IT Professional Security - ΤΕΥΧΟΣ 61
Περιοδικό για το Enterprise Computing και την ασφάλεια πληροφοριών.
Περιοδικό για το Enterprise Computing και την ασφάλεια πληροφοριών.
Create successful ePaper yourself
Turn your PDF publications into a flip-book with our unique Google optimized e-Paper software.
T<strong>61</strong>08/09/10.2019<br />
News<br />
Ασφάλεια με γνώμονα τον χρήστη: μετατρέποντας ανθρώπους σε<br />
περιουσιακά στοιχεία ασφάλειας - H προσέγγιση της Boldon James<br />
Η τεχνητή νοημοσύνη, η ανάλυση της συμπεριφοράς των<br />
χρηστών, και το μοντέλο «zero-trust», αποτελούν σήμερα τις<br />
λέξεις και έννοιες που κυριαρχούν σήμερα στο «λεξιλόγιο»<br />
όσων ανήκουν στην βιομηχανία της ασφάλειας πληροφορικής.<br />
Οι εξελίξεις στην τεχνολογία κυβερνοασφάλεια που έχουν<br />
γίνει τα τελευταία χρόνια είναι εκπληκτικές, εξελίξεις που<br />
είναι απολύτως απαραίτητες καθώς προοδεύουμε προς<br />
έναν ασφαλέστερο κόσμο. Μια βασική παραδοχή σε πολλές<br />
από αυτές τις εξελίξεις είναι ότι οι άνθρωποι είναι απλώς<br />
ένας κίνδυνος που πρέπει να μετριαστεί από την τεχνολογία.<br />
Σε κάποιο βαθμό, αυτή είναι η απολύτως σωστή προσέγγιση.<br />
Ωστόσο, παρά τα όσα έχουμε πετύχει από τεχνολογικής<br />
άποψης, κακόβουλοι παράγοντες θα υπάρχουν πάντα και οι<br />
άνθρωποι θα συνεχίσουν να κάνουν αθώα ή αφελή λάθη.<br />
Η τεχνολογία δεν είναι δυνατόν να δώσει τη λύση σε κάθε<br />
πρόβλημα. Πως μπορούμε να μετριάσουμε αποτελεσματικά<br />
όμως αυτόν τον κίνδυνο; Ενδεχομένως θα πρέπει να<br />
υιοθετήσουμε μια πιο θετική προσέγγιση. μια προσέγγιση<br />
της οποίας στόχος είναι να μετατραπεί ο άνθρωπος από<br />
επικίνδυνος για την ασφάλεια σε ένα περιουσιακό στοιχείο<br />
ασφαλείας. Με λίγα λόγια: ασφάλεια με γνώμονα τον χρήστη<br />
(user driven security).<br />
Η ασφάλεια με γνώμονα τον χρήστη είναι μια μεθοδολογία που<br />
κατανοεί τον τρόπο με τον οποίο οι άνθρωποι αλληλεπιδρούν<br />
με τα δεδομένα, γιατί οι άνθρωποι κάνουν λάθη, αλλά<br />
και τους τρόπους για να εντοπιστούν και να αποτραπούν<br />
αθώα λάθη/ κακόβουλη δραστηριότητα. Χρησιμοποιώντας<br />
αυτές τις πληροφορίες, οι επιχειρήσεις είναι σε θέση να<br />
εφαρμόσουν μια απλή στρατηγική που περιλαμβάνει την<br />
εκπαίδευση των χρηστών για να κατανοήσουν πως να<br />
λειτουργούν με ασφαλέστερο τρόπο, ενσωματώνοντας την<br />
πολιτική ασφάλειας στην καθημερινή ροή εργασίας τους<br />
και χρησιμοποιώντας τις πληροφορίες που παρέχονται από<br />
χρήστες για την ενίσχυση της τεχνολογίας κυβερνοασφάλειας<br />
που χρησιμοποιείται ήδη από την επιχείρηση. Αυτή η<br />
διαδικασία μπορεί να κάνει τις επιχειρήσεις πιο ασφαλείς και<br />
πιο αποδοτικές.<br />
οι άνθρωποι θεωρούνται κίνδυνος για την ασφάλεια. Για<br />
παράδειγμα, στατιστικά από το Γραφείο της Επιτρόπου<br />
Προστασίας Δεδομένων Προσωπικού Χαρακτήρα (ICO) στην<br />
Μ. Βρετανία για τις κύριες αιτίες περιστατικών που αφορούν<br />
την ασφάλεια δεδομένων καθώς και στις περιπτώσεις που<br />
ανέλαβε δράση, το ανθρώπινο σφάλμα και το διαδικαστικό<br />
σφάλμα τείνουν να είναι οι βασικές αιτίες. Πιο συγκεκριμένα,<br />
οι λόγοι τείνουν να είναι οι: απώλεια/ κλοπή φυσικών<br />
εγγράφων, δεδομένα που απεστάλησαν σε λάθος παραλήπτη<br />
ή η απώλεια/ κλοπή κάποιας μη κρυπτογραφημένης<br />
συσκευής. Είναι εύκολο να δούμε πως και γιατί τέτοια<br />
περιστατικά μπορούν να συμβούν τόσο εύκολα. Ας ρίξουμε<br />
μία ματιά σε τρεις από τις κύριες αιτίες:<br />
• Οι άνθρωποι είναι απασχολημένοι και τεράστια ποσά<br />
δεδομένων δημιουργούνται κάθε δευτερόλεπτο<br />
• Τα δεδομένα έχουν αρχίσει να γίνονται το πολυτιμότερο<br />
περιουσιακό στοιχείο μία επιχειρήσεις, γεγονός που<br />
ενθαρρύνει κακόβουλους παράγοντες να επιχειρούν να<br />
τα κλέψουν<br />
• Οι επιχειρήσεις (και επομένως οι εργαζόμενοι) δεν<br />
έχουν την τάση να κατανοούν την αξία κάθε στοιχείου/<br />
δεδομένου που δημιουργούν.<br />
Όταν δείτε την πληθώρα της έρευνας που είναι διαθέσιμη<br />
για τους λόγους που βρίσκονται πίσω από κάποια απώλεια<br />
δεδομένων και τις αιτίες, είναι ξεκάθαρο για ποιο λόγο<br />
10 security