Transformacja cyfrowa i gospodarka 4.0 tworzą nowe, niezamierzone furtki dla ryzyka, podatności na ataki i sabotaże. Strategia cyberodporności szybko staje się niezbędna dla każdej nowoczesnej organizacji, a sprawnie zaimplementowana pomoże Twojej firmie zmniejszyć ryzyko związane z utratą reputacji, ale także i stratami pieniężnymi związanymi z postępowaniami sądowymi czy odszkodowaniami za ujawnienie poufnych informacji. Na wagę informacji na dzisiejszym rynku coraz większą uwagę zwracają rządy, nie tylko tworząc odpowiednie przepisy, ale też powołując nowy rodzaj sił zbrojnych mających na celu zapewnienie bezpieczeństwa cyfrowej strefie życia.
Najlepsze praktyki
Na szczęście nie trzeba tworzyć wszystkiego od nowa i próbować wyważyć otwartych drzwi. Opracowane są już skuteczne (na ten moment) podejścia do zabezpieczania informacji, praktyki związane z utrzymaniem ciągłości działania, metody monitorowania ruchu, a w przypadku gdy już dojdzie do ataku – sposoby odzyskiwania informacji.
Część z tych metod została przetłumaczona na język polski, inne są dostępne np. w języku angielskim. Dostęp do nich jednak często umieszczony jest za tzw. paywallem. Według mnie część tej wiedzy powinna być ogólnodostępna dla wspólnego dobra. W tym artykule postaram się choćby pobieżnie przybliżyć skuteczne praktyki, których implementacja w firmach, pomoże zabezpieczyć informacje przed ujawnieniem ich osobom do tego nieupoważnionym.
Jedną z bardziej znanych praktyk jest standard ISO 27001. Jest to norma, która wymaga od kierownictwa systematycznego śledzenia nowych wektorów ataku, a także monitorowania skuteczności już wdrożonych zabezpieczeń. Poza śledzeniem ryzyk, norma ta określa również ich właścicieli, aktorów bezpieczeństwa oraz wymaga kompleksowego zestawu dokumentacji określającej sposób ograniczenia lub przenoszenia ryzyka. Monitoring skuteczności podjętych działań ocenia okresowy wewnętrzny audyt bezpieczeństwa, który wskazuje obszary wymagające dalszych prac. W przypadku gdy audyt wewnętrzny wykaże skuteczność podjętych działań, warto zwrócić się do zewnętrznych specjalistów w dziedzinie audytu, po to, aby świeżym okiem potwierdzili skuteczność wdrożonego systemu bezpieczeństwa lub wskazali dziedziny wymagające poprawy. Audyt zewnętrzny może zakończyć się certyfikacją zgodności ubiegającego się podmiotu, co sugeruje potencjalnym kontrahentom, że ich dane są bezpieczne.
Sposoby kontroli
Aby skutecznie wdrożyć kontrolę dostępu do informacji, trzeba rozdzielić to zagadnienie na 2 grupy: zabezpieczenia fizyczne i zabezpieczenia logiczne. Do grupy zabezpieczeń fizycznych możemy zaliczyć wszystkie metody ograniczenia dostępu do fizycznych kopii danych poprzez np. wyznaczenie stref o ograniczonym dostępie dla osób niepowołanych, zamykane szafy czy politykę czystego biurka.
Pamiętać trzeba również o tym, że system zabezpieczeń jest tak mocny, jak jego najsłabsze ogniwo. Znane są przypadki gdy firma montuje ognioodporne drzwi antywłamaniowe z biometrycznym systemem kontroli dostępu, osadzone w ścianie z karton-gipsu, lub gdy pomieszczenie znajduje się na niskim parterze z otwartym na noc oknem. Wspomniane przypadki są oczywiście skrajnością, ale pokazują też niezrozumienie tego, jak należy podchodzić do tematu bezpieczeństwa fizycznego.
Kilka ogólnych typów kontroli dostępu logicznego
Jednym z elementów kontroli dostępu jest to, w jaki sposób użytkownik loguje się do systemu. Uzyskuje się w ten sposób dostęp do plików czy bazy danych. Dostęp ten może być jednak kontrolowany na wielu różnych poziomach:
- Sieciowym – ograniczenie możliwości połączenia się z usługą.
- Fizycznym – ograniczenie dostępu do miejsca gdzie znajdują się te informacje.
- Funkcjonalnym – wyznaczenie i kontrolowanie funkcji podwyższonego ryzyka, takich jak zmiany w konfiguracji, czy dostęp do funkcji administratorskich.
Ograniczenie dostępu do informacji może odnosić się nie tylko do plików i funkcjonalności baz danych, ale też do aplikacji i interfejsów, określonych ekranów i funkcji aplikacji, a nawet konkretnych pól w bazach danych, możliwości przesyłu czy edycji tych informacji.
Modele kontroli dostępu
Mamy cztery modele kontroli dostępu: ograniczony, obowiązkowy, oparty o role i oparty o atrybuty.
Model ograniczony – kontrola dostępu opiera się na potwierdzeniu tożsamości i wyznaczeniu zakresu dostępu do informacji. Użytkownik ma możliwość dalszego przekazania takich uprawnień innym ludziom czy całym podmiotom. Zasadę tę stosuje się dla informacji o najniższej wadze, których ujawnienie w żaden sposób nie odbije się negatywnie na administratorze danych.
Model obowiązkowy – kontrola dostępu oparta jest na wadze przetwarzanej informacji, określeniu grup, które bezwzględnie potrzebują tych informacji do świadczenia swojej pracy, a także zablokowaniu dalszej możliwości udostępniania tych informacji innym. Użytkownik ma dostęp wyłącznie do wybranych funkcji i informacji, a każde jego działanie jest odpowiednio odnotowywane. W przypadku ujawnienia danych przetwarzanych na tym poziomie, sprawny system powinien być w stanie określić miejsce i przyczynę wycieku, a także ograniczyć straty z tym związane.
Model oparty o role – administrator określa role pełnione przez użytkownika lub grupy użytkowników. Role takie określają grupy bezpieczeństwa i obejmują pewien zbiór podmiotów, w których wszyscy mają wspólne potrzeby w zakresie dostępu. Dobrym przykładem takiego rozwiązania są call center, gdzie panuje duża rotacja pracowników, a nowo przyjęci pracownicy wykonują z góry określone zadania na wąskim wycinku danych.
Model oparty o atrybuty – jest to nowsze podejście niż model oparty o role. Działa na określonych atrybutach użytkownika wskazanego zasobu wykluczając możliwość dostępu do informacji w przypadku wykrycia jakichś nieprawidłowości, takich jak niewłaściwa lokalizacja użytkownika czy godzina o której próbuje uzyskać dostęp. Przykład: jeśli zasadą jest to, że użytkownik loguje się z Warszawy w godzinach 8-17, to na podstawie takiego zachowania system będzie wiedział, aby blokować wszelkie próby uzyskania dostępu w godzinach nocnych na terytorium innego kraju. Ten sposób jest tak dobry, jak pełny jest zbiór zasad określających dozwolone zachowania użytkowników.
Polityka klasyfikacji informacji
Cel:
Na wysokim poziomie polityka klasyfikacji danych jest po to, aby zapewnić ramy dla ochrony informacji. Jest to podstawa do sformułowania konkretnych polityk, procedur i kontroli niezbędnych do ochrony poufnych danych.
Zakres:
Zakres wyjaśnia czy dana polityka dotyczy wszystkich systemów informacyjnych w organizacji, czy też istnieją pewne wyjątki.
Role i obowiązki:
Określają kluczowych aktorów w organizacji, którzy będą zaangażowani w tworzenie polityki, edukację interesariuszy na temat najlepszych praktyk bezpieczeństwa, identyfikację zagrożeń dla informacji, wdrażanie kontroli, aktualizację kontroli oraz zapewnienie zgodności z polityką klasyfikacji informacji.
Kategorie klasyfikacji informacji:
To szczegółowe określenie kategorii danych, do których będą klasyfikowane wszystkie dane (np. Poufne vs. Publiczne) oraz wyszczególnienie, jakie konkretne rodzaje danych należą do każdej kategorii. Na przykład, w przypadku agencji rządowej, dane poufne obejmują informacje z zakresu prawa karnego, które zebrały wydziały policji (np. informacje z rejestru karnego). Informacje publiczne obejmują wszelkie dane, które mogą być udostępnione publicznie, takie jak raporty dotyczące wykonywania funkcji rządowych. W sekcji tej należy przedstawić sposób postępowania z informacjami poufnymi, ich przenoszenia lub przetwarzania.
Klasyfikacja danych, polityka bezpieczeństwa oraz analiza ryzyka to powiązane ze sobą funkcje, które organizacja wdraża w celu zwiększenia bezpieczeństwa.
Polityka klasyfikacji danych wyraża tolerancję organizacji na ryzyko.
Polityka bezpieczeństwa określa, w jaki sposób organizacja chce podejść do kwestii bezpieczeństwa informacji, aby wykrywać i zapobiegać narażaniu informacji na szwank poprzez niewłaściwe wykorzystanie danych, sieci, systemów komputerowych i aplikacji.
Analiza ryzyka pomaga organizacji określić, w jaki sposób najlepiej chronić aktywa organizacyjne (w tym cenne informacje), równoważąc jednocześnie cele biznesowe i ograniczenia zasobów.
Wskazówki
- Najpierw oceń, co chcesz chronić, dopiero później to zabezpiecz.
- Oprzyj klasyfikacje na specyficznych kryteriach i wymogach prywatności Twojej organizacji po przeprowadzeniu dokładnej oceny regulacyjnej.
- Stosuj zasadę minimalnego możliwego dostępu. W myśl tej zasady użytkownik ma mieć dostęp tylko do tych informacji i zasobów, które są mu niezbędne do wykonywania swojej pracy.
- Wykorzystaj technologię automatyzacji do uproszczenia klasyfikacji poprzez szybką analizę i grupowanie danych na podstawie ustalonych wytycznych.
- Zidentyfikuj i zrozum profil przetwarzanych danych. Niektóre pytania, na które powinna odpowiedzieć Twoja polityka, to: gdzie i przez kogo zostały zebrane informacje, gdzie są przechowywane, kto jest odpowiedzialny za potwierdzenie dokładności danych i kto jest odpowiedzialny za zarządzanie danymi w organizacji.
- Wyznacz jasne, definiowalne cele dotyczące tego, co Twoja polityka będzie obejmować i co osiągniesz w zgodzie z celem i ideologią Twojej firmy.
- Ustanów zasady przekazywania obowiązków i zapewnij odpowiedzialność.
- Utrzymuj politykę prostą, z jak najmniejszą liczbą klasyfikacji.
- Weryfikuj swoją politykę co najmniej raz w roku, aby być na bieżąco z wewnętrznymi i zewnętrznymi zmianami.
