.png "Windows Server 2008")
Security Watch: Wyzwania związane z zarządzaniem bezpieczeństwem informacji, część 1 .png "Udostępnij na: Facebook")
Autor: Jesper M. Johansson
Opublikowano: 7 września 2009
Zawartość strony
.gif){kind=icon} |
Czy możemy obejść się bez technologii? |
|
Co naprawdę chronimy |
|
Dylemat obrońcy |
|
Główny konflikt |
|
Utrzymywanie włączonego światła |
|
Konsekwencje zaniedbywania bezpieczeństwa informacji |
|
Odpowiedzialność na poziomie rządowym |
|
Nieodpowiednia akceptacja ryzyka |
|
Strategia |
|
Podsumowanie |
Od pewnego czasu zastawiam się nad coraz większym stopniem trudności związanym z zarządzaniem w firmie bezpieczeństwem informacji (InfoSec - Information Security). Wygląda na to, że im jestem starszy, tym bardziej oddalam się od kwestii technologicznych - lub może raczej tym bardziej zdaję sobie sprawę, że technologia stanowi podstawę naszych problemów, a nie ich rozwiązanie. Technologia już sama w sobie jest źródłem wielu problemów. W rzeczywistości zarządzanie bezpieczeństwem informacji sprowadza się niemal wyłącznie do eliminowania problemów, których źródłem jest właśnie technologia.
Kiedyś sądziłem, że dobrze byłoby napisać książkę poświęconą tej tematyce, ale ostatecznie zdecydowałem, że bardziej odpowiednia będzie seria esejów. Eseje te będą publikowane właśnie w tym miejscu. W ciągu najbliższego roku zamierzam od czasu do czasu zamieszczać w dziale Security Watch krótkie artykuły poświęcone zarządzaniu bezpieczeństwem informacji. W tym pierwszym, otwierającym serię artykule, zamierzam przyjrzeć się podstawowym zasadom zarządzania bezpieczeństwem informacji.
Czy możemy obejść się bez technologii?
Obecnie, na dobre i złe, technologia stała się już czymś nieuniknionym. Technologie pozwalają różnym organizacjom działać szybciej i bardziej efektywnie. Niestety, umożliwiają one to samo także przestępcom. I choć wielu z nas chciałoby wierzyć, że technologia istnieje sama dla siebie, to tak nie jest. Technologia istnieje po to, by magazynować, przetwarzać i przesyłać dane - dane, które można zmienić w informacje. Dane oraz informacje, które możemy z nich uzyskać, stanowią nasze naprawdę wartościowe zasoby.
Czy zatem jako profesjonaliści zajmujący się bezpieczeństwem nie powinniśmy sami siebie nazywać profesjonalistami od „bezpieczeństwa danych”? Czyż nie jesteśmy nawet bardziej zaangażowani w ochronę danych? Pod wieloma względami jest to prawdą, ale dane stanowią jedynie surowy materiał. Oczywiście, przedstawiają one pewną wartość, ale prawdziwej wartości dostarcza dopiero przetworzenie tych danych i wydobycie tkwiących w nich informacji. Tak więc poruszamy się w abstrakcyjnej warstwie, położonej nieco powyżej niż same dane. W dalszej części posługiwać się będę terminem „informacja” (z wyjątkiem sytuacji, gdy naprawdę będę chciał mówić o surowym materiale), ponieważ informacja jest tym, w co ostatecznie przekształcamy dane.
Wielu z profesjonalistów korzystających z technologii obraca się w abstrakcyjnych warstwach leżących poniżej samych danych - w warstwach bitów, bajtów lub elektronów. Lubimy technologię dla niej samej. Bardzo często to właśnie dlatego zaczęliśmy zajmować się dziedziną technologii. Obcowanie z technologią jest dla nas bardziej komfortowe, niż np. obcowanie z ludźmi. Taki stan rzeczy jest jednak dla nas niebezpieczny, gdyż jako profesjonaliści zajmujący się bezpieczeństwem informacji musimy mieć znacznie szersze spojrzenie niż to, które obejmuje wyłącznie samą technologię. Profesjonaliści z dziedziny bezpieczeństwa informacji muszą być ekspertami w jednej lub kilku dziedzinach technologicznych, ale muszą mieć także na uwadze cały ekosystem złożony z technologii, informacji, ludzi i procesów - stanowiących cztery filary bezpieczeństwa informacji. Z konieczności, musimy koncentrować swoją uwagę na wszystkich czterech filarach. Prawda jest jednak taka, że wiele osób ignoruje jeden lub kilka z nich.
Kilka lat temu firma Microsoft prowadziła kampanię pod nazwą Trustworthy Computing, głoszącą, że bezpieczeństwo to ludzie, procesy i technologia. Wiele osób było sceptycznie nastawionych wobec tej kampanii uważając, że firma Microsoft próbuje w ten sposób odwrócić uwagę od słabo zabezpieczonych technologii, kierując ją na czynniki pozostającej poza jej kontrolą. Była to dość niesprawiedliwa opinia, gdyż biorąc pod uwagę bezpieczeństwo rozwiązań oferowanych przez firmę Microsoft, a zwłaszcza systemu Windows XP SP2 oraz nowszych wersji systemów operacyjnych, to w rzeczywistości bezpieczeństwo produktów tej firmy jest całkiem dobre. Systemy Windows Vista i Windows Server 2008, a zwłaszcza Windows 7 i Windows Server 2008 R2, są pod wieloma względami wzorcowe w kwestii bezpieczeństwa, przewyższając o głowę wszelkie produkty konkurencyjne.
Inne, bardzie życzliwe podejście zakładało, że mantra Ludzie, Procesy i Technologia miała po prostu wyrażać, że profesjonaliści zajmujący się bezpieczeństwem informacji powinni uwzględniać również procesy oraz czynnik ludzki.
Triada ludzie-procesy-technologia nie uwzględnia jednak podstawowego celu naszych działań. Proces określa sposób, w jaki ludzie wykorzystują technologię do przekształcania danych w informacje, pozwalające im na świadome podejmowanie decyzji.
.gif){kind=icon}
Do początku strony
Co naprawdę chronimy
Dlaczego więc stwierdziłem, że informacje oraz dane, z których uzyskujemy te informacje, są naszymi jedynymi cennymi zasobami? Z pewnością firma, która jest bardziej zaawansowana technologicznie i dysponuje lepszymi procesami, ma większe możliwości osiągania swoich celów niż firma, która takich możliwości nie ma. Sądzę, że możemy to przyjąć za pewnik. Jednak z perspektywy bezpieczeństwa procesy i technologie są problematyczne. Technologia z definicji oznacza dodatkową komplikację, a komplikacja zwiększa poziom zagrożenia. Składniki systemu muszą ze sobą współdziałać, a liczba ich wzajemnych interakcji rośnie wykładniczo wraz ze wzrostem liczby tych składników. Każda z takich interakcji stwarza nowe ścieżki przesyłania danych, nowe mechanizmy ich przetwarzania oraz nowe miejsca ich przechowywania. Wszystkie te elementy reprezentują nowe obszary potencjalnych słabości, a także słabe punkty ograniczające nasze możliwości wyobrażania sobie danej technologii oraz stwarzanych przez nią problemów. Im mniej skomplikowana jest dana technologia, tym łatwiej można ją zrozumieć i zabezpieczyć. W rzeczywistości, brak możliwości wyobrażenia sobie i zrozumienia zasięgu działania wykorzystywanych w przedsiębiorstwie technologii jest jedną z głównych przyczyn powstawania problemów związanych z bezpieczeństwem informacji. Osoby zajmujące się profesjonalnie bezpieczeństwem informacji powinny rozważać zmniejszenie liczby używanych technologii, a nie jej zwiększenie.
Procesy również są skomplikowane, mgliste i w większości przypadków same w sobie nie są podatne na zagrożenia bezpieczeństwa. Proces może oferować przewagę nad konkurencją, ale nie można skopiować procesu jako takiego. Skopiować można jedynie informacje dokumentujące dany proces. Proces jest czymś ulotnym - przemija i może zostać skopiowany tylko po przekształceniu go w dane. Pod tym względem jest podobny do muzyki. Muzyka istnieje tylko chwilowo, kiedy jej słuchamy. Aby umożliwić ludziom ciągłe słuchanie muzyki, Thomas Edison wynalazł fonograf (pomysłowe rozwiązanie technologiczne, umożliwiające rejestrowanie w formie danych procesu tworzenia muzyki, dzięki czemu ludzie mogą jej słuchać bez końca).
Obecnie, ponad sto lat później, ludzie o elastycznych zasadach i wątpliwej prawości kradną dane reprezentujące muzykę, aby umożliwić proces jej słuchania. Przemysł muzyczny, podejmując nieudaną próbę powstrzymania tej tendencji, zwrócił się ku technologiom zabezpieczeń utrudniającym proces odtwarzania muzyki. Rezultatem tych działań jest przede wszystkim utrudnienie uczciwym użytkownikom korzystania z zakupionej przez nich muzyki. Zastosowana technologia, znana pod nazwą DRM (Digital Rights Management - Cyfrowe zarządzanie prawami), jest praktycznie bezużyteczna w walce z plagą piractwa, ale za to jest bardzo skuteczna w zwalczaniu satysfakcji użytkowników. Patrząc na to w sposób racjonalny dostrzeżemy, że w rzeczywistości problem polega na zabezpieczaniu informacji, a nie na zabezpieczaniu procesów. W niektórych przypadkach, jak np. w przypadku muzyki, danych po prostu nie da się zabezpieczyć, a właściciele tych danych muszą po prostu przyjąć ten fakt do wiadomości i pogodzić się z nim.
Taki stan rzeczy prowadzi do kilku interesujących obserwacji. Np. czy można po prostu zaciemnić sam proces? Czy można utajnić proces stwarzania wartości z danych? Czy można stworzyć algorytm, który będzie tajny? No cóż, można, ale zwykle nie prowadzi to do niczego dobrego. Claude Shannon wyraził to bardo otwarcie mówiąc, że „nasz wróg zna nasz system” (powiedzenie to jest powszechnie znane jako maksyma Shannona).
Co to oznacza? Samego algorytmu zwykle nie da się utrzymać w tajemnicy. Prędzej czy później, proces stanie się powszechnie znany, a przewaga nad konkurencją bierze się z trudności w implementacji tego procesu. Bezpieczeństwo informacji musi, podkreślmy to raz jeszcze, koncentrować się na zabezpieczaniu samej informacji, będącej podstawowym i cennym atutem. Zabezpieczanie procesów jest interesujące tylko na tyle, na ile zapewnia ono ochronę informacji.
Do początku strony
Dylemat obrońcy
W ten oto sposób doszliśmy do „dylematu obrońcy”. Naszym zadaniem jest ochrona wszystkich posiadanych danych, a zakładając, że napastnicy znają nasz system, należy to robić także we wszystkich miejscach, w których dane są eksponowane podczas interakcji pomiędzy składnikami używanego systemu. Z drugiej strony, napastnikowi wystarczy, jeśli znajdzie chociaż jeden sposób skompromitowania naszego systemu. Nie potrzebuje on przecież kilku kopii naszych danych. Jedna kopia w zupełności wystarczy, niezależnie od tego, jak zostanie zdobyta. Tak jak jedna kopia pliku MP3 wystarczy do zasilenia całego kryminalnego ekosystemu, tak samo jedna kopia naszych danych będzie wystarczającym łupem dla naszych przeciwników. Co więcej, kradzieży danych, dokonanej w dowolny sposób, nie da się już odwrócić. W cyberprzestrzeni nie istnieje żaden cudowny przełącznik z napisem „cofnij”.
Tak więc obrońca systemu musi chronić wszystkie możliwe punkty. Musi on zapewnić odpowiednią ochronę dla danych znajdujących się w spoczynku oraz dla danych znajdujących się w trakcie przesyłania lub przenoszenia, niezależnie od tego, do kogo należą wykorzystywane w tym procesie urządzenia. Im większa jest liczba miejsc, w których informacje są przechowywane, przetwarzane i transmitowane, tym trudniejsze staje się to zadanie. Złożoność jest największym wrogiem bezpieczeństwa!
Należy w tym miejscu zwrócić uwagę na użycie terminu „możliwe”. W wielu przypadkach, jak np. w przypadku technologii DMR, zapewnienie ochrony jest niemożliwe z przyczyn technicznych. W takich przypadkach obrońcy muszą pogodzić się z faktem, że ich system jest „stratny”, albo uniemożliwiać wszelki dostęp do danych. Generalnie danych, które są dystrybuowane do naszych potencjalnych przeciwników, nigdy nie da się zabezpieczyć. Jeśli jakieś dane wymagają ochrony, to jedyny sposób jej zapewnienia polega na tym, by nigdy nie dystrybuować tych danych.
Do początku strony
Główny konflikt
Z powodu naszej naturalnej niechęci do złożoności, funkcje związane z bezpieczeństwem informacji są często postrzegane jako utrudnienia. Ci z nas, który są odpowiedzialni za bezpieczeństwo informacji, często postrzegają swoją pracę, i przeważnie mają słuszność, jako zapobieganie dostępowi do różnych rzeczy.
Zespół zajmujący się bezpieczeństwem informacji jest tym miejscem, do którego powinieneś się udać, jeśli zależy Ci na utrąceniu Twojego projektu. Ci źli faceci od bezpieczeństwa zawsze próbują powstrzymać Cię przed robieniem tego, co akurat chciałbyś zrobić. Często jest to prawdziwe, choć niefortunne, ale nie dlatego, że ci niedobrzy faceci od bezpieczeństwa powinni zaprzestać prób minimalizowania stopnia złożoności lub powstrzymywania niedobrych pomysłów. Jest to niefortunne, ponieważ uwypukla podstawowe rozbieżności pomiędzy zespołem biznesowym a zespołem odpowiedzialnym za bezpieczeństwo.
Do początku strony
Utrzymywanie włączonego światła
Każdy, kto kiedykolwiek przygotowywał się do jakiegokolwiek egzaminu z zakresu bezpieczeństwa, z pewnością musiał się zetknąć z tzw. triadą CIA, na którą składają się Poufność, Integralność i Dostępność. Te trzy pojęcia wyznaczają cele ochrony informacji. Musimy zapewnić poufność, chroniąc informacje przed osobami, które nie powinny mieć do nich dostępu, integralność, która gwarantuje, że posiadane informacje będę dokładne oraz dostępność informacji dla tych osób, które ich potrzebują. W konsekwencji niektóre zespoły odpowiedzialne za bezpieczeństwo uważają, że większość ich pracy polega na utrzymywaniu włączonego światła, tj. na zagwarantowaniu dostępności informacji. Inne zespoły prezentują natomiast całkowicie przeciwstawne podejście uważając, że ich zadaniem jest utrzymywanie światła wyłączonego - uniemożliwiając wszystkim dostęp do informacji, w tym także osobom, które mają uzasadnioną potrzebę korzystania z tych informacji.
Posiadając odpowiednie relacje z zespołem biznesowym mógłbym się zgodzić, by zespół odpowiedzialny za bezpieczeństwo zignorował tę część triady, która mówi o dostępności. W zespole biznesowym pracują inni ludzie, którzy mają większe doświadczenie w zapewnianiu dostępności danych oraz w utrzymywaniu gwarantowanego poziomu usług. Jeśli zespół odpowiedzialny za bezpieczeństwo będzie po prostu partnerem tych ludzi i będzie miał pewność, że osiągnięto odpowiedni poziom równowagi pomiędzy poufnością i integralnością informacji a jej dostępnością, to z punku widzenia bezpieczeństwa będzie można przyjąć, że dostępność ma drugorzędne znaczenie. Do pewnego stopnia bezpieczeństwo będzie wówczas polegać na zagwarantowaniu, że wszystkie światła są wyłączone oraz na utrzymywaniu ich w stanie wyłączonym, mając jednak na uwadze potrzeby biznesowe. Zespół biznesowy mając do dyspozycji własne urządzenia będzie dbał o to, by światła były włączone. Zespół zajmujący się bezpieczeństwem będzie jedynie musiał wspomóc zespół biznesowy w dbaniu o to, by tylko odpowiednie światła były włączone, a pozostałe były zawsze wyłączone. W tym sensie bezpieczeństwo można postrzegać jako rozsądną „białą listę” (listę określającą, które światła mogą być włączone - przyp. tłum.).
Moim zdaniem jest to jedna z najbardziej fascynujących rzeczy, z jaką spotykam się podczas pracy z innymi ludźmi zajmującymi się bezpieczeństwem. Często podczas różnych spotkań rozmawiamy z członkami kadry kierowniczej i zdarza się, że spotkanie ma następujący przebieg. Kierownicy mówią: „chcemy, abyście pomogli nam zabezpieczyć nasz produkt”. Ludzie odpowiedzialni za bezpieczeństwo odpowiadają wówczas: „Dobrze, ale powiedzcie nam coś o tym produkcie”. Reprezentanci strony biznesowej odpowiadają np. „Ten produkt to widget” i wówczas osoby zajmujące się bezpieczeństwem niemal natychmiast zaczynają opowiadać, w jaki sposób można zabezpieczyć widgety. Czegoś tu brakuje? Oczywiście, osoby odpowiedzialne za bezpieczeństwo starały się poznać produkt, ale czy takie są biznesowe cele firmy? Co strona biznesowa chce osiągnąć przy pomocy tego widgetu? Jak cenny jest on dla tej strony? Jakie znaczenie strategiczne ma ten produkt? Jak bardzo jest on ważny? Jaki jest poziom ryzyka, który zgodzi się zaakceptować strona biznesowa, aby umożliwić powstanie tego produktu?
Członkowie zespołu odpowiedzialnego za bezpieczeństwo bardzo rzadko znają się na zagadnieniach biznesowych, a mimo to wydaje im się, że mogą pouczać stronę biznesową, jak mają prowadzić swoje sprawy. Naszym zadaniem jako osób odpowiedzialnych za bezpieczeństwo informacji nie jest jednak mówienie reszcie organizacji, w jaki sposób powinna prowadzić swoją działalność biznesową. Naszym zadaniem jest zaledwie poinformowanie strony biznesowej, które światła należy włączyć, a które muszą pozostać wyłączone, zgodnie z tolerancją danego biznesu na zagrożenia oraz z jego potrzebami. Mamy wspierać i doradzać stronie biznesowej, jak może osiągać swoje cele przy akceptowalnym poziomie ryzyka, ale to strona biznesowa określa te cele, a nie zespół zajmujący się bezpieczeństwem informacji.
Do początku strony
Konsekwencje zaniedbywania bezpieczeństwa informacji
I tak oto doszliśmy do pojęcia ryzyka. Zarządzanie bezpieczeństwem informacji tak naprawę polega na zarządzaniu ryzykami informacji. Zarządzamy ryzykami zagrażającymi naszym informacyjnym aktywom. A przynajmniej powinniśmy to robić. Jednak w wielu przypadkach po prostu nam się na to nie pozwala. Bezpieczeństwo to naprawdę twardy orzech do zgryzienia, ponieważ konsekwencje jego braku są tak niejasne. Ostatecznie, jakie właściwie korzyści wypływają z bezpieczeństwa? Na czym polega sukces w zabezpieczaniu informacji? Czy wystarczy, jeśli będziemy mogli powiedzieć, że „w tym roku nie padliśmy ofiarą żadnego hakera”? Nigdy nie można tego stwierdzić z całą pewnością - mogliśmy stać się ofiarą hakera, ale nawet tego nie zauważyć. W rzeczywistości, inwestowanie w bezpieczeństwo informacji zbyt małej ilości pieniędzy i czasu to naprawdę dobry sposób, by w razie ataku hakera nawet tego nie zauważyć.
Potencjalnie istnieje wiele różnych konsekwencji zaniedbywania bezpieczeństwa informacji, a w niektórych przypadkach mamy do czynienia z przeraźliwym brakiem konsekwencji. W pewnych dziedzinach takie zaniedbania mogą doprowadzić do utraty pracy albo do postawienia w stan oskarżenia. Np. na mocy obowiązującej w USA ustawy o ochronie w sieci prywatności dzieci (COPPA - Children's Online Privacy Protection Act), a także podobnych ustaw obowiązujących w Kanadzie i Australii, niedostateczna ochrona prywatności dzieci jest przestępstwem.
W przypadku prowadzenia działalności biznesowej opartej na zaufaniu klientów, którzy zdają sobie sprawę z istniejącego ryzyka, bezpieczeństwo stanowi jeden z kosztów prowadzenia tej działalności. W świecie, w którym ludzie są już i tak bardzo nerwowi, a koszty przejścia do konkurencji są niewielkie, pojedynczy przypadek naruszenia tajemnicy może całkowicie pogrążyć przedsiębiorstwo. Np. pojedynczy, ale bardzo poważny i nagłośniony, przypadek przełamania ochrony systemów bankowości internetowej prawdopodobnie wystarczyłby, by cofnąć jej rozwój o całe lata.
Okazuje się jednak, że tak poważne konsekwencje nie zagrażają innym gałęziom przemysłu. Weźmy np. firmę TJX Companies lub firmę Heartland, zajmującą się przetwarzaniem transakcji dokonywanych przy użyciu kart kredytowych. Pomimo przerażających zaniedbań w zakresie bezpieczeństwa, które doprowadziły do wykradzenia numerów kart kredytowych praktycznie każdego Amerykanina, który korzystał z kart obsługiwanych przez te firmy, obie firmy nadal są obecne na rynku i z powodzeniem prowadzą swoją działalność. Naruszenie tajemnicy mające miejsce w firmie TJX zostało upublicznione w roku 2007. W tym samym roku dyrektor generalny tej firmy, Bernard Cammarata, otrzymał wynagrodzenie w wysokości 911 539 dolarów oraz około 1,6 mln dolarów w akcjach oraz innych gratyfikacjach. Nadzorując organizację, która umożliwiła dokonanej największej w historii kradzieży numerów kart kredytowych, a gdy to się stało, nawet tego nie zauważyła, jej prezes, Carol Meyrowitz, zarobił okrągłą sumkę 7,5 mln dolarów, która i tak błędnie w porównaniu z kosztami, jakie ponieśli klienci oraz banki będące wystawcami ich kart kredytowych. W chwili pisania tego artykułu dokładne koszty incydentu mającego miejsce w firmie Heartland nie zostały jeszcze określone. Mimo to nie mam jednak żadnych wątpliwości, że jej zarząd zostanie sowicie wynagrodzony za mężną postawę w obliczu kryzysu, którego można było uniknąć, gdyby tylko wdrożono najbardziej podstawowe środki ochrony informacji. Zaniedbania i racjonalizacja nadaj jest cnotą w zbyt wielu firmach. Najwyraźniej mamy jeszcze wiele przed sobą w kwestii odpowiedzialności za bezpieczeństwo informacji.
Do początku strony
Odpowiedzialność na poziomie rządowym
W kwestii odpowiedzialności zalecam zapoznanie się z przygotowanym przez instytut CSIS (Center for Strategic & International Studies) raportem zatytułowanym "Securing Cyberspace for the 44th Presidency" (Bezpieczeństwo cyberprzestrzeni w trakcie 44 prezydentury). Raport ten został opublikowany w grudniu 2008 roku, a jego autorami są członkowie Izby Reprezentantów USA James R. Langevin i Michael T. McCaul, specjalista z firmy Microsoft, zaangażowany w inicjatywę Trustworthy Computing, Scott Charney oraz generał broni sił powietrznych USA (w stanie spoczynku), Harry Raduege USAF. Celem tego raportu było kreślenie strategii dla nowej administracji prezydenta Baracka Obamy w kwestiach bezpieczeństwa cyberprzestrzeni. Bardziej interesująca jest jednak krytyczna ocena zaniedbań bezpieczeństwa cyberprzestrzeni, jakich dopuściła się poprzednia administracja. Raport ten mówi, że „bezpieczeństwo cyberprzestrzeni jest obecnie głównym problemem dla bezpieczeństwa narodowego Stanów Zjednoczonych”.
Co ciekawe, raport ten popiera stanowisko, któremu od dawna sprzeciwiały się firmy zajmujące się produkcją oprogramowania, włącznie z firmą Microsoft na czele: tj. zastosowaniu zasad zamówień publicznych do sterowania rozwojem produktów z zakresu technologii informatycznych, a zwłaszcza oprogramowania. Raport ten mówi bez ogródek, jak ważna jest to sprawa. W szczególności mówi on, że bezpieczeństwo cyberprzestrzeni, to „bitwa, którą przegrywamy”. Co więcej, raport ten mówi nawet, że „niski poziom bezpieczeństwa cyberprzestrzeni niweluje nasze inwestycje w innowacyjne technologie, podczas gdy jednocześnie subsydiuje badania i prace prowadzone przez zagraniczną konkurencję”. Zdanie to bez przesady można odnieść do wysiłków w zakresie bezpieczeństwa informacji, podejmowanych przez niemal każdą organizację.
Do początku strony
Nieodpowiednia akceptacja ryzyka
Wiele niepowodzeń na polu bezpieczeństwa bierze się z nieodpowiedniej akceptacji ryzyka. Istoty ludzkie mają tendencję do niedoceniania ryzyka i przeceniania korzyści. Szczególnie często zdarza się nam niedoceniać zagrożeń w dziedzinach, które uważamy za trudne do zrozumienia, takich jak np. cyberprzestrzeń. Bardzo łatwo potrafimy wyobrazić sobie fizyczne zagrożenie. Większość ludzi zamyka na klucz swoje samochody, nawet jeśli skutkiem potencjalnej kradzieży będzie jedynie utrata 500$ zniżki na ubezpieczenie i kilkudniowa niewygoda. Zamykamy na klucz drzwi w naszych mieszkaniach, nawet jeśli w okolicy, w której mieszkamy, przypadki włamań są bardzo rzadkie. Wyrzucamy jednak do śmietnika wyciągi bankowe, podając przestępcom dokładnie wszystkie informacje, których potrzebują, by okraść nas ze wszystkiego co mamy. Podpisujemy na odwrocie swoje karty kredytowe i przechowujemy je razem z książeczką czekową. Jeśli poskładamy razem wszystkie te elementy, to okazuje się, że dajemy przestępcom do ręki wszystko, czego potrzebują, by opróżnić nasze konto bankowe. To między innymi dlatego moja karta kredytowa wygląda tak, jak to pokazano na rysunku 1.
.gif)
Rysunek 1: Czy naprawdę musimy podpisywać swoją kartę kredytową?.
Jednym z najważniejszych aspektów zarządzania bezpieczeństwem informacji jest właściwa percepcja zagrożenia. To właśnie jest jednym z zadań zespołu odpowiedzialnego za bezpieczeństwo informacji. Zadaniem podstawowej grupy doradczej jest pomoc zespołowi biznesowemu w zrozumieniu ryzyka, na które się ona zgadza, i zagwarantowanie, że zespół biznesowy będzie prawidłowo rozumiał, na czym polega to ryzyko i z jakimi kosztami się ono wiąże. Oceniając ryzyko zwykle popadamy w zbytnie uproszczenia. W swoim artykule z maja 2008 roku, zamieszczonym w dziale Security Watch pod tytułem "Principles of Quantum Security" (Podstawy bezpieczeństwa kwantowego), przedstawiłem zmodyfikowaną wersję równania oceny kosztów utraty informacji (ALE - Annual Loss Expectancy, Roczne spodziewane straty), używanego do oceny ryzyka (patrz rysunek 2).
.gif)
Rysunek 2: Zmodyfikowane równanie oczekiwanych kosztów utraty informacji (ALE - Roczne spodziewane straty).
Gdzie: PIncident oznacza prawdopodobieństwo incydentu, CIncident oznacza koszty incydentu, a CMitigation oznacza koszty zapobiegania incydentowi.
Równanie to nie dotyczy jednak wyłącznie oceny ryzyka. Bycie zaufanym doradcą wymaga o wiele więcej. Kwestię ryzyka zamierzam omówić dokładniej w kolejnych artykułach poświęconych zarządzaniu bezpieczeństwem informacji.
Do początku strony
Strategia
W tym miejscu zaczynamy zbliżać się do tego, co jest prawdziwym celem bezpieczeństwa informacji. Według mnie istnieją cztery centralne aspekty, wywodzące się z jednej zasady naczelnej, którymi należy kierować się w sprawach bezpieczeństwa informacji:
Utrzymywanie zagrożenia na akceptowalnym poziomie Pierwszym i najważniejszym zadaniem osób zajmujących się zawodowo bezpieczeństwem informacji jest utrzymywanie zagrożenia na akceptowalnym poziomie. Zadanie to obejmuje sprawy poruszane w tym artykule - utrzymywanie włączonego światła i wyłączenie odpowiednich świateł, i - ogólnie mówiąc - zagwarantowanie, że informacje będą dostępne dla tych osób, dla których powinny, a dla pozostałych będą niedostępne. Podstawowym problemem związanym z utrzymywaniem zagrożeń na akceptowalnym poziomie jest określenie, co właściwie oznacza „akceptowalny poziom”. Okazuje się, że to, co możemy uznać za akceptowalne, uzależnione jest od wielu czynników, które zostaną omówione w kolejnym artykule.
Współdziałanie z grupą biznesową Zespół odpowiedzialny za bezpieczeństwo informacji jest przede wszystkim elementem prowadzonego biznesu. Jego rola polega na umożliwieniu prowadzenia działalności biznesowej, a nie na jej powstrzymywaniu. Osoby zajmujące się bezpieczeństwem informacji, które postrzegają swoją rolę jako ochronę grupy biznesowej przed nią samą, rzadko odnoszą sukces w dłuższej perspektywie czasu. Osoby takie nie będą również zbyt zajęte, gdyż większość osób z grupy biznesowej będzie ich po prostu unikać i prowadzić swoje działania bez konsultacji z działem bezpieczeństwa informacji, często podejmując jeszcze bardziej nieodpowiednie kompromisy w kwestii zarządzania ryzykami. Należy raz jeszcze powtórzyć, że naszą rolą jest ochrona prowadzonej działalności biznesowej i pomoc w osiąganiu zamierzonych rezultatów, przy jednoczesnym zarządzaniu ryzykami.
Doradzanie w kwestii ryzyka Zespół odpowiedzialny za bezpieczeństwo informacji pełni również role operacyjne, zarządzając urządzeniami sieciowymi, oprogramowaniem zabezpieczającym oraz procesami (takimi np. jak instalowanie poprawek lub reagowanie na pojawiające się incydenty). Często najbardziej widoczna jest właśnie ta operacyjna strona działań zespołu zajmującego się bezpieczeństwem informacji. Jednak polem działania tego zespołu, o potencjalnie najszerszym oddziaływaniu, są jego możliwości w zakresie doradztwa. Jako doradca, zespół zajmujący się bezpieczeństwem informacji może pełnić rolę wewnętrznych konsultantów, wprowadzając perspektywę bezpieczeństwa do wszystkich tworzonych projektów. Rola ta może dawać wiele satysfakcji członkom tego zespołu, którzy pragną przyczynić się do tworzenia bezpośredniej wartości firmy.
Określenie procesów i zasad zarządzania ryzykami Ostatnim zadaniem zespołu odpowiedzialnego za bezpieczeństwo informacji jest całościowe zarządzanie zagrożeniami bezpieczeństwa informacji za pomocą różnych zasad i procesów. Oznacza to, że zespół ten musi oszacować ryzyko dla prowadzonej działalności biznesowej, określić zasady i zdefiniować procesy. Szacowanie ryzyk składa się głównie z analizowania sposobu, w jaki dana organizacja zarządza tymi ryzykami oraz z określania, jak powinna wyglądać preferowana postawa przedsiębiorstwa w tym zakresie. W oparciu o takie podejście zespół zajmujący się bezpieczeństwem informacji określa zbiór zasad bezpieczeństwa kodyfikujących postawę przedsiębiorstwa w sprawach ryzyka, a także podstawy zarządzania tymi zasadami. Zasady te zostają następnie zaimplementowane jako zbiór różnych procesów, pomagających zachować organizacji zgodność z przyjętą polityką bezpieczeństwa.
Do początku strony
Podsumowanie
W tym artykule przedstawiłem podstawową strategię zarządzania bezpieczeństwem informacji. Kluczową rolę odgrywa w tym przypadku zrozumienie, że bezpieczeństwo informacji jest jednym z podstawowych elementów prowadzonej działalności biznesowej, a zespół odpowiedzialny za bezpieczeństwo informacji musi pełnić dla reszty firmy rolę zaufanego doradcy. Zamiast pozostawać w konflikcie z grupą biznesową, grupa zajmująca się bezpieczeństwem musi stworzyć takie relacje z pozostałym częściami firmy, które pomogą całemu przedsiębiorstwu w osiągnięciu swego celu, przy akceptowalnym poziomie ryzyka. Tylko wówczas działania zespołu odpowiedzialnego za bezpieczeństwo informacji będą mogły być efektywne.
To jednak dopiero początek naszej konwersacji. Zachęcam do lektury kolejnych artykułów zamieszczanych w dziale Security Watch , które będą kontynuacją serii poświęconej zarządzaniu bezpieczeństwem informacji.
O autorze
Jesper Johansson jest głównym architektem zabezpieczeń (Principal Security Architect) w dobrze znanej firmie Fortune 200, pracującym nad wizją bezpieczeństwa opartą na ryzykach oraz nad strategią bezpieczeństwa. Współpracuje także z magazynem TechNet Magazine, w którym publikuje swoje artykuły. Jego praca polega na zapewnianiu bezpieczeństwa w kilku z największych i najbardziej rozproszonych systemach na świecie. Posiada doktorat z zarządzania systemami informatycznymi, ma ponad 20-letnie doświadczenie w sprawach związanych z bezpieczeństwem i jest posiadaczem certyfikatu MVP w dziedzinie Enterprise Security (Bezpieczeństwo przedsiębiorstwa). Jego ostatnią książką jest Windows Server 2008 Security Resource Kit (wydawnictwo Microsoft Press, 2008).
| Do początku strony |