@tfl
Blog (65)
Komentarze (803)
Recenzje (0)

Bezpieczeństwo - porozmawiajmy poważnie...

@tflBezpieczeństwo - porozmawiajmy poważnie...23.04.2013 15:12

Nosiłem się z pomysłem na ten wpis od bardzo dawna. Ostatecznie wciąż się waham co o tym wszystkim myśleć. O czym?

A no o tym, że bezpieczeństwo w świecie IT stało się popularnym motywem. Stało się trendy. Czyli stan, o którym osoba odpowiedzialna za bezpieczeństwo informacji, wymarzyła sobie lat temu 10. Dziś pewnie pluje sobie w brodę. Ja sobie pluję. Bo wraz ze wzrostem popularności "bezpieczeństwa", bezpieczeństwo dewaluowało się. Brudziło. Podobnie jak sam internet, w którym od dawna więcej jest śmieci niż wartościowych treści. Co gorsza, bezpieczeństwo, hacking, wiedza o tym, zdaje się być przez niektórych postrzegana jak rodzaj elitarności. Zdaje się dawać urojoną przewagę nad innymi. Naturalny popęd defacto, ale ilu dziś siedemnastolatków wyposażonych w loica ma się za Petera Parkera?

Popularne jest przekonanie, że wyznacznikiem bezpieczeństwa jest ilość zabezpieczeń. Czasem ktoś pomyśli także o jakości zabezpieczeń, choć zazwyczaj gdy mowa już o jakości to wzmiankowany poziom bezpieczeństwa wyznacza iloczyn jakości i ilości. A przecież tak nie jest. Bezpieczeństwo to umiejętność zachowania równowagi między zabezpieczeniami a funkcjonalnością i wartością zabezpieczanego. Pomówmy o tym przez chwilę.

Co zabezpieczamy?

Czy pomyślałaś kiedyś czytelniczko albo Ty, czytelniku, co zabezpieczasz szyfrując swój dysk? Taki w domku, w komputerze który stoi w pokoju? No co tam masz, tak naprawdę? Zdjęcia z wakacji? CV? Nieopublikowane wiersze? Co zabezpieczasz, gdy zakładasz kolejne ACL na kolejne porty na swoim routerze? Zaszyfrowane pakiety http? Czy stajesz się bezpieczniejszy, gdy popatrzysz na kłódeczkę przy pasku adresowym? A na pewno to rozumiesz, wiesz co to oznacza? Jak myślisz, ilu złych przestępców czyha na Twoje dane dostępowe do Facebooka?

Tymczasem bez zmrużenia oka udostępniamy zdjęcia na portalach społecznościowych oddając je pod kontrolę, na którą nie mamy nawet złudnego wrażenia wpływu. Przesyłamy CV do pracodawcy, robiąc podobnie. Zakładając blokady na porty w końcu dojdziemy do takiego stanu, że nie uda nam się odpalić gry, a o uruchomieniu własnej nasłuchującej aplikacji będziemy mogli tylko poczytać w książkach o grzecznych chłopcach.

Poziom zabezpieczeń bowiem trzeba mądrze dostosować do zabezpieczeniami objętych elementów. Mówi się, że koszt przełamania zabezpieczenia powinien wynosić więcej niż wartość zabezpieczonych elementów. To uproszczenie. Nie jest tak do końca. Może się bowiem zdarzyć tak, że niezależnie od wartości elementów nie można je zabezpieczyć na tak wysokim poziomie.

Przykład? Nasz biznes opiera się na udostępnianiu usług powiedzmy finansowych. Realizujemy operacje kartami kredytowymi. Musimy więc przestrzegać bardzo surowych, ale jasno określonych reguł. Dodatkowo chcemy oferować dodatkowe usługi dla naszych klientów lub klientów naszych klientów. Musimy więc wystawić nieco więcej, niż każdy wystawia. Świadomie narażamy się na ryzyko, ale je podejmujemy.

Kiedy zabezpieczamy?

Analiza ryzyka. Dwa kluczowe słowa w kontekście bezpieczeństwa przez duże B. Firmy pracujące na rynku IT (choć moje doświadczenia ograniczone są głównie do dziedziny IT związanej z internetem) prześcigają się w ich tworzeniu. W czasie trwania analizy generowana jest lista aktywów (systemów, które będziemy zabezpieczać), lista potencjalnych zagrożeń wraz z prawdopodobieństwem wystąpienia, lista zabezpieczeń przeciw zagrożeniom wraz z ich ewentualną skutecznością. Na podstawie tych danych oblicza się różne współczynniki (między innymi tzw. security delta. Określa ona wartość bezpieczeństwa. W przypadku, gdy jest wyższa od zera uważa się, że wartość [koszt] bezpieczeństwa jest za wysoka, gdy niższa - wartość jest za niska). Na podstawie tych współczynników tworzona jest mapa bezpieczeństwa. Ta natomiast przekazywana jest właścicielom aktywów.

Tak, tak. To właściciel aktywów, a nie dział IT (albo jednostka wyznaczona do dbania o bezpieczeństwo informacji), podejmuje decyzje o wartości bezpieczeństwa i sposobie realizacji tegoż. Dział IT wchodzi do akcji dopiero, gdy właściciel systemu będzie tego oczekiwał.

Jak zabezpieczamy?

Złudne jest założenie, że wszystko da się zabezpieczyć systemowo. Wprowadzając firewalle, ipsy, ograniczać dostęp, szyfrując, tworząc DMZ i inne karkołomne zabezpieczenia. Przecież ktoś ostatecznie musi mieć dostęp do danych wrażliwych, które staramy się chronić. Inaczej jak miałyby powstać? Możemy potworzyć miliony procedur i najbardziej restrykcyjnych zasad wewnętrznych i pewnie i tak nie uda się wszystkiego ochronić. Ostatecznie dochodzimy do momentu, kiedy można zrobić tylko dwie rzeczy. Po pierwsze przenieść ryzyko na inny podmiot (ubezpieczyć się na wypadek utraty danych itd.). Po drugie - ryzyko zaakceptować.

Akceptacja ryzyka nie powinna być traktowana jako daleko idąca ignorancja. Wręcz przeciwnie. Raczej jako świadoma decyzja. Świadoma, to słowo, na które kładę nacisk. Nie można przecież doprowadzić do sytuacji, w której zabezpieczenia sparaliżują nasz biznes. W tym miejscu jest ogromne pole do popisu dla audytora, działu IT lub kogokolwiek, kto zajmuje się bezpieczeństwem. Należy właścicieli uświadamiać.

Świadome bezpieczeństwo

Moim zdaniem właśnie świadomość i konsekwencja są prawdziwymi wyznacznikami bezpieczeństwa. Te dwie cechy pozwalają na umiejętne odnalezienie równowagi między potrzebami zachowania odpowiedniego poziomu zabezpieczeń i płynności pracy.

A na koniec kilka sloganów, w które jeszcze wierze. Po pierwsze - bezpieczeństwo to proces. Nie wolno więc pracować w trybie reakcyjnym (rzucając się na głęboką wodę, zabezpieczając coś bez sensu i bez brania pod uwagę ewentualnych konsekwencji). Po drugie - nigdy nie przeprowadza się audytu niezabezpieczonych systemów. Jaki z tego sens? Audytowi poddaje się zabezpieczenia. Po trzecie - najsłabszym ogniwem jest człowiek, najbezpieczniejszy system operacyjny, najbezpieczniejsza aplikacja, najlepsze procedury nic nie dadzą, jeśli odpowiednio nie zabezpieczymy się przed człowiekiem wewnątrz.

© dobreprogramy·Redakcja·Regulamin·Polityka prywatności·Reklama·Kontakt
Szanowna Użytkowniczko! Szanowny Użytkowniku!
×
Aby dalej móc dostarczać coraz lepsze materiały redakcyjne i udostępniać coraz lepsze usługi, potrzebujemy zgody na dopasowanie treści marketingowych do Twojego zachowania. Twoje dane są u nas bezpieczne, a zgodę możesz wycofać w każdej chwili na podstronie polityka prywatności.

Kliknij "PRZECHODZĘ DO SERWISU" lub na symbol "X" w górnym rogu tej planszy, jeżeli zgadzasz się na przetwarzanie przez Wirtualną Polskę i naszych Zaufanych Partnerów Twoich danych osobowych, zbieranych w ramach korzystania przez Ciebie z usług, portali i serwisów internetowych Wirtualnej Polski (w tym danych zapisywanych w plikach cookies) w celach marketingowych realizowanych na zlecenie naszych Zaufanych Partnerów. Jeśli nie zgadzasz się na przetwarzanie Twoich danych osobowych skorzystaj z ustawień w polityce prywatności. Zgoda jest dobrowolna i możesz ją w dowolnym momencie wycofać zmieniając ustawienia w polityce prywatności (w której znajdziesz odpowiedzi na wszystkie pytania związane z przetwarzaniem Twoich danych osobowych).

Od 25 maja 2018 roku obowiązuje Rozporządzenie Parlamentu Europejskiego i Rady (UE) 2016/679 (określane jako "RODO"). W związku z tym chcielibyśmy poinformować o przetwarzaniu Twoich danych oraz zasadach, na jakich odbywa się to po dniu 25 maja 2018 roku.

Kto będzie administratorem Twoich danych?

Administratorami Twoich danych będzie Wirtualna Polska Media Spółka Akcyjna z siedzibą w Warszawie, oraz pozostałe spółki z grupy Wirtualna Polska, jak również nasi Zaufani Partnerzy, z którymi stale współpracujemy. Szczegółowe informacje dotyczące administratorów znajdują się w polityce prywatności.

O jakich danych mówimy?

Chodzi o dane osobowe, które są zbierane w ramach korzystania przez Ciebie z naszych usług, portali i serwisów internetowych udostępnianych przez Wirtualną Polskę, w tym zapisywanych w plikach cookies, które są instalowane na naszych stronach przez Wirtualną Polskę oraz naszych Zaufanych Partnerów.

Dlaczego chcemy przetwarzać Twoje dane?

Przetwarzamy je dostarczać coraz lepsze materiały redakcyjne, dopasować ich tematykę do Twoich zainteresowań, tworzyć portale i serwisy internetowe, z których będziesz korzystać z przyjemnością, zapewniać większe bezpieczeństwo usług, udoskonalać nasze usługi i maksymalnie dopasować je do Twoich zainteresowań, pokazywać reklamy dopasowane do Twoich potrzeb. Szczegółowe informacje dotyczące celów przetwarzania Twoich danych znajdują się w polityce prywatności.

Komu możemy przekazać dane?

Twoje dane możemy przekazywać podmiotom przetwarzającym je na nasze zlecenie oraz podmiotom uprawnionym do uzyskania danych na podstawie obowiązującego prawa – oczywiście tylko, gdy wystąpią z żądaniem w oparciu o stosowną podstawę prawną.

Jakie masz prawa w stosunku do Twoich danych?

Masz prawo żądania dostępu, sprostowania, usunięcia lub ograniczenia przetwarzania danych. Możesz wycofać zgodę na przetwarzanie, zgłosić sprzeciw oraz skorzystać z innych praw wymienionych szczegółowo w polityce prywatności.

Jakie są podstawy prawne przetwarzania Twoich danych?

Podstawą prawną przetwarzania Twoich danych w celu świadczenia usług jest niezbędność do wykonania umów o ich świadczenie (tymi umowami są zazwyczaj regulaminy). Podstawą prawną przetwarzania danych w celu pomiarów statystycznych i marketingu własnego administratorów jest tzw. uzasadniony interes administratora. Przetwarzanie Twoich danych w celach marketingowych realizowanych przez Wirtualną Polskę na zlecenie Zaufanych Partnerów i bezpośrednio przez Zaufanych Partnerów będzie odbywać się na podstawie Twojej dobrowolnej zgody.