(pokračování předcházejícího dílu)
Kdo hlídá hlídače
V praxi se tato situace může řešit například oddělením jednotlivých rolí. Jeden zaměstnanec sice má přístup k aplikaci, kde může mazat a upravovat záznamy, ale nemůže nijak ovlivňovat (mazat, měnit) její logy. Ty jsou výhradně přístupné jinému zaměstnanci, který pracuje třeba i v geograficky vzdálené lokalitě. I zde samozřejmě je nebezpečí, že pokud bude mít jeden zájem páchat trestnou činnost, může se s druhým domluvit. Přesto ale riziko výrazně klesá.
Podobná řešení však do systému přináší vyšší složitost. Místo jednoho zástupce pro případ dovolené nebo jiné absence jsou zapotřebí dva. Proto je takové řešení méně vhodné pro menší podniky, které si nemohou dovolit vyšší počet zaměstnanců, stejně jako složitější organizační strukturu. Případný dopad v situaci, kdy je jeden člověk na dovolené a nemá ho kdo zastoupit, může být mnohem větší než případný negativní efekt neoddělených rolí.
Některé organizace mívají kromě IT oddělení i samostatné bezpečnostní oddělení, které má za úkol monitorovat nejen činnost samotných zařízení, ale i zaměstnanců IT oddělení. Do tohoto oddělení pak proudí obrovské množství dat ve formě logů, následně spravovaných vhodným analytickým nástrojem. Rizika však nebývají skryta v datech, která dorazí, ale v těch, která mohou být cestou úmyslně zahozena, změněna nebo přesměrována. Pak nemá sebelepší analytický software co analyzovat…
Čínské zdi
Jakákoli bezpečnostní opatření proti interním hrozbám jsou nevyhnutelně pouze aproximací, blížící se ideálnímu stavu. V každém případě se vyplatí vytvářit pro určité případy nezávislé role, oddělení a funkce a snažit se pomocí technických i organizačních prostředků tyto role oddělit. Týká se přitom to i vztahu vývojářů a uživatelů.
Ve všech takových případech by firmy měli používat princip tzv. „čínské zdi“ – organizačního a geografického oddělení obou skupin zaměstnanců.
Zároveň je potřeba odstraňovat jinou čínskou zeď – propast mezi obchodními uživateli (pejorativně nazývanými „kravaťáci“) a techniky. Obě skupiny zaměstnanců stále mají tendenci dívat se na sebe svrchu a možná spolu i trochu soupeřit. Příčinou je malá míra porozumění potřebám a práci „toho druhého“ a pocit, že druhá strana nepřináší podniku dostatečnou hodnotu.
Východiskem může být na jedné straně vzdělávání techniků tak, aby chápali dopad své práce z celopodnikového hlediska a dovedli se oprostit od technického pohledu. Z vlastní zkušenosti autor ví (a chápe), jak obtížné je vysvětlit technikovi, který dělá úzce zaměřenou, odbornou práci, proč je důležitá analýza rizik. Sama problematika ale zas tak složitá není a zaměstnanec pak možná bude lépe chápat práci managementu, smysl jeho požadavků a důvody různých opatření.
Linioví manažeři by měli pochopit, že jsou technické záležitosti, na které oni nikdy nedosáhnou a proto je vrstva techniků potřebná a zasluhuje si jejich důvěru. Manažerům také mohou pomoci nové prostředky, které dokáží převádět technologické parametry do řeči, které manažer rozumí.
Doporučení pro zajištění interní bezpečnosti
Zaveďte účinné bezpečnostní politiky, které řídí chování uživatelů.
Jediným způsobem, jak se chránit před zranitelnostmi způsobenými lidským faktorem, je zavedení účinných pravidel týkajících se kontroly přístupu k datům, kontrolních bodů v systému, hesel a síťové bezpečnosti, průběžné školení a prosazování těchto pravidel.
Seznamte uživatele s riziky spojenými se sociálním inženýrstvím.
Organizace musí vzdělávat uživatele tak, aby byli schopni rozeznat útoky využívající sociální inženýrství. Musí průběžně klást důraz na opatrnost při práci s nedůvěryhodnými e-maily, webovými stránkami nebo i technickými prostředky (například USB klíč) z neznámých nebo nedůvěryhodných zdrojů.
Nepředpokládejte, že cíl útoku je vždy zřejmý.
Útočníci se stále častěji snaží zcizit informace nejen kvůli jejich vlastní hodnotě, ale pro jejich využití v následných cílených útocích využívajících phishing a sociální inženýrství. I když se může zdát, že prvotní porušení bezpečnosti je jen málo závažné, měla by organizace vždy prošetřit, zda odcizené informace nemohou posloužit podobným účelům, a uživatele varovat.
Tento článek vyšel v tištěném SecurityWorldu 1/2009.