Efektivita řízení rizik zabezpečení IT
Programy efektivity řízení rizik zabezpečení IT musí splňovat následující podmínky a současně brát v úvahu náklady, složitost a normy platné na tomto trhu:
n Identifikovat bezpečnostní rizika a jejich potenciální náklady.
n Vytvořit bezpečnostní opatření, která minimalizují bezpečnostní rizika.
n Definovat přístup podniku v souladu s bezpečnostními aspekty relevantních předpisů.
Jedním z nejvýznamnějších současných trendů v oblasti zabezpečení je konsolidace dílčích produktů a řešení do takzvaných bezpečnostních platforem, rovněž pak podstatně kvalitnější nástroje pro správu. Konsolidace, vyspělé funkční sady a řídící nástroje podnikové třídy umožní podnikům vynakládat na zabezpečení menší prostředky a přitom dosahovat celkově lepší bezpečnostní pozice.
Všeobecně se uznává, že trh zabezpečení
a bezpečnostní architektury v současné době formují čtyři klíčové trendy:
n Vývoj od nestavového prověřování paketů a detekce narušení k hloubkovému prověřování paketů a prevenci narušení (IPS).
n Nástup řešení správy identit a přístupu, které konsolidují poskytování, ověřování a správu přístupu.
n Spojování funkcí identifikace majetku, vyhledávání zranitelností a správy oprav softwaru do řešení správy a modelování zranitelností a hrozeb.
n Konsolidace funkcí auditu, monitorování a aktivní správy bezpečnostních produktů nástroji pro správu zabezpečení.
Jednoduše řečeno, stále častěji jsme žádáni o to, abychom zákazníkům pomohli dosáhnout následujících organizačních cílů:
n zabránit narušení z interního i externího pohledu,
n poskytovat patřičný přístup důvěryhodným uživatelům na základě jejich úloh a celkového kontextu organizace,
n zajistit kontinuitu provozu a dodržování předpisů.
Z toho lze snadno odvodit, že neadekvátní zabezpečení IT mívá pro podniky jasné následky. Spoušť, kterou po celém světě v poslední době páchají červi a viry, potvrzuje, že je naprosto nezbytné vybudovat lepší mechanismy ochrany před síťovými útoky. Zabezpečení ještě nikdy nepředstavovalo takovou výzvu. Navíc dynamika trhu, technologický pokrok a dramatický posun typu a frekvence napadení si vynutily další strategie správy zabezpečení, které přesahují tradiční reportování bezpečnostních událostí. To má za následek společná témata ve všech organizacích, velkých i malých, veřejných i soukromých a ve všech odvětvích. Rozdíly však najdeme v souladu pracovníků, procesů a technologií s podnikatelskými požadavky, jež vedou k lepší bezpečnostní pozici, nižším celkovým nákladům na vlastnictví, lepšímu řízení a efektivitě.
V současné době dochází k silné konvergenci zabezpečení systémů a sítí. Rychlou konvergenci technologií dokládají iniciativy jako Network Admission Control (NAC) a strategie automatické ochrany sítě (Self Defending Network) společnosti Cisco, Microsoft Network Access Protection (NAP) i Adaptive Secure Infrastructure (ASI) Framework společnosti Dimension Data.
Analytická firma Gartner v komentáři k publikovanému výzkumu předpovídá: "Poskytovatelé outsourcingu musí uspokojit podnikové požadavky na identifikaci, posouzení a odstranění slabin jak na úrovni perimetru sítě, tak uvnitř podnikové sítě. U mnoha poskytovatelů to bude vyžadovat odklon od tradičních funkcí monitorování a správy zařízení směrem k porozumění síti a infrastruktuře IT zákazníka, stejně jako k externím hrozbám.
Prognóza: Ochrana na úrovni perimetru sítě a znalosti o podnikové síti, serverech a aplikacích postupně nahradí zpracování a analýzu dat ze senzoru systému pro detekci narušení a změní tak způsob outsourcovaného monitorování bezpečnosti zařízení.
Shrnutí: Prostředky outsourcovaného sledování a správy zabezpečení se vyvíjejí s tím, jak podniky aplikují technologie pro prevenci narušení a snaží se vyhovět požadavkům auditorů na konsolidaci a analýzu dat v protokolech. Poskytovatelé služeb řízeného zabezpečení by měli v souladu s tímto posunem přizpůsobit své přístupy konkrétnímu trhu.
Aliance společností Dimension Data a VeriSign přinese podnikovým zákazníkům v Evropě a Velké Británii komplexní nabídku služeb řízeného zabezpečení. Obě společnosti zákazníkům poskytují prvotřídní bezpečnostní služby. Ke službám bezpečnostního poradenství, návrhu architektury a implementace společnosti Dimension Data nyní přibude monitorování napříč platformami, řízení a korelace událostí. Služby řízeného zabezpečení přinesou poskytovateli zejména možnost nabízet klientům efektivní systémy včasného varování, nejlepší bezpečnostní postupy, prvotřídní odbornost a znalost místního trhu.
Kombinace nabídek společností Dimension Data a VeriSign umožní zákazníkům postupovat při ochraně sítí aktivně, vynucovat podnikové standardy a dosáhnout lepšího dodržování stále rostoucího množství předpisů a právních ustanovení. Zákazníkům služeb řízeného zabezpečení bude i nadále k dispozici kontaktní osoba společnosti Dimension Data pro dohody o úrovni služeb, pro bezpečnostní návrhy, architekturu, konzultace, aplikace, monitorování a rozhodování. Současně získají výhody inteligentního monitorování a korelačních technologií společnosti VeriSign.
Společnost Dimension Data zakládá svou kvalifikaci systémového integrátora na schopnosti plánovat, vytvářet, spravovat, řídit a zabezpečovat složité síťové infrastruktury. Přičteme-li k tomu kvalitu center pro zabezpečení sítě (SOC) společnosti VeriSign, jež umožňují v reálném čase monitorovat zabezpečení a upozorňují na události, otevírá se možnost realizovat komplexní infrastruktury s adaptivním zabezpečením. Jinými slovy, společnost Dimension Data může v současné době nabídnout správu nové generace, kterou představují "infrastruktury s integrovaným zabezpečením," což je kombinace sítí se samočinnou ochranou řízení přístupu, které proti současným sítím méně spoléhají na upozorňování o bezpečnostních událostech.
Dvacet let zkušeností s instalací a provozem velkých a složitých sítí nám umožňuje důsledně řešit bezpečnostní potřeby klientů v oblasti sítí, systémů a aplikací. Naše technologie ASI Framework má klientům pomáhat s vytvořením vnitřní i vnější adaptivní, dynamické, spravovatelné a neprolomitelné bezpečnostní infrastruktury, která různým uživatelům zaručuje patřičnou a kontrolovanou úroveň přístupu.
ASI představuje migrační nástroj pro efektivnější spolupráci mezi stávající, doplňkovou a novou bezpečnostní infrastrukturou. Výsledkem je dokonalejší implementace bezpečnostních zásad v podnikové síti. Nové bezpečnostní paradigma umožňuje společnosti Dimension Data radit a asistovat organizacím při řešení problémů se správou podnikové sítě a připojením mobilních uživatelů, obchodních partnerů a externích konzultantů či partnerů.
Implementace rozhraní probíhá u infrastruktury adaptivního zabezpečení ve čtyřech fázích:
n Identifikace - konzultanti společnosti Dimension Data provedou analýzu stávajícího prostředí klienta a zjistí počet uživatelů, připojené systémy a aplikace. Následuje kontrola "subjektů" klasifikovaných podle uživatele, počítače, systému a metody přístupu.
n Klasifikace - v této fázi jsou podrobně definovány rizikové profily pro všechny uživatele a systémy. Při klasifikaci se bere v úvahu řada faktorů, například ochranné mechanismy implementované do koncových bodů a hodnota dat, ke kterým je poskytován přístup. Na základě identifikace subjektu jsme schopni aplikovat správné podnikové zásady.
n Izolace - zde jsou uživatelé a systémy rozděleny do různých skupin. Uživatelé a systémy s podobnými profily nemají oprávnění komunikovat se skupinou, která má odlišný profil. Stejná segregace je použita i k rozlišení uživatelů a systémů s podobnými profily, s cílem omezit šíření hrozeb.
n Kontrola - v této fázi dochází k zabezpečení systému implementací patřičných a konkrétních bezpečnostních opatření. Prostřednictvím vhodných bezpečnostních nástrojů je sledován a filtrován tok dat.
ASI poskytuje klientům následující
výhody:
n Návratnost investic. Jaká míra zabezpečení je dostatečná? Do zabezpečení se obecně investuje na základě skutečných hrozeb, nikoli podle konkrétní sítě.
n Snížení celkových nákladů na vlastnictví bezpečnostní a síťové infrastruktury díky strukturovanému přístupu ke správě zabezpečení IT.
n Komplexní pojetí vede k dokonalejšímu zabezpečení, jež přináší podnikům další výhody.
n Klienti získají pragmatický bezpečnostní plán stávajících i budoucích požadavků na zabezpečení, který zaručuje, že všechny bezpečnostní projekty směřují k dosažení konečného cíle či žádaného stavu.
n Lepší přehled o topologii sítě zlepšuje celkovou kontrolu a dohled nad chráněnou sítí.
n Lepší přehled a spolupráce jednotlivých oddělení firmy zvyšuje celkové povědomí o zabezpečení a zaručuje vyšší efektivitu bezpečnostních iniciativ v podniku.
Trendy v zabezpečení podniků v roce 2006
Hackeři, spammeři, spyware, červi atd. - nikdo proti nim není imunní. Ochrana počítačových systémů již dávno přestala být luxusem a stala se strategickou prioritou každé společnosti, která chce chránit kontinuitu svého byznysu.
Ředitelé bezpečnosti IT se dnes potýkají s vážnými problémy. Mají zajistit kontinuitu firemních systémů v prostředí, jehož složitost stále roste: každodenní pokusy o proniknutí do systému, velký počet externích partnerů, kteří mají přístup k podnikové síti, rozmach bezdrátového internetu atd. Všechny tyto potenciální problémy nutí ředitele bezpečnosti IT investovat do zabezpečení a neztratit přitom ze zřetele návratnost investic. Ředitelé zabezpečení také mají spoustu starostí s projekty zaměřenými na shodu, neboť nové zákonné direktivy, jako Basel II a Sarbanes-Oxley, mají dopad na provozní bezpečnost.
Boj proti útokům na síť se stává obrovským problémem. Internetoví zločinci při svých pokusech proniknout do sítě a zcizit data postupují stále sofistikovaněji. Problém je mnohem větší, než si lze představit. Za tímto jednáním stojí ekonomické faktory, které mají negativní dopad na zbytek ekonomiky. Účinnost dostupných řešení naštěstí neustále roste. Dokonalé zabezpečení neexistuje, ale některá řešení se tomuto ideálu přibližují. Podívejme se nyní na poslední vývoj v oblasti zabezpečení.
Systémy prevence narušení
V posledních letech se na trhu objevila nová generace rychlého a spolehlivého hardwaru, který umožnil nahradit systémy detekce narušení (IDS) systémy prevence narušení (IPS). Oproti dřívějšímu upozorňování na již způsobené škody se nové systémy snaží bránit útočníkům, aby pronikli do sítě. Vše vyřeší bezpečnostní systém, rozdělený do několika vrstev: systém prevence narušení sítě se nachází mezi krajními a vnitřními firewally a před datovými servery. Celek doplňuje systém prevence narušení hostitele, který monitoruje operace všech důležitých počítačů. Společnost Dimension Data již několik let svým zákazníkům instaluje systémy prevence narušení od různých dodavatelů. Zákazníci se mohou na společnost Dimension Data obrátit a nechat své systémy prevence narušení nepřetržitě monitorovat a spravovat.
Služby řízeného zabezpečení
Ochrana počítačových systémů se stala zásadním faktorem úspěchu společností. S rostoucí složitostí, přísnějšími předpisy a zvyšujícími se náklady každým dnem sílí riziko úplného selhání systému. Mnohé společnosti si uvědomují, že si za těchto podmínek nemohou nepřetržité zabezpečení zajistit samy, proto volí outsourcing. Systém založený na službách řízeného zabezpečení není jen výrazně levnější, ale také mnohem bezpečnější, protože specialisté disponují nezbytnými znalostmi a zkušenostmi v oblasti zabezpečení a mohou se tak vypořádat s hrozbami prostřednictvím sofistikovaných korelačních mechanismů. Zákazník se proto může zaměřit pouze na svůj byznys, zatímco my mu nepřetržitě poskytujeme služby řízeného zabezpečení na základě dohody o úrovni služeb. Sem patří monitorování a správa firemních firewallů, VPN a systémů pro prevenci narušení, reakce na incidenty, zabezpečení e-mailu atd. Dimension Data se těší silné pozici na trhu se službami řízeného zabezpečení, a to díky silnému a efektivnímu partnerství s americkou společností VeriSign, která se v této oblasti těší dobré pověsti.
Spyware
Spyware se stal velkým byznysem. Inzerenti ho považují za nové médium a financují jeho tvůrce, aby mohli provozovat tzv. mikroreklamu. Spywaru musí čelit zhruba 92 procent společností a průměrně každý třetí firemní počítač je infikován. Problém se bohužel neomezuje na obtěžující, jinak však neškodný software, který uživateli vnucuje reklamy. Existují i nebezpečné varianty, například nástroje na zaznamenávání stisknutých kláves (key logger), programy pro automatické volání na drahá čísla (dialery), phishing atd. Běžně dostupné techniky boje se spywarem jako antivirový software a blokování adres URL mají minimální preventivní účinek. Je to jako bychom se snažili vytřít podlahu, zatímco kohoutek stále teče. Spyware musí být zastaven na úrovni webového proxy. Pak lze kohoutek uzavřít a zastavit spyware ještě předtím, než napadne počítače. Společnost Dimension Data pro tento účel používá technologii Blue Coat Scope, která spojuje přibližně deset různých technologií pro odhalení a blokování spywaru.
Bezpečné úložiště
Bezpečnost se stává aktuálním tématem i v dalších oblastech IT. V oblasti úložišť se dříve kladl důraz hlavně na výkon a cenu na úložnou jednotku. Nyní podniky oprávněně věnují více pozornosti zabezpečení uložených dat, protože rizika jsou opravdu vážná. Pokud systémy spravuje velké množství lidí, jež mají přístup i k datům, může to mít osudné následky. Důvěrná data se mohou dostat do nepovolaných rukou, záložní pásky se mohou ztratit atd. Těmto problémům lze předcházet tím, že data nebudou zapisována přímo na pásku a uchovávána externě, ale bude implementován systém, umožňující šifrovat a dešifrovat data v reálném čase.
Je zcela zřejmé, že se z bezpečnosti stal exponenciálně rostoucí problém, který lze řešit pouze pomocí vysoce specializovaných znalostí. Společnost Dimension Data neustále sleduje vývoj a vybudovala si pozici důvěryhodného poradce zákazníků. Protože již deset let investuje do zabezpečení, dosáhla vysoké odbornosti v odvětví, které klade vysoké nároky na úroveň znalostí.
Zabezpečení nenín luxus, ale naprostán nezbytnost pro zachování kontinuity byznysu
Při výběru bezpečnostního řešení či partnera (důvěryhodného poradce) musí být všechny zúčastněné strany schopny určit ty nejvíce aktuální problémy informačních technologií v organizacích a firmách, což zahrnuje následující aspekty (bez ohledu na pořadí):
n Harmonizace informačních technologií s potřebami a požadavky podniku.
n Požadavky na zaměstnance a jejich kvalifikaci.
n Rozpočtová a nákladová politika.
n Vývoj formální strategie celopodnikového zabezpečení IT.
n Dlouhodobá správa a měření efektivity zabezpečení.
n Kvalitní implementace podnikového zabezpečení.
n Právní a obchodní kontinuita a dodržování předpisů.
Derek Cummins, Country Manager Dimension Data Czech Republic