Informačná bezpečnosť

Ste pripravení efektívne čeliť novým hrozbám?

Pod­ľa ak­tuál­nych šta­tis­tík sa v pr­vej po­lo­vi­ci ro­ka 2014 na Slo­ven­sku po­čet hro­zieb na webe zdvoj­ná­so­bil. Až 25 % slo­ven­ských pou­ží­va­te­ľov če­li­lo v pr­vej po­lo­vi­ci ro­ku 2014 lo­kál­nym hroz­bám.

Aj na­ďa­lej sí­ce rás­tol po­čet bez­peč­nos­tných in­ci­den­tov zo stra­ny za­mes­tnan­cov a do­dá­va­te­ľov, no stá­le do­mi­nu­jú von­kaj­šie hroz­by. Účin­nosť niek­to­rých os­ved­če­ných bez­peč­nos­tných nás­tro­jov za­ča­la byť spo­chyb­ňo­va­ná, pre­to­že sa ne­bý­va­lou mie­rou zvý­ši­la prep­ra­co­va­nosť úto­kov na in­for­mač­né sys­té­my.

bezpecnost1.jpg

Plán čin­nos­ti bez­peč­nos­tné­ho ma­na­žé­ra na pr­vých sto dní vo fun­kcii. Z di­ag­ra­mu je zrej­mé, že jed­not­li­vé fá­zy sa prek­rý­va­jú.

Bu­de sa roz­ši­ro­vať kom­plexnosť, frek­ven­cia, roz­sah vply­vu a účin­nosť tra­dič­ných hro­zieb, hlav­ne pod­vo­dov a mal­vé­ru. Úto­ky sa zme­ni­li z ma­sív­nych, spo­ra­dic­kých a ne­cie­le­ných na cie­le­né a vy­tr­va­lé. Naj­vys­pe­lej­šie úto­ky sa sna­žia nie­len za­viesť mal­vér, ale po­mo­cou so­ciál­ne­ho in­ži­nier­stva aj vy­tvo­riť väz­by pros­tred­níc­tvom za­mes­tnan­cov s prís­tu­po­vý­mi prá­va­mi k dô­ver­ným in­for­má­ciá­mi.

Bez­peč­nos­tné špe­ci­fi­ká no­vých tren­dov

Bez­peč­nos­tní ma­na­žé­ri (CI­SO - chief in­for­ma­tion se­cu­ri­ty of­fi­cers) mu­sia za­bez­pe­čo­vať efek­tív­ne ria­de­nie ri­zík v ob­las­ti IT bez­peč­nos­ti a bu­do­vať dos­ta­toč­né po­ve­do­mie za­in­te­re­so­va­ných strán o ak­tuál­nej si­tuá­cii a po­ten­ciál­nych hroz­bách.

Zod­po­ved­ní pra­cov­ní­ci IT od­de­le­ní ma­jú­ci na sta­ros­ti bez­peč­nosť mu­sia náj­sť a op­ra­viť chy­by za­bez­pe­če­nia in­for­mač­ných sys­té­mov v eta­pe tes­to­va­nia, eš­te pred tým, než za­čnú pra­co­vať s reál­ny­mi údaj­mi cit­li­vý­mi pre fir­mu. V zá­vis­los­ti od stra­té­gie a roz­poč­tu mož­no za­bez­pe­če­nie rie­šiť vlas­tný­mi si­la­mi, prí­pad­ne cez out­sour­cing, co-sour­cing či in­sour­cing.

Nák­la­dy nie sú je­di­ným in­hi­bí­to­rom, kto­rý br­zdí za­ve­de­nie účin­ných bez­peč­nos­tných me­cha­niz­mov. In­ci­den­ty za­zna­me­na­né v ro­ku 2013 jed­noz­nač­ne do­ka­zu­jú, že tra­dič­né tech­no­ló­gie vo všet­kých ob­las­tiach za­bez­pe­če­nia IT sys­té­mov, či už je to ria­de­nie prís­tu­pu, sprá­va prís­tu­pu, za­bez­pe­če­nie ap­li­ká­cií, za­bez­pe­če­nie úda­jov, ale­bo plat­for­my na ochra­nu kon­co­vých za­ria­de­ní (En­dpoint Pro­tec­tion Plat­form), nez­vlá­da­jú v pl­nom roz­sa­hu no­vé ri­zi­ká spo­je­né s nás­tu­pom mo­bi­li­ty (BYOD), clou­du a so­ciál­nych sie­tí. Pre­to sa od­po­rú­ča bez­peč­nos­tným ma­na­žé­rom pres­kú­mať no­vé tech­no­ló­gie, mo­de­ly pos­ky­to­va­nia a hyb­rid­né rie­še­nia na za­bez­pe­če­nie účin­nej ochra­ny in­for­mač­ných sys­té­mov pred vnú­tor­ný­mi aj von­kaj­ší­mi hroz­ba­mi.

Op­ti­mál­na mie­ra za­bez­pe­če­nia

Ana­ly­ti­ci spo­loč­nos­ti Gar­tner kon­šta­to­va­li, že v prie­be­hu ro­ku 2013 vý­raz­ne vzrás­tlo po­ve­do­mie o po­ten­ciál­nych hroz­bách tý­ka­jú­cich sa IT, či už vo fi­rem­nom sek­to­re, fi­nan­čnom sek­to­re, ale­bo vlád­nych či re­gio­nál­nych in­šti­tú­ciách.

Stra­té­gia za­bez­pe­če­nia IT mu­sí byť op­ti­ma­li­zo­va­ná nie­len vzhľa­dom na ochra­nu in­for­mač­ných ak­tív pod­ni­ku pro­ti hroz­bám, ale aj na bež­né fun­go­va­nie. Mo­der­né ob­chod­né ope­rá­cie vy­ža­du­jú ot­vo­re­né sie­te, pre­po­je­né s par­tner­mi, pos­ky­to­va­teľ­mi slu­žieb a ďal­ší­mi za­in­te­re­so­va­ný­mi „tre­tí­mi" stra­na­mi. Pri plá­no­va­ní mie­ry za­bez­pe­če­nia sa pre­to ne­mož­no ube­rať ani príl­iš kon­zer­va­tív­nou ces­tou a pri­veľ­mi ob­me­dzo­vať sie­ťo­vý prís­tup.

Trh bez­peč­nos­tných slu­žieb sa roz­ší­ril nad rá­mec tra­dič­ných Ma­na­ged Se­cu­ri­ty Servic­es sme­rom k out­sour­cin­gu a clou­do­vým služ­bám ty­pu se­cu­ri­ty-as-a-servic­e. Zo stra­ny zá­kaz­ní­kov prev­lá­da­jú po­žia­dav­ky na zní­že­nie nák­la­dov, dodr­žia­va­nie práv­nych pred­pi­sov a pre­vádz­ko­vú flexibi­li­tu.

Pr­vých sto dní no­vé­ho CI­SO

V rov­no­men­nej ana­lý­ze Gar­tner od­po­rú­ča, ako by mal pos­tu­po­vať no­vo vy­me­no­va­ný bez­peč­nost­ný ma­na­žér, aby po tra­dič­ných sto dňoch, kto­ré má na to, aby sa oboz­ná­mil s pô­so­bis­kom a vy­ko­nal pot­reb­né opat­re­nia, a mo­hol po­dob­ne ako po­li­ti­ci zre­ka­pi­tu­lo­vať svo­ju čin­nosť.

Sto dní je po­mer­ne krát­ke ob­do­bie na oboz­ná­me­nie sa s pros­tre­dím, de­fi­no­va­nie bez­peč­nos­tných po­li­tík, nas­ta­ve­nie pro­ce­sov a štý­lu ria­de­nia. Správ­na príp­ra­va, vy­hod­no­te­nie si­tuácie, plá­no­va­nie, vy­ko­na­nie pot­reb­ných ak­cií a me­ra­nie mô­žu spo­lu s účin­nou spo­lup­rá­cou a ko­mu­ni­ká­ciou s os­tat­ný­mi zlož­ka­mi pod­ni­ku vý­raz­ne zvý­šiť šan­ce na ús­pech. Ako by mal CI­SO v tom­to ob­do­bí pos­tu­po­vať?

Príp­rav­ná fá­za (dni -10 až 15): Eš­te pred nás­tu­pom je pot­reb­né spo­jiť sa s HR a za­bez­pe­čiť si ad­mi­nis­tra­tív­nu pod­po­ru, aby vy­rie­ši­la všet­ky lo­gis­tic­ké zá­le­ži­tos­ti spo­je­né s vý­ko­nom fun­kcie. Ta­kis­to CI­SO mu­sí po­cho­piť štruk­tú­ru fir­my či or­ga­ni­zá­cie, aby mo­hol nes­kôr efek­tív­ne ko­mu­ni­ko­vať s ma­na­žér­mi na kľú­čo­vých po­zí­ciách. Mal by sa oboz­ná­miť aj s exis­tu­jú­ci­mi bez­peč­nos­tný­mi po­li­ti­ka­mi.

Fá­za po­su­dzo­va­nia (dni 0 až 30): Pre tú­to fá­zu je ty­pic­ká in­ven­tú­ra zdro­jov pot­reb­ných na sprá­vu za­bez­pe­če­nia vrá­ta­ne ľud­ských zdro­jov, dos­tup­ných met­rík a fi­nan­čných pa­ra­met­rov. CI­SO by mal pres­kú­mať aj exis­tu­jú­ce bez­peč­nos­tné stra­té­gie, po­li­ti­ky, štan­dar­dy a ar­chi­tek­tú­ru. Ta­kis­to skon­tro­lu­je naj­nov­šie hod­no­te­nia zra­ni­teľ­nos­ti, audi­tov a pe­net­rač­ných tes­tov.

Fá­za plá­no­va­nia (dni 15 až 45): Keď­že per­fekt­ný uni­ver­zál­ny mo­del in­for­mač­nej bez­peč­nos­ti neexis­tu­je, tre­ba vy­tvo­riť mo­del pris­pô­so­be­ný na mie­ru kon­krét­nej or­ga­ni­zá­cie. Ten mu­sí ak­cep­to­vať vy­spe­losť bez­peč­nos­tných pos­tu­pov a pos­tu­pov ria­de­nia or­ga­ni­zá­cie, a to spô­so­bom, kto­rý je zlu­či­teľ­ný s fi­rem­nou kul­tú­rou. CI­SO by mal zvá­žiť všet­ky al­ter­na­tí­vy za­is­te­nia zdro­jov na po­sil­ne­nie bez­peč­nos­ti vrá­ta­ne se­lek­tív­ne­ho out­sour­cin­gu. Gar­tner od­po­rú­ča nap­lá­no­vať si roz­po­čet na bez­peč­nosť na naj­bliž­šie dva až tri me­sia­ce, kto­rý mož­no nás­led­ne roz­ší­riť ale­bo zú­žiť.

Ak­čná fá­za (dni 30 až 75): V tej­to fá­ze má CI­SO príl­eži­tosť reš­truk­tu­ra­li­zo­vať svoj tím, mô­že vy­tvo­riť no­vú per­so­nál­nu štruk­tú­ru, za­viesť do praxe adek­vát­ne mo­ti­vač­né fak­to­ry a umož­niť kaž­dé­mu po­dria­de­né­mu do­siah­nuť naj­vyš­šiu úro­veň vý­kon­nos­ti. Mu­sí zvá­žiť, či a ako pok­ra­čo­vať v pre­bie­ha­jú­cich pro­jek­toch a či prí­pad­ne tre­ba reali­zo­vať no­vé pro­jek­ty za­bez­pe­če­nia.

Fá­za vy­hod­no­co­va­nia (dni 45 až 100): V tej­to fá­ze CI­SO zís­ka úda­je o dôs­led­koch ním reali­zo­va­ných čin­nos­tí. Fá­za vy­hod­no­co­va­nia sa znač­ne prek­rý­va s ak­čnou fá­zou. Pre­sah pos­ky­tu­je príl­eži­tosť na spät­nú väz­bu, aby moh­li byť v prí­pa­de pot­re­by vy­ko­ná­va­né ak­cie ko­ri­go­va­né s cie­ľom do­siah­nuť po­ža­do­va­né hma­ta­teľ­né vý­sled­ky.

V člán­ku bo­li pou­ži­té ma­te­riá­ly ne­zá­vis­lej ana­ly­tic­kej spo­loč­nos­ti Gar­tner.

Zdroj: IW 11-12/2014



Ohodnoťte článok:
   
 
 
  Zdieľaj cez Facebook Zdieľaj cez Google+ Zdieľaj cez Twitter Zdieľaj cez LinkedIn Správy z RSS Správy na smartfóne Správy cez newsletter