab, untuk semuanya sekaligus - Konstantin. - Untuk proposal kepada dewan direksi dan manajer holding pada pengembangan strategis pabrik.
Apa yang tidak bertanggung jawab
- Untuk pekerjaan sehari-hari unit-unit di atas adalah tanggung jawab para pemimpin mereka. Jika ada kecelakaan di pabrik, tank tidak mencuri, uang tidak datang dari pelanggan, upaya dilakukan untuk masuk ke jaringan - kepala departemen harus berurusan dengan semua ini, karena mereka memiliki keterampilan, informasi dan alat yang diperlukan untuk menyelesaikan masalah ini.
- Untuk pekerjaan seluruh holding.
Pandangan dunia profesional
Dari luar tampaknya kilang itu jauh dari yang terbesar dari perusahaan yang mungkin, dan meskipun produksi cukup berbahaya, itu masih bukan pembangkit listrik tenaga nuklir. Tetapi jika Anda melihat dari atas, akan terlihat bahwa kilang itu sebenarnya sebuah kota, dengan kantornya, pabrik di dalam pabrik, saluran pipa, kantin, pemadam kebakaran, penjaga, dan ribuan karyawan.
Dan jika kota ini dikelola dengan buruk, layanan yang tidak terkoordinasi dengan baik, maka konsekuensinya dapat berupa apa saja, hingga penghentian produksi, atau bahkan kecelakaan seperti itu yang tampaknya tidak cukup. Dan ini akan membahayakan penyediaan bahan bakar ke seluruh wilayah.
Karena itu, Konstantin setiap hari banyak yang rutin dan gugup bekerja untuk menjaga kesehatan perusahaan. Untuk pekerjaan ini, ia membutuhkan begitu banyak pengetahuan dan keterampilan khusus sehingga ia tidak memiliki kekuatan dan waktu untuk memahami bidang-bidang tertentu, seperti seluk-beluk akuntansi keuangan atau penerapan SOC. Pengetahuan dan pengalaman maksimalnya adalah di bidang produksi, pemasaran, dan transportasi. Dan ini normal - berapa banyak pekerja IT yang tahu setidaknya secara umum teknologi
cracking atau prinsip dasar pemurnian minyak?
Dari ancaman terhadap IT, Konstantin tahu virus dan ransomware (dia tidak berpengalaman untuk mengetahui bahwa ransomware sebenarnya adalah virus yang sama, tetapi dengan gejala tertentu).
Dia percaya bahwa seluruh tanggung jawab untuk pencegahan semua ancaman ada pada Fedor, karena dia memiliki pendidikan dan pengalaman yang sesuai. Dia tidak memiliki keinginan atau peluang untuk mempelajari masalahnya secara mendalam. Semua upaya untuk memberitahunya tentang masalah di TI menyebabkan dia ditolak. Siapa pun yang memberi tahu dia tentang ancaman TI, dia akan mengalihkan ke Fedor.
Jika "orang-orangan sawah" tenggelam dalam jiwa Konstantin, maka ia meminta Fedor untuk memberinya laporan tentang kemungkinan risiko dan dampak potensial pada operasi kilang, tetapi penilaian objektivitas Fedor, tentu saja, tidak pernah memeriksa.
Sikap saat ini untuk 2FA
- Konstantin tahu bahwa otentikasi dilakukan pada PC, Fedor terlibat dalam semua PC, yang berarti bahwa seluruh penilaian kebutuhan untuk mengimplementasikan 2FA harus berasal dari Fedor.
- Konstantin tidak mengerti bahwa 2FA mengacu pada masalah-masalah yang secara formal jatuh ke wilayah tanggung jawab yang berdekatan, tetapi pada kenyataannya masing-masing pihak percaya bahwa layanan lain harus bertanggung jawab atas pencurian kata sandi.
- Konstantin tidak memahami hubungan antara 2FA, tidak dapat dipahami olehnya, dan ancaman yang ia pahami (di mana ia percaya) - infeksi virus dan ransomware.
Sekarang, hipotesis tentang alasan kurangnya otentikasi dua faktor di kilang FlyTech mulai muncul. Mungkin faktanya adalah bahwa Konstantin dan Fedor menganggap 2F sebagai perhatian satu sama lain dan tidak menyadari bahwa dalam kasus pencurian kata sandi atau tumpahan data, ini akan menjadi masalah umum. Akibatnya, Konstantin percaya bahwa karena Fedor tidak memberi sinyal masalah TI, maka mereka tidak ada. Tetapi Fedor berpikir bahwa perlindungan kata sandi lebih merupakan tugas administratif, dan karena Konstantin tidak fokus pada hal itu, masalah ini tidak serius.
Untuk mengkonfirmasi atau membantah hipotesis ini, mari kita lihat dua karakter lagi.
Karena kami menemukan otentikasi dua faktor di perusahaan besar, inilah saatnya untuk mencari tahu bagaimana keadaan di media. Untuk ini, kami datang dengan perusahaan transportasi Tradex dan menggambarkan CEO-nya (dan sekaligus pemiliknya) dan kepala departemen TI. Mungkin kita akan mulai dengan itu.
Peter
Perusahaan
Perusahaan transportasi "Tradex". Itu melakukan transportasi barang di Rusia, CIS, Cina dan Turki. Ini memiliki armada kereta dan truk sendiri dan menarik, serta kompleks gudang sendiri. Melakukan kegiatan perdagangan luar negeri (kegiatan ekonomi asing), berpartisipasi dalam penawaran elektronik.
Judul pekerjaan
Kepala IT Dia memimpin tim yang terdiri dari tiga orang, di mana satu karyawan memiliki pengetahuan yang cukup baik dalam menyiapkan peralatan dan perangkat lunak jaringan, dan dua lainnya adalah pemula "enikeyshchiki".
Apa yang bertanggung jawab
Untuk semua yang berhubungan dengan komputer. Pada saat yang sama, kebijakan kerja maupun prioritas tidak dijabarkan. Dengan demikian, memulihkan Windows pada komputer direktur mungkin lebih penting daripada menolak serangan DDoS di situs web perusahaan.
Pada saat yang sama, Peter yakin bahwa sebagian besar masalah dapat diselesaikan dengan fakta terjadinya, dan bos secara filosofis akan menganggap masalah lain. Itu adalah:
- data dari CRM / 1C dihancurkan - buruk, CRM / 1C tidak bekerja satu hari - toleran;
- PC direktur tidak berfungsi - PC manajer yang buruk dan biasa tidak berfungsi di siang hari - toleran
- bank klien tidak berfungsi - buruk, email tidak berfungsi - toleran.
Apa yang tidak bertanggung jawab
Untuk hak dan kebijakan untuk akses ke data dan layanan. Kepala departemen mengatakan untuk memberikan karyawan akses ke desktop dengan mengatur jarak jauh VPN dan RDP. Apakah seorang karyawan dapat "menggabungkan" data sudah menjadi masalah bagi direktur umum dan kepala departemen.
Untuk meningkatkan kesiapan untuk berbagai jenis risiko. Tradex tidak punya uang untuk membeli laptop cadangan kalau-kalau karyawan tiba-tiba istirahat sendiri. Sekarang, jika rusak, kita akan memikirkan apa yang harus dilakukan dengannya. Pada saat yang sama, tentu saja, risiko yang paling mungkin diperhitungkan - seperti saluran komunikasi kantor cadangan.
Pandangan dunia profesional
"Berhasil - jangan sentuh." Direktur Petr tidak mungkin memujinya karena semangat yang berlebihan, tetapi jika dalam proses peningkatan ia merusak (atau setidaknya untuk sementara tidak beroperasi) layanan kerja, maka Peter akan bersalah. Karena itu, Peter tidak suka eksperimen. Setiap kali mempertimbangkan apakah akan memperkenalkan sesuatu yang baru, ia menilai apakah tidak adanya peluang ini benar-benar mengancam perusahaan dengan masalah yang dapat disalahkan padanya. Dan apakah pengantar akan mengarah pada masalah di mana dia dituduh.
Sikap saat ini untuk 2FA
Peter mendengar tentang ini, tetapi saya yakin ini bukan tentang perusahaan mereka. Sebagian besar karyawan terlihat jelas, dan jika seseorang mencoba untuk menggabungkan data dengan kata sandi orang lain, maka biarkan Dewan Keamanan atau direktur sendiri yang melakukannya. Meskipun jika Peter percaya pada kenyataan ancaman seperti itu, ia pasti akan memberi tahu direkturnya - agar tidak menjadi ekstrem jika sesuatu terjadi.
Seperti yang Anda lihat, Peter bertanggung jawab untuk semua masalah di TI, dan bahkan lebih dari rekannya Fedor dari bagian pertama. Karena rata-rata perusahaan tidak besar, tidak ada layanan keamanan khusus (setidaknya kompeten dalam masalah TI). Peter tidak bisa merujuk ke area tanggung jawab orang lain, atau ke instruksi layanan.
Dan akhirnya, kami sajikan kepada Anda kepala Peter - Paul, direktur dan pemilik Tradex.
Pavel
Perusahaan
Perusahaan transportasi "Tradex". Itu melakukan transportasi barang di Rusia, CIS, Cina dan Turki. Ini memiliki armada kereta dan truk sendiri dan menarik, serta kompleks gudang sendiri. Melakukan kegiatan perdagangan luar negeri (kegiatan ekonomi asing), berpartisipasi dalam penawaran elektronik.
Judul pekerjaan
CEO dan pemilik semuanya digulung menjadi satu.
Apa yang bertanggung jawab
Untuk semuanya. Hanya saja dia mengerti beberapa hal dan sepenuhnya mengendalikannya, dan mendelegasikan sisanya kepada para pemain. Fakta bahwa dia tidak mengerti, direktur membutuhkan tidak adanya masalah dan reaksi tepat waktu terhadap perubahan. Artinya, Pavel tidak tahu kata "cryptographer," tetapi jika semua PC di perusahaan tiba-tiba diblokir, ia akan berurusan dengan kepala departemen TI. Dan jika pengemudi tiba-tiba pergi ke pesta, maka dia akan mendorong kepala departemen transportasi.
Apa yang tidak bertanggung jawab
Seperti yang telah disebutkan, untuk pengetahuan tentang detail proses tertentu.
Pandangan dunia profesional
Ini adalah perusahaan Paul, jadi dia ingin percaya bahwa dia sepenuhnya mengendalikan semua prosesnya. Dia secara berkala bertemu dengan kepala departemen dan mereka memberitahunya secara rinci tentang keadaan saat ini, tentang potensi ancaman dan produk baru (dan ini bukan tentang IT sejak awal - misalnya, Pavel sangat tertarik dengan dampak penerapan sistem Plato pada pendapatan).
Pavel suka menghadiri berbagai konferensi industri, ini menekankan statusnya dan memberikan kesempatan untuk mempelajari sesuatu yang sangat penting. Jika ada mereka mengatakan sesuatu yang menarik baginya, tetapi dari daerah di mana dia bukan spesialis, maka Pavel mentransfer informasi ke kepala departemen terkait, meminta untuk mengatasinya dan melaporkan kepadanya.
Sikap saat ini untuk 2FA
Pavel tidak tahu apa-apa tentang 2FA. Pada konferensi khusus, masalah-masalah ini tidak dibahas, Peter tidak memberitahunya tentang hal ini. Jika dia telah diberitahu dengan benar tentang risiko potensial, maka dia akan menuntut agar Peter memahami dan melaporkan betapa kritis dan mungkin dia di perusahaan mereka. Dan jika Peter mengatakan bahwa mereka tidak membutuhkan 2FA, maka Pavel akan menuntut untuk menjamin bahwa tanpa pengenalan teknologi ini, keamanan Tradex tidak akan terpengaruh. Dan kemudian akan lebih mudah bagi Pavel untuk mengimplementasikan 2FA daripada bertanggung jawab.
Kesimpulan
Seharusnya ada kesimpulan cerdas tentang alasan mengapa empat orang pintar, yang benar-benar peduli tentang keamanan perusahaan mereka, tahu tentang teknologi otentikasi dua faktor yang efektif dan mapan, tetapi tidak menerapkannya di rumah. Terlepas dari kenyataan bahwa pengantar sulit dan tidak kritis dalam hal biaya dan waktu.
Tapi kesimpulannya sangat sederhana. Kita perlu berbicara lebih banyak tentang bahaya kata sandi dan manfaat 2FA, tidak hanya untuk karyawan TI, tetapi juga untuk CEO - dan jumlah penyebaran 2FA akan meningkat secara signifikan.
Tidak setuju? Saya akan senang membahasnya di komentar!