Η σημασία του ΙΤ Security γίνεται όλο και σημαντική για κάθε οργανισμό που δημιουργεί, συλλέγει, επεξεργάζεται και αποθηκεύει πληροφορία σε ψηφιακή μορφή. Ωστόσο, το πόσο αποτελεσματικό είναι το IT Security δεν είναι κάτι που εξαρτάται μόνο από την τεχνολογία.

Ουκ ολίγες επιτυχημένες υποκλοπές πολύτιμης ψηφιακής πληροφορίας έχουν απασχολήσει τον διεθνή τύπο τον τελευταίο καιρό, προκαλώντας σημαντικές απώλειες χρημάτων και φήμης σε οργανισμούς, οι οποίοι αποτέλεσαν τους στόχους αυτών των επιθέσεων. Πολλά εξελιγμένα τεχνολογικά μέτρα και συστήματα διαθέτονται στην αγορά για να προστατέψουν την πολύτιμη πληροφορία. Ωστόσο, ακόμα και οι πιο σοφιστικέ μέθοδοι δεν μπορούν να προστατέψουν την ψηφιακή πληροφορία, εκτός αν εφαρμοστούν συμπληρωματικές πρακτικές, οι οποίες διαχειρίζονται και διακυβερνώνται από οργανισμούς που θέλουν να κρατήσουν ασφαλείς τις πληροφορίες τους.

Συμπληρωματικές πρακτικές
Κάθε οργανισμός που θέτει ως στόχο να προστατέψει την ψηφιακή πληροφορία θα χρειαστεί να καταρτίσει, τουλάχιστον, τρεις ομάδες πρακτικών για να συνοδεύσουν και να συμπληρώσουν τις τεχνολογικές μεθόδους που ελέγχουν τη ροή των ψηφιακών δεδομένων και προστατεύουν την πληροφορία που είναι αποθηκευμένη στα πληροφοριακά συστήματα.

Ταξινόμηση πληροφορίας
Η ταξινόμηση πληροφορίας επιτρέπει στους οργανισμούς να καθορίσουν την αξία της και να εστιάσουν στην προστασία εκείνης της πληροφορίας που έχει μεγαλύτερη σημασία, ήτοι που είναι περισσότερο πολύτιμη. Έτσι, από τη μία η πληροφορία χρειάζεται να ταξινομηθεί σύμφωνα με την εμπιστευτικότητα, ακεραιότητα και διαθεσιμότητά της, ακολουθώντας το Information Security ISO 27000 (BS7799) στάνταρ και από την άλλη να ταξινομηθεί σύμφωνα με τις νομικές και ρυθμιστικές απαιτήσεις που διακυβερνούν τη χρήση και την αποθήκευσή της.

Μια τέτοια θεώρηση επιτρέπει στους οργανισμούς να κατανοήσουν καλύτερα τις απαιτήσεις προστασίας και διαφύλαξης της πληροφορίας κι έτσι να αποκτήσουν μια επαρκή προστασία. Η ταξινόμηση των πληροφοριών θα πρέπει να «κληρονομηθεί» από τα πληροφοριακά συστήματα (π.χ. εφαρμογές, βάσεις δεδομένων, συστήματα storage, servers κ.λπ.) που τις περιέχουν, μέσα από ένα περιβάλλον επαρκούς προστασίας, όπου συσχετίζεται το ρίσκο με την αξία της πληροφορίας.

Επαγρύπνηση ασφάλειας
Όλες οι παραβιάσεις της ασφάλειας του ΙΤ ξεκινούν με ένα ασήμαντο και φαινομενικά αθώο γεγονός, το οποίο αποκαλύπτει σημαντικές πτυχές πληροφορίας στον εισβολέα. Αλόγιστο posting σε μια υπηρεσία κοινωνικής δικτύωσης, ένα κλικ σε ένα link στο email από έναν άγνωστο αποστολέα, το άνοιγμα ενός email attachment, η απρόσεκτη αποκάλυψη ενός ονόματος, ενός τηλεφώνου ή μιας διεύθυνσης email σε μια εισερχόμενη κλήση, όλα αυτά προσθέτουν ένα ακόμα λιθαράκι στο μωσαϊκό των γεγονότων και των τρωτών σημείων που συλλέγονται πριν ένας εισβολέας κάνει την επίθεσή του. Ο οργανισμός, οι υπάλληλοι και οι προμηθευτές θα πρέπει να ενημερώνονται συνεχώς και να γνωρίζουν τους κινδύνους που σχετίζονται με τη χρήση των σύγχρονων τεχνολογιών Πληροφορικής και Τηλεπικοινωνιών. Αρκετά κανάλια χρειάζεται να χρησιμοποιηθούν (εκπαίδευση, ενημερωτικά δελτία, πόστερ, βίντεο, επικοινωνία σε δημόσια μέρη, όπως με την προβολή ενημερωτικού βίντεο κ.λπ.) και το ίδιο μήνυμα πρέπει να επαναληφθεί αρκετές φορές. Αν οι ενημερωτικές καμπάνιες επαγρύπνησης οργανώνονται περιοδικά και με συνέπεια, συχνά η αποδοχή τους από τους υπαλλήλους είναι πολύ καλή.

Βέλτιστες πρακτικές ΙΤ
Υπάρχουν μερικές βασικές και ευρέως γνωστές πρακτικές του ΙΤ που θα πρέπει να εφαρμόζονται αυστηρά στον οργανισμό για να διασφαλίσουν ότι τα συστήματα δεν μπορούν να διαπεραστούν εύκολα, εμποδίζοντας την υποκλοπή της πληροφορίας. Μερικές από τις πιο σημαντικές (αυτή η λίστα δεν εξαντλείται, ενώ αρκετές άλλες βέλτιστες πρακτικές από διαφορετικά frameworks – π.χ. Cobit, ITIL, RiskIT, Information Security – είναι σκόπιμο πριν την ενσωμάτωσή τους να υποστούν μια ανάλυση κινδύνων για να αξιολογηθεί η προσπάθεια σε σχέση με το όφελος που αποδίδει αυτή) είναι οι εξής:

  • Διαχείριση ταυτοποίησης και εξουσιοδότησης. Όλοι οι συνεργάτες χρειάζεται να έχουν μια ψηφιακή ταυτότητα (UserID) για να ταυτοποιήσουν την πρόσβασή τους σε οποιοδήποτε πληροφοριακό σύστημα. Όλες οι εφαρμογές, βάσεις δεδομένων και λειτουργικά συστήματα χρειάζεται να έχουν ένα Role Based Access Control (RBAC) για να επιτρέψουν πρόσβαση σε υποσύνολα πληροφορίας μόνο σε εξουσιοδοτημένα άτομα. Οι εξουσιοδοτήσεις χρειάζονται να αφαιρούνται έγκαιρα από όλους τους αποχωρήσαντες. Οι λίστες πρόσβασης πρέπει να επανεξετάζονται περιοδικά και οι άδειες πρόσβασης να υπογράφονται από τους σχετικούς υπεύθυνους.
  • Change management: Το change management πρέπει να αποτελεί μια αυστηρά ελεγχόμενη διαδικασία. Οι developers, για παράδειγμα, δεν χρειάζεται να έχουν πρόσβαση στα συστήματα παραγωγής, αλλά μόνο το πιστοποιημένο προσωπικό επιτρέπεται να έχει δικαιώματα πρόσβασης για να προωθεί τον κώδικα ενός προγράμματος στην παραγωγή.
  • Έλεγχος στη μεθοδολογία συγκεκριμένων projects IT security: Οι αξιολογήσεις κώδικα και τα τεστ διείσδυσης χρειάζονται να εκτελούνται σε διαφορετικές φάσεις του έργου ανάπτυξης εφαρμογών, για να αναγνωρίζονται και να θεραπεύονται τα κενά ασφάλειας μιας νεοσύστατης εφαρμογής.
  • Βασικές γραμμές ασφάλειας. Η εγκατάσταση νέων πληροφοριακών συστημάτων χρειάζεται να ακολουθεί μια προκαθορισμένη διαδικασία. Κάθε τεχνολογία οφείλει να συνοδεύεται από ένα σετ κανόνων εγκατάστασης και ρύθμισης κανόνων εξουσιοδότησης, αλλά και μια λίστα από υποχρεωτικές και απαγορευμένες υπηρεσίες. Θεμελιώδης κανόνας είναι όλα τα default usernames (guest, admin, SAP_ALL) να απενεργοποιούνται και μόνο οι υπηρεσίες που είναι απολύτως απαραίτητες να φορτώνουν κατά τη διάρκεια της εκκίνησης του συστήματος. Αυτές οι μη τεχνολογικές πρακτικές μπορούν να διευρυνθούν με καθαρά τεχνολογικές πρακτικές, όπως, για παράδειγμα, με antivirus system management, patch management, συνεχή έλεγχο για κενά ασφαλείας στα πληροφοριακά συστήματα, συστήματα ανίχνευσης επιθέσεων (Ιntrusion Detection Systems, IDS), συστήματα SIEM (Security Incident and Event Management, πρακτικές η περιγραφή των οποίων ξεφεύγει από το σκοπό του παρόντος άρθρου.

Εν κατακλείδι
Χωρίς καμία αμφιβολία, ένα σετ από τεχνολογικές μεθόδους χρειάζεται να ενσωματωθεί σε κάθε οργανισμό που επιθυμεί να προστατέψει την ψηφιακή πληροφορία του. Ωστόσο, ακόμα και η πιο μοντέρνα τεχνολογική προσέγγιση ενδέχεται να αποδειχθεί ανεπαρκής αν δεν συνοδεύεται από ένα γκρουπ συμπληρωματικών πρακτικών, οι οποίες αναγνωρίζουν την αξία της πληροφορίας και καθορίζουν την εστίαση στις προσπάθειες (αυξάνοντας και υποστηρίζοντας την επίγνωση όλων των συνεργατών του οργανισμού για τους κινδύνους που σχετίζονται με τη χρήση της ψηφιακής πληροφορίας) και ενσωματώνουν βέλτιστες πρακτικές ΙΤ για την ανάπτυξη και τις λειτουργίες των πληροφοριακών συστημάτων.

Dr. Ales Zupan
O Ales Zupan διαθέτει περισσότερες από δύο δεκαετίες εμπειρίας στην βιομηχανία Πληροφορικής. Είναι σήμερα Information Governance and Management (IGM) Program Manager σε μεγάλο διεθνή οργανισμό, ενώ κατά τη διάρκεια των τριών τελευταίων ετών ηγήθηκε ενός έργου για όλο τον οργανισμό του με στόχο το σχεδιασμό και την εφαρμογή μιας καινοτόμου προσέγγισης για την ολοκληρωμένη διαχείριση κινδύνων.