Проект «Феникс». Роман о том, как DevOps меняет бизнес к лучшему - стр. 43
О, черт.
Это всего лишь шесть рабочих дней. Нам понадобится половина этого времени просто на чтение документа.
Наши аудиторы, которых долгое время я считал силой справедливости и объективности, тоже хотят мне подгадить?
Я снова беру в руки огромную стопку бумаг и просматриваю случайные страницы. Там много запросов вроде тех, что прочитал Вэс, но есть и такие, которые указывают на неверные настройки безопасности, существование нереальных аккаунтов, проблемы с контролем изменений и проблемы с распределением обязанностей.
Джон захлопывает свою папку и говорит официальным тоном: «Билл, я обсуждал многие из этих проблем с Вэсом и твоим предшественником. Они убедили директора по информационным технологиям подписать отказ, подтверждающий, что он понимает риски, и больше ничего не было сделано. Поэтому сейчас многое в этом отчете повторяется с прошлых лет, и не думаю, что в этот раз удастся также выкрутиться из ситуации».
Он оборачивается к Нэнси. «При прошлом режиме управления контроль в IT не был в приоритете, но так как теперь мы видим, к чему это может привести, я уверен, Билл будет более предусмотрителен».
Вэс смотрит на Джона с презрением. Я не могу поверить, что Джон рисуется перед аудиторами. В такие моменты волей-неволей начинаешь задаваться вопросом: а на чьей он стороне?
Не обращая внимания на Вэса и на меня, Джон говорит Нэнси: «Мой отдел занимался восстановлением некоторых других контрольных систем, которым тоже, на мой взгляд, нужно отдать должное. Прежде всего мы завершили токенизацию персональных данных в наших критических финансовых системах, так что, по крайней мере, хоть с этим мы разобрались. Эта проблема теперь закрыта».
Нэнси сухо говорит: «Интересно. Хранение персональных данных не попадает в поле зрения аудита на соответствие SOX-404, так что, с этой точки зрения, сфокусироваться на общем контроле в IT было бы лучшим способом использования времени».
Подождите-ка. Срочная токенизация, выполненная Джоном, была проделана впустую?
Если это правда, то нам с Джоном будет о чем побеседовать. Позже.
Я медленно говорю: «Нэнси, если честно, я понятия не имею, что мы сможем сделать для тебя к пятнице. Мы просто погребены под восстановительными работами и пытаемся еще поддерживать запуск «Феникса». Какие из обнаруженных проблем наиболее важны?»
Нэнси кивает Тиму, который говорит: «Конечно. Первое – это потенциальные существенные недостатки, они отражены на странице семь. Вот этот пункт указывает на неавторизованные и нетестировавшиеся изменения в приложения, которые поддерживают финансовую отчетность. Это могло привести к неопределяемой существенной ошибке, вплоть до мошенничества и т. п. У руководства нет способов контроля, которые могли бы предотвратить или защитить систему от подобных изменений.