IT Professional Security - ΤΕΥΧΟΣ 61

More documents

Recommendations

Info

T<strong>61</strong>08/09/010.2019 Cover Issue κότερη κατανόηση των αναγκών των πελατών) και μέσα από τη καινοτομία, η οποία επιζητείται με άξονα το ψηφιακό μετασχηματισμό. Τα παραπάνω συμπαρασύρουν ροή δεδομένων μεταξύ συνεργαζόμενων οργανισμών και χρήση της τεχνολογίας οπουδήποτε είναι εφικτό. Επίσης συνεπάγεται γρήγορη υιοθέτηση και χρήση νέων τεχνολογιών οι οποίες αυτοματοποιούν βασικές λειτουργικές διεργασίες των οργανισμών. Με το τρόπο αυτό η ασφάλεια των πληροφοριών συγκαταλέγεται στις περιοχές αυξημένου επιχειρηματικού κινδύνου που πρέπει να διαχειριστεί ένας οργανισμό Σε μια ολιστική προσέγγιση για την ασφάλεια των πληροφοριών οφείλουμε να λάβουμε υπ’ όψη μας πληροφορίες και συστήματα ανεξάρτητα από το σκοπό που αυτά εξυπηρετούν, όπου και αν βρίσκονται, όποια τεχνολογία και αν πρεσβεύουν. Συστήματα τα οποία χρησιμοποιούνται για τη διαχείριση βιομηχανικών διεργασιών και διεργασιών παραγωγής, είναι πλέον συστήματα που κατά μεγάλο ποσοστό είναι πανομοιότυπα με τα οικεία μας συστήματα πληροφορικής και συνυπάρχουν στο ίδιο εταιρικό δίκτυο με τα υπόλοιπα Π.Σ. Επίσης, συστήματα διαχείρισης της φυσικής ασφάλειας και προστασίας, καθώς και συστήματα που διαχειρίζονται φωτισμό, κλιματισμό, ανελκυστήρες και parking, έχουν υιοθετήσει οικείες μας τεχνολογίες & γνωστά πρωτόκολλα. Οδηγούμαστε σε μια υβριδική/συνδυαστική μορφή εκμετάλλευσης αδυναμιών ασφάλειας οι οποίες προέρχονται από διαφορετικά περιβάλλοντα και τεχνολογίες μέσα στον ίδιο οργανισμό. Οι απειλές της ασφάλειας των πληροφοριών υπερβαίνουν τις τυπικές απειλές που έχουν ως στόχο την Εμπιστευτικότητα, Ακεραιότητα και διαθεσιμότητα των πληροφοριών και επιπρόσθετα αφορούν στη αξιοπιστία & ανθεκτικότητά πληροφοριών και ψηφιακών συστημάτων που αυτοματοποιούν διάφορες λειτουργικές, ελεγκτικές και παραγωγικές διεργασίες των οργανισμών. Να αναφέρουμε μερικά παραδείγματα σχετικά με το τι μπορεί να αποφέρει η υβριδική/συνδυαστική μορφή εκμετάλλευσης αδυναμιών ασφάλειας: • Εξουδετέρωση συναγερμών και ειδοποιήσεων (alarms & alerts) που αφορούν σε ετερόκλητα συστήματα π.χ. διαχείρισης της φυσικής ασφάλειας και προστασίας, • Δημιουργία ψευδών αντιλήψεων / αντιπερισπασμό • Δημιουργία ψεύτικών στοιχείων ταυτοποίησης που αφορούν στη φυσική πρόσβαση αλλά και σε εφαρμογές διαχείρισης συστημάτων, αισθητήρων κλπ • Παρείσδυση σε συστήματα διαχείρισης υποδομών: δημιουργώντας άμεση διακοπή ή ζημιά στην ηλεκτρική ενέργεια, ανελκυστήρες, συναγερμούς πυρκαγιάς και ακόμη και ζημιά στα συστήματα παραγωγής Επίσης ενδιαφέρον είναι να δούμε τα συστήματα που διαχειρίζονται φυσικές εγκαταστάσεις, και έξυπνες συσκευές ή αισθητήρες. Τα συγκεκριμένα συστήματα πλέον λειτουργούν όπως και τα γνωστά μας συστήματα πληροφορικής. Συλλέγουν δεδομένα, επικοινωνούν μέσω δικτύων tcp/ip, είναι συνδεδεμένα στο εταιρικό δίκτυο (και ίσως αυτό να μην είναι γνωστό στην υπόλοιπη εταιρεία) και πολλές φορές η διαχείρισή τους γίνεται από εξωτερικούς συνεργάτες και φυσικά όπως όλα ψηφιακά συστήματα & τεχνολογίες έχουν αδυναμίες ασφάλειας πληροφοριών. Οι σύγχρονες απαιτήσεις για την ασφάλεια των πληροφοριών ολοκληρώνονται με την ανάλυση των διαφόρων ερευνών σχετικά με τις αιτίες που οδηγούν σε συμβάντα παραβίασης της ασφάλειας πληροφοριών και ψηφιακών συστημάτων. Οι κοινές συνιστώσες των περισσοτέρων ερευνών είναι οι ακόλουθες: • Οι επιθέσεις γίνονται από εξωτερικούς και οργανωμένους επιτήδειους, οι οποίοι εκμεταλλεύονται ήδη γνωστές αδυναμίες και κενά ασφάλειας • Ο ανθρώπινος παράγοντας και η παραπλάνησή του ή η αμέλειά του παίζουν μεγάλο ρόλο 20 security
• Όλοι οι οργανισμοί αποτελούν υποψήφια θύματα, ανεξαρτήτως του μεγέθους τους. Αυτό που μετράει είναι η αλλά με τη κρισιμότητα των πληροφοριών και η χρησιμότητα που θα έχουν σε όσους τις αποκτήσουν. • Οι επιθέσεις γίνονται στοχευμένα και με συγκεκριμένο σκοπό και εύρος κάθε φορά. • Η πλειονότητα των επιθέσεων εντοπίζεται μετά από μήνες • Όσον αφορά στη χώρα μας, από δικές μας αναλύσεις τα τελευταία 8 χρόνια, προκύπτει ότι ακόμα δεν εφαρμόζουμε αποτελεσματικά τα βασικά. Information Resilience H παραπάνω ανάλυση των απαιτήσεων που αφορούν στην ασφάλεια των πληροφοριών στο σύγχρονο περιβάλλον, ενδυναμώνουν το επιχείρημα για την ανάγκη μιας νέας ολιστικής προσέγγισης, η οποία θα ενδυναμώνει τη προσπάθεια του κάθε οργανισμού για επιχειρηματική Ανθεκτικότητα και Βιωσιμότητα, Ψηφιακό μετασχηματισμό, Καινοτομία και θα υποστηρίζει την οικονομία της συν-εργατικότητας. Οι βασικές συνιστώσες μιας τέτοιας προσέγγισης είναι οι ακόλουθες: • Ολιστική προσέγγιση στην διαχείριση των κινδύνων • Στο κέντρο του ενδιαφέροντος είναι η πληροφορία όπου και αν αυτή βρίσκεται και σε όποια τεχνολογία και αν αποθηκεύεται ή επεξεργάζεται. • Ετοιμότητα για απόκριση σε οποιαδήποτε κατάσταση μπορεί να μειώσει το επίπεδο ασφάλειας • Προστασία της πληροφορίας ακόμα και όταν αυτή βρίσκεται εκτός του Οργανισμού Η νέα προσέγγιση θα πρέπει να είναι ολιστική και να βασίζεται στους παρακάτω άξονες: Α) Στις βασικές αρχές της Ασφάλειας πληροφοριών- Εμπιστευτικότητα, Ακεραιότητα και Διαθεσιμότητα - προστίθεται η Ανθεκτικότητα και η Αξιοπιστία, οι οποίες είναι συνυφασμένες με την αυτοματοποίηση των λειτουργικών διεργασιών και τον ψηφιακό μετασχηματισμό. Β) Ανάγκη ν’ αλλάξει και η θεώρηση ότι η ασφάλεια των πληροφοριών υλοποιείται μέσα από μία συνεχή και επαναλαμβανόμενη διεργασία. Το νέο τοπίο απαιτεί δύο συνεχόμενες διεργασίες οι οποίες αφορούν στα ακόλουθα: • Υιοθέτηση των δικλείδων ασφάλειας που αφορούν στον οργανισμό, οι οποίες προκύπτουν από μια ολιστική μεθοδολογία αξιολόγησης κινδύνων και στη συνέχεια τίθενται σε εφαρμογή μέσω ενός πλαισίου διακυβέρνησης για τη προστασία των πληροφοριών και των ψηφιακών δομών. Η πρώτη αυτή διεργασία περιλαμβάνει και τη συνεχή εγρήγορση και ευαισθητοποίηση των εργαζομένων σχετικά με το ρόλο τους ως προς τη προστασία των πληροφοριών αλλά και τους κινδύνους που υπάρχουν. • Αποτελεσματική λειτουργία των δικλείδων ασφάλειας και συνεχής βελτίωση τους. Η εν λόγω διεργασία αφορά στη μεγιστοποίηση της αποτελεσματικότητας της ασφάλειας πληροφοριών, της συνεχούς βελτίωσής της, καθώς και στην απόκριση σε οποιοδήποτε γεγονός ή κατάσταση που μπορεί να μειώσει ή να παραβιάσει το απαιτούμενο επίπεδο ασφάλειας πληροφοριών. Η νέα ολιστική προσέγγιση που αφορά στην ασφάλεια των πληροφοριών και η υλοποίηση των παραπάνω δύο συνεχόμενων διεργασιών, στηρίζεται και εξαρτάτε από τρείς σημαντικές αλλαγές στη νοοτροπία και στο τρόπο που λειτουργεί η ασφάλεια των πληροφοριών σε κάθε οργανισμό. Οι αλλαγές αυτές προσδιορίζονται από τις λέξεις Υιοθέτηση, Αποτελεσματικότητα και Απόκριση. Υιοθέτηση Υιοθέτηση και όχι απλά υλοποίηση των δικλείδων ασφάλειας, με ολιστική προσέγγιση. Σχεδιασμός και υλοποίηση της στρατηγικής για την ασφάλεια των πληροφοριών με βάση τη γενική στρατηγική του κάθε οργανισμού, το συγκεκριμένο προφίλ κινδύνων αλλά και όλες τις απαιτήσεις συμμόρφωσης (απαιτήσεις που συμπεριλαμβάνουν και απαιτήσεις από σύναψη συνεργασιών με τρίτους αλλά και συμμόρφωση με τις πολιτικές του ίδιου του οργανισμού). Σε μια ολιστική προσέγγιση κάποιες από τις πολιτικές και τις διαδικασίες για την ασφάλεια των πληροφοριών ενσωματώνονται σε ευρύτερα συστήματα διαχείρισης και ευρύτερες πολιτικές και διαδικασίες του οργανισμού, (π.χ. Διαχείριση κρίσιμων περιστατικών, διαχείριση προσβάσεων διαχείριση αλλαγών κτλ) μιας και η προστασία των πληροφοριών δεν είναι αυτοσκοπός αλλά ένα ακόμα όπλο στη προσπάθεια για επιχειρηματική βιωσιμότητα. security 21
Page 1: www.itsecuritypro.gr 08/09/10.2019
Page 5 and 6: security 3
Page 9 and 10: Καταπολέμηση της τ
Page 11 and 12: Εντοπίστηκαν ευπάθ
Page 13 and 14: Η πλήρης λίστα με τ
Page 15 and 16: «Top Performer» η ESET σύμφ
Page 17 and 18: πτικής Αρχής και υπ
Page 19 and 20: νέους κανονισμούς
Page 21: Του Νότη Ηλιόπουλο
Page 27 and 28: Νίκος Σίμος Technical Man
Page 29 and 30: Παναγιώτης Καλαντζ
Page 31 and 32: βελτιωμένη συνολικ
Page 33 and 34: Γιώργος Καπανίρης
Page 35 and 36: sales@partnernet-ict.com www.partne
Page 37 and 38: Αντώνης Καλοχριστι
Page 41: Παναγιώτης Καλαντζ

IT Professional Security - ΤΕΥΧΟΣ 61

You also want an ePaper? Increase the reach of your titles

Delete template?

Save as template?