Zabezpečte přístup do propojených firem

K označení úzce spolupracujících firem se často používá pojmu "rozšířený podnik" (extended enterprise). V rámci ...


K označení úzce spolupracujících firem se často používá pojmu "rozšířený
podnik" (extended enterprise). V rámci takového uskupení dochází mnohdy k
silnému organizačnímu propojení, a to i v oblasti komunikační infrastruktury.
Což s sebou ovšem nese i svá rizika.
Pro jejich minimalizaci je třeba dodržovat řadu pravidel. Jedno z těch
nejdůležitějších říká, že je třeba provádět množství kontrol. "Jejich realizace
by měla být pevně definována, ale často tomu tak není," říká Mark Townsend,
technický marketingový manažer společnosti Enterasys Networks. "Viděl jsem
smlouvy uzavřené našimi klienty, ve kterých se vůbec nehovoří o testování
propojení s jejich partnery," říká. Kvůli zajištění bezpečnosti rozšířeného
podniku musejí partneři v oblasti bezpečnostních postupů úzce spolupracovat.
Bezpečnostní experti jsou přesvědčeni, že by se IT manažeři měli zabývat nejen
vlastní firmou, ale také provádět namátkové kontroly, aby se ujistili, že
partneři, kterým byl povolen přístup do jejich podniku, dodržují smlouvy.
Experti se rovněž shodují, že dalším chytrým krokem je podívat se alespoň
jednou za rok na vlastní oči do sídla partnera.
Townsend dodává, že jazyk smluv s podrobnými ustanoveními o postupech kontroly
a řešeních bezpečnostních problémů musí být naprosto jasný. "Musíte rozhodnout
a jasně definovat, jaký druh incidentu by způsobil zablokování přístupu do sítě
(do provedení nápravy) nebo ukončení smlouvy," vysvětluje.
Před zapojením firmy do rozšířeného podniku se musejí výkonní manažeři IT dobře
seznámit s podrobnostmi týkající se komunikační architektury. "Musíte popsat,
jakou službu budete poskytovat, jakou infrastrukturu budete používat pro
zabezpečení této služby a jaké monitorování bude nasazeno ke kontrole služby,"
říká Townsend. "Budete používat proxy servery? Otevřete port 80 mezi dvěma
sítěmi? Jaký přístup a do kterých aplikací bude třeba? Kdo bude moci vstupovat
do těchto aplikací?"
Townsend tvrdí, že partneři musejí zapojit do celé sítě jistou automatizovanou
inteligenci aby mohli detekovat možné útoky. Musejí použít na politice
založenou ochranu všech zařízení, která budou přistupovat do společné sítě.
Instalování seznamů řízení přístupu a nástrojů pro správu identit jsou přitom
pouze dvěma z řady možností, jak zastavit nepovolený síťový provoz.

Buďte upovídaní
Partneři se také během vyjednávání potřebují dohodnout na typu šifrování, na
antivirovém programu pro brány a stolní počítače, na typech firewallů a
používaných skenovacích strojích. I když se to zdá být proti kultuře
bezpečnosti, bezpečnostní skupiny se musejí otevřít a hovořit spolu.
"Bezpečnostní manažeři jsou do určité míry paranoidní, a to není špatné.
Nicméně při jednání s obchodními partnery je potřeba, aby při diskusi o
bezpečnostních otázkách byli otevření," říká Douglas Potts, bezpečnostní expert
maloobchodního prodejce počítačů CDW. "Je velice důležité, aby spolu před
vytvořením vztahu oba bezpečnostní manažeři hovořili a spolupracovali."
Potts přiznává, že tak může vzniknout i určité napětí. "Jedna společnost by si
mohla chtít diktovat podmínky, protože je větší; neznamená to ale, že menší
společnost nebude dělat nic," dodává. Samozřejmě, že při poplachu je komunikace
kritická. "Ve smlouvě by měly být uvedeny benchmarky pro poplachy na obou
stranách. Pokud dojde na jedné straně k bezpečnostnímu narušení, musí probíhat
otevřená komunikace. A všichni musejí být ostražití," říká.

Bezpečná škola
A jak vypadá bezpečnost propojení různých organizací v praxi? Například
subjekty, které plánují uzavřít partnerství s univerzitou CSU (Charleston
Southern University) v USA, by měly být připraveny na přísný proces lustrace.
Její CIO, Rusty Bruns, je, pokud jde o bezpečnost, skutečně puntičkář. Největší
obavy má z toho, že hacker najde bezpečnostní díru, nabourá se do univerzitních
databází a zcizí osobní a finanční informace o tisících studentech a
absolventech. "Musíte vynakládat co největší úsilí proto, aby k takové události
nedošlo," říká Bruns. "S ohledem na školní rozpočet a technologie, jež tady
máme, jsme udělali pro ochranu těchto informací všechno, co jsme mohli," dodává.
Bruns kypí sebedůvěrou částečně i proto, že provádí audit sítě CSU každých 12
až 18 měsíců a vystavuje důkladným kontrolám i potenciální partnery. Dokonce má
náklady na kontroly zahrnuty v rozpočtu pro případy, že by si je potenciální
partneři nemohli dovolit. Mezi informace, o které se zajímá, patří frekvence
změny hesel, postupy monitorování firewallu nebo zjištěné zranitelnosti nebo
slabiny v přístupových technologiích.
Jakmile je spokojen s nápravou veškerých významných problémů zjištěných během
kontroly u potenciálního partnera, přinutí všechny členy projektového týmu
tohoto partnera k podpisu bezpečnostní politiky. Svými podpisy slibují, že
budou dodržovat celou řadu různých bezpečnostních opatření, jako například
časté změny hesel, a zavazují se, že nevyzradí žádné sdílené informace.
Následně Bruns kontroluje subjekty blízké partnerovi a pokládá přímé otázky
týkající se zajištění jejich bezpečnosti. Když může Bruns potenciálnímu
partnerovi důvěřovat, poskytne mu přístup do sítě CSU prostřednictvím přímých
linek využívající dvě úrovně aplikačních hesel a šifrování veškerých přenosů.
Podle Brunse by nebylo možné dosáhnout dostatečně vysoké úrovně zabezpečení,
kdyby umožnil webový přístup.

Ve finančnictví
Vinnie Cottone, vice prezident pro služby IT infrastruktury společnosti Eaton
Vance v Bostonu, poskytující finanční služby, má jiný přístup. Je velkým
zastáncem partnerství a nechce omezovat množství společností přistupujících k
jeho síti. Proto dokonce vytvořil síť označenou jako BPN (Business Partner
Network). Business Partner Network využívá asi 40 partnerů, včetně jednoho
outsourcera, který provozuje call centrum Eaton Vance, a jednoho, který se
stará o datové záznamy klientů firmy. K síti Eaton Vance je připojeno také
dalších 250 společností, které jí poskytují finanční údaje. Cottone říká, že
všichni partneři musejí podepsat bezpečnostní politiku. "Všichni mají vlastní
infrastrukturu. Protože nemůžeme nařizovat způsob fungování jejich sítí, celé
břemeno zajištění bezpečnosti leží na nás, nikoliv na našich partnerech. Je
přitom třeba brát ohled na dnešní rozšíření virů a červů a na stále přísnější
právní předpisy," vysvětluje Cottone. Firmy, které se chtějí stát součástí
Business Partner Network, si podle Cottona mohou zvolit z řady možností
připojení. "V celém našem systému jde ale o více, než jen o nějakou
demilitarizovanou zónu. Máme webové aplikace, několik soukromých linek použití
závisí na aplikaci, kterou se snažíme protlačit ven," říká. "Ve světě
finančních služeb existuje velký tlak na převedení všech činností na internet a
opuštění reality soukromých linek," dodává. Cottone používá systém detekce a
reakce na průnik pokud narazí na problém s jednou z linek, shodí její port a
přesune příslušného partnera do karantény, aby bylo možné určit příčinu
problému. "Je důležité vyjmout ho okamžitě z produkční oblasti," říká. Podobně
jako Bruns i Cottone pravidelně kontroluje stav sítě.

Stále dál
Douglas Potts, bezpečnostní expert CDW, upozorňuje, že díky opatřením v nových
právních předpisech je nyní otázka bezpečnosti rozšířeného podniku ještě
důležitější. Pokud například firma v USA spadá pod zákon Graham-Leach-Bliley (o
přenositelnosti zdravotního pojištění) nebo Sarbanes-Oxley, je zákonnou
povinností jejího vedení zajistit, že sdílené údaje jsou zabezpečené. "Pokud
jednáte s obchodním partnerem, který ještě nemá s novou legislativou
zkušenosti, musíte jej vyškolit," konstatuje Potts. "Pokud se spojíte, je vaší
zodpovědností chovat se podle norem."

Bezpečnostní sedmero
Ze všech bodů, které je třeba vzít v úvahu při snaze o zajištění bezpečnosti
rozšířeného podniku, je nejdůležitějších těchto sedm:
n Kontakty: Každá společnost musí rozhodnout, kdo z jejích týmů bude mít
přístup do sdílené sítě. Také by měl být určen způsob a frekvence komunikace
mezi kontaktními osobami. Budou se kontaktní osoby scházet týdně, měsíčně?
Kontaktují se e-mailem, telefonem?
n Pravidla: IT skupiny obvykle mají předem určený soubor pravidel pro přístup
do sítě a pro její přijatelné používání. Týmy se musejí ve společném zájmu na
těchto pravidlech dohodnout, protože souvisejí s bezpečností a fungování sítě
rozšířeného podniku. n Technologie: Partneři se musejí dohodnout na stupni
bezpečnosti, který hodlají nasadit, a to písemně. Jaká úroveň šifrování bude
použita? Bude filtrován přístup k webu? Každý partner také potřebuje vypracovat
seznam bezpečnostních nástrojů a týmy by následně měly zkontrolovat jejich
kompatibilitu. n Test: Partneři musejí určit členy obou týmů, kteří provedou
instalaci a odzkoušení bezpečnostního vybavení na obou stranách sítě. Každý
partner musí pravidelně hlásit stav zranitelnosti těchto spojení.
n Údržba: Členové týmu musejí znát bezpečnostní hrozby a podle toho
aktualizovat síť prostřednictvím nástrojů pro správu záplat nebo jiných.
Zaveďte postupy hodnocení, abyste se ujistili, že jsou hrozby na obou stranách
zvládnuté. n Bezpečnostní narušení: V případě identifikace bezpečnostního
narušení musejí být oba týmy upozorněny. Partneři musejí mít soupis postupů
obsahující seznam kontaktů a okamžité nápravné kroky, jež je potřeba dodržovat.
n Úniková strategie: Ukončení partnerského vztahu by mělo znamenat ukončení
síťového spojení. Musejí být vytvořena a realizována pravidla a postupy
upravující ukončení spolupráce, včetně změny hesel, uzavření portů a blokování
IP adres. O těchto postupech musejí být informovány obě strany.









Komentáře
K tomuto článku není připojena žádná diskuze, nebo byla zakázána.