Επιστροφή στις βασικές Αρχές της Ασφάλειας Πληροφοριών και αποτελεσματική υλοποίηση αυτών ή ξαφνικά συνειδητοποιήσαμε τι είναι η ασφάλεια πληροφοριών;
Το ερώτημα αυτό πραγματεύεται το συγκεκριμένο άρθρο και ταυτόχρονα παραθέτει και έναν οδηγό για την προστασία των κρίσιμων εταιρικών πληροφοριών.
Συχνά ακούμε και διαβάζουμε άρθρα και παρουσιάσεις τα οποία μας παροτρύνουν να ενστερνιστούμε τη «νέα» φιλοσοφία της προστασίας των εταιρικών πληροφοριών, στο επίκεντρο της οποίας βρίσκεται η προστασία της πληροφορίας. Πρακτικά, αυτό σημαίνει ότι οι αποφάσεις, τα συστήματα διαχείρισης, καθώς και οι λύσεις, υλοποιούνται δίνοντας έμφαση στην προστασία των εταιρικών πληροφοριών και δεν βασίζονται στη λογική της προστασίας της τεχνολογικής υποδομής, στην οποία η πληροφορία αποθηκεύεται, διακινείται και επεξεργάζεται.
Η παραπάνω παραδοχή δεν είναι κάτι καινοτόμο ούτε επαναστατικό, είναι η βασική αρχή της ασφάλειας πληροφοριών, η οποία αφορά στην προστασία των πληροφοριών ενός Οργανισμού, ανεξαρτήτως τεχνολογικού περιβάλλοντος.
Η έννοια της ασφάλειας πληροφοριών στο νέο Επιχειρηματικό Περιβάλλον
Η βασική έννοια γύρω από την οποία έχει δομηθεί ο κλάδος της Ασφάλειας Πληροφοριών, είναι η θεώρηση της Πληροφορίας ως πολύτιμο περιουσιακό στοιχείο του κάθε Οργανισμού. Κύριο αντικείμενο της Ασφάλειας Πληροφοριών είναι η προστασία της Εμπιστευτικότητας, Ακεραιότητας & Διαθεσιμότητας της Πληροφορίας. Για την αποτελεσματική υλοποίηση των προηγούμενων είναι απαραίτητη η κάθε προσέγγιση και μεθοδολογία που αφορά στην Ασφάλεια Πληροφοριών να έχει στο επίκεντρό της την Πληροφορία και όχι την τεχνολογική υποδομή στην οποία η πληροφορία αποθηκεύεται, διακινείται και επεξεργάζεται.
Σύμφωνα με τα παραπάνω, η προστασία της πληροφορίας είναι ο θεμέλιος λίθος της Ασφάλειας Πληροφοριών και πρωταρχικός της στόχος είναι η διασφάλιση της αξιοπιστίας των εταιρικών πληροφοριών. Ο παραπάνω ρόλος της Ασφάλειας Πληροφοριών ενισχύεται εάν παρατηρήσουμε το νέο τεχνολογικό και επιχειρηματικό περιβάλλον. Τα νέα επιχειρηματικά και τεχνολογικά μοντέλα χαρακτηρίζονται από τα ακόλουθα:
- Ψηφιακή οικονομία, η οποία στηρίζεται στη διαχείριση της πληροφορίας
- Δυναμικό και ανοιχτό περιβάλλον, διασύνδεση Οργανισμών που μοιράζονται πληροφορίες και πόρους
- Νέες Νομικές και Θεσμικές απαιτήσεις
- Ανάγκη για πρακτική προσέγγιση, που εξασφαλίζει ασφάλεια και εμπιστοσύνη μεταξύ των συνεργαζόμενων Οργανισμών (virtual organizations)
- Εύκολη πρόσβαση στη γνώση
- Πρότυπα: κοινά πρωτόκολλα επικοινωνίας, αυξημένη πιθανότητα διείσδυσης
- Νέες αρχιτεκτονικές και δομές, που παρέχουν περισσότερα σημεία παρείσδυσης από κακόβουλους χρήστες
- Σύγκληση τεχνολογιών επικοινωνιών, πληροφορικής, περιεχομένου.
Μέσα στη νέα πραγματικότητα ξεχωρίζουμε τη ‘δύναμη’ του τελικού χρήστη, μιας και η πλειοψηφία των πνευματικών πόρων της εταιρείας βρίσκεται όπου βρίσκεται και αυτός (product plans, marketing strategies, business processes, technology innovations). Όλα αυτά υπάρχει ανάγκη να επεξεργάζονται και να επικοινωνούνται on line ή off line. Να μοιράζονται με συνεργάτες και τρίτους προς την εταιρεία.
Γίνεται αντιληπτό ότι πλέον δεν υφίσταται η παραδοσιακή τεχνολογική περίμετρος, η οποία οριοθετεί το δίκτυο ενός Οργανισμού και ελέγχει τη διακίνηση των πληροφοριών. Πλέον, η περίμετρος ενός Οργανισμού βρίσκεται εκεί που βρίσκεται ο κάθε εργαζόμενος ή συνεργάτης με πρόσβαση στις πληροφορίες του Οργανισμού.
Στρατηγική προστασίας κρίσιμων πληροφοριών
Έχοντας κατανοήσει την κρισιμότητα των πληροφοριών στο σημερινό επιχειρηματικό περιβάλλον, αλλά και την πολυπλοκότητα του επιχειρηματικού περιβάλλοντος, χρειάζεται να υιοθετήσουμε μια Στρατηγική για την προστασία των κρίσιμων πληροφοριών. Η συγκεκριμένη Στρατηγική αφουγκράζεται τις σημερινές ανάγκες για έλεγχο των εταιρικών πληροφοριών κατά τη διακίνησή τους, την αποθήκευσή τους και κατά τη χρήση τους και βοηθά στη διαμόρφωση κανόνων αλλά και στην επιλογή κατάλληλων τεχνικών δικλείδων ασφαλείας που καλύπτουν και την εκτός της περιμέτρου χρήση των εταιρικών πληροφοριών.
Στις επόμενες παραγράφους προσδιορίζεται ένας πρακτικός οδηγός, ο οποίος θα βοηθήσει στη χάραξη και υλοποίηση της στρατηγικής που αφορά στον προσδιορισμό και την προστασία των κρίσιμων εταιρικών πληροφοριών.
Βήμα 1: Αξιολόγηση Κινδύνων
Το πρώτο βήμα αφορά στη διενέργεια Αξιολόγησης Κινδύνων, προσαρμοσμένη στην απώλεια των κρίσιμων πληροφοριών.
Η συγκεκριμένη διεργασία χρειάζεται να περιέχει τα ακόλουθα:
- Οριοθέτηση κρίσιμων πληροφοριών
- Προσδιορισμός των υφιστάμενων μέτρων προστασίας
- Εταιρικές διεργασίες (business processes) που θέτουν σε κίνδυνο κρίσιμες πληροφορίες
- Προσδιορισμός κινδύνου & επιπέδου αποδοχής κινδύνου
- Προσδιορισμός μέτρων προστασίας.
Τα προσδοκώμενα αποτελέσματα από τη διενέργεια της προσαρμοσμένης αξιολόγησης κινδύνων είναι:
- Προσδιορισμός των κρίσιμων πληροφοριών
- Προσδιορισμός προσβάσεων
- Εσωτερική ροή πληροφοριών
- Ροή πληροφοριών από το εσωτερικό δίκτυο προς τρίτα μέρη και συνεργάτες
- Κίνδυνοι & μέτρα προστασίας κρίσιμων πληροφοριών
Το αποτέλεσμα της παραπάνω διεργασίας οδηγεί στη χάραξη στρατηγικής και θέτει απαιτήσεις & προτεραιότητες που αφορούν στην προστασία των εταιρικών πληροφοριών.
Βήμα 2: Προσδιορισμός & Ταξινόμηση Πληροφοριών
Ο χαρακτηρισμός των πληροφοριών με κριτήριο την κρισιμότητα τους, είναι το επόμενο σημαντικό βήμα. Οι κρίσιμες πληροφορίες προσδιορίζονται και ταξινομούνται με βάση την κρισιμότητά τους για την εταιρεία, σε συνδυασμό με το χαρακτηρισμό του επιπέδου εμπιστευτικότητας (π.χ. αδιαβάθμητη, εμπιστευτική, άκρως εμπιστευτική).
Η συγκεκριμένη διεργασία πρέπει να περιλαμβάνει στοιχεία όπως:
- Σχήμα ταξινόμησης & διαχείρισης. Τεκμηρίωση της μεθοδολογίας η οποία θα χρησιμοποιείται, από ποιους θα διενεργείται και κάθε πότε.
- Ιδιοκτησία πληροφοριών. Πολύ σημαντικό μέρος της διεργασίας είναι το σχήμα ιδιοκτησίας των πληροφοριών. Ποιοι δηλαδή είναι οι επιχειρησιακοί ρόλοι, οι οποίοι θα χαρακτηρίζουν και θα ταξινομούν τις πληροφορίες.
- Απαιτήσεις ασφάλειας ανά κατηγορία. Για κάθε κατηγορία πληροφορίας προσδιορίζεται το επίπεδο ασφάλειας το οποίο πρέπει να τη διέπει. Προσδιορίζονται οι βασικές απαιτήσεις εμπιστευτικότητας, ακεραιότητας και διαθεσιμότητας που αντιστοιχούν στην αξία της πληροφορίας για την εταιρεία.
- Απαιτήσεις ανταλλαγής πληροφοριών μεταξύ εταιρειών. Δικλείδες ασφαλείας που θα χρησιμοποιούνται κατά τη διακίνηση των πληροφοριών εκτός των ορίων της εταιρείας.
- Νομικές & Θεσμικές απαιτήσεις. Συγκεκριμένες απαιτήσεις που προκύπτουν από το υφιστάμενο Νομικό & Θεσμικό πλαίσιο.
- Επαναπροσδιορισμός. Προσδιορισμός του χρονικού διαστήματος κατά το οποίο θα διενεργείται η διαδικασία του Προσδιορισμού & Ταξινόμησης των Εταιρικών Πληροφοριών.
Η ύπαρξη συγκεκριμένου σχήματος ταξινόμησης πληροφοριών είναι σημαντική. Χωρίς το σχήμα αυτό υπάρχει ο κίνδυνος της προστασίας όλων των τύπων πληροφοριών με τον ίδιο τρόπο. Έτσι αυξάνεται η πιθανότητα υλοποίησης χαμηλού επιπέδου ασφάλειας για κρίσιμες πληροφορίες, καθώς και η υλοποίηση υπέρμετρα υψηλού επιπέδου ασφάλειας για πληροφορίες οι οποίες δεν είναι κρίσιμες για την εταιρεία.
Βήμα 3: Ανάπτυξη κανόνων & διαδικασιών
Το συγκεκριμένο βήμα περιλαμβάνει την ανάπτυξη πολιτικής και διαδικασιών με κατεύθυνση την προστασία των κρίσιμων πληροφοριών, κάτι πέρα από τις γενικές κατευθύνσεις οι οποίες υπάρχον στη βασική πολιτική ασφάλειας της εταιρείας.
Σε εταιρείες που διαθέτουν Σύστημα Διαχείρισης Ασφάλειας Πληροφοριών, αυτό που χρειάζεται είναι να συμπληρωθούν οι υφιστάμενες διαδικασίες και οδηγίες με απαιτήσεις που αφορούν στην προστασία των κρίσιμων πληροφοριών.
Τα παρακάτω αποτελούν τις απαραίτητες προσθήκες που αφορούν στη Διαχείριση των Κρίσιμων Πληροφοριών:
- Ανάπτυξη πολιτικής ταξινόμησης πληροφοριών
- Προσδιορισμός μέτρων προστασίας ανά κατηγορία ταξινόμησης, τα οποία θα περιλαμβάνουν τεχνικές και διαχειριστικές δικλείδες ασφαλείας.
- Ευθύνες της διοίκησης και των εργαζομένων, που αφορούν στη διαχείριση των κρίσιμων πληροφοριών
- Διαχείριση πληροφοριών ανά κατηγορία ταξινόμησης
- Τεκμηρίωση της διαδικασίας ταξινόμησης πληροφοριών και προσδιορισμός του χρονικού διαστήματος επανάληψης αυτής
Βήμα 4: Εγκατάσταση λύσεων επιβολής & ελέγχου τήρησης κανόνων
Οι παραπάνω κανόνες έχουν αξία εφόσον μετουσιωθούν σε πράξη. Για να γίνει αυτό, εκτός από την επιβολή διαδικασιών χρειάζεται και η επιβολή τεχνικών δικλείδων ασφαλείας, ικανών να ικανοποιήσουν τις απαιτήσεις προστασίας των κρίσιμων πληροφοριών, έτσι όπως αυτές προσδιορίστηκαν στο προηγούμενο βήμα.
Οι λύσεις που θα κληθούν να επιβάλουν τους κανόνες πρέπει να έχουν τα ακόλουθα χαρακτηριστικά:
- Η λειτουργία τους, να είναι διαφανής προς τους χρήστες
- Να μπορούν να αυτοματοποιήσουν την επιβολή των κανόνων προστασίας
- Να έχουν τη δυνατότητα παρακολούθησης του τρόπου διαχείρισης των πληροφοριών, οι οποίες έχουν χαρακτηρισθεί ως κρίσιμες.
- Να υπάρχει η δυνατότητα προσδιορισμού & προστασίας κρίσιμων πληροφοριών σε επίπεδο δικτύου, σε μέσα ηλεκτρονικής αποθήκευσης, στο σταθμό εργασίας του τελικού χρήστη.
Τα παραπάνω χαρακτηριστικά δεν είναι δυνατό να βρεθούν σε μία και μόνο «μαγική» λύση. Χρειάζεται συνδυασμός λύσεων, όπως λύσεις κρυπτογράφησης, διαχείρισης πρόσβασης σε εμπιστευτικές πληροφορίες, ελέγχου διακίνησης κρίσιμων εταιρικών πληροφοριών, ελέγχου διαρροής κρίσιμων πληροφοριών.
Βήμα 5: Ενημέρωση και εκπαίδευση προσωπικού
Η τεχνολογία δεν είναι 100% αποτελεσματική και για το λόγο αυτό χρειάζεται η βοήθεια του ανθρώπινου παράγοντα προκειμένου να μεγιστοποιήσουμε την προστασία των κρίσιμων εταιρικών πληροφοριών. Αυτό απαιτεί εγρήγορση και στοχευμένη εκπαίδευση των χρηστών, αναφορικά με την προστασία των κρίσιμων εταιρικών πληροφοριών.
Οι βασικοί άξονες ενός τέτοιου προγράμματος ενημέρωσης είναι οι εξής:
- Ενημέρωση για τις εταιρικές διαδικασίες & ρόλους σε θέματα προστασίας των κρίσιμων πληροφοριών
- Εκπαίδευση σε διαδικασίες, δικλείδες ασφαλείας, διαδικασία ταξινόμησης πληροφοριών, έλεγχο τήρησης διαδικασιών, εργαλεία παρακολούθησης, Νομικό / Θεσμικό πλαίσιο.
Απώτερος στόχος είναι η διαμόρφωση εταιρικής κουλτούρας προστασίας κρίσιμων πληροφοριών και η μετατροπή του ανθρώπινου παράγοντα στην πιο αποτελεσματική δικλείδα ασφαλείας πληροφοριών.
Βήμα 6: Ενσωμάτωση κανόνων & διαδικασιών στην καθημερινή λειτουργία
Η επιτυχία όλων των παραπάνω εξαρτάται από την αποτελεσματική εφαρμογή τους στην καθημερινή λειτουργία της εκάστοτε εταιρείας.
Σε πολλές περιπτώσεις δεν χρειάζεται να δημιουργήσουμε νέες διαδικασίες για την προστασία των κρίσιμων πληροφοριών – χρειάζεται να ενσωματώσουμε τις απαιτήσεις προστασίας των κρίσιμων πληροφοριών στις υφιστάμενες εταιρικές διαδικασίες. Και φυσικά, να υπάρχουν σημεία ελέγχου τήρησης αυτών.
Η προστασία των κρίσιμων εταιρικών πληροφοριών χρειάζεται να είναι συστατικό κάθε εταιρικής διεργασίας (ανεξάρτητα εάν αυτή αφορά στην ασφάλεια πληροφοριών ή όχι).
Είναι εξίσου σημαντικό να προσδιοριστούν οι εταιρικές διεργασίες υψηλής επικινδυνότητας και ταυτόχρονα να γίνει χρήση λογισμικού που καθιστά αδύνατη τη διακίνηση κρίσιμων πληροφοριών εκτός του Οργανισμού.
Βήμα 7: Συνεχής έλεγχος & επιθεώρηση
Τελευταίο σημαντικό βήμα αποτελεί ο συνεχής έλεγχος επάρκειας και η επιθεώρηση τήρησης των όσων αφορούν στην προστασία των κρίσιμων εταιρικών πληροφοριών.
Η αποτελεσματικότητα ενός προγράμματος ελέγχου είναι μεγαλύτερη όταν έχει συγκεκριμένη κατεύθυνση. Το ίδιο ισχύει και στην περίπτωση του ελέγχου τήρησης των μέτρων προστασίας που αφορούν στις κρίσιμες εταιρικές πληροφορίες.
Για το λόγο αυτό, προτείνεται η διενέργεια συγκεκριμένων επιθεωρήσεων τήρησης των μέτρων προστασίας που αφορούν στις κρίσιμες εταιρικές πληροφορίες. Η επιθεώρηση γίνεται περισσότερο αποτελεσματική όταν υπάρχει τεκμηριωμένη και με προκαθορισμένα σημεία ελέγχου.
Συμπεράσματα
Το ποσοστό του εκάστοτε νέου οικοσυστήματος που πραγματικά επηρεάζει τις απειλές που αφορούν στην ασφάλεια πληροφοριών, είναι μικρότερο από αυτό που φαίνεται από μια γρήγορη θεώρηση της πραγματικότητας – ή αν θέλετε, μικρότερο από αυτό που προσπαθούν να επιβάλουν οι τεχνολογικές τάσεις του χώρου της Ασφάλειας Πληροφοριών. Τεχνολογικές τάσεις οι οποίες χρησιμοποιούν πλέον ως σημαία τους τον όρο Καινοτομία (innovation), αλλά και την προβολή της νέας (αλλά στην πραγματικότητα πολύ παλιάς) θεώρησης της ασφάλειας πληροφοριών, που αφορά στην αντίληψη ότι το Κέντρο Προστασίας είναι η πληροφορία (Ιnformation Centric Security).
Φυσικά, αυτό δεν είναι κάτι καινοτόμο ούτε επαναστατικό. Είναι η βασική αρχή της ασφάλειας πληροφοριών, η οποία αφορά στην προστασία των πληροφοριών ενός Οργανισμού, ανεξαρτήτως τεχνολογικού περιβάλλοντος. Επιστροφή στις βασικές Αρχές της Ασφάλειας Πληροφοριών λοιπόν – ή ξαφνικά συνειδητοποιήσαμε τι είναι η ασφάλεια πληροφοριών; Προσωπικά πιστεύω ότι ισχύουν και τα δύο.
Στο σύγχρονο επιχειρηματικό περιβάλλον, η ασφάλεια πληροφοριών πρέπει να διασφαλίζει την Αξιοπιστία των εταιρικών Πληροφοριών, που βρίσκονται πάντα στο επίκεντρο των εκάστοτε αποφάσεων που αφορούν στην ελαχιστοποίηση των κινδύνων.
Για να γίνει αυτό, είναι αναγκαία η επιστροφή στις βασικές Αρχές της Ασφάλειας Πληροφοριών και η προσπάθεια για αποτελεσματική υλοποίηση των θεμελιωδών αυτών αρχών. Η Ασφάλεια πληροφοριών είναι αποτελεσματική μόνο όταν λειτουργεί με γνώμονα τις ανάγκες προστασίας των πληροφοριών.
Του Νότη Ηλιόπουλου
Msc Infosec, ISO 27001 LA, CISA, CISM
n.iliopoulos@innova-sa.