Dobra polityka to podstawa

Kamil Kosiński
opublikowano: 25-03-2009, 00:00

Firewall, antywirus, hasła i czytniki biometryczne. Tylko po co? Warto się nad tym zastanowić, zanim zacznie się wydawać pieniądze.

Kalkulacja zagrożeń powinna być racjonalna pod względem funkcji i kosztów

Firewall, antywirus, hasła i czytniki biometryczne. Tylko po co? Warto się nad tym zastanowić, zanim zacznie się wydawać pieniądze.

W wielu firmach pokutuje przekonanie, że program antywirusowy to wszystko, co jest potrzebne do zapewnienia bezpieczeństwa informatycznego. To oczywiście nieprawda. Aby się dowiedzieć, jak jest w rzeczywistości, należy najpierw zdefiniować, co i jak będzie chronione, czyli stworzyć politykę bezpieczeństwa.

— Dokument taki powinien mieć nie więcej niż kilkanaście stron, abstrahować od nazw konkretnych produktów informatycznych i nazwisk osób. Powinien jednak jasno określać odpowiedzialność względem poszczególnych stanowisk, a w szczególności określać osoby ze ścisłego kierownictwa, które będą podejmowały decyzje dotyczące bezpieczeństwa informacji i zarządzania ryzykiem. Zazwyczaj zapewnienie bezpieczeństwa wiąże się wydawaniem pieniędzy i ktoś musi decydować, że określone kwoty można wydać na zabezpieczenia minimalizujące ryzyko, albo też, że można to ryzyko świadomie zaakceptować — podkreśla Jacek Skorupka, architekt bezpieczeństwa informacji w firmie Altkom Akademia.

— Nie chodzi o to, by być zabezpieczonym na wszystkie sposoby. Wystarczy być trudniejszym celem niż firmy podobnej klasy. Hakerzy kalkulują. Atakują tam, gdzie łatwiej im osiągnąć zamierzony efekt. A wywindowanie poziomu zabezpieczeń do granic absurdu spowoduje obniżenie efektywności pracy — dodaje Piotr Nogaś, szef inżynierów w Symantec Poland.

No i najważniejsze: wydatki na zabezpieczenia nie powinny przekraczać ewentualnych strat związanych z niepożądanym zdarzeniem. A te mogą być wprost wyliczalne, związane np. z podebraniem klientów przez konkurencję, lub bardziej złożone — np. utrata reputacji.

Specyfika, specyfika

Rozpoczynając pracę nad polityką bezpieczeństwa, firma powinna się przede wszystkim zastanowić, co chce chronić. Niektóre zalecenia z tym związane wprost wynikają z prawa — np. z ustawy o ochronie danych osobowych lub ustawy o ochronie informacji niejawnych — inne, z branżowych zaleceń referencyjnych. Umowa Bazylejska jest np. taką pozaprawną normą dla banków, które chcą być pełnoprawnymi uczestnikami relacji w tym sektorze. Istotne są też uwarunkowania wynikające ze specyfiki biznesu prowadzonego przez daną firmę.

— W przedsiębiorstwie przemysłowym problemem może nie być to, że jakiś serwer nie działa przez trzy dni, ale to, że pracownik skopiuje i wyniesie dane dotyczące składu chemicznego któregoś z produktów — zaznacza Janusz Chołodecki, konsultant w Winuelu.

— W przypadku utraty laptopa przez prezesa koszt samego komputera może być marginalną stratą w porównaniu z wartością informacji zawartych na twardym dysku. Dlatego dane na dyskach kadry zarządzającej powinny być szyfrowane — mówi Piotr Nogaś.

Aby stworzyć dobrą politykę bezpieczeństwa, trzeba więc znać również kulturę organizacji. Jej ignorowanie to częsty błąd. Zwłaszcza szefów IT czy tzw. oficerów bezpieczeństwa, którzy dopiero rozpoczęli pracę w danej firmie i chcą się wykazać, szybko przedstawiając jej zarządowi efekty swojej obecności — w tym przypadku politykę bezpieczeństwa.

— Brać się za politykę bezpieczeństwa bez znajomości kultury organizacji to tak, jakby planować zabezpieczenie domu, nie uwzględniając zwyczajów mieszkańców. Można np. zainstalować czujniki ruchu w nocy. Tylko, że jeśli ktoś ma taki zwyczaj, że budzi się w nocy, bo ma jakiś pomysł, wstaje i biegnie go zanotować, to musi odwołać taki alarm. Za którymś razem więc go nie włączy. A wtedy przemyślny system nie daje żadnego bezpieczeństwa — tłumaczy dr Aleksander Poniewierski, partner w Ernst Young Business Advisory.

I dodaje, że nieraz spotkał się z restrykcjami bez sensu.

— Kiedyś pracowałem dla dużej firmy energetycznej, której zaproponowano politykę bezpieczeństwa bezpośrednio skopiowaną z biblioteki Uniwersytetu Stanforda. Świetnie wyglądała na papierze, ale kompletnie nie pasowała do biznesu tego przedsiębiorstwa. Jednym z jej elementów był np. absolutny zakaz jedzenia i picia przy sprzęcie IT. To przecież zapis dobry na stanowisku pracy bibliotekarza, ale kompletnie irracjonalny gdzie indziej — opowiada Aleksander Poniewierski.

Podaje także niemal powszechny przykład błędu w polityce bezpieczeństwa, czyli uznawanie za bezpieczne przynajmniej sześcioznakowych haseł do komputerów, pod warunkiem, że zawierają one przynajmniej jeden znak specjalny i zmieniane są co miesiąc.

— Taki sposób rozumowania bazuje na algorytmie siły hasła z 1976 r.! Przy mocy obliczeniowej ówczesnych komputerów do złamania takiego hasła potrzeba było 60 dni. Ale dzisiaj łamie się je w pół godziny na przeciętnym pececie. Dlatego na przełomie lat 80. i 90. pojawiły się hasła jednorazowe z udziałem tokenów, a obecnie do blokowania osobom niepowołanym dostępu do komputerów stosuje się czytniki biometryczne — tłumaczy Aleksander Poniewierski.

Wedle Piotra Nogasia, innym częstym błędem jest niedostrzeżenie internetowej rewolucji, jaka zachodzi na naszych oczach. I nie chodzi o same połączenia z internetem, ale sposoby ich uzyskiwania. Dostępne obecnie modemy USB nie wymagają przecież nawet instalacji sterowników, do której konieczne byłyby uprawnienia administratora. Wystarczy włożyć taki modem do gniazda USB i już można dowolnie, poza kontrolą firmowego działu IT, surfować po globalnej sieci, będąc jednocześnie podpiętym do sieci wewnętrznej przedsiębiorstwa.

— Firmy są przyzwyczajone do dostępu do internetu przez kabel. Uważają więc, że sprzętowy firewall na granicy sieci wewnętrznej i internetu wystarczy. Ale jeżeli na 1000 komputerów 50 połączy się z internetem modemami bezprzewodowymi, to sytuacja dla administratora stanie się nie do opanowania. Można oczywiście zablokować wszystkie porty USB, ale to pewnie doprowadzi do jeszcze większych problemów, bo niepotrzebnie zirytuje pracowników potrzebujących ich do innych celów — przestrzega Piotr Nogaś.

Co zatem robić?

— Istnieje oprogramowanie, które potrafi zablokować nieautoryzowany dostęp do internetu przez modemy USB, a nawet, jeśli ktoś będzie aż tak sprytny, by go uzyskać, to automatycznie odcinają one do- stępu takiego komputera do sieci korporacyjnej — radzi Piotr Nogaś.

Co dalej?

Nawet w przypadku poprawnego zdefiniowania reguł polityki bezpieczeństwa informatycznego jej efektywność pozostawia często wiele do życzenia. Dlaczego tak się dzieje?

— Ponieważ nie monitorujemy przestrzegania polityki bezpieczeństwa. Wiele firm się cieszy, gdy szef IT przyniesie zarządowi taki dokument do zatwierdzenia. To tak jak ze szkoleniem BHP, które robi się tylko po to, żeby zdobyć podpis inspektora — twierdzi dr Aleksander Poniewierski.

— Firmy potrafią wydawać duże pieniądze na zabezpieczenia, ale nikt nie dba o ich poprawną konfigurację. Tymczasem ludzie zmieniają działy i odchodzą z pracy, a ich konta z uprawnieniami, których już mieć nie powinni, wciąż pozostają aktywne, bo po prostu nikt nie pamięta o ich likwidacji lub choćby zmianie uprawnień — dodaje Janusz Chołodecki.

Podobną opinię wyraża Grzegorz Widera, dyrektor projektów specjalnych w Lumenie. Jego zdaniem, ważnym błędem jest również postrzeganie bezpieczeństwa informacji jako zagrożenia dla systemu IT, a nie dla biznesu.

Kamil Kosiński

© ℗
Rozpowszechnianie niniejszego artykułu możliwe jest tylko i wyłącznie zgodnie z postanowieniami „Regulaminu korzystania z artykułów prasowych” i po wcześniejszym uiszczeniu należności, zgodnie z cennikiem.

Podpis: Kamil Kosiński

Być może zainteresuje Cię też:

Polecane

Inspiracje Pulsu Biznesu

Puls Biznesu

Kariera / Dobra polityka to podstawa