Co na to standardy i audytorzy bezpieczeństwa? Koncentrują się na tym, by posiadacz serwera nie zostawiał w nim "furtek", które umożliwiałyby przejęcie kontroli nad nim i wykorzystanie do rozsyłania spamu. Na uboczu pozostaje kwestia zabezpieczenia przed spamem organizacji jako całości; w szczególności dlatego, że zabezpieczenia takiego nie udaje się ubrać w zestaw prostych zaleceń.

Jak wiadomo, niechciane e-maile najlepiej zwalczać jak najwcześniej na ich drodze do użytkownika, w szczególności - na serwerach pocztowych i w protokołach transmisji poczty. Tymczasem np. zalecenia bezpieczeństwa nakazują... zainstalowanie oprogramowania antywirusowego i typu firewall na każdej stacji roboczej, co jest bodaj najdroższym (ze względu na TCO) i najmniej efektywnym sposobem zabezpieczenia komputera pracującego w sieci korporacyjnej. Problem phishingu jest im kompletnie obcy, zaś keylogging sprowadzają do problemu instalacji nieautoryzowanego oprogramowania przez użytkownika.

Rozkwit spammingu i phishingu, a także bezradność w przypadku pojawienia się nowego rodzaju zagrożenia, świadczy o nieskuteczności skodyfikowanego standardu bezpieczeństwa w radzeniu sobie z rzeczywistymi problemami trapiącymi usieciowione przedsiębiorstwo i społeczeństwo.

Bezpieczeństwo dla odważnych

Prawdziwym badaniem infrastruktury informatycznej przedsiębiorstwa pod kątem jej odporności na zagrożenia są oczywiście testy penetracyjne. Takie testy to nic innego, jak "kontrolowane włamanie" - określenie zagrożeń dla systemów następuje po ich stwierdzeniu w rzeczywistym środowisku. Taki test, za pomocą specjalizowanych narzędzi, przy pomocy bardzo wysoko i wąsko wykwalifikowanej kadry, jest też bardzo kosztowny. Natomiast różni się od tradycyjnie rozumianego audytu bezpieczeństwa tym, czym ćwiczenia wojskowe na poligonie przy użyciu rzeczywistego sprzętu (choć ślepej amunicji) od manewrów przeprowadzanych w sztabie, figurkami na mapie.

Można skonkludować, że standardy bezpieczeństwa oraz rozmaite regulacje prawne go dotyczące, w istniejącej dziś formie i z towarzyszeniem dzisiejszych praktyk w umiarkowanym stopniu służą zabezpieczeniu systemów przedsiębiorstw przed skutkami nieautoryzowanych działań w ich systemach.

Można jednak zauważyć, że nie to jest ich podstawowym celem. Podstawowy, dość wyraźnie widoczny cel to "ubezpieczenie" decydentów, w przaśnej polszczyźnie zwane przystępniej "obroną własnego stołka". Firma, która może pochwalić się, że wykonała badanie według jakiejś uznanej metodologii, w powszechnej opinii dobrze zabezpieczyła się przed intruzami. W przypadku firm amerykańskich, poddanych regulacji Komisji Giełd i Papierów Wartościowych (SEC), takie certyfikaty są dodatkowo wymagane przez samego regulatora.

Nieco więcej rezerwy wykazują analitycy i inwestorzy - w ich oczach liczy się przede wszystkim zysk netto i fakty - np. czy w mediach były jakieś informacje o włamaniach czy nie i czy firma poniosła z tego powodu rzeczywiste straty.

Dla nich każdy wydatek na bezpieczeństwo jest o tyle uzasadniony, o ile znajduje pokrycie w realnych ryzykach i przyczynia się do znacznego ich ograniczenia.

I właśnie w nich cała nadzieja. Dzięki nim przedsiębiorstwa w końcu spostrzegą, że standardy bezpieczeństwa i tegoż bezpieczeństwa audyty z reguły zapewniają raczej "bezpieczeństwo posad" niż "bezpieczeństwo systemów". Firmy zaś, po etapie krótkiego zachłyśnięcia się inwestycjami w security, safety i protection (wszystkie trzy angielskie słowa, o różnym zakresie znaczeniowym, w Polsce tłumaczy się tak samo) zauważą, że ponoszą koszty w sposób nieracjonalny.

Bo w bezpieczeństwo trzeba inwestować - o tyle, o ile jest to uzasadnione ekonomicznie.