最近,
在本文的第一部分中 ,我们说过,令我们惊讶的是,很少有公司将缺少两因素身份验证视为对信息安全的严重威胁。
为了理解原因,我们对决策者进行了四项描述-两名董事和两名IT部门负责人,一名针对大中型公司。 使用这些心理肖像,我们将尝试了解对信息安全公司轻率态度的原因。
上次,我们检查了
FlyTech炼油厂IT部门的主管 ,今天是时候了解其负责人(和其他两个角色)了。
康斯坦丁
公司介绍
炼油厂FlyTech,它是大型储油FlyOil的一部分。 总共有超过三千人在炼油厂工作,但是大约一千人与计算机技术相关。 这些都是辅助单位(经理,簿记,物流,销售服务,市场营销),以及通过Microsoft Windows上的终端与ICS一起工作的生产工人。
职位名称
行政总裁
负责什么
- 为使炼油厂整体平稳运行。
- 为了有效协调部门-金融,商业,工业,运输,安全和IT。
粗略地讲,每天必须通过铁路和输油管道向炼油厂供油,必须将其加工成汽油,煤油,燃料油等。 ,员工应获得薪水,计算机应能工作并服务于员工和生产。 康斯坦丁(Konstantin)对于部门的每个职能,要一次负责。 - 向工厂控股公司董事会和经理提出建议。
什么不负责
- 上述单位的日常工作是其领导者的责任。 如果生产现场发生事故,则没有蒸煮储罐,没有钱来自客户,则试图闯入网络-部门首长应处理所有这些问题,因为它们具有解决这些问题的必要技能,信息和工具。
- 对于整个控股的工作。
专业的世界观
从外部看来,该炼油厂远非可能的最大企业,尽管生产相当危险,但它仍不是核电厂。 但是,如果从上面看,可以看到炼油厂实际上是一个城市,其办公室,工厂内部的工厂,管道,食堂,消防员,警卫和数千名员工。
如果这个城市的管理不善,服务缺乏协调,那么后果可能是任何后果,直至生产停顿,甚至是看起来还不够的事故。 这将危害到整个地区的燃料供应。
因此,康斯坦丁每天都要进行很多例行和紧张的工作,以维护企业的健康。 对于这项工作,他需要太多特殊的知识和技能,以致他没有力量和时间去理解特定领域,例如复杂的财务会计或SOC实施。 他最大的知识和经验是在生产,市场营销和运输领域。 这是正常现象-至少有几位IT工作者至少大致了解
裂化技术或炼油的基本原理?
在对IT的威胁中,康斯坦丁(Konstantin)知道病毒和勒索软件(他并不知道勒索软件实际上是相同的病毒,但具有某些症状)。
他认为,由于他有适当的教育和经验,因此预防所有威胁的全部责任由Fedor承担。 他没有欲望或机会去深入研究这个问题。 试图告诉他有关IT问题的所有尝试都导致他被拒绝。 告诉他有关IT威胁的任何人,他都会重定向到Fedor。
如果“稻草人”陷入了康斯坦丁的灵魂,那么他要求费多尔给他一份有关风险可能性及其对炼油厂运营的潜在影响的报告,但是费多尔的客观性评估当然永远不会进行检查。
目前对2FA的态度
- 康斯坦丁(Konstantin)知道,身份验证是在PC上执行的,Fedor参与了所有PC,这意味着对2FA实施需求的整体评估应来自Fedor。
- 康斯坦丁(Konstantin)不理解2FA是指正式属于相邻责任范围的那些问题,但实际上,各方都认为其他服务也应负责盗窃密码。
- 康斯坦丁不了解2FA(他难以理解)与他理解(他认为)的威胁之间的联系-他感染了病毒和勒索软件。
现在,关于FlyTech精炼厂缺乏两因素验证的原因的假设开始浮出水面。 也许事实是,康斯坦丁(Konstantin)和费多(Fedor)认为2F是彼此关注的问题,却没有意识到在密码盗窃或数据泄漏的情况下这将成为普遍问题。 因此,康斯坦丁(Konstantin)相信,由于Fedor不会发出IT问题的信号,因此它们不存在。 但是Fedor认为密码保护更像是一项管理任务,并且由于Konstantin并不关注密码保护,因此这个问题并不严重。
为了证实或反驳这一假设,让我们再看两个字符。
既然我们在大型企业中发现了两因素身份验证,那么现在该是找出问题所在的时候了。 为此,我们想到了Tradex运输公司,并介绍了其首席执行官(同时是所有者)和IT部门负责人。 也许我们将从它开始。
彼得
公司介绍
运输公司“ Tradex”。 它在俄罗斯,独联体,中国和土耳其进行货运。 它拥有自己和吸引的货车和卡车车队,以及自己的仓库。 开展对外贸易活动(对外经济活动),参加电子招标。
职位名称
IT主管 他领导的团队由三人组成,其中一名员工在设置网络设备和软件方面具有相当的知识,而另外两名则是初学者“ enikeyshchiki”。
负责什么
适用于与计算机相关的所有内容。 同时,没有阐明工作政策或优先事项。 因此,在主管的计算机上还原Windows比阻止公司网站上的DDoS攻击更为重要。
同时,彼得相信大多数问题都可以通过其发生的事实来解决,而老板们也会从哲学上考虑其他问题。 那就是:
- CRM / 1C中的数据被破坏-不好,CRM / 1C一天无法正常工作-可以容忍;
- Director的PC无法正常工作-糟糕,普通经理的PC白天无法正常工作-可以容忍;
- 客户银行不起作用-不好,电子邮件不起作用-可以容忍。
什么不负责
用于访问数据和服务的权利和政策。 该部门负责人说,允许员工通过远程访问桌面-设置VPN和RDP。 对于总经理和部门负责人而言,员工是否可以“合并”数据已经成为一个问题。
为各种风险做好准备。 Tradex没有钱来购买备用笔记本电脑,以防员工突然摔坏自己的笔记本电脑。 现在,如果它破裂了,我们将考虑如何处理。 当然,同时要考虑到最可能的风险-例如备用办公室的通信渠道。
专业的世界观
“有效-请勿触摸。” 彼得的导演不太可能赞扬他的过度热情,但是如果他在改善过程中破坏了(或至少暂时使他们无法工作)工作服务,那么彼得将有罪。 因此,彼得不喜欢实验。 每次考虑是否要引入新的东西时,他都会评估缺少这些机会是否真的威胁着公司,而这可以归咎于他。 以及介绍是否会导致他被指控的问题。
目前对2FA的态度
彼得听说过此事,但我确定这与他们的公司无关。 大多数员工视线不清,如果有人试图将数据与他人的密码合并,则让安全理事会或主任亲自进行操作。 尽管如果彼得相信这种威胁的现实,他一定会告诉导演-以免发生任何极端情况。
如您所见,Peter负责IT中的所有问题,甚至比第一部分的同事Fedor还要负责。 由于普通公司规模不大,因此没有专门的安全服务(至少在IT事务方面胜任)。 彼得无法提及他人的责任范围或维修说明。
最后,我们提请您注意Tradex董事兼所有者Peter-Paul的负责人。
帕维尔
公司介绍
运输公司“ Tradex”。 它在俄罗斯,独联体,中国和土耳其进行货运。 它拥有自己和吸引的货车和卡车车队,以及自己的仓库。 开展对外贸易活动(对外经济活动),参加电子招标。
职位名称
首席执行官和所有者全部合而为一。
负责什么
为了一切。 只是他了解一些东西并完全控制它们,然后将其余部分委托给表演者。 由于他不了解事实,所以导演需要没有任何问题,并且需要对更改进行及时的反应。 也就是说,Pavel不知道“ cryptographer”一词,但是如果公司中的所有PC突然被阻止,他将与IT部门负责人打交道。 如果司机突然大吃一惊,那么他将驾驶运输部门的负责人。
什么不负责
如前所述,用于了解某些过程的详细信息。
专业的世界观
这是Paul的公司,所以他想相信他完全控制了所有流程。 他定期与部门负责人会面,他们向他详细介绍了当前状态,潜在的威胁和新产品(而这首先不是关于IT的-例如,Pavel对实施柏拉图系统对收入的影响非常感兴趣)。
帕维尔(Pavel)喜欢参加各种行业会议,这凸显了他的地位,并提供了学习真正重要的东西的机会。 如果他们说了一些令他感兴趣的东西,但是从他不是专家的那个领域说起,那么Pavel会将信息传送给相应部门的负责人,要求对其进行整理并向他报告。
目前对2FA的态度
帕维尔对2FA一无所知。 在专门的会议上,这些问题没有得到解决;彼得没有告诉他这一点。 如果正确地告知了他潜在的风险,那么他将要求彼得理解并报告他在公司中的重要性和可能性。 如果彼得说他们不需要2FA,那么Pavel将要求保证,如果不引入此技术,Tradex的安全性将不会受到影响。 然后,Pavel实施2FA比承担责任更容易。
结论
关于四个精明的人为什么要真诚地关心公司的安全性,他们知道有效且完善的两因素身份验证技术却不在家中实施的原因,应该有一个明智的结论。 尽管事实上引入是困难的,并且在成本和时间上都不是关键。
但是结论很简单。 我们需要更多地讨论密码的危害和2FA的好处,不仅对IT员工,而且对CEO都如此-2FA部署的数量将大大增加。
不同意吗? 我很乐意在评论中进行讨论!