Každý podzim dělám revizi zásad. Myslím si, že je dobré mít ve svém kalendáři tuto činnost pravidelně zanesenou, protože žádná pravidla, bez ohledu na to, jak dobře se vytvoří, nevydrží beze změny navěky.
Vznikají nové standardy a staré se mění, což způsobuje, že některé původní zásady už nedostačují. Nebo nějaký bezpečnostní incident, audit či událost ve firmě, o které se dříve nevědělo, odhalí, že se už neplní bezpečnostní potřeby.
Pokud by každou úpravu pravidel musela schválit naše skupina vytvořená právě pro potřeby zásad (tvoří jej zástupci personálního oddělení, právního oddělení a šéf IT), probíhala by tato činnost velmi pomalu.
Je prostě příliš těžké dostat je všechny ve stejnou dobu do jedné místnosti. Když jsem do naší firmy nastoupil, potřeboval jsem, aby tato skupina mé úvodní zásady schválila. Musel jsem je přilákat do konferenční místnosti na pizzu, abych je tam dostal všechny najednou.
Tam jsme také udělali dohodu. Smím dělat přírůstkové změny bez jejich vyjádření. Vykonávám tedy potřebné zásahy, předávám skupině nové znění a potom čekám na jejich reakce. Obvykle se ale nikdo neozve.
Vynucené změny
Letos pracuji na několika úpravách. První na řadě jsou hesla. Máme pro ně velmi přísné zásady, co se týče složitosti a frekvence změny.
Měli jsme však pro hesla i několik dalších pravidel, které ale zůstávaly téměř bez povšimnutí, protože byly pohřbené v dalších IT dokumentech. Vytáhl jsem je tedy, přepsal s ohledem na konzistenci a všechny sloučil do jednoho komplexního pravidla.
Dále jsem potřeboval vyřešit zásady, které se vztahují k našemu rozsáhlému využití cloud computingu. Velké části naší infrastruktury a aplikací se nyní hostují a převládající myšlenkou je, že jakmile přestaly být součástí naší interní infrastruktury, přestaly pro ně platit i naše pravidla pro DMZ (demilitarizovaná zóna).
DMZ však stále představuje rozhraní vůči veřejnosti a slouží i našim zákazníkům. S touto skutečností na paměti jsem upravil zásady pro DMZ, aby bylo jasné, že všechny prostředky mezi veřejným internetem a naší důvěryhodnou produkční sítí se musí chránit firewallem a dalšími systémy pro zabezpečení sítě, a to bez ohledu na skutečnost, kde se naše zdroje fyzicky nacházejí.
Když už mluvíme o firewallech, nedávno jsem udělal zběžnou kontrolu jejich pravidel pomocí nástroje FireMon -- a výsledkem bylo odhalení několika nevyužívaných zásad.
Jsem důsledným zastáncem silného zabezpečení, dokonce i v redundantní podobě, ale opatření, která neslouží žádnému skutečnému účelu, nám nepomohou. Zeptal jsme se tedy administrátora firewallů, proč nepoužívaná pravidla neodstranil.
Jeho odpovědí bylo, že nemáme žádné zásady, které by takovou operaci dovolovaly. Ale s tím mohu rychle pomoci - upravil jsem naše pravidla tak, aby správce firewallů musel zakázat každou zásadu, která se nevyužila během 30 dnů a odstranit ji po uplynutí 90 dnů.
Přijatelné používání
Nejdůležitější ze všech našich pravidel je takzvané přijatelné používání, protože jeho dodržování musí všichni zaměstnanci každý rok potvrdit. Jako každá zásada ani tato není dokonalá, takže bylo potřeba v ní udělat určité úpravy.
Například od doby, co se upravovala naposledy, začali zaměstnanci používat software pro vzdálený přístup, aby se mohli z domova nebo odjinud připojit k počítači, který si ponechali v zaměstnání.
Nyní jsem používání takového softwaru výslovně zakázal, neboť porušuje naše požadavky ohledně šifrování a dvoufaktorové autentizace při vzdáleném přístupu.
Samozřejmě, že úprava někdy nestačí. Musel jsem vytvořit i zcela nové pravidlo, a to kvůli nedávné akvizici. Předpokládáme využití cca 30 vyhrazených připojení VPN typu bod-bod. Nikdy jsme takové věci nepovolovali, ale vypadá to, že to momentálně představuje nejlepší způsob, jak našim nově získaným zahraničním pracovníkům získat přístup k našim zdrojům pro výzkum a vývoj v naší interní síti.
Převzatá firma také neměla pro taková připojení žádné zásady, standardy nebo směrnice, takže jsem vytvořil tzv. „Zásadu pro připojení partnerů,“ která pro ně specifikuje příslušná pravidla. A když tu mám zcela nové pravidlo, je čas opět objednat pizzu.
Tento příspěvek do Zápisníku manažera pro bezpečnost napsal skutečný manažer bezpečnosti, který zde vystupuje jako Mathias Thurman. Jeho pravé jméno ani jméno zaměstnavatele z pochopitelných důvodů neuvádíme.
Tento příspěvek vyšel v Computerworldu 19/2014.
PŘEDPLATNÉ
ČLÁNKY DO MAILU