Na granicy rozsądku

Ileż zdrowia, czasu i pieniędzy, a nade wszystko zapału i motywacji pracowników można by zyskać, gdyby tylko nie przeszkadzać im bardziej, niż to absolutnie konieczne?

Ileż zdrowia, czasu i pieniędzy, a nade wszystko zapału i motywacji pracowników można by zyskać, gdyby tylko nie przeszkadzać im bardziej, niż to absolutnie konieczne?

Wiele decyzji dotyczących bezpieczeństwa informacji jest podejmowanych przez zarząd, zaś informatycy są stawiani w roli "elementu wykonawczego". Problem w tym, że niektóre z poleceń zarządu są sprzeczne ze sobą, a czasami także ze zdrowym rozsądkiem, co widzą zarówno pracownicy działów IT, jak i użytkownicy, których polecenia te zwykle bezpośrednio dotyczą. Zachowanie pewnej równowagi między zupełną dowolnością zachowań użytkowników a pełną ich kontrolą nie jest być może łatwe, ale na pewno korzystne dla wszystkich. Swoiście rozumiany "porządek" często przeradza się bowiem w podskórny "bałagan".

Piekielne ograniczenia

Zastosowanie ograniczeń administracyjnych pewnych działań użytkowników jest koniecznością. Co do tego wszyscy są zgodni. Bez wątpienia należy całkowicie uniemożliwić instalację własnego oprogramowania, a także limitować dostęp do wrażliwych elementów systemu operacyjnego. Jest to konieczne, by użytkownicy o mniejszej świadomości szkodliwych następstw tych działań nie przyczynili się do szkód, o których potencjalnym istnieniu nie mają pojęcia. Przy tej okazji ukróci się także instalację pirackiego oprogramowania.

Na całą sprawę można jednak spojrzeć pozytywnie. Być może należy opracować mechanizm, by użytkownicy mogli sami instalować zatwierdzone uprzednio oprogramowanie - gdy będzie im potrzebne. To przecież właśnie w tym celu w Active Directory przewidziano opcję Published Software (w odróżnieniu od Assigned Software - pakietów instalowanych automatycznie). Wystarczy zatem opracować paczkę instalacyjną i opublikować ją, by po krótkim przeszkoleniu użytkownicy, zwłaszcza ci bardziej sprawni informatycznie, przestali czuć się ubezwłasnowolnieni. Czy są im one naprawdę potrzebne, to inna sprawa, ale czasami warto się na to zgodzić.

Ważną rzeczą jest sprawdzenie oprogramowania na osobnej testowej stacji roboczej - sprawdzenie musi obejmować kontrolę antywirusową i antyszpiegowską, a także przygotowanie instalacji i wykrycie ewidentnych konfliktów. Każdy administrator musi posiadać testowy komputer, na którym może dokonywać testów oprogramowania. Testowanie programów na produkcyjnym komputerze, który jest wykorzystywany do zadań administracyjnych, jest absolutnie niedopuszczalne. Wbrew pozorom nie wystarczy osobna instancja systemu operacyjnego zainstalowana na osobnej partycji - musi być całkowita rozdzielność dysków, tak by sprytne oprogramowanie nie zainstalowało na przykład szpiega lub wirusa w produkcyjnej instancji systemu.

Wielu dyrektorów nie rozumie tej zależności. Dla takich ludzi fakt, że administrator posiada dwa lub trzy komputery jest przejawem jego megalomanii. Tymczasem rozsądny administrator posiada jeden komputer z minimalnym zestawem oprogramowania, który służy wyłącznie do zadań administracyjnych, a drugi jest maszyną testową, którą można w każdej chwili "zaorać". Czasami wystarczy włożyć dwa dyski do szuflad i móc w ten sposób mieć dwie rozłączne konfiguracje.

Wytłumaczenie tego kierownictwu bywa niekiedy niesłychanie trudne. Dochodzi do takich paradoksów, że administrator dokonuje testowania nieznanych programów na komputerze, na którym w rejestrze i na dysku są dane typowo administracyjne. Gdy zaś w domenie nie jest wyłączane logowanie bez widoczności kontrolera (ukłon w stronę użytkowników laptopów), w rejestrze są skróty haseł, w tym także hasła użytkownika o uprawnieniach systemowych. Skutki są oczywiste.

Użytkownicy cierpią najbardziej, gdy zarząd wysyła administratora na otwartą wojnę z nimi. Walka jest bardzo twarda, administratorzy stosują cały arsenał ograniczeń, zaś użytkownicy wyciągają przeciw nim argumenty najcięższego kalibru. Oczywiście najpoważniejszą bronią przeciw wszelkim ograniczeniom jest stwierdzenie, że coś nie działa, a kiedyś działało. Co gorsza, często użytkownicy mają rację. Pomimo to, niektóre restrykcje mają sens.

Niewygoda dozowana

Wymaganie okresowej zmiany haseł i sprawdzanie ich złożoności to bardzo poważny krok naprzód, jeśli chodzi o bezpieczeństwo. Korzyści z takich restrykcji zdecydowanie górują nad niewygodami. Moje doświadczenia wskazują, że użytkownicy dość prędko opracowują schemat budowania dostatecznie mocnych haseł, które są dla nich łatwe do zapamiętania. Nie widzę powodów, by akurat to zarządzenie użytkownikom "odpuścić".

Wyłączenie dostępu do nośników wymiennych, takich jak dyskietka, jest cenne z punktu widzenia bezpieczeństwa. Wbrew pozorom nie chodzi tutaj o "wyniesienie" danych - gdyby ktoś naprawdę chciał, to może wydrukować te dane i wziąć ze sobą wydruk albo sfotografować dokumenty aparatem cyfrowym zintegrowanym z telefonem. Chodzi raczej o przyniesienie z domu "niespodzianki" w postaci wirusa.

Administrator z natury rzeczy jest bardziej doświadczonym użytkownikiem komputera, zatem gdy przychodzi do sprawdzenia nieznanej dyskietki czy nośnika Flash, będzie wiedział, jakie środki bezpieczeństwa zachować. Kopiowanie danych na nośniki wymienne w codziennej praktyce zdarza się w sumie rzadko - coraz częściej pliki po prostu wysyła się pocztą, w wyniku czego są automatycznie skanowane.

Ograniczenie dostępności do twardych dysków jest bardziej dyskusyjne, jednak przy sprawnej infrastrukturze serwerowej można to skutecznie egzekwować. Jeśli użytkownik będzie mógł łatwo i szybko zapisać dane na dysku sieciowym, w wielu przypadkach nawet nie zauważy różnicy. Zazwyczaj użytkowników łatwo przekonać do takiej pracy, używając argumentu kopii bezpieczeństwa. Na serwerze jest przecież codziennie wykonywany backup, a na ich stacji roboczej to wciąż egzotyka.


TOP 200