W części pierwszej artykułu zostały poruszone problemy związane z organizacją ochrony informacji w organizacji. Przedstawione zostały błędy, jakie popełniają organizacje podczas wdrażania zasad bezpieczeństwa informacji - błędy natury organizacyjnej lub wynikające z samego podejścia do problemu. W tej części skupimy się na równie prostych, oczywistych i niestety wciąż powtarzanych błędach, tym razem związanych z techniczną stroną realizacji koncepcji ochrony informacji i z konkretnymi działaniami mającymi na celu bezpieczeństwo informacji.
Analiza zagrożeń
Najpierw należy określić, co, dlaczego i jak chronić, gdyż – w największym uproszczeniu – do tego sprowadza się proces analizy zagrożeń. Uznany standard zarządzania bezpieczeństwem, określony w normie ISO 27001, wskazuje analizę zagrożeń jako podstawę zarządzania bezpieczeństwem informacji.
Jak jest w praktyce? Bardzo często organizacje nie wiedzą nawet, że należy przeprowadzić taką analizę, nie mówiąc o wykorzystaniu jej wyników. Prawie zawsze efektem jest słaba, pełna luk i niekompletna ochrona:
- brak inwentaryzacji zasobów informacyjnych, który często prowadzi do tego, że część wrażliwych aktywów informacyjnych pozostaje niechroniona;
- brak wiedzy o obecnych i potencjalnych zagrożeniach, która jest podstawą analizy (efektem jest słabe przygotowanie na wypadek naruszenia bezpieczeństwa informacji);
- brak wiedzy o rzeczywistych skutkach, możliwych stratach w przypadku naruszenia bezpieczeństwa informacji (często dopiero analiza zagrożeń pokazuje, że pewne straty są nie do zaakceptowania i organizacja musi im zapobiegać);
- niewłaściwy dobór zabezpieczeń, zbyt rygorystyczna lub zbyt liberalna ochrona informacji (efektem jest występowanie ewidentnych luk w zabezpieczeniach lub po prostu brak tych zabezpieczeń; innym efektem są zabezpieczenia zbyt rygorystyczne – nieadekwatne do stopnia zagrożenia) lub po prostu wybór bardzo drogich rozwiązań (np. kaskadowych haseł lub skomplikowanych i niepraktycznych procedur postępowania).
Istotny jest również aspekt ekonomiczny. Trudno mówić o racjonalnym zarządzaniu zasobami, podejmowaniu decyzji dotyczących działań w dziedzinie bezpieczeństwa informacji, gdy brakuje rzetelnej analizy zagrożeń. Może zamiast kupować nowy, drogi serwer o większej wydajności lepiej wysłać administratorów na szkolenia, by umieli optymalnie wykorzystać to, czym dysponują?
Procedury i instrukcje
Precyzja i klarowność w opisie to klucz do tego, by zdefiniowane i udokumentowane procedury były stosowane przez pracowników. Niestety, często można mieć wiele zastrzeżeń do jakości dokumentacji. Chyba najlepszymi królikami doświadczalnymi do testowania zrozumiałości procedur są audytorzy, którzy, jako osoby z zewnątrz, zapoznają się z nimi i muszą je szybko zrozumieć, zapamiętać oraz wykorzystać podczas audytu. Jeżeli audytor nie rozumie, o co chodzi w danej polityce, procedurze, instrukcji, i musi ją kilkakrotnie przestudiować, to należy się spodziewać, że taki sam problem będzie miał przeciętny pracownik. A ponieważ nikt z nas, pracowników, nie ma czasu na studiowanie zawiłych instrukcji i procedur, zwykle nikt ich nie zna. Gorzej, jeśli większość z tych dokumentów jest właśnie taka…
Najważniejsze zarzuty pod adresem dokumentacji to:
- obszerność procedur i instrukcji (najlepiej funkcjonują krótkie, nawet jedno- czy dwu stronicowe dokumenty – łatwo je zapamiętać, a nawet wydrukować i powiesić na ścianie);
- „życzeniowy” charakter procedur/instrukcji (organizacje przedstawiają w dokumentacji idealny sposób postępowania, który nie może być realizowany w praktyce – lepiej opracować prostą, skromną, elastyczną procedurę);
- brak konsultacji z wykonawcami procedur/instrukcji (w efekcie ich realizacja jest dla wykonawców trudna lub wręcz niemożliwa, przyczyną jest brak współpracy departamentów bezpieczeństwa, oficerów i administratorów bezpieczeństwa z resztą organizacji);
- brak precyzji (nie wiadomo, kogo i czego dotyczy procedura, kto i kiedy powinien ją stosować; nagminnie używa się sformułowań typu „zaleca się, by kopie zapasowe były wykonywane […]”, „powinno się”; to oczywiste, że wiele osób traktuje tak sformułowaną instrukcję jako wyłącznie życzliwą radę i postępuje według swoich przekonań, dlatego znacznie lepiej jest jasno i twardo formułować wymagania, np. „kopie zapasowe muszą być wykonywane […]”).
Jeżeli jest to możliwe, należy zebrać najważniejsze wymagania dotyczące ochrony informacji w krótkim poradniku. Kilkustronicowy dokument zwykle wystarcza i może zawierać wszystkie informacje, które są potrzebne pracownikowi na co dzień. Pracownicy cenią sobie takie „ściągawki”. Praktyka audytowa pokazuje, że świetnie się sprawdzają.
Uświadamianie
Jak głosi teoria i potwierdza praktyka, bezpieczeństwo informacji zależy od odpowiednio wyedukowanych pracowników, którzy wiedzą, czym jest ochrona informacji i jakie są jej cele.
Niestety, w praktyce obszar bezpieczeństwa informacji kojarzy się pracownikom z niepotrzebnymi, skomplikowanymi hasłami dostępowymi, ograniczeniami dostępu do danych i aplikacji, nudnymi szkoleniami dotyczącymi wyimaginowanych zagrożeń. Ogólnie jest to dla nich „zawracanie głowy”. I mają rację.
Przede wszystkim konieczna jest zmiana podejścia pracowników, uświadomienie im potrzeby tego wszystkiego, co ma na celu bezpieczeństwo. Muszą wiedzieć, dlaczego chronimy informacje i jakie są konsekwencje braku ochrony. Warto przedstawić to obrazowo –przedstawić incydenty we własnej i innych organizacjach. Można zademonstrować, co można zrobić z zawirusowanym, zdalnie zarządzanym komputerem. Jeden z klientów, nie uprzedziwszy pracowników, po prostu wyłączył swoje systemy IT, aby zasymulować potężną awarię. Pracownicy dowiedzieli się, że była awaria i wszystko przepadło – muszą radzić sobie bez komputerów i serwerów. Z tego powodu nagle uświadomili sobie ważność ochrony informacji.
Co do edukacji – w trakcie szkoleń pamiętajmy, że dla większości pracowników ochrona informacji jest na podobnym poziomie abstrakcji, jak fizyka kwantowa. Ich możliwości przyswajania wiedzy z tej dziedziny są mocno ograniczone. Pięciogodzinne szkolenie z zakresu danych osobowych, ISO 27001, informacji niejawnych itp. po prostu ich zmęczy, a efekt niestety będzie daleki od oczekiwań.
Terra incognita czyli bezpieczeństwo informacji u dostawcy
W praktyce bardzo często bywa tak, że organizacja dba o bezpieczeństwo informacji w swoim obrębie, ale nie wymaga tego samego od zewnętrznych dostawców albo podwykonawców usług. Tak oto zewnętrzny dostawca usług IT zarządza kluczowymi systemami IT organizacji w ramach outsourcingu, ale sama organizacja zlecająca nie wie, jaki jest poziom bezpieczeństwa u dostawcy usługi. Czy rzeczywiście jest ono takie, jakiego oczekujemy? Czy powierzone dane rzeczywiście są bezpieczne?
Organizacje nagminnie zapominają o zapewnieniu sobie możliwości kontroli dostawcy, np. poprzez audyty lub odpowiednio szczegółowe raportowanie realizacji usług. Solidni dostawcy nie mają nic do ukrycia i łatwo jest wynegocjować możliwość zastosowania odpowiednich narzędzi oceny ich usługi. Czasami można usłyszeć (jako argument obrony): „nie monitorujemy działań dostawców, ale jakby co, obciążymy ich karami umownymi”. Niestety zapomina się o tym, że dostawca nie pójdzie za nas do sądu, jak również nie będzie w naszym imieniu przepraszał klientów. Winowajca zapłaci karę umowną po latach prawnej szarpaniny w sądzie.
Celem niniejszego artykułu było wskazanie błędów popełnianych przez organizacje podczas wdrażania zasad bezpieczeństwa informacji. Mają one specyficzny charakter i często umykają uwadze. Niektóre mogą się wydawać niezbyt poważne, ale praktyka audytowa autora pokazuje, że są one główną przyczyną bardzo poważnych słabości systemu ochrony informacji. Równocześnie, co warto podkreślić, większość z nich da się szybko i tanio usunąć, wystarczy je tylko dostrzec…
Krzysztof Sierota
TÜV Nord Polska
Zabezpieczenia 4/2010