IT Professional Security - ΤΕΥΧΟΣ 37

More documents

Info

I SSUE Διαβάθμιση Πληροφορίας H αρχή για την προστασία της Τα δεδομένα και οι πληροφορίες αποτελούν για τους περισσότερους οργανισμούς τα αγαθά, των οποίων η κατοχή και η επεξεργασία παράγει αξία χρήσης, τόσο για τους ίδιους, όσο και για τους συνεργαζόμενους οργανισμούς. Στέλιος Δρίτσας, MSc., Ph.D. Manager, Consulting Services, ADACOM S.A Λόγω της ιδιαίτερης σημασίας τους, τα δεδομένα και οι πληροφορίες χρήζουν προστασίας και διασφάλισης απέναντι στις απειλές της διαρροής και της κατάχρησής τους. Για παράδειγμα, ενδεχόμενη αποκάλυψη δεδομένων πελατών μπορεί να οδηγήσει στη δυσφήμιση έναν οργανισμό και σε σύντομο χρονικό διάστημα, να επιφέρει σημαντικές οικονομικές, άμεσες ή έμμεσες, απώλειες. Αντίστοιχα, η κλοπή πνευματικής ιδιοκτησίας θεωρείται ικανή να εξαλείψει το ανταγωνιστικό πλεονέκτημα ενός οργανισμού, ενώ σε ένα διαφορετικό σενάριο, αυτό της διαρροής δεδομένων προσωπικού χαρακτήρα ή/και ευαίσθητων δεδομένων των πελατών, προβλέπονται σοβαρές νομικές κυρώσεις. Χαρακτηριστικό παράδειγμα η παραβίαση Απειλές κατά της Ασφάλειας και Διαρροή Πληροφοριών (IBM X-Force Threat Intelligence Quarterly - 1Q 2014) του δικτύου της TARGET το 2013 συνέβαλε στη συρρίκνωση των κερδών της εταιρίας κατά 46%, ενώ η χρηματική απώλεια ανήλθε στα 61 εκατομμύρια δολάρια μόνο για το τέταρτο τρίμηνο του 2013. Σήμερα, κάθε οργανισμός καλείται να λειτουργήσει σε ένα σύνθετο επιχειρησιακό περιβάλλον αξιοποιώντας όλο και περισσότερο τις υποδομές του Διαδικτύου και τις υπηρεσίες Cloud. Σε αυτό το περιβάλλον, στο οποίο οι απειλές πολλαπλασιάζονται και επικεντρώνονται ολοένα και περισσότερο στην προσβολή αγαθών, όπως τα δεδομένα και οι πληροφορίες, η επίτευξη ενός συγκριμένου και επαρκούς επιπέδου ασφάλειας δεν αποτελεί ένα εύκολα επιλύσιμο πρόβλημα. Αφενός οι παραδοσιακές προσεγγίσεις ασφάλειας του οργανισμού, οι οποίες ορίζουν μέτρα προστασίας μόνο στο επίπεδο της δικτυακής περιμέτρου του οργανισμού, κρίνονται ως πλέον αναποτελεσματικές, και αφετέρου, η προσπάθεια για την υλοποίηση μέτρων που αποσκοπούν στην προστασία των δεδομένων και των πληροφοριών προαπαιτεί την πραγματοποίηση μιας σειράς ενεργειών, όπως: • Διαβάθμιση δεδομένων και πληροφοριών • Κρυπτογράφηση δεδομένων και πληροφοριών • Ορισμός ισχυρών μηχανισμών ελέγχου πρόσβασης • Εφαρμογή δυναμικών πολιτικών ασφάλειας ανάλογα με τον εκάστοτε ρόλο Όσοι οργανισμοί έχουν ακολουθήσει σχετικές πρωτοβουλίες, γνωρίζουν ότι η εν λόγω διαδικασία είναι επίπονη, λόγο του όγκου των δεδομένων και των πληροφοριών που καλούνται να διαχειριστούν, αλλά και του ρυθμού αύξησής τους. Δεν είναι τυχαίο, ότι σύμφωνα με τη Forrester, η διαδικασία διαβάθμισης της πληροφορίας αποτελεί τη βάση για την α- σφάλεια των δεδομένων, καθώς παρέχει την καθοδήγηση για την ορθή λήψη αποφάσεων κατά τη διαχείριση και έλεγχο της πληροφορίας, ενώ παράλληλα ενισχύει την αποτελεσματικότητα και αποδοτικότητα λύσεων DLP. 18 | security
Διαβάθμιση Δεδομένων Η διαχείριση της επικινδυνότητας που υπεισέρχεται εξ’ αιτίας της αύξησης του όγκου των δεδομένων που διαχειρίζεται έ- νας οργανισμός αποτελεί μια διαδικασία που απαιτεί συνεχή προσπάθεια. Ειδικότερα, ο διαρκώς αυξανόμενος όγκος των αδόμητων δεδομένων μπορεί να αποτελέσει πρόκληση για κάθε οργανισμό, εφόσον αυτά θέτουν νέες απαιτήσεις στον τρόπο με τον οποίο πραγματοποιείται η ανάλυση και αξιοποίησή τους. Σε ένα περιβάλλον διαρκούς συνδεσιμότητας, στο οποίο αναδύονται ανάγκες άμεσης συνεργασίας (online collaborative environments), η διαδικασία ανάλυσης κινδύνων προϋποθέτει και περιλαμβάνει την αναγνώριση, τη διαβάθμιση και την προστασία των δεδομένων και πληροφοριών. Με τη συμμετοχή των τελικών χρηστών στο πλαίσιο της διαβάθμισης των πληροφοριών, οι οργανισμοί απολαμβάνουν μεγαλύτερη προστασία από ενδεχόμενη διαρροή εμπιστευτικής πληροφορίας, ενώ παράλληλα επιτυγχάνουν πιο αποδοτικό και αποτελεσματικό τρόπο σε ότι αφορά την αρχειοθέτηση (archiving) των δεδομένων και πληροφοριών. Η πλειονότητα των οργανισμών που έχουν ως στόχο την ε- παρκή προστασία των δεδομένων τους, υλοποιούν λύσεις α- σφάλειας, όπως η λύση αποτροπής της διαρροής των δεδομένων (DLP) και η χρήση κρυπτογραφίας (encryption). Παρότι οι λύσεις αυτές παρέχουν ένα ικανοποιητικό επίπεδο α- σφάλειας, δεν είναι σε θέση να κατανοούν, και κατ’ επέκταση να διαχειρίζονται την πληροφορία σε συνάρτηση με το βαθμό κρισιμότητας που αυτή φέρει, και στη συνέχεια να υλοποιούν ενέργειες βάσει αυτού του βαθμού. Με στόχο, επομένως, την επαρκή προστασία και διασφάλιση των εμπιστευτικών δεδομένων ενός οργανισμού, η υιοθέτηση και υλοποίηση μιας λύσης που διευκολύνει την διαβάθμιση των δεδομένων μπορεί να προσφέρει πολλά πλεονεκτήματα, όχι μόνο για λόγους α- σφάλειας, αλλά και για λόγους συμμόρφωσης (compliance), απόδοσης ευθυνών (accountability) και ενίσχυσης της ευαισθητοποίηση των χρηστών (users’ awareness). Πλεονεκτήματα Διαβάθμισης Πληροφοριών Συμμόρφωση με πρότυπα ασφάλειας πληροφοριών, αλλά και το νομικό & κανονιστικό πλαίσιο (Conformance & Compliance). Μια λύση διαβάθμισης δεδομένων και πληροφοριών διευκολύνει τη συμμόρφωση ενός οργανισμού με διεθνή πρότυπα ασφάλειας πληροφοριών, όπως λόγου χάρη το ISO 27001 και το PCI-DSS, αλλά και με το θεσμικό πλαίσιο λειτουργίας του, όπου υπάρχει έντονη απαίτηση διαβάθμισης των πληροφοριακών του αγαθών. Πρόληψη της απώλειας δεδομένων. Οι λύσεις διαβάθμισης πληροφοριών ενισχύουν την αποδοτικότητα και αποτελεσματικότητα των λύσεων αποτροπής διαρροής δεδομένων (DLP). Μέσω της χρήσης κατάλληλων μετα-δεδομένων Συνέργεια λύσης ταξινόμησης δεδομένων και λύσης DLP (metadata) επί των δεδομένων παρέχεται η άμεση διαβάθμιση αυτών και κατ’ επέκταση η άμεση και ουσιαστική αναγνώριση των εμπιστευτικών δεδομένων από τις λύσεις DLP λόγω της μείωσης του αριθμού των «ψευδώς θετικών» ευρημάτων (false positive). Μείωση Κόστους Διαχείρισης Πληροφορίας. Το κόστος αρχειοθέτησης (archiving), αποθήκευσης (storage) και εύρεσης (discovery) της πληροφορίας μπορούν να μειωθούν σημαντικά μέσω της χρήσης μεταδεδομένων διαβάθμισης. Με αυτόν τον τρόπο βελτιώνεται η διαδικασία αρχειοθέτησης και ανάκτησης των πληροφοριών και μειώνεται το πραγματικό και έμμεσο κόστος που υπεισέρχεται από την διατήρηση δεδομένων μη σημαντικής αξίας για τον οργανισμό. Ευαισθητοποίηση Χρηστών. Μια λύση διαβάθμισης πληροφοριών εμπλέκει τους χρήστες στη διαδικασία της διαβάθμισης πληροφοριών παρέχοντας επιχειρησιακού σκοπού επιλογές επισήμανσης (business-centric labelling choices) που ταιριάζουν απόλυτα στα βασικά εργαλεία παραγωγικότητας, καθιστώντας τη διαδικασία ταξινόμησης αναπόσπαστο μέρος της επιχειρηματικής δραστηριότητας. Με τη χρήση διαφορετικών πολιτικών και τρόπων διεπαφής χρήστη, ικανοποιούνται σε σημαντικό βαθμό οι ανάγκες των χρηστών στα πλαίσια της επιχείρησης, εξασφαλίζοντας παράλληλα την πλήρη αποδοχή τους. Ενίσχυση Κατανόησης. Η λύση διαβάθμισης πληροφοριών προβλέπει την εφαρμογή «οπτικών» σημάνσεων (visual markings) σε μηνύματα ηλεκτρονικού ταχυδρομείου και έγγραφα, προκειμένου όλοι όσοι ενδέχεται να διαχειρίζονται την εν λόγω πληροφορία, σε ηλεκτρονική ή έντυπη μορφή, είτε βρίσκονται εντός είτε εκτός των πλαισίων του οργανισμού, να μπορούν να έχουν επίγνωση της αξίας της αξίας της πληροφορίας, καθώς και των απαιτούμενων για την προστασία του μέτρων ασφαλείας. Συνεργασία με άλλες Τεχνολογίες Ασφάλειας. Βάσει της εκάστοτε ετικέτας που επιλέγεται από το χρήστη, κατά τη διαδικασία διαβάθμισης της πληροφορίας, μπορεί να ε- φαρμοστεί άμεσα κρυπτογράφηση, ψηφιακή υπογραφή και δυνατότητα διαχείρισης δικαιωμάτων ψηφιακού περιεχομένου (Digital Rights Management) στα δεδομένα εργασίας του χρήστη - αποδεσμεύοντάς τον κατά αυτόν τον τρόπο από security | 19
Page 1 and 2: Σεπτέμβριος - Οκτώβ
Page 3 and 4: E DITORIAL Παγκόσμιες Σ
Page 5 and 6: ΔΙΑΣΦΑΛΙΣΤΕ ΤΗΝ ΕΠ
Page 7 and 8: Security made simple. Οι περί
Page 9 and 10: Η ESET ενώνει τις δυν
Page 11 and 12: Η ομάδα κυβερνοκατ
Page 13 and 14: Νέες δυνατές συνερ
Page 15 and 16: στενή συνεργασία τ
Page 17 and 18: των πληροφοριών κα
Page 19: Συντήρηση και εξέλ
Page 23 and 24: Athens 24, 25 and 26 November 2014
Page 25 and 26: Οι συσκευές που μετ
Page 28 and 29: I SSUE Ένα συνδεδεμέν
Page 30 and 31: I SSUE Ένα συνδεδεμέν
Page 32 and 33: I SSUE iCloud Λάθη χρηστώ
Page 34 and 35: I SSUE Eλένη Χιονά Μηχ
Page 36 and 37: I SSUE Web Application Firewalls Ε
Page 38 and 39: REPORT Δημοσιογραφική
Page 40 and 41: REPORT RSA EMEA Partner Council 201

IT Professional Security - ΤΕΥΧΟΣ 37

You also want an ePaper? Increase the reach of your titles

Delete template?

Save as template?