Hrátky s fyzickou bezpečností

Bezpečnostní divize firmy odděluje jemná hranice, při jejímž překračování musíte být opatrní. V malé firmě ...


Bezpečnostní divize firmy odděluje jemná hranice, při jejímž překračování
musíte být opatrní.

V malé firmě bývá manažer informační bezpečnosti někdy zodpovědný také za
fyzické zabezpečení. Ve velmi rozsáhlých korporacích ale patří fyzická
bezpečnost někdy označovaná jako jistota a zabezpečení (safety and security)
pod zcela samostatné oddělení, jež je zodpovědné za hardware jako biometrické
autentizační systémy, bezpečnostní kamery či za řízení ochranky. Oddělení
fyzického zabezpečení mají rovněž na starosti vyšetřování fyzických vniknutí
nebo narušení bezpečnosti, jako jsou krádeže nebo násilí na pracovišti.
U manažerů a personálu přiděleného do oddělení fyzické bezpečnosti lze oproti
jejich protějšků z oblasti informační bezpečnosti obvykle vidět odlišný profil
vzdělání a často mají i rozdílný rozsah znalostí a zkušeností. Zatímco jedna
skupina se zabývá takovými věcmi, jako je například zabezpečení přístupu do
podniku, druhá naopak směrováním, administrací Unixu, útoky typu přetečení
zásobníku (buffer overflow) či výskytem nelegalizovaných přístupových bodů
bezdrátové sítě. Krátce řečeno, tyto dvě skupiny zaměstnanců mluví poněkud
odlišnými jazyky.

Nutná symbióza
Abyste mě správně pochopili informační bezpečnost a fyzické zabezpečení firmy
musejí fungovat bok po boku. V mém případě budu s manažerem fyzického
zabezpečení velmi úzce spolupracovat na mnoha iniciativách okolo problematiky
duševních práv, již jsem dostal na starost. Už se mezi námi vytvořil silný
pracovní vztah, avšak v každé organizaci, dostatečně velké na to, aby měla
samostatná bezpečnostní oddělení, je nezbytné nakreslit takzvanou čáru do
písku. V některých společnostech je tato čára tlustá, a tedy jednoznačně
čitelná, zatímco u jiných je velmi tenká. Ovšem v každém případě, když tuto
čáru překročíte, můžete kolegovi na druhé straně způsobit nemalé problémy.
Jak jsem zmínil v předchozích příspěvcích, přijal jsem nedávno pozici manažera
informační bezpečnosti v relativně velké společnosti. Před mým příchodem zde po
dobu téměř jednoho roku nebyl žádný člen personálu pro tuto úlohu určen. V
tomto mezidobí byly povinnosti týkající se informační bezpečnosti absorbovány
jinými odděleními. Bylo rozumné a vhodné, že unixový tým, síťoví inženýři a
helpdesk převzali mnohé z tradičních rolí a úkolů z této oblasti. A ačkoliv
neexistoval žádný oficiální styčný bod pro iniciativy v informační bezpečnosti,
manažer fyzické bezpečnosti se toho sám ujal chtěl najít metodu, jak
monitorovat aktivity zaměstnanců, když jsou přihlášeni ke svým pracovním
stanicím.
Provedl nějaký průzkum na internetu a zatelefonoval některým kolegům. Poté
zorganizoval několik kol prezentací a demonstrací výrobců, než konečně začal na
několika desktopech ve firmě realizovat pilotní program zahrnující instalaci
systému Digital Guardian od společnosti Verdasys. Tento software, jenž může být
nainstalován buď tajně, nebo zjevně, nabízí možnost sledovat aktivity uživatelů
pomocí definovaných politik. Produkt může být také využit pro kontrolu
uživatelova desktopu.
Je-li Digital Guardian správně nasazen, umožňuje do logů zaznamenávat i ty
uživatelské aktivity, které by tradiční intrusion detection systémy
pravděpodobně nebyly schopny detekovat. Například může monitorovat činnosti
vztahující se ke kopírování dat na externí média. Produkty, jako je Digital
Guardian, tak mohou vyřešit problémy s interním vyšetřováním a vyplnit mezery,
které zůstávají opomenuty jinými technologiemi pro ochranu duševních práv.
Všimněte si ale slov "je-li správně nasazen".

Plánování nasazení
Nasazení není tak jednoduché, že by stačilo pouze nainstalovat software a pak
monitorovat aktivity uživatelů. Pokud zacházíte se softwarem, který se týká
mnoha zaměstnanců a jenž musí být nainstalován na širokou řadu desktopů či
notebooků, je patřičné plánování nezbytné.
V našem konkrétním případě však některé technické elementy týkající se nasazení
jaksi chyběly a já se tedy nyní musím vypořádat s následky. Tak například
aplikace bude muset být otestována na více konfiguracích desktopu. Působíme v
celosvětovém měřítku, což si vynucuje podporu pro více jazyků, a rovněž musíme
být obezřetní vůči všem typům aplikací jiných výrobců, které by se mohly s
tímto produktem dostat do konfliktu.
Navíc budeme muset vyškolit helpdesk, aby si poradil s problémy, jež mohou
vyvstat. Musejí být přesně definovány role a povinnosti různých stran, musí být
vytvořena struktura podpory, vymyšlen plán zavádění systému a také zajištěna
správa politik. Musíme porozumět vztahu mezi správním serverem, který je
zodpovědný za management politik a sběr logů, a jednotlivými agenty, kteří jsou
umístěni na pracovních stanicích každého uživatele. Existují problémy se šířkou
pásma, o nichž by měl vědět tým síťové infrastruktury, porty, které musejí být
otevřeny na firewallu, problémy s redundancí, požadavky na úložné systémy,
úvahy ohledně redundance? Podrobné dokumentace, jako jsou testovací plány,
diagramy architektury, projektové plány a časové osy, však vytvořeny nebyly.
Nyní, když jsme začali řešit tyto aspekty, se zdá, že se věci daří, a tak jsem
ohledně použití tohoto produktu v našem prostředí hodně optimistický. Avšak
pokud není řešení náležitě otestováno a není definována základní infrastruktura
pro podporu, mohl by projekt nakonec ztroskotat. Rovněž musí být definována a
jasně pochopena hranice mezi informační bezpečností a fyzickým zajištěním.
Detekce ilegálních přístupových bodů je téměř dokonalým příkladem jako manažer
informační bezpečnosti jsem zodpovědný za nasazení technologie, která bude
využita pro zjišťování existence neautorizovaných bezdrátových přístupových
zařízení v rámci firmy. Nicméně vstup do kanceláří zaměstnanců nebo přímé
jednání s nimi, na základě kterého jim bude příslušný access point zabaven, už
bude spadat mezi povinnosti oddělení fyzického zajištění.
Dalším příkladem může být forenzní analýza dat. Nacházíme se právě uprostřed
procesu nákupu softwaru pro tyto účely a možná nastavíme proces tak, že
oddělení fyzické bezpečnosti zajistí obraz disku, zatímco skutečné forenzní
vyšetřování povede oddělení informační bezpečnosti.

Komentáře
K tomuto článku není připojena žádná diskuze, nebo byla zakázána.