Недавно впервые посетивший Россию Роберт Уоррэлл, нынешний ИТ-директор Sun Microsystems, имеет 25-летний опыт технического и ИТ-менеджмента. До того как стать ИТ-директором в Sun, он занимал в корпорации разные должности, связанные с ИТ: был вице-президентом по глобальным продажам, по международным операциям, по информационным технологиям, а с июля 2006 г. был назначен на должность ИТ-директора.

Г-на Уоррэлла считают высококлассным менеджером. В кругу специалистов его также знают как профессионала в области корпоративной информационной безопасности (ИБ). Своим опытом организации ИБ в сложном хозяйстве Sun Роберт Уоррэлл поделился с научным редактором PC Week/RE Валерием Васильевым.

PC Week: Какие задачи управление корпоративной информбезопасностью должно решать в первую очередь?

Роберт Уоррэлл: Управление ИБ — процесс многоплановый. Опираясь на опыт нашей компании, могу сказать, что основной функцией этого процесса сегодня является организация эффективного доступа к корпоративной информации. Мы внимательно следим за должностными перемещениями наших сотрудников, с тем чтобы предоставлять им этот доступ в соответствии с их реальными бизнес-ролями.

Помимо управления доступом управление ИБ включает другие важные компоненты, такие как мониторинг сетевого оборудования и использующих сеть приложений (прежде всего коммуникативных), тренинги по соблюдению ИБ для вовлеченного в эксплуатацию сети персонала.

Sun ежедневно получает до 100 млн. спам-сообщений, на обработку которых уходит уйма времени. Поэтому в ряду первостепенных задач обеспечения ИБ сегодня стоит борьба со спамом. Один из компонентов нашей системы мониторинга сети как раз для этого и предназначен.

Проблему для компаний по-прежнему представляют и зловредные программы. Мы отмечаем всплеск атак в летний сезон, когда нашу сеть атакуют ушедшие на каникулы студенты.

PC Week: Какие системы для управления ИБ используются в Sun — готовые промышленные, или вы выстраиваете это управление из отдельных, может быть, даже самостоятельно разрабатываемых блоков?

Р. У.: У нас, конечно, есть ряд готовых решений, хочу отметить и наш собственный продукт Sun Java System Identity Manager. Однако систему в целом мы строим из отдельных компонентов и при этом используем также продукты сторонних разработчиков.

PC Week: А какими компонентами других производителей вы прежде всего доукомплектовываете решение собственной разработки?

Р. У.: Sun Java System Identity Manager является интегральной основой системы управления ИБ в нашей компании. Но, например, для подразделения Sun, которое работает с федеральными структурами США, мы в соответствии с требованиями правительства этой страны обязаны были добавить в нее специальную систему, которая делает секретную информацию доступной только для уполномоченных для работы с нею сотрудников. Так, у нас функционирует специально выделенный экземпляр нашей системы CRM и системы обработки заказов. Допущенный к работе с секретными данными персонал использует ноутбуки со специальной конфигурацией, обеспечивающей соответствующую защиту таких данных.

PC Week: Какие серьезные ошибки в области управления ИБ, по вашим наблюдениям, сегодня характерны для компаний?

Р. У.: Серьезной ошибкой, с которой сталкиваются компании в области управления ИБ, является плохое управление доступом (об этом я уже упомянал). Зачастую однажды присвоенные пользователю полномочия доступа не редактируются вслед за изменениями положения служащего внутри компании. Появляется расхождение между реальным положением сотрудника и его правами доступа к информации. В нашей компании используются около1200 различных бизнес-приложений. Например, сейчас мы находимся в процессе внедрения сложного продукта Oracle 11i и продолжаем развивать систему управления ИБ. При этом большое внимание уделяется функционалу управления идентификаторами, IDM (этот функционал применяется в том числе и для предотвращения возникновения “дополнительных” неразрешенных учетных записей) и выполнению проверок SoD (разделение обязанностей, например, для того, чтобы один и тот же сотрудник не мог сделать большой заказ на закупку и сам же утвердить его). Поскольку система IDM построена на базе ролей, мы можем динамически изменять права доступа пользователей по мере изменения ролей сотрудников в компании, благодаря чему доступ к приложениям и данным всегда только у “правильных” сотрудников.

Уровни безопасности необходимо настраивать также с учетом профилей риска разных устройств.Так, в корпоративной сети для одного и того же пользователя доступ к важным данным можно разрешить через доверенные устройства (скажем, через тонкий клиент), но ограничить или даже запретить, если подключение происходит с сотового телефона либо через незащищенное устройство. Наша система IDM позволяет дифференцировать доступ и по таким параметрам.

PC Week: Какое место в вашей компании занимает интеграция используемых для управления ИБ средств? Какие технологии и стандарты задействованы для этого?

Р. У.: В этой области мы доверяем в первую очередь своим технологиям и продуктам. Мы активно применяем наши собственные операционные системы и другие свои разработки, такие как Java, Solaris и др. В нашей ИТ-инфраструктуре мы используем исключительно операционную систему Solaris, множество ее функций – например, RBAC (управление доступом на основе ролей) для управления доступом к системе, DTrace (динамическое отслеживание) для диагностики проблем с производительностью приложений, контейнеры Solaris (виртуализация) для повышения эффективности использования системы. Как я уже говорил, мы задействуем систему Sun Java System Identity Manager для управления аутентификацией на базе ролей и авторизацией доступа к приложениям. Этим мы подтверждаем, что предлагаемые нами стандарты и технологии успешно справляются с возлагаемыми на них задачами. Наша компания служит полигоном для испытания своих же продуктов перед тем, как они поступят к заказчикам. Это один из принципов нашей стратегии.

PC Week: Каковы особенности положения ИТ-директора в ИТ-компании по сравнению с вашими коллегами в фирмах, занимающихся иным бизнесом?

Р. У.: Прежде всего нужно учитывать то, что мое подразделение, состоящее из 600 сотрудников, обслуживает 34 тыс. высококлассных ИТ-специалистов, которые сами знают ответы на многие вопросы, возникающие в области ИТ. Поэтому требования к возглавляемому мною персоналу более высокие, нежели в компаниях, основной бизнес которых находится вне сферы ИТ. Мои сотрудники должны хорошо знать самые современные технологии и превосходить по компетентности остальной персонал.

PC Week: Как же вам без технического образования удается управлять такими квалифицированными экспертами?

Р. У.: Я умею находить ярких и умных людей, которые обладают необходимыми для работы в Sun техническими знаниями, и знаю, как использовать их могучий интеллектуальный потенциал в интересах бизнеса.

PC Week: Вы говорили, что ваши критерии отбора персонала строги — вы требуете честного и компетентного исполнения должностных обязанностей. А что компания Sun и вы лично как один из ее высших руководителей предлагаете сотрудникам взамен на их лояльность и компетентность?

Р.У.: В первую очередь это комфортная рабочая атмосфера, высокая корпоративная культура. У нас честные, открытые взаимоотношения внутри компании, сотрудники понимают, как она работает. US Magazine выделил Sun как одного из лидеров среди компаний по уровню корпоративной этики и прозрачности. Это высокий показатель. Плюс к этому неплохая зарплата, в том числе и у сотрудников московского офиса.

PC Week: А сколько сотрудников уволилось из вашего подразделения за последний год?

Р. У.: Компанию ежегодно покидают около 10% из числа постоянных сотрудников. Однако нередко они возвращаются обратно, когда, поработав в других местах, понимают, что рабочая атмосфера и корпоративная этика там не такая комфортная, как у нас.

Касаясь темы лояльности сотрудников, нужно учитывать следующую особенность организации труда в Sun. Последние шесть лет наша компания активно переходила на аутсорсинг. По этому направлению мы сотрудничаем с тремя основными поставщиками такого рода услуг: AT&T (для управление глобальной сетью), EDS (для эксплуатации наших ЦОД) и Computer Sciences Corp. (CSC, для управления разработкой и поддержкой приложений). В режиме аутсорсинга у нас работает около 2 тыс. привлеченных сотрудников.

PC Week: Что представляет собой та часть вашего личного ИТ-инструментария, которая отвечает за соответствие требуемому в Sun уровню безопасного доступа к корпоративным данным?

Р. У.: Политика безопасного доступа в Sun достаточно проста. Мы применяем Sun Java System Identity Manager и политику доступа на базе ролей для управления авторизацией и доступом к приложениям. Поверх системы IDM применяются электронные карты Java, обеспечивающие доступ к сети при работе вне офиса, в том числе с тонких клиентов, установленных у сотрудников дома. Мы используем технологии тонких клиентов, чтобы устранить возможность сохранения данных на локальных носителях настольных ПК. Сотрудничаем также с несколькими партнерами в США, которые разрабатывают новые ноутбуки категории тонких клиентов (Accutech и Naturetech). Эти устройства имеют те же средства безопасности, что и обычные наши тонкие клиенты (на них не сохраняются локальные данные), но вместе с тем более мобильный форм-фактор. Благодаря функциям связи Wi-Fi или 3G эти новинки обеспечивают нашим пользователям мобильность в самом офисе и возможность комфортно работать во время поездок, в том числе и за границей. На эту технологию обратило внимание правительство США.

PC Week: В современном пользовательском интерфейсе активно используется графика. Насколько хорошо технология тонкого клиента справляется с этой спецификой, особенно в случаях мобильного применения?

Р. У.: Разумеется, для графики высоко разрешения эта технология не подходит, зато она отлично справляется с такими приложениями, как электронная почта, календарь, электронные таблицы, бухгалтерская отчетность и другие подобные программы, необходимые бизнесмену в повседневной жизни.

PC Week: Благодарю за беседу.