#137 Ενημερωτικό Δελτίο και Συνεχής Πληροφόρηση από τους ανθρώπους της SeCure ΤΕΤΑΡΤΗ 17 ΝΟΕΜΒΡΙΟΥ 2010 Ασφαλής ιεραρχία Σε αυτό το τεύχος: 1 από τον Νίκο Βασιλειάδη Ο υπεύθυνος ασφάλειας πληροφοριών πρέπει να έχει λόγο στην εταιρεία. Τελεία και παύλα. Λόγο που να ακούγεται και να υποστηρίζεται από την ανώτατη εκτελεστική διοίκηση. Αλλιώς, το όλο οικοδόμημα της ασφάλειας κινδυνεύει να πέσει στο κενό. Με συγχωρείτε που εξοργίζομαι αγαπητοί αναγνώστες αλλά βρέθηκα πάλι μπροστά σε αδιέξοδο τις προάλλες. Συζητούσα με κάποιον επιχειρηματία ο οποίος είχε αποφασίσει να πάρει στα σοβαρά την ασφάλεια του δικτύου του μετά από κάποια συμβάντα που του στοίχισαν πολλά χρήματα. Του πρότεινα κάποιες λύσεις και του παρουσίασα τις βασικές αρχές της πολιτικής ασφαλείας που θα έπρεπε κατά τη γνώμη μου να εφαρμόσει λαμβάνοντας υπόψη τις ιδιαιτερότητες της επιχείρησής του. Ήταν απόλυτα σύμφωνος σε όλα και μάλιστα πλειοδότησε καθώς τα συμβάντα ήταν αρκετά πρόσφατα. Κάποια στιγμή του έθεσα και το θέμα του υπεύθυνου ασφαλείας πληροφοριών: Υπογράφων: Θα πρέπει να οριστεί κάποιο στέλεχος με τις κατάλληλες γνώσεις το οποίο θα αναλάβει το ρόλο του υπεύθυνου ασφάλειας πληροφοριών. Επιχειρηματίας: Εντάξει. Τι θα κάνει αυτός; Υπογράφων: Η πιο βασική του δουλειά είναι να «μεταφράζει» τις δικές σας οδηγίες σε τεχνικές οδηγίες προς αυτούς που θα τις υλοποιούν και το αντίστροφο, δηλαδή να μεταφράζει τους κινδύνους σε όρους που εσείς καταλαβαίνετε για να παίρνετε αποφάσεις. Στη συνέχεια θα πρέπει να επιβάλει στους χρήστες την πολιτική και τους κανόνες που έχουν αποφασιστεί. Επιχειρηματίας: Ωραία. Να βάλουμε τον Γιαννάκη που είναι στη μηχανογράφηση. Είναι νέο παιδί και πολλά υποσχόμενο και νομίζω ότι έχει σπουδάσει το αντικείμενο. Υπογράφων: Δεν αμφιβάλλω για τις γνώσεις του Γιαννάκη αλλά δεν νομίζω ότι είναι καλή επιλογή. Τι θέση έχει στη μηχανογράφηση; Επιχειρηματίας: Τώρα προσελήφθη ως βοηθός του διαχειριστή. Έχει πολλές γνώσεις όμως. (Κύριο Άρθρο) Ασφαλής ιεραρχία (Many Whys) Επικίνδυνα πειράματα (Sir DoRight) Κριτήρια αποδοχής (Prof. NumberTalk) Ίδια ώρα (Mr. HackIt) Βοήθεια! (Dr. VirKill) Ώρα ενημέρωσης
και ήταν πολύ περήφανη γι αυτό. Σίγουρη πως κανένας άλλος δεν είχε ανακαλύψει αυτό το «κόλπο» πάτησε το Enter και κοίταξε με σιγουριά προς το κοινό. Περίμενε να δει την αντίδρασή τους όταν θα παρουσιάζονταν στην οθόνη οι μακέτες. Διευθύνων Σύμβουλος: Καλοσύνη σας κα Whys που μου το λέτε κατάμουτρα. «Άτολμο» και «παράξενο» με χαρακτηρίζουν πολλοί αλλά είναι η αλήθεια ότι πρώτη φορά εισπράττω αυτόν το χαρακτηρισμό από προμηθευτή. Η Many δεν κατάλαβε στην αρχή τι είχε συμβεί ώσπου κοίταξε στην οθόνη. Δεν είχε ανοίξει η καρτέλα με τις προσφορές αλλά εκείνη με τα κρυφά σχόλια για τον πελάτη. Πώς είχε γίνει αυτό; Αφού κάθε φορά δούλευε το «κόλπο». Δεν μπορούσε να καταλάβει Επικίνδυνα πειράματα από τη Many Whys Τα μπάλωσε όπως όπως και γύρισε στην εταιρεία. Ήταν έξαλλη διότι μια σίγουρη δουλειά είχε φτάσει στην κόψη του ξυραφιού. Σήκωσε το τηλέφωνο και σχημάτισε τον αριθμό της μηχανογράφησης Many Whys: Γιώργο δεν θα πιστέψεις τι έπαθα σήμερα. Πήγα να παρουσιάσω τις μακέτες της ΧΥΖ και αντί να ανοίξει η σελίδα αυτή στο CRM άνοιξε αυτή με τα κρυφά σχόλια. Γιώργος: Δυο λεπτά να καταλάβω. Θες να πεις ότι επέλεξες από το μενού το «Προσφορές» και σε έβγαλε στα «Σχόλια»; 2 Η επίδειξη στον πελάτη είχε ετοιμαστεί. Με το καινούριο της notebook η Many Whys ήταν έτοιμη να παρουσιάσει την πρόταση της εταιρείας και ήταν σίγουρη ότι θα έκλεινε τη δουλειά. Ο Διευθύνων Σύμβουλος μπήκε στην αίθουσα. Τα φώτα έσβησαν Many Whys: Καλησπέρα σας. Ονομάζομαι Many Whys και σκοπός μου σήμερα είναι Είχαν περάσει σχεδόν είκοσι λεπτά και η παρουσίαση κυλούσε ομαλά. Η Many είχε μάλλον κερδίσει το κοινό της και ήταν έτοιμη να δείξει τις μακέτες. Ενεργοποίησε το CRM και άνοιξε την καρτέλα του πελάτη. Όπως έκανε πάντα έβαλε τον κωδικό του πελάτη στο πεδίο αναζήτησης και τέσσερα μηδενικά στο τέλος για να την πάει κατευθείαν στο φύλλο με τις μακέτες. Από εκεί θα μπορούσε να τις δείξει κατευθείαν και συγχρόνως να εντυπωσιάσει και με την εφαρμογή CRM που ήταν αναπτυγμένη από την εταιρεία της. Τα τέσσερα μηδενικά δεν ήταν μέσα στις οδηγίες του προγράμματος. Τα είχε ανακαλύψει μόνη της Many Whys: Όχι. Εδώ και καιρό χρησιμοποιώ το κόλπο με τα τέσσερα μηδενικά. Γιώργος: Τι χρησιμοποιείς είπες; Many Whys: Αν κάνεις αναζήτηση πελάτη με κωδικό και στο τέλος προσθέσεις τέσσερα μηδενικά, σε πάει κατευθείαν στην καρτέλα του πελάτη γυρισμένη στη σελίδα των προσφορών. Γιώργος: Πρώτη φορά το ακούω. Γιατί δεν μας το είπες; Many Whys: Νόμιζα ότι το ξέρατε. Γιώργος: Many, ό,τι ξέραμε το γράψαμε στο εγχειρίδιο χρήσης. Τέλος πάντων. Δε φταις εσύ. Ευχαριστώ πάντως για την παρατήρηση. Many Whys: Παρακαλώ. Ο Γιώργος έκλεισε το τηλέφωνο και γύρισε προς το γραφείο των προγραμματιστών. Τους είχε πει να ελέγξουν όλα τα πεδία εισόδου. Δεν το έκαναν. Ποιος ξέρει πόσα άλλα έχουν ξεφύγει Ξέρετε ποιος βρίσκεται πίσω από την πρώτη πλατφόρμα λογισμικού για τη διαχείριση συστημάτων Ολικής Ποιότητας στην Ελλάδα; www.msms.gr
Κριτήρια αποδοχής από τον Sir DoRight 3 Παραγγέλνουμε έναν καινούριο server ή ένα UPS με τις προδιαγραφές που θέσαμε. Μας παραδίδεται και είμαστε πανευτυχείς καθώς τον εγκαθιστούμε. Δεν έχουμε να δοκιμάσουμε πολλά πράγματα διότι λίγα είναι αυτά που μπορεί να έχουν πάει στραβά αν οι προδιαγραφές έχουν τηρηθεί πιστά. Τι γίνεται όμως αν το αντικείμενο της προμήθειας δεν είναι κάτι τόσο απλό αλλά είναι ένα firewall, κάποια εφαρμογή antivirus ή μια άλλη εφαρμογή σχεδιασμένη ειδικά για τις δικές μας ανάγκες; Μπορούμε να την αποδεχτούμε έτσι απλά; Το ασφαλέστερο σε αυτή την περίπτωση είναι να έχουμε έτοιμο ένα σενάριο δοκιμών και να έχουμε εκ των προτέρων θέσει τον τρόπο με τον οποίο θα πρέπει το νέο μας απόκτημα να ανταποκριθεί σε αυτό. Ας πάρουμε για παράδειγμα την περίπτωση ενός firewall: Πριν την εγκατάστασή του θα πρέπει να έχουμε καταγράψει τις λειτουργίες που έκανε το δίκτυο, τα site του Internet στα οποία μπαίναμε καθώς και τις εφαρμογές (π.χ. web mail) που εκτελούσαμε. Αμέσως μετά την εγκατάσταση θα πρέπει να δοκιμάσουμε όλες αυτές τις λειτουργίες για να δούμε αν εξακολουθούν να είναι διαθέσιμες. Δοκιμές βεβαίως θα πρέπει να γίνουν και από την αντίθετη πλευρά: Με βάση τις λειτουργίες που έχουμε αποφασίσει να κόψουμε ή να περιορίσουμε θα πρέπει να ελέγξουμε αν κάτι τέτοιο έχει γίνει. Δεν είναι δυνατόν βέβαια να δοκιμάσουμε όλα όσα θα προσπαθήσει να κάνει κάποιος κακόβουλος χρήστης, διότι αυτό είναι αντικείμενο μιας δοκιμής διείσδυσης (penetration test), αλλά τουλάχιστον όσα έχουν προδιαγραφεί θα πρέπει να υλοποιούνται. Το ερώτημα βέβαια που προβάλλει αμείλικτο είναι το εξής: Πώς είναι δυνατόν να γνωρίζουμε πριν από την εγκατάσταση του firewall τι θα θελήσουμε να αφήσουμε και τι να κόψουμε; Δεν εξαρτάται αυτό από τις δυνατότητες της συσκευής; Η απάντηση είναι ένα ξεκάθαρο «όχι». Τα firewall, τα antivirus, τα DLP και όλες οι σχετικές εφαρμογές δεν είναι παρά εργαλεία υλοποίησης της πολιτικής που έχουμε σχεδιάσει μόνοι μας ή με τη βοήθεια εξειδικευμένων συμβούλων. Είναι λάθος να εξαρτούμε αυτή την πολιτική από τις δυνατότητες της εφαρμογής ή της συσκευής που έχουμε αγοράσει διότι απλούστατα η προμήθεια έρχεται τελευταία μετά από τη χάραξη της πολιτικής. Οι προδιαγραφές που θα συντάξουμε προκειμένου να προχωρήσουμε στην προμήθεια θα προκύψουν από τη μελέτη που θα κάνουμε και προϊόν της οποίας θα είναι η πολιτική που θέλουμε να εφαρμόσουμε. Σε μεγάλα ιεραρχικά σχήματα είναι απολύτως επιβεβλημένος και ο εκ των προτέρων ορισμός των ανθρώπων που έχουν την εξουσιοδότηση να παραλάβουν τη συσκευή ή την εφαρμογή. Δεν είναι απαραίτητο να συγκροτήσουμε «επιτροπή παραλαβής» καλό είναι όμως να έχουμε προαποφασίσει σε ποιον θα αναθέσουμε το ρόλο αυτόν και να φροντίσουμε να παρίσταται τόσο κατά την εγκατάσταση όσα και κατά την εκτέλεση των διαφόρων δοκιμών. Μόνο έτσι θα μπορεί να συναινέσει ή όχι στην ορθή λειτουργία της συσκευής και άρα στην αποδοχή και παραλαβή της. Αυτά για να μην μετανιώσουμε και μπούμε σε περιπέτειες. H SeCure για σας! Είναι γνωστό ότι όλοι οι κατασκευαστές προϊόντων ασφάλειας δικτύων και δεδομένων αγαπούν τη SeCure. Γι αυτό και εξασφαλίσαμε για τους αναγνώστες του SeCure News έκπτωση 25% στη σειρά XCS της WatchGuard! Πρόκειται για τα γνωστά και πολυβραβευμένα mail/web security appliances που σε συνεργασία με τους μεγαλύτερους οίκους ασφάλειας (Symantec, McAfee, Kaspersky, Borderware, Websense) παρέχoυν προστασία Anti-Spam, Anti-Virus/Anti- Malware, Data Loss Prevention και Web Security. http://www.watchguard.com/products/ xcs-170-370-570/overview.asp Αν θέλετε να λάβετε την ειδική προσφορά μας, στείλτε μας ένα e-mail στο offer@secure.com.gr στο οποίο θα αναφέρετε την επωνυμία της εταιρίας σας, το όνομα του υπεύθυνου επικοινωνίας, ένα τηλέφωνο και τον αριθμό των χρηστών του δικτύου σας. Αποτελέσματα διαγωνισμού Ο δεύτερος διαγωνισμός μας έλαβε τέλος. Συγχαρητήρια στους νικητές που έστειλαν τις σωστές απαντήσεις: 133 Β, 134 Α, 135 Γ, 136 - Α
Ίδια ώρα από τον Prof. NumberTalk Ο Ιορδάνης ήταν πολύ ανήσυχος στο τηλέφωνο: Ιορδάνης: Έχουμε ένα πολύ σοβαρό πρόβλημα με το ERP! Πρέπει να έρθεις αμέσως. NumberTalk: Είμαι κοντά. Θα είμαι εκεί σε μισή ώρα. Έφτασα πράγματι μετά από λίγο και ζήτησα να μάθω το πρόβλημα: Τι ακριβώς συμβαίνει; Γιατί ήρθα σαν τρελός; Ιορδάνης: Είμαστε βέβαιοι ότι κάποιος έχει διεισδύσει στο ERP και έχει πάρει στοιχεία. Υπάρχουν αλλοιωμένες καρτέλες ενώ οι ημερομηνίες τελευταίας τροποποίησης είναι χτεσινές και εχτές ήταν Κυριακή. NumberTalk: Δεν ήταν κανείς εχτές εδώ; Ιορδάνης: Κανείς. Υπήρχε μόνο το προσωπικό ασφαλείας το οποίο όμως δεν έχει, κανονικά, πρόσβαση στην εφαρμογή. NumberTalk: Ωραία. Ας ακολουθήσουμε την αλυσίδα πρόσβασης. Πες μου την ώρα τροποποίησης μιας από τις καρτέλες που δεν θα έπρεπε να είναι έτσι. Ιορδάνης: Ας πούμε 14/11/2010 στις 13:00. NumberTalk: Θα κοιτάξω να δω τι έχει καταγραφεί στη βάση δεδομένων λίγο πριν από την ώρα αυτή. Ουπς! Γιατί το log file αρχίζει από τις 16/11/2010; Ιορδάνης: Α ναι! Έχουμε ένα θέμα με το συγχρονισμό των ρολογιών. Ο application server με τον database server διαφέρουν κατά 2 ημέρες περίπου. NumberTalk: Και πώς θα συγχρονίσουμε τα γεγονότα τώρα; Τουλάχιστον το firewall και ο router είναι συγχρονισμένοι; Ιορδάνης: Μεταξύ τους ίσως αλλά σίγουρα όχι με τους server. Κανείς δεν φρόντισε να το κάνει. NumberTalk: Κάνουμε τη ζωή μας ποδήλατο από μόνοι μας ρε Ιορδάνη. Ενώ θα πηγαίναμε στα log file και πέντε λεπτά πίσω, πέντε λεπτά μπροστά θα τη βρίσκαμε την άκρη, τώρα πρέπει να υπολογίσουμε τη διαφορά ώρας, να δούμε πόσο διαφέρει το ρολόι κάθε μηχανήματος από κάθε άλλο και τρέχα γύρευε. Ιορδάνης: Μα τι χρειάζεσαι τα log του firewall και του router μπορείς να μου πεις; NumberTalk: Είναι απλό. Με ενδιαφέρει να ξέρω τι έχει καταγράψει το firewall και ο router το χρονικό διάστημα που αλλάχθηκαν οι καρτέλες ώστε να μπορέσω να βρω αν πρόκειται για εισβολή από έξω ή από μέσα. Αν δεν υπάρχει καμία κίνηση εκείνη την ώρα στις πύλες του δικτύου, τότε η δουλειά έγινε μάλλον από μέσα και θα πρέπει να κινηθούμε ανάλογα. Θα βόλευε πολύ λοιπόν να έχουν όλες οι συσκευές την ίδια ώρα για να μπορούμε να συγκρίνουμε απ ευθείας τα log file. Ιορδάνης: Μα πώς μπορεί να γίνει αυτό; NumberTalk: Όλοι οι server σου μπορούν να συγχρονιστούν με τον domain controller και αυτός με μια εξωτερική πηγή NTP. Είναι πολύ εύκολο να το κάνεις. Τα δε ενεργά στοιχεία (router, firewall) μπορούν επίσης να συγχρονιστούν με αυτή την εξωτερική πηγή και τελείωσες. Ιορδάνης: Τώρα τι κάνουμε; NumberTalk: Τώρα πάρε μια αριθμομηχανή και κάνε τις πράξεις που θα σου πω 4 Βοήθεια! από τον Mr HackIt Λίγο πριν φτιάξουμε τα πρώτα μας script θα σας δείξω μερικά χρήσιμα εργαλεία: Δώστε την εντολή «Get-Command» και πατήστε το Enter. Θα εμφανιστεί μπροστά σας ένας κατάλογος με όλα τα διαθέσιμα cmdlets. Τι είναι αυτά; Είναι οι εντολές που είναι διαθέσιμες στο PowerShell ανάλογα με τις «βιβλιοθήκες» που έχουμε φορτώσει (περισσότερα γι αυτό σε προσεχή τεύχη). Εννοείται ότι αν δεν προλαβαίνετε να διαβάσετε το αποτέλεσμα της εντολής αρκεί να δώσετε «Get-Command more» για να σας παρουσιαστεί χωρισμένο σε σελίδες και να το προλάβετε. Ας πούμε τώρα ότι θέλετε να μάθετε περισσότερα για το cmdlet «Add-Computer» που εμφανίζεται στην αρχή της λίστας. Δεν έχετε παρά να καλέσετε το cmdlet Get-Help γράφοντας «Get- Help Add-Computer more» και θα δείτε μια αναλυτική περιγραφή του Add-Computer. Προσέξτε ότι για κάθε cmdlet το Get-Command μας δίνει τρία στοιχεία. Στην πρώτη στήλη αναγράφεται το είδος του, στη δεύτερη το όνομά του και στην τρίτη ο αναλυτικός ορισμός του. Για παράδειγμα η γνωστή εντολή «C:» που καθιστά τρέχοντα το δίσκο C δεν είναι τίποτε άλλο παρά η κλήση του cmdlet «Set- Location» με παράμετρο το «C:». Οι πιο έμπειροι ανάμεσά σας θα παρατηρήσατε ήδη ότι όλες οι γνωστές εντολές της γραμμής εντολών έχουν μεταφερθεί στη λογική των cmdlet. Αυτό μας δίνει τεράστιες δυνατότητες προγραμματισμού και αυτοματισμού όπως θα ανακαλύψουμε στα επόμενα.
Ώρα ενημέρωσης Ασφαλής ιεραρχία (συνέχεια) από τον Dr. VirKill 5 Κάθε πότε πρέπει να ενημερώνεται το antivirus; Μια συγκεκριμένη ώρα, όταν κάνει logon ο χρήστης ή όταν ξεκινά το μηχάνημα; Ας το σκεφτούμε λίγο: Εκείνο το οποίο έχει σημασία είναι το λεγόμενο «window of vulnerability» το χρονικό διάστημα δηλαδή κατά το οποίο ο υπολογιστής είναι εντελώς απροστάτευτος από μια νέα απειλή διότι δεν έχει ακόμα επικοινωνήσει με το σημείο ενημέρωσης και δεν έχει λάβει τις νέες βιβλιοθήκες ενώ αυτές έχουν εκδοθεί. Κάτω από αυτό το πρίσμα νομίζω ότι είναι περιττό να τονίσουμε ότι περιοδική ενημέρωση με συχνότητα μεγαλύτερη της εβδομάδας πρέπει να αποφεύγεται. Η μία εβδομάδα πλέον θεωρείται πολύ μεγάλο διάστημα για να παραμείνει το antivirus ανενημέρωτο και η ρύθμιση αυτή θα πρέπει να προτιμάται μόνο σε πολύ χαμηλού κινδύνου περιβάλλοντα όπου η προστασία εξασφαλίζεται με άλλον τρόπο (π.χ. στο firewall) και αποκλείεται η εσωτερική μόλυνση στο μέγιστο δυνατό βαθμό με την απαγόρευση σύνδεσης φορητών μέσων. Σε περιβάλλοντα μέσου κινδύνου καλό είναι η ενημέρωση να γίνεται κάθε φορά που ξεκινά ο υπολογιστής, Με τον τρόπο αυτό επιβραδύνουμε κατά πολύ την εκκίνηση της μηχανής και αυτό σε εταιρικό περιβάλλον μπορεί να μην είναι πολύ καλό, αλλά είμαστε σχετικά εξασφαλισμένοι αφού πριν αρχίσουμε να χρησιμοποιούμε τον υπολογιστή αυτός θα έχει ενημερωθεί. Αντίστοιχα αποτελέσματα έχουμε και αν ρυθμίσουμε την ενημέρωση να γίνεται με τη σύνδεση του χρήστη αφού η συχνότητα είναι ίδια όπως και στην προηγούμενη περίπτωση (πόσα logon να κάνει κανείς σε μία ημέρα;) αλλά χάνουμε σε ταχύτητα αφού η καθυστέρηση θα θεωρηθεί πρόβλημα από το μέσο χρήστη. Σε υψηλού κινδύνου περιβάλλοντα είναι προτιμότερο οι υπολογιστές να ενημερώνονται κατά τη διάρκεια της αδράνειάς τους (when idle) ώστε να επιτυγχάνουμε τη μεγαλύτερη συχνότητα ενημέρωσης με τη μικρότερη δυνατή όχληση. Η επιτυχία της ρύθμισης αυτής βέβαια εξαρτάται και από τον αριθμό των μηχανών και το πώς είναι μοιρασμένες διότι πολύ εύκολα μπορεί να δημιουργήσει μεγάλη κυκλοφορία στο δίκτυο και καθυστερήσεις στην ενημέρωση. Υπογράφων: Αν δηλαδή έρθει ο «Γιαννάκης» και σας χτυπήσει το χέρι στο τραπέζι και σας πει ότι πρέπει να υιοθετήσετε την τάδε πολιτική διότι αλλιώς κινδυνεύετε πώς θα νιώσετε; Επιχειρηματίας: Ε όχι και να χτυπήσει το χέρι ο πιτσιρικάς! Θα τον πετάξω έξω με τις κλωτσιές! Υπογράφων: Συνεπώς δεν κάνει ο «Γιαννάκης» για τη θέση αυτή. Πρέπει να είναι ένας άνθρωπος που θα εμπνέει πρώτα σε εσάς τον ίδιο εμπιστοσύνη για να εμπνεύσει μετά και σε όλους τους άλλους. Επιχειρηματίας: Το χέρι πάντως δεν ανέχομαι να μου το χτυπήσει κανείς. Δεν μπορώ να αναλάβω εγώ αυτό το ρόλο; Υπογράφων: Μπορείτε να εκπαιδευτείτε σε αυτόν το ρόλο για να τον αναλάβετε. Δεν νομίζω όμως ότι έχετε χρόνο γι αυτό και σίγουρα ούτε το γνωστικό υπόβαθρο. Θα αργήσουμε και το αποτέλεσμα δεν θα είναι αξιόπιστο. Επιχειρηματίας: Τι να κάνουμε τότε; Υπογράφων: Ακούστε, πρέπει να πάρετε μια πολύ σημαντική απόφαση: Αν θεωρείτε ότι η ασφάλεια είναι σημαντική, θα διαλέξετε έναν άνθρωπο με τις γνώσεις που χρειάζονται και θα του εκχωρήσετε τις αρμοδιότητες που πρέπει να έχει. Αυτό σημαίνει ότι θα τον αποδεχτείτε ως ειδικό και θα ακολουθείτε τις συμβουλές του εφόσον εμπιστεύεστε ότι σας τις δίνει για το καλό της εταιρείας. Αν δεν μπορείτε να τον δεχτείτε ως ειδικό ή αν δεν του έχετε εμπιστοσύνη, θα κάνουμε μια τρύπα στο νερό. Επιχειρηματίας: Να βάλουμε τον διευθυντής μηχανογράφησης. Ειδικότητά του είναι το λογιστικό πρόγραμμα αλλά θα τα καταφέρει πιστεύω. Και έχει την ηλικία για να επιβληθεί ακόμα και σ εμένα εδώ που τα λέμε διότι είναι μαζί μου από την ίδρυση της εταιρείας. Υπογράφων: Είναι μια πολύ καλή επιλογή. Εφόσον του έχετε εμπιστοσύνη και δεν ξεκινά από το μηδέν, οι γνώσεις καλύπτονται. Ο άνθρωπος μου έδωσε να καταλάβω ότι θα ακολουθήσει αυτή τη λύση. Στη συνέχεια όμως έμαθα ότι έστειλε τον «Γιαννάκη» σε κάποια σεμινάρια και τον έχρισε υπεύθυνο ασφάλειας πληροφοριών. Μερικά πράγματα είναι πολύ δύσκολο να αλλάξουν A4 SeCure ΕΠΕ Υακίνθου 3Γ, 153 43 Αθήνα Τηλ.: 210 60 80 395 Fax: 210 60 04 954 info@secure.com.gr www.secure.com.gr