Role lidí v zabezpečení IT systémů (1)

Hrozba útoků a zneužití informací lidmi uvnitř firmy či organizace jsou stále závažným problémem. Chyby lidí a slabé kontrolní mechanismy ve firmách přitom způsobují obdobné problémy jako útoky s využitím škodlivého kódu.


Mnoho organizací se těmto útokům stále neumí efektivně bránit. Zároveň často přeceňují schopnosti svých informačních a bezpečnostních systémů.

V roce 2008 jsme byli svědky dalších případů útoků a zneužití dat osobou uvnitř firmy. Podniky musí na zvýšení hrozeb reagovat implementací účinnějších technických prostředků a ruku v ruce s technikou půjde i vytváření a lepší prosazování bezpečnostních pravidel (politik) a jiných organizačních opatření.

Přestože investiční náklady na zabezpečení firemních systémů stoupají, je otázka, jakým způsobem to firmy dělají a proč.

Většina skutečně chce mít lépe zabezpečené prostředí a dobře fungující obranné prostředky, nicméně některé organizace budou tyto mechanismy budovat a užívat pouze formálně tak, aby splnily příslušné legislativní normy nebo utratily vyčleněné peníze. Následně na papíře sice vykáží splnění všech požadavků, zda bude jejich obrana účinná i v případě reálného problému, je pak jiná otázka.

Zavádění bezpečnostních prostředků navíc mívá výrazné dopady i na použitelnost chráněného prostředí. Jak stoupá míra zabezpečení, klesá použitelnost celého systému – ať už jde o „zbytečné“ obtěžování uživatelů nebo o provozní zádrhele, kvůli nimž třeba přestane fungovat celá síť, protože vypadne důležitý bezpečnostní prvek a při jeho implementaci se buď neuvažovala možnost výpadku, případně bylo potřeba šetřit, takže se vysoká dostupnost neřešila. Proto je vždy nutné zvažovat poměr cena/výkon. Posuzovat přínos nejen z hlediska okamžitých investičních, ale také provozních nákladů, přičemž ty druhé mnohdy zprvu vůbec nemusí být vidět.

 

Role lidí v IT bezpečnosti

Přes jakkoli důkladné technické zabezpečení je (a dlouho bude) nejslabším článkem celého řetězu člověk. Na člověka se dá nejlépe zaútočit, dá se jej nejsnáze zneužít. Bezpečnostní expert Bruce Schneier říká: „Amatéři útočí na systémy, profesionálové útočí na lidi.“ Na jednu stranu může jít o lidské chyby, které čas od času udělá každý z nás, na stranu druhou může jít o záměrnou snahu škodit, něco např. odcizit a posléze po sobě zamést stopy.

Jak tomu lze zabránit? Vedle stále se zdokonalujících technických prostředků hrají velkou roli organizační opatření. Bezpečnostní politiky, pravidla a normy chování se stávají nezbytností, stejně jako jejich neustálá aktualizace a sledování, zda vůbec ještě mají smysl a zda se mezitím neobjevila nová rizika. Čím větší organizace, tím větší význam a smysl bezpečnostní politika má.

Součástí bezpečnostní politiky je základní klasifikace dat a popis, jak s daty zacházet, aby ochrana byla co nejlepší.

 

Analýza rizik

Samostatnou kapitolu musí tvořit počáteční a průběžná analýza rizik. Vyplatí se jak při zavádění bezpečnostních opatření, tak během jejich využívání. Dobře provedená analýza rizik může odhalit i skryté zranitelnosti, jejichž závažnost může být několikanásobně větší než jiné známé hrozby a naopak – často se zjistí, že se podnik snaží bránit (investovat prostředky) tam, kde to není zapotřebí, resp. je schopen riziko akceptovat.

Před zavedením bezpečnostních systémů je tedy vždy nutné získat přehled o všech potenciálních rizicích a nákladech na jejich hypotetické odstranění. Nejobtížnější fází analýzy rizik je pak rozvaha, do kterých bezpečnostních opatření se organizaci vyplatí investovat.

Přesto mnohé firmy stále používají metodu slepého střelce – bez rozmyslu nakoupí určitou technologii nebo aplikují určitá bezpečnostní pravidla, aniž by předem zvážily, zda se jim to skutečně vyplatí. Vedle potenciálních přínosů je totiž třeba vidět i možná rizika, problémy a také dopady, které dané opatření do budoucna přinese během zavádění nebo rozvoje technologie či růstu samotné firmy.

Analýza rizik tedy říká, jak cenná jsou data a jiné statky ve vlastnictví firmy, jaká jim hrozí rizika, jaké jsou potenciální možnosti útoku na ně a zda se tedy vyplatí do jejich ochrany investovat. Do potenciálních rizik je přitom nutné zahrnout i chování a jednání zaměstnanců.

 

Tento článek vyšel v tištěném SecurityWorldu 1/2009.


Dokončení článku











Komentáře