IT Professional Security - ΤΕΥΧΟΣ 36
Περιοδικό για το Enterprise Computing και την ασφάλεια πληροφοριών.
Περιοδικό για το Enterprise Computing και την ασφάλεια πληροφοριών.
Create successful ePaper yourself
Turn your PDF publications into a flip-book with our unique Google optimized e-Paper software.
δικλείδων ασφάλειας, επιφέρει επιπρόσθετο κόστος και καθυστερεί<br />
σημαντικά την εφαρμογή των απαιτήσεων και κανόνων<br />
της ασφάλειας πληροφοριών. Σε πολλές περιπτώσεις το επιπρόσθετο<br />
κόστος, αποτελεί ανασταλτικό παράγοντα εφαρμογής<br />
της εκάστοτε δικλείδας ασφάλειας.<br />
Η παραπάνω παράληψη, είναι κατά μεγάλο ποσοστό υπεύθυνη<br />
για τις περιπτώσεις hard coded passwords για την επικοινωνία<br />
μεταξύ συστημάτων και βάσεων δεδομένων, καθώς και για περιπτώσεις<br />
εφαρμογών οι οποίες είναι χτισμένες κάνοντας χρήστη<br />
του λογαριασμού ‘public’ της βάσης δεδομένων.<br />
Δε μπορούν να επικοινωνήσουν την αξία εσωτερικά<br />
και κυρίως προς τα πάνω<br />
Μελετώντας το τρόπο δράσης των διαφόρων Οργανισμών, παρατηρούμε<br />
ότι στο χώρο της Ασφάλειας Πληροφοριών έχουν<br />
παγιδευτεί σε μια προσπάθεια να κάνουν περισσότερα, να αγοράσουν<br />
– επενδύσουν περισσότερο, να εγκαταστήσουν περισσότερα,<br />
να αξιολογήσουν τους κινδύνους και τις αδυναμίες α-<br />
σφάλειας οπουδήποτε μέσα στο εταιρικό περιβάλλον κτλ.<br />
Τις περισσότερες φορές καταναλώνεται περισσότερη ενέργεια<br />
στην προσπάθεια να αξιολογηθούν λύσεις και να τεκμηριωθούν<br />
ολοένα και περισσότερες ανάγκες προς υλοποίηση, παρά<br />
ενέργεια που αφορά στον προσδιορισμό των πραγματικών<br />
αναγκών και του αποτελεσματικού τρόπου επικοινωνίας των<br />
αναγκών αυτών στη Διοίκηση. Το ζητούμενο είναι να κατανοήσει<br />
η Διοίκηση την ανάγκη, τις πιθανές εναλλακτικές επίλυσης<br />
του προβλήματος καθώς και το κόστος κάθε εναλλακτικής<br />
πρότασης.<br />
Πολλά περισσότερα μπορούν να επιτευχθούν αν απλά κοιτάξουμε<br />
γύρω μας με καθαρή σκέψη και αναρωτηθούμε «Τι είναι<br />
αυτό που προσπαθεί να πετύχει ο Οργανισμός για τον οποίο<br />
εργαζόμαστε;». Η απάντηση στην εν λόγο ερώτηση είναι αυτό<br />
για το οποίο η ασφάλεια πληροφοριών υπάρχει σε κάθε Οργανισμό.<br />
Οργανωτική τοποθέτηση της ασφάλειας πληροφοριών<br />
Ο ρόλος και η λειτουργία ενός φορέα διαχείρισης και συντονισμού<br />
της ασφάλειας πληροφοριών αποτελεί αναγκαιότητα. Η εικονική<br />
λειτουργία ενός τέτοιου ρόλου καλύπτει θεσμικές ή κανονιστικές<br />
απαιτήσεις, αλλά στην πραγματικότητα δε μπορεί να<br />
διαχειριστεί αποτελεσματικά τις απαιτήσεις ασφάλειας ενός Οργανισμού.<br />
Η λειτουργία ενός τέτοιου φορέα απαιτεί ανεξαρτησία και στήριξη,<br />
μα πάνω από όλα θέληση για αποτελεσματικότητα στην<br />
προστασία των κρίσιμων επιχειρηματικών πληροφοριών.<br />
Το συχνότερο λάθος που παρατηρείται είναι η μη ανεξάρτητη<br />
λειτουργία του εν λόγο φορέα, αλλά η λειτουργία του ως μέρος<br />
της επιχειρηματικής οντότητας Πληροφορικής.<br />
Συμπεριφορά επαγγελματιών προς συναδέλφους<br />
Ένα από τα σημαντικότερα σημεία, που συχνά παραγκωνίζεται,<br />
αφορά στη συμπεριφορά των επαγγελματιών της ασφάλειας<br />
πληροφοριών ως προς τους συναδέλφους τους. Λόγω του εύρους<br />
του αντικειμένου και της αναγκαιότητας του, πολλές φορές<br />
οι επαγγελματίες του χώρου είναι απόλυτοι στη γνώμη που<br />
εκφράζουν και δε συζητούν τον τρόπο υλοποίησης των δικλείδων<br />
ασφάλειας. Η άποψη των συναδέλφων που καλούνται να<br />
εφαρμόσουν κανόνες και δικλείδες ασφάλειας δε πρέπει να παραγκωνίζεται.<br />
Μπορούν να συνεισφέρουν εποικοδομητικά στον<br />
αποτελεσματικό τρόπο εφαρμογής κανόνων και μέτρων προστασίας.<br />
Για να γίνει όμως αυτό χρειάζεται να ακουστεί η γνώμη<br />
τους, καθώς και να τους γίνει κατανοητό το τι θέλουμε να ε-<br />
πιτύχουμε με τα προτεινόμενα μέτρα προστασίας, ποιός είναι ο<br />
στόχος και οι οι κίνδυνοι από τους οποίους προστατεύουμε τον<br />
Οργανισμό αλλά και τους ίδιους.<br />
Log off<br />
Οι πολυάριθμες τεχνολογικές εξελίξεις στο χώρο της πληροφορικής<br />
και της ασφάλειας πληροφοριών δεν εξασφαλίζουν την<br />
επαρκή προστασία των επιχειρηματικών πληροφοριών. Ως εκ<br />
τούτου, η ασφάλεια των πληροφοριών δεν μπορεί να κατανοηθεί<br />
ή να προσδιορισθεί ως αμιγώς τεχνικό θέμα.<br />
Η ασφάλεια πληροφοριών, ξεκινά, αφορά και καταλήγει στον ανθρώπινο<br />
παράγοντα. Ως εκ τούτου χρειάζεται να προσδιορίσουμε<br />
τα σημαντικότερα λάθη που γίνονται κατά το σχεδιασμό<br />
και την προσπάθεια εφαρμογής κανόνων και τεχνολογιών και να<br />
διδαχθούμε από αυτά. iT<strong>Security</strong>