IT Professional Security - ΤΕΥΧΟΣ 36

More documents

Info

COVER ISSUE Ανθρώπινος Παράγοντας ..ο καταλυτικός ρόλος και τα λάθη γίνει κατανοητό, είναι ότι δεν χρειάζεται η βοήθεια εξωτερικών συνεργατών για τη διενέργεια των αξιολογήσεων κινδύνων. Χρειάζεται ουσιαστική ενασχόληση του τμήματος / υ- πευθύνου της Ασφάλειας Πληροφοριών. Εξ άλλου, η αξιολόγηση κινδύνων είναι ακρογωνιαίος λίθος της ασφάλειας πληροφοριών και δε νοείται επαγγελματίες του χώρου να κρατούν αποστάσεις και να μην εμπλέκονται ενεργά (ακόμα και να αποφεύγουν) στη συγκεκριμένη διεργασία. Ελλιπείς διαχείριση των διορθωτικών ενεργειών σε συνέχεια των αξιολογήσεων κινδύνων Εάν υποθέσουμε ότι τα αποτελέσματα της εκάστοτε αξιολόγησης κινδύνων είναι το αποτέλεσμα μιας αποτελεσματικές διεργασίας, τότε η συνέχεια και η ολοκλήρωση της διεργασίας απαιτεί την αντιμετώπιση των κινδύνων και την υλοποίηση εκείνων των δικλείδων ασφάλειας που θα μειώσουν τον κίνδυνο σε αποδεκτό για τον Οργανισμό επίπεδο. Η συνεχής παρακολούθηση και ο έλεγχος υλοποίησης των διορθωτικών ενεργειών που αφορούν στη αντιμετώπιση των κινδύνων, είναι ακόμα σημαντικότερη διαδικασία, η οποία συχνά παραβλέπεται. Το συνηθέστερο φαινόμενο αφορά στην παράληψη των ελέγχων υλοποίησης των διορθωτικών ενεργειών, αλλά και στην ελαστικότητα στους χρόνους υλοποίησης των διορθωτικών ενεργειών. Ένα ακόμα σημείο που χρίζει προσοχής, είναι η δημιουργία ε- νός ενιαίου καταλόγου με όλους τους κινδύνους σχετικά με την ασφάλεια πληροφοριών, από όποια διεργασία αξιολόγησης κινδύνων και αν αυτά προέρχονται (penetration testing, vulnerability assessment, security testing, κτλ). Ο τρόπος αποτύπωσης, περιγραφής αλλά και αξιολόγησης πρέπει να είναι ενιαίος και να δίνει τη πραγματική εικόνα του κινδύνου σε σχέση με την επίδρασή του στους επιχειρηματικούς στόχους και επιδιώξεις. Εκπαίδευση και ενημέρωση χρηστών Μεγάλη κουβέντα και πολλές ώρες έχουν αφιερωθεί στη περιγραφή της αναγκαιότητας για εκπαίδευση και ενημέρωση των χρηστών. Ακόμα περισσότερες ώρες έχουν αφιερωθεί στη περιγραφή ενός αποτελεσματικού τρόπου εκπαίδευση των χρηστών σε θέματα ασφάλειας πληροφοριών. Δυστυχώς όμως πολλές λιγότερες ώρες έχουν αφιερωθεί στην εκπαίδευση. Ακόμα και στις περιπτώσεις που αυτό γίνεται, υπάρχουν κάποια λάθη που χρειάζεται να παραλειφθούν. Η εκπαίδευση δεν είναι στοχευμένη στο κοινό που την παρακολουθεί. Συνήθως αποτελείται από γενικούς όρους και θεωρίες και κάποιες φορές προσπαθεί να ανάλυσει στο κοινό επιθέσεις κακόβουλων χρηστών χρησιμοποιώντας τεχνικούς όρους. Δε υπάρχει πρόγραμμα εκπαίδευσης το οποίο να έχει συνέχεια, να αποτελείται από διαφορετικές θεματικές ενότητες οι οποίες θα καλυφθούν με περισσότερες της μιας εκπαίδευσης. Ο τελικός χρήστης χρειάζεται πρώτα να κατανοήσει την αξία των πληροφοριών που διαχειρίζονται σε καθημερινή βάση και στη συνέχεια να δεχθεί στοχευμένα μηνύματα και να κατανοήσει πολιτικές, διαδικασίες και τεχνικούς μηχανισμούς που λειτουργούν σε σχέση με τα μηνύματα που θέλει να περάσει η εκάστοτε εκπαίδευση. Νομιμοποίηση των εξαιρέσεων Κάθε κανόνας έχει και την εξαίρεσή του, είναι και αυτό ένας κανόνας. Σε πολλούς Οργανισμούς συναντούμε συχνά τη νομιμοποίηση των εξαιρέσεων. Κάτω από την δικαιολογία ότι ο Ε- πιχειρηματικός Υπεύθυνος των πληροφοριών αποδέχεται τον κίνδυνο από τη μη τήρηση κάποιων κανόνων ασφάλειας πληροφοριών. Πολλές φορές η εν λόγο αποδοχή συνοδεύεται α- πό φόρμες ..... απαλλαγής. Το συγκεκριμένο τέχνασμα λειτουργεί σε περιπτώσεις συμμόρφωσης με κάποια ‘γνωστά’ πρότυπα. Στην πραγματικότητα αποτελεί αναβολή υλοποίησης των κανόνων και συμβιβασμό με τον κίνδυνο. Οι εξαιρέσεις πρέπει να είναι οι ελάχιστες δυνατές και η ισχύς τους πρέπει να επαναξιολογείται σε ετήσια βάση. Κανόνες και απαιτήσεις ασφάλειας σε προτάσεις συνεργασίας, λειτουργικές προδιαγραφές και συμβάσεις Μία από τις μεγάλες και αναμφισβήτητες αλήθειες στην ασφάλεια πληροφοριών, είναι ότι η εκ των υστέρων υλοποίηση των 16 | security
δικλείδων ασφάλειας, επιφέρει επιπρόσθετο κόστος και καθυστερεί σημαντικά την εφαρμογή των απαιτήσεων και κανόνων της ασφάλειας πληροφοριών. Σε πολλές περιπτώσεις το επιπρόσθετο κόστος, αποτελεί ανασταλτικό παράγοντα εφαρμογής της εκάστοτε δικλείδας ασφάλειας. Η παραπάνω παράληψη, είναι κατά μεγάλο ποσοστό υπεύθυνη για τις περιπτώσεις hard coded passwords για την επικοινωνία μεταξύ συστημάτων και βάσεων δεδομένων, καθώς και για περιπτώσεις εφαρμογών οι οποίες είναι χτισμένες κάνοντας χρήστη του λογαριασμού ‘public’ της βάσης δεδομένων. Δε μπορούν να επικοινωνήσουν την αξία εσωτερικά και κυρίως προς τα πάνω Μελετώντας το τρόπο δράσης των διαφόρων Οργανισμών, παρατηρούμε ότι στο χώρο της Ασφάλειας Πληροφοριών έχουν παγιδευτεί σε μια προσπάθεια να κάνουν περισσότερα, να αγοράσουν – επενδύσουν περισσότερο, να εγκαταστήσουν περισσότερα, να αξιολογήσουν τους κινδύνους και τις αδυναμίες α- σφάλειας οπουδήποτε μέσα στο εταιρικό περιβάλλον κτλ. Τις περισσότερες φορές καταναλώνεται περισσότερη ενέργεια στην προσπάθεια να αξιολογηθούν λύσεις και να τεκμηριωθούν ολοένα και περισσότερες ανάγκες προς υλοποίηση, παρά ενέργεια που αφορά στον προσδιορισμό των πραγματικών αναγκών και του αποτελεσματικού τρόπου επικοινωνίας των αναγκών αυτών στη Διοίκηση. Το ζητούμενο είναι να κατανοήσει η Διοίκηση την ανάγκη, τις πιθανές εναλλακτικές επίλυσης του προβλήματος καθώς και το κόστος κάθε εναλλακτικής πρότασης. Πολλά περισσότερα μπορούν να επιτευχθούν αν απλά κοιτάξουμε γύρω μας με καθαρή σκέψη και αναρωτηθούμε «Τι είναι αυτό που προσπαθεί να πετύχει ο Οργανισμός για τον οποίο εργαζόμαστε;». Η απάντηση στην εν λόγο ερώτηση είναι αυτό για το οποίο η ασφάλεια πληροφοριών υπάρχει σε κάθε Οργανισμό. Οργανωτική τοποθέτηση της ασφάλειας πληροφοριών Ο ρόλος και η λειτουργία ενός φορέα διαχείρισης και συντονισμού της ασφάλειας πληροφοριών αποτελεί αναγκαιότητα. Η εικονική λειτουργία ενός τέτοιου ρόλου καλύπτει θεσμικές ή κανονιστικές απαιτήσεις, αλλά στην πραγματικότητα δε μπορεί να διαχειριστεί αποτελεσματικά τις απαιτήσεις ασφάλειας ενός Οργανισμού. Η λειτουργία ενός τέτοιου φορέα απαιτεί ανεξαρτησία και στήριξη, μα πάνω από όλα θέληση για αποτελεσματικότητα στην προστασία των κρίσιμων επιχειρηματικών πληροφοριών. Το συχνότερο λάθος που παρατηρείται είναι η μη ανεξάρτητη λειτουργία του εν λόγο φορέα, αλλά η λειτουργία του ως μέρος της επιχειρηματικής οντότητας Πληροφορικής. Συμπεριφορά επαγγελματιών προς συναδέλφους Ένα από τα σημαντικότερα σημεία, που συχνά παραγκωνίζεται, αφορά στη συμπεριφορά των επαγγελματιών της ασφάλειας πληροφοριών ως προς τους συναδέλφους τους. Λόγω του εύρους του αντικειμένου και της αναγκαιότητας του, πολλές φορές οι επαγγελματίες του χώρου είναι απόλυτοι στη γνώμη που εκφράζουν και δε συζητούν τον τρόπο υλοποίησης των δικλείδων ασφάλειας. Η άποψη των συναδέλφων που καλούνται να εφαρμόσουν κανόνες και δικλείδες ασφάλειας δε πρέπει να παραγκωνίζεται. Μπορούν να συνεισφέρουν εποικοδομητικά στον αποτελεσματικό τρόπο εφαρμογής κανόνων και μέτρων προστασίας. Για να γίνει όμως αυτό χρειάζεται να ακουστεί η γνώμη τους, καθώς και να τους γίνει κατανοητό το τι θέλουμε να ε- πιτύχουμε με τα προτεινόμενα μέτρα προστασίας, ποιός είναι ο στόχος και οι οι κίνδυνοι από τους οποίους προστατεύουμε τον Οργανισμό αλλά και τους ίδιους. Log off Οι πολυάριθμες τεχνολογικές εξελίξεις στο χώρο της πληροφορικής και της ασφάλειας πληροφοριών δεν εξασφαλίζουν την επαρκή προστασία των επιχειρηματικών πληροφοριών. Ως εκ τούτου, η ασφάλεια των πληροφοριών δεν μπορεί να κατανοηθεί ή να προσδιορισθεί ως αμιγώς τεχνικό θέμα. Η ασφάλεια πληροφοριών, ξεκινά, αφορά και καταλήγει στον ανθρώπινο παράγοντα. Ως εκ τούτου χρειάζεται να προσδιορίσουμε τα σημαντικότερα λάθη που γίνονται κατά το σχεδιασμό και την προσπάθεια εφαρμογής κανόνων και τεχνολογιών και να διδαχθούμε από αυτά. iT<strong>Security</strong>
Page 1: Μάιος - Ιούνιος - Ioύ
Page 4 and 5: CONTENTS 21 26 32 1|EDITORIAL 4|NEW
Page 6: NEWS Ημερίδα Προστασ
Page 9 and 10: Πως να Εντοπίσετε,
Page 11 and 12: Η ORTHOLOGY LTD ανακοινών
Page 13 and 14: ασφάλειας ΙΤ, το με
Page 15 and 16: I SSUE Σύστημα Διαχεί
Page 17: τηγικής που σχεδιά
Page 21 and 22: και της ασφάλειας σ
Page 23 and 24: I SSUE Κωδικοί Πρόσβα
Page 25 and 26: σφύγουν σε κάτι τέτ
Page 27 and 28: ο τίτλος αγαπημένο
Page 29 and 30: στροφή. Με μια πρώτ
Page 31 and 32: παρόχους, όπως οι AT&
Page 33 and 34: Πως υλοποιείται έν
Page 35 and 36: του κλασικού server-base
Page 37 and 38: τερματικό τους, τόσ
Page 39: Στην πραγματικότητ

IT Professional Security - ΤΕΥΧΟΣ 36

Create successful ePaper yourself

Delete template?

Save as template?