МЕНАДЖМЕНТ
В Microsoft приходит новый руководитель безопасности, важность этой области подчеркивается и в директивах
Microsoft предпринимает новые шаги по повышению безопасности и защищенности своей продукции. Об этом свидетельствует и недавний циркуляр корпорации, уделяющий главное внимание этим вопросам, и общая политика разработки, и назначение нового руководителя, отвечающего за выработку стратегии в области безопасности.
Все эти меры были предприняты вскоре после того, как Билл Гейтс разослал памятную записку, в которой призвал всех служащих действовать в рамках концепции “доверительной компьютеризации”. На жаргоне Microsoft это означает, что при реализации любых проектов во главу угла должны ставиться вопросы безопасности.
С 1 апреля нынешнего года стратегией в этой области будет заниматься Скотт Чарни - бывший специалист по компьютерной безопасности и киберпреступности фирмы PricewaterhouseCoopers. Говард Шмидт, занимающий эту должность, увольняется, чтобы стать вице-президентом Национального совета по защите критичных инфраструктур.
Чарни переходит на новый пост в нелегкое для Microsoft время: на протяжении двух последних лет продукцию корпорации буквально преследуют серьезные проблемы безопасности, и эксперты часто критикуют ее за то, что вопросы защиты воспринимаются здесь недостаточно серьезно. В прошлом при разработке новых продуктов Microsoft уделяла основное внимание их удобству и функциональности, однако сейчас положение начинает меняться. В свете недавнего обращения Гейтса и множества сообщений о крупных брешах в продуктах корпорация начала обращать основное внимание на безопасность.
В феврале Microsoft провела в Вашингтоне совещание Privacy and Data Security Summit, пригласив на него группу своих специалистов по защите информации. Перед ними выступил Ричар Перселл, ответственный за корпоративную безопасность. Он изложил новую обширную программу в этой области. В соответствии с ней каждое подразделение Microsoft должно будет осуществлять самоконтроль в соответствии со специально разработанными правилами и рассчитывать так называемый индекс PHI (Privacy Health Index - индекс защищенности).
Планом, который будет реализовываться в рамках всей корпорации, предусмотрены и меры наказания: подразделениям, не набравшим нужного количества баллов, может быть урезан бюджет.
По словам Перселла, сам Билл Гейтс заявил ему: “Если кто-то попросит у меня 400 тыс. долл. на выпуск нового продукта, а его индекс (PHI) окажется слишком низким, я предложу потратить эти деньги на повышение безопасности”.
Измерение эффективности, как отметил Перселл, будет продолжаться и дальше, но каждому подразделению придется представлять свои показатели раз в два года вместе с бюджетным запросом на следующий двухлетний срок. В основу новой программы положен внутренний документ объемом в 100 страниц под названием “Директивы безопасности”, в котором определены все цели корпорации в сфере безопасности.
В своем выступлении Перселл прямо указал на то, что программа PHI и инициатива “доверительной компьютеризации” в целом являются лишь началом серии корпоративных изменений. Microsoft реализует их в ожидании того дня, когда основу вычислительных процессов будут составлять не одни только персональные компьютеры.
Из других подобных мер Перселл упомянул, что корпорация наложила запрет на разработку в феврале новых исходных текстов. Руководство потребовало, чтобы все усилия разработчиков вместо этого были направлены на анализ миллиардов строк разработанных ранее кодов для выявления ошибок и брешей в системах безопасности.
Но даже при таком развитии ситуации внутри Microsoft Скотту Чарни придется нелегко. Ему предстоит не только восстанавливать пошатнувшуюся репутацию корпорации, но и претворять в жизнь указания Гейтса.
“Как один из ведущих отраслевых экспертов в области безопасности, Скотт отлично знаком с киберпреступностью и компьютерной юриспруденцией, - уверен Крейг Манди, главный инженер Microsoft. - Это поможет ему занять достойное место в руководстве программы доверительной компьютеризации”.
Манди выразил полную уверенность в том, что Чарни сумеет выработать долгосрочную, охватывающую все аспекты деятельности стратегию, что он прекрасно понимает основные проблемы на пути создания безопасных и хорошо защищенных программных продуктов и услуг для потребителей и отрасли в целом.
Проверка безопасности
Новая программа Microsoft по защите информации
- Базируется на внутреннем документе “Директивы безопасности”
- Намечает цели в области безопасности для каждого подразделения
- Обеспечивает постоянную оценку всех аспектов безопасности и позволяет сопоставлять полученные результаты с поставленными задачами
- Позволяет производить количественную оценку по индексу PHI
- Предусматривает сокращение бюджета подразделений с низким индексом PHI
