Zarządzanie bezpieczeństwem informacji

Sensacyjne wiadomości o wyczynach hakerów, o zniszczeniach powodowanych przez wirusy komputerowe czy o wielkich defraudacjach najbardziej poufnych danych eksponują tylko jeden składnik równania określającego bezpieczeństwo informacji, mianowicie zagrożenia.

Sensacyjne wiadomości o wyczynach hakerów, o zniszczeniach powodowanych przez wirusy komputerowe czy o wielkich defraudacjach najbardziej poufnych danych eksponują tylko jeden składnik równania określającego bezpieczeństwo informacji, mianowicie zagrożenia.

Tymczasem równanie to ma cztery składniki, gdyż poziom bezpieczeństwa informacji jest wypadkową narażeń i zabezpieczeń przed nimi oraz zagrożeń i środków obrony przed nimi. "Zapewnienie wymaganego poziomu bezpieczeństwa" jest hasłem zbyt ogólnym, więc w praktyce cel firmowych programów bezpieczeństwa informacyjnego określa się jako zapewnienie integralności, poufności i zarazem wymaganej dostępności informacji. Chodzi przy tym nie tylko o informację zawartą w komputerach i w bazach danych, ale także w dokumentach papierowych, korespondencji, publikacjach multimedialnych, a nawet w notatkach odręcznych.

Żelazne zasady

Zarządzanie bezpieczeństwem informacji podlega takim samym regułom ogólnym jak każda inna dziedzina zarządzania - ma swój cel, plany, polityki, instrumenty kontroli i oceny, rachunek kosztów i ryzyka, wreszcie programy utrzymania dotychczasowych wyników oraz ciągłej poprawy. Specyfika natomiast uwarunkowana jest specyfiką przedmiotu, co widać już na etapie formułowania założeń planów i polityk bezpieczeństwa.

Praktyka dowodzi, że najwięcej strat powodują naruszenia bezpieczeństwa informacji dokonywane wewnątrz firmy, przez osoby nieświadome tego, co czynią, bądź kierujące się złymi zamiarami. Z tej przyczyny doniosłe znaczenie ma właściwa polityka bezpieczeństwa, będąca swoistym kodeksem bezpiecznego postępowania i obchodzenia się z informacją. Oto kilka żelaznych zasad właściwej polityki bezpieczeństwa, wypływających z doświadczeń praktycznych:

  • Pracownicy, współpracownicy i goście w firmie są obdarzani pełnym zaufaniem i nie powinni odczuwać ograniczeń narzucanych przez wymogi bezpieczeństwa jako oznaki braku zaufania

  • Każda osoba pracująca w firmie powinna mieć dostęp do wszystkich informacji, które są jej potrzebne; jeśli próbuje skorzystać z informacji, do których nie ma dostępu, powinna wyjaśnić, dlaczego ich potrzebuje,

Kwestia zaufania jest delikatna, ponieważ jednocześnie w szczelnym systemie bezpieczeństwa zachowanie pracowników jest monitorowane prawie stale (z respektowaniem ich prawa do prywatności). Ważne jest więc jasne formułowanie polityki i komunikowanie jej w sposób przyjazny, a także wyjaśnianie, szkolenia i dyskusje. W efekcie zasady ochrony informacji powinny stać się naturalnym składnikiem dyscypliny pracowniczej.

Z zewnątrz, od środka... zewsząd

Środki techniczne zabezpieczenia informacji przed narażeniami od wewnątrz firmy to przede wszystkim uprawnienia do pobierania (odczytu) informacji, zmieniania jej i zapisywania (publikowania) w systemach informatycznych. W dużych firmach ochrona zbiorów informacji krytycznych często polega na takim podziale uprawnień, aby pojedyncza osoba nie miała dostępu do całego zbioru. Oprócz tego część osób ma uprawnienia do nadawania uprawnień. W rezultacie zarządzanie uprawnieniami staje się bardzo złożonym zadaniem. Zrozumiałe jest więc, że menedżerowie odpowiedzialni za zarządzanie bezpieczeństwem domagają się sprawnych narzędzi ułatwiających to zadanie. Najbardziej zaawansowane narzędzia informatyczne, zbudowane w odpowiedzi na to zapotrzebowanie, noszą nazwę systemów zarządzania tożsamością (Identity Management).

Zewnętrzne zagrożenia bezpieczeństwa informacji to przede wszystkim ataki na systemy informatyczne. Cyberprzestępcy posługują się najczęściej metodami z dziedziny inżynierii społecznej oraz tzw. złośliwymi kodami. Przykładem zastosowania pierwszej metody są listy rozsyłane e-mailem, nakłaniające adresatów do "zweryfikowania" danych o swoim koncie w e-banku. Złośliwe kody natomiast to rozsyłane Internetem niewielkie programy, takie jak wirusy komputerowe, konie trojańskie, niezakończone komunikaty łączenia się z serwerem itp. Najgroźniejsze z nich to tzw. kody hybrydowe, będące połączeniem kilku różnych kategorii ataku.

Złośliwe kody atakują bardzo często - komputer podłączony do Internetu w Polsce jest atakowany przeciętnie co 2-3 minuty. Jednakże większość ataków jest niegroźna. Groźne ataki natomiast, zwłaszcza te kierowane przez przestępcę konsekwentnie na system informatyczny wybranego przedsiębiorstwa, mogą powodować nieobliczalne szkody. Chociaż żadna obrona przed atakami nie może być skuteczna w 100%, strategia tzw. obrony wielowarstwowej zapewnia osiągnięcie poziomu bezpieczeństwa uzasadniającego koszt takiej obrony. Strategia ta polega na zatrzymywaniu złośliwych kodów poszczególnych kategorii na kolejnych barierach, tworzonych przez systemy wykrywania intruzów, filtry, ściany ogniowe, programy antywirusowe itp. Środki te są dziś na tyle skuteczne, że nie wirusy znajdują się na czele listy "niechcianych gości", lecz programy szpiegowskie - to najnowsze wyzwanie dla dostawców rozwiązań bezpieczeństwa internetowego.


Zobacz również