Manažer bezpečnosti: Rizika při omezování výdajů

Stále se musíme vyrovnávat s důsledky oslabené ekonomiky. Kromě rozsáhlého vynuceného volna bylo každé oddělení požádáno, aby snížilo své náklady o 15 %.

Moje práce jako manažera zabezpečení je zajišťovat důvěrnost, integritu a dostupnost našich systémů a intelektuálního vlastnictví. Přitom  mně přidělený rozpočet už byl dříve dost omezen. Nebylo toho tedy moc, kde bych mohl dále snižovat výdaje, aniž bych vystavil naši společnost vážnému riziku. Přesto jsem však provedl zhodnocení rizika a povedlo se mi dosáhnout následujících úspor.

První přišel na řadu IDS (systém detekce narušení). Našich 12 senzorů je umístěno tak, že jsou sledovány demilitarizované zóny v sídle podniku a na pobočkách, jsou monitorována hlavní datová centra a částečně i komunikace mezi pobočkami. Využíváme služeb několika zahraničních analytiků, kteří tyto senzory sledují, dávají varování a v případě nutnosti předávají věc k řešení našim analytikům sídlícím v USA, aby provedli vyhodnocení a podnikli potřebné akce.

Sledujeme však zcela určitě více signatur útoků, než je nutné. Naši analytici tak často tráví významnou část svého dne zkoumáním falešných poplachů. Když jsme ještě měli více finančních prostředků, nebyly úspory v této činnosti moc zajímavé, ale nyní to vypadá, že právě tam bychom mohli určité peníze ušetřit. Mám v plánu vyladit pravidla, takže budeme moci snížit počet zahraničního personálu.

Softwarové tokeny
Další úspory přicházejí v podobě tokenů SercurID. Do této doby naše společnost vydávala fyzické tokeny jako přívěšky ke klíčům. Celosvětově máme nasazeno více než 5 tisíc takových tokenů. Tato zařízení mají baterie, které však vydrží jen několik let, a potom je potřeba nahradit je novými produkty.

Naopak pomocí softwarových tokenů můžeme eliminovat potřebu těchto hardwarových alternativ a odstranit náklady na distribuci klíčenek našim uživatelům po celém světě. Snáze se totiž zavádějí a nejsou v nich žádné napájecí články. Nevýhodou tohoto kroku je ale hrozba pocházející od programů zaznamenávajících stisky kláves. Protože jsou fyzické tokeny odděleny od počítačů, neohrožují je takzvané keyloggers používané ke zjištění kódu PIN uživatele.

Je to však riziko, které budeme muset podstoupit. Mohli bychom uživatelům umožnit zadávat kódy PIN klikáním myší na numerických klávesnicích na obrazovce, což by zmírnilo hrozbu sledování stisků kláves.  S tím souvisí i ta výhoda, že softwarové tokeny lze použít rovněž v mobilních zařízeních.

Vzdálený audit
Další úspory budou zajištěny změnou mého plánu auditů – a to ze dvou na jeden ročně. To uspoří výdaje na cestovné a náklady za nezávislého zhotovitele. Také bych chtěl získat nějakého technika v Indii, který by tato hodnocení prováděl. To by mohlo být podle mne realizovatelné, protože mnou navržená metodika auditů je dost zjednodušená a v zásadě rutinní.

A konečně hodlám také přestat platit za údržbu některých našich komerčních skenovacích nástrojů. Ponechám si ISS Scanner od IBM pro servery a systém WebInspect pro analýzu aplikací, který nabízí společnost Hewlett-Packard; na vyplnění mezer můžeme použít například nástroje open source. Nessus mi vždy sloužil dobře a otevřená verze může dobře nahradit komerční ekvivalenty.

Také jsou zde spousty nástrojů pro skenování aplikací založených na webu, jako je Nikto nebo systém  Ratproxy od společnosti Google. Postrádají sice různá cingrlátka komerčních alternativ, ale svou práci rovněž odvedou. Pochybuji ale, že budu schopen dosáhnout oněch 15 % úspor bez omezení počtu firewallů a koncentrátorů VPN. Takové věci jsou však rizikovější než to, co jsem již uvedl výše.

Samozřejmě nejsem nikdy spokojen s nutností škrtat v rozpočtu zabezpečení, ale jsem si jist, že pokles ekonomiky je pouze krátkodobý a náš program zabezpečení budu zase moci brzy rozšířit a vrátit ho na rozumnější úroveň.