Security Risk Management

Rizika kritických IT operací pomocí přidělení míry rizika informačním systémům, včetně ochrany proti hrozbám a řízení shody.



Zˇijeme v analogovém světě. Vyvinuli jsme nové technologie a osvojili jsme si nové dovednosti. To vše ovšem činí informační bezpečnost daleko obtížnější. Je patrný silný trend směrem k mobilním počítačům. Používání notebooků, personálních digitálních asistentů (PDA), mobilních telefonů, digitálních fotopřístrojů, přenosných projektorů a MP3 přehrávačů způsobilo, že více pracujeme z tepla domova nebo na cestách. Je zde stále více a více vzdálených přístupových bodů a snadno dostupných koncových zařízení, což zvyšuje možnost dostat se do podnikové sítě a zcizit nebo znehodnotit informace.

Kybernetické zločiny
Na hackerských webových stránkách jsou každý den dostupné stále lepší a lepší nástroje. Hackerské stránky se navíc množí jak houby po dešti. Přímé škody způsobené malwarem jsou za loňský rok odhadovány na 14,2 miliardy dolarů. Navíc hackeři, autoři virů, spywaru a spamu začínají spolupracovat. Využívání moderních technologií umožňuje rovněž rozvoj počítačové kriminality. Zpráva FBI uvádí, že zisky z počítačové kriminality za minulý rok přesáhly zisky z prodeje drog! Tento alarmující fakt sám o sobě naznačuje nové trendy.
V roce 2005 byl zaznamenán 40% nárůst komerčních PUP a ještě větší nárůst souvisejících škodlivých trojských koní, hlavně keyloggerů, password-stealerů, botů a backdoorů. Dále ustavičně roste počet případů zneužití komerčního softwaru pomocí malwaru s dálkově ovládaným adwarem, keyloggery a jiným softwarem.
Příkladem sofistikovanější hrozby byl útok odhalený policií, kdy došlo k pokusu s jednoznačným cílem ukrást peníze z londýnských kanceláří japonské banky Sumitomo Mitsui. Hackeři získali přístup k počítačovým systémům banky pomocí programu zaznamenávajícího stisknuté klávesy (keylogger). Než byli chyceni, podařilo se jim převést 13 milionů liber na účet v Izraeli.

Co z toho vyplývá pro firmy?
Máme se bát?
Máme mít noční můry?
Ne, jen je zapotřebí začít systematicky pracovat na vaší (nejen) počítačové bezpečnosti. Prvním krokem je risk management - zvážení a stanovení míry rizika, které jsem ochoten akceptovat. Každá společnost bude vždy vystavena rizikům a bude muset různé druhy rizik zvládat.
Mnoho lidí v prostředí informační bezpečnosti používá slovo "riziko", ne všichni však rozumí jeho definici a tomu, jak je svázáno se světem obchodu. Pokud budeme mluvit pouze technicky, riziko je pravděpodobnost, že hrozba využije/zneužije zranitelnost a bude to mít dopad na naše konání/podnikání. Například: otevřený port představuje zranitelnost a korespondující hrozbou bude hacker, který přes tento port způsobí škodu nebo ztrátu. Kalkulace takového rizikového scénáře vyžaduje porozumění pravděpodobnosti a možnosti takové události. Ale co je důležitější, i finančnímu dopadu na organizaci nebo jednotlivce. Náklady nemají vždy přímočaré vyjádření.
Mohou to být náklady spojené se ztrátou dat nebo jejich poškozením, ztrátou reputace, ztrátou potenciálních, zatím nerealizovaných výnosů od zákazníků, ztrátou pozice na trhu a mnohem více.
Neporozumění termínu "riziko" je dnes jasně patrné v některých produktech. Existuje mnoho výrobců, kteří referují o svých produktech jako o nástrojích pro "risk management". Avšak pozor! Prakticky se jedná o nástroje pro odhalování zranitelností. Většina takovýchto skenerů hledá otevřené porty, nezáplatované systémy, defaultně nastavené účty uživatelů.

Co je vůbec Security Risk Management?
Jak zní jeho definice?
Podstatou risk managementu je, že v organizacích najdeme neomezené množství zranitelností oproti velice omezenému množství prostředků, které mohou uvolnit na jejich nápravu. Takže musíme určit, které zranitelnosti nám mohou způsobit největší škody a na ty se v první řadě zaměřit.
Pro řízení bezpečnostních síťových rizik musí být organizace schopná objevit, inventarizovat a stanovit priority jednotlivých součástí sítě. Dále musí mít firma k dispozici veškerá data, analyzovat znalosti o hrozbách a dát je do souvislosti s jednotlivými síťovými zařízeními. Potřebný je rovněž systém sledování a podávání zpráv o manuálních a automatických nápravných opatřeních, provedených s cílem identifikovat rizika.
R = (A i V i T)

Riziko = Prostředek i Zranitelnost i Hrozba Protiopatření
Risk management umožňuje systematickou analýzu toho, jak různé složky rizika ovlivňují firemní digitální prostředky. Umožňuje organizacím identifikovat a stanovovat priority i omezovat rizika na základě rovnice ohrožení majetku, z níž vyplyne, jak jsou konkrétní komponenty pro společnost důležité. Risk management pomáhá bezpečnosti z roviny jakési magické aktivity, reagující na specifické incidenty. Představuje základ, ze kterého lze zavádět více proaktivní strategii tak, aby se zajistilo, že pro kritické prostředky, aplikace a procesy jsou vyčleněny bezpečnostní zdroje souměřitelné s jejich významem pro organizaci.
Schopnost proaktivně identifikovat oblasti slabých (vysoce rizikových) míst může spíše než následná reakce na zuřící poplach eliminovat atmosféru ohrožení, která vzniká, kdykoliv dojde k sebemenšímu incidentu. Rozumná strategie risk managementu umožňuje organizacím stanovit racionální úrovně tolerance rizik a přiměřeně řídit odezvu na tato rizika.
K dispozici jsou automatická řešení, která umožní stanovit priority majetku a identifikovat rozsah a závažnost zranitelnosti síťového zařízení. Na základě standardních a na míru upravených pravidel umožňují tato řešení stanovit priority majetku.
Ač se to může zdát složité, nevěřte tomu. Jde jen o to, dát dohromady všechny možné informace, znát vývoj hrozeb a stanovit priority v důležitosti dat.

Bezpečnostní labyrint
Když se firmy musejí poohlížet po nových a odlišných bezpečnostních řešeních, existuje zde nebezpečí, že učiní jejich strukturu příliš komplikovanou. Více řešení od různých dodavatelů může způsobit potíže při správě a údržbě. Každé řešení bude potřeba pravidelně aktualizovat a je nutné trvale zajišťovat správu licencí. To je nejen časově velmi náročné a neefektivní, ale dlouhodobě především také mnohem dražší. Jaké je tedy východisko?
Nakoupit řešení, které je komplexní a integrované, například jako McAfee Total Protection, které chrání před celou řadou IT hrozeb a u něhož jsou všechna řešení navíc ovládána z jediné řídicí konzoly. To vám umožní, abyste byli díky takovéto plné ochraně naprosto chráněni, usnadní řízení bezpečnosti a navíc ušetří náklady.

Riziko
Interpretace výkladového slovníku zní: nebezpečí ztráty, ale již chybí definice její míry. Co je rizikem pro jednoho, neznamená riziko - ztrátu - pro druhého. Stejné je to i v počítačové bezpečnosti.










Komentáře