Αποτελεί κοινή λογική ότι για να αντιμετωπίσουμε τους κινδύνους αποτελεσματικά, χρειάζεται κάτι παραπάνω από έλεγχο και παρακολούθηση των δικλείδων ασφαλείας μόνο μία φορά το χρόνο.
Ανεξάρτητα από το τι επιτάσσουν τα πρότυπα, οι κανονιστικές απαιτήσεις, τα διάφορα πλαίσια / frameworks (είτε αυτά τη μία αφορούν σε κάτι το οποίο ονομάζεται governance, την επόμενη μιλάμε για assurance και τα λοιπά …) είναι σίγουρο ότι η αποτελεσματική αντιμετώπιση των κινδύνων στο χώρο της πληροφορικής και στον ευρύτερο χώρο της διαχείρισης της ψηφιακής πληροφορίας, είναι συνυφασμένη με το συνεχή έλεγχο και παρακολούθηση των κινδύνων.
Στην ασφάλεια πληροφοριών η θεώρηση της συνεχούς διαχείρισης των κινδύνων και της παρακολούθησης της αποτελεσματικότητας των δικλείδων ασφαλείας, αποτελεί θεμελιώδη αρχή από τη γένεσή της. Πάντα το λέγαμε, πάντα ήταν στα βιβλία και πάντα οι επαγγελματίες του είδους προσπαθούσαν να το υλοποιήσουν. Ίσως οι Οργανισμοί να μην ήταν έτοιμοι για κάτι τέτοιο, ίσως να μην είχε γίνει αντιληπτή η σχέση της ασφάλειας πληροφοριών με τον επιχειρησιακό κίνδυνο – και ακόμα περισσότερο, δεν είχε γίνει κατανοητή η αξία της διαχείρισης του επιχειρησιακού κινδύνου (σε σχέση με τον Οικονομικό) για τον Οργανισμό.
Σήμερα η εικόνα έχει αλλάξει. Αποτελεί επιτακτική ανάγκη ο συνεχής έλεγχος και παρακολούθηση της λειτουργίας και αποτελεσματικότητας των δικλείδων ασφαλείας και η συνεχής διεργασία διαχείρισης κινδύνων.
Η ανάγκη για συνεχή Έλεγχο και παρακολούθηση:
Η Ασφάλεια Πληροφοριών είναι μία συνεχής διεργασία που στηρίζεται στη συνεχή διαχείριση των σχετικών κινδύνων. Η αποτελεσματικότητα της Α.Π. είναι αποτέλεσμα του τρόπου υλοποίησης των τεχνικών και διαχειριστικών δικλείδων ασφαλείας και της συνεχούς διαδικασίας ελέγχου, παρακολούθησης και επιθεώρησης.
Σύμφωνα με τη θεωρία υπάρχει διαφοροποίηση ανάμεσα σε αυτό που ονομάζουμε συνεχή έλεγχο και επιθεώρηση και σε αυτό που ονομάζουμε συνεχή παρακολούθηση.
Συνεχής έλεγχος και επιθεώρηση (continues audit) είναι η μέθοδος που χρησιμοποιείται για τη συνεχή αξιολόγηση των κινδύνων αλλά και την αποτελεσματικότητα των υφιστάμενων δικλείδων ασφαλείας.
Η συνεχής παρακολούθηση (continues monitoring) είναι μία διαδικασία διαχείρισης για την παρακολούθηση κατά πόσον οι πολιτικές διαδικασίες και οι επιχειρηματικές διεργασίες λειτουργούν αποτελεσματικά σε συνεχή βάση. Και τα δύο παραπάνω αποτελούν αναπόσπαστο μέρος της διεργασίας προστασίας της αξιοπιστίας των πληροφοριών (information assurance). Η Διασφάλιση της Αξιοπιστίας των πληροφοριών αφορά στη διαχείριση των κινδύνων που σχετίζονται με τη χρήση, την επεξεργασία, την αποθήκευση και διαβίβαση των πληροφοριών, καθώς και των συστημάτων και διαδικασιών που χρησιμοποιούνται για τους σκοπούς αυτούς.
Ποια τα σημεία του συνεχούς ελέγχου και παρακολούθησης
Η αποτελεσματική εφαρμογή της ασφάλειας πληροφοριών είναι συνυφασμένη με την αποτελεσματική εφαρμογή ενός πλαισίου συνεχούς παρακολούθησης και ελέγχου. Αυτά τα οποία χρειάζεται να παρακολουθούμε και να αξιολογούμε όσον αφορά στην ασφάλεια πληροφοριών είναι τα ακόλουθα:
- Πληρότητα και αποτελεσματικότητα υφιστάμενων δικλείδων ασφαλείας.
- Τήρηση – συμμόρφωση με την υφιστάμενη πολιτική ασφάλειας.
- Αξιολόγηση των κινδύνων ασφάλειας πληροφοριών.
- Συμμόρφωση με κανονιστικό, θεσμικό πλαίσιο.
Τα παραπάνω είναι ανάγκη να ελέγχονται και να αξιολογούνται ανά τακτά χρονικά διαστήματα, τα οποία προσδιορίζονται από την αξία των ίδιων των πληροφοριών. Για να γίνει αυτό χρειάζεται η θέσπιση και εφαρμογή ενός πλαισίου επαναλαμβανόμενων ελέγχων και αξιολογήσεων κινδύνων, το οποίο σε ετήσια βάση θα περιλαμβάνει τα έξης:
- Έλεγχος πληρότητας συστήματος διαχείρισης ασφάλειας πληροφοριών.
- Τακτικοί έλεγχοι (έλεγχοι τήρησης μέτρων προστασίας, επαναλαμβανόμενοι σε τακτά χρονικά διαστήματα).
- Αξιολόγηση κινδύνων ασφάλειας πληροφοριών.
- Αξιολόγηση ασφάλειας στο πλαίσιο ανάπτυξης νέων συστημάτων.
Η εφαρμογή ενός τέτοιου πλαισίου απαιτεί σωστή προετοιμασία. Απαιτεί προγραμματισμό και θέσπιση προτεραιοτήτων, βασισμένων στα ακόλουθα:
- Καταγραφή και κατηγοριοποίηση πληροφοριακών πόρων σύμφωνα με την κρισιμότητά τους (σχήμα ταξινόμησης πληροφοριών).
- Προσδιορισμός του ποια είναι τα πληροφοριακά συστήματα τα οποία επηρεάζουν κρίσιμες επιχειρηματικές διεργασίες ή / και πόρους.
- Αξιολόγηση και προσδιορισμός των κινδύνων που αφορούν στα συγκεκριμένα συστήματα και ταυτόχρονα την επίπτωσή τους στην επιχειρησιακή δραστηριότητα.
- Κατάταξη των πληροφοριακών συστημάτων βάσει των παραπάνω και απόφαση σχετικά με τη συχνότητα και το χρόνο ελέγχου – παρακολούθησης των πληροφοριακών συστημάτων και διεργασιών (τεχνογνωσία, πόροι, εργαλεία ελέγχου, συσχέτιση με νομικό θεσμικό πλαίσιο).
Έχοντας προετοιμαστεί επαρκώς, μπορούμε να προχωρήσουμε στους ελέγχους:
- Έλεγχος πληρότητας συστήματος διαχείρισης ασφάλειας πληροφοριών
Ο σκοπός του ελέγχου αυτού είναι η επιθεώρηση του περιεχόμενου της Πολιτικής Ασφάλειας. Σε αυτή τη φάση διερευνάται κατά πόσο η Πολιτική Ασφάλειας καλύπτει τις απαιτήσεις ασφάλειας. Συγκεκριμένα, διενεργούνται τα εξής:- Ανάλυση της υπάρχουσας αρχιτεκτονικής πληροφοριακών συστημάτων.
- Σε περίπτωση που έχουν προηγηθεί αναλύσεις κινδύνων (Risk Assessment), μελέτη των αποτελεσμάτων τους.
- Έλεγχος του κόστους και της επίδρασης των μέτρων προστασίας στην αποδοτικότητα της εταιρείας.
- Διερεύνηση της επίδρασης των μεταβολών του εξοπλισμού στην ασφάλεια Π.Σ. της εταιρείας.
- Έλεγχος της αποτελεσματικότητας της Πολιτικής Ασφάλειας στη διασφάλιση του επιθυμητού επιπέδου ασφάλειας.
Ο έλεγχος αυτός αρκεί να διενεργείται μία φορά το χρόνο.
- Τακτικοί έλεγχοι (έλεγχοι τήρησης μέτρων προστασίας, επαναλαμβανόμενοι σε τακτά χρονικά διαστήματα)
Σκοπός των ελέγχων είναι η επισκόπηση των βασικών παραμέτρων ασφάλειας με στόχο τη διασφάλιση του επιθυμητού – από την εταιρεία – επιπέδου ασφάλειας. Στο πλαίσιο των ελέγχων αυτών εντάσσεται ο εντοπισμός, η παρακολούθηση και η καταστολή των αδυναμιών ασφάλειας, καθώς και η παρακολούθηση των συμβάντων παρείσδυσης σε πληροφοριακά συστήματα. Το κύριο κριτήριο προσδιορισμού του αντικειμένου και των στόχων των τακτικών ελέγχων ασφάλειας, είναι ο συνδυασμός της κρισιμότητας των δεδομένων και η επίδραση της πιθανής εκδήλωσης του αποτελέσματος των απειλών που διατρέχουν τα συστήματα της εταιρείας. Η κατηγορία των τακτικών ελέγχων περιλαμβάνει ελέγχους οι οποίοι εξετάζουν την επάρκεια των δικλείδων ασφαλείας, προκείμενου να διασφαλίζονται τα Συστήματα από τις υψηλής κρισιμότητας απειλές ασφάλειας, οι οποίες είναι οι ακόλουθες:- Μη εξουσιοδοτημένη αποκάλυψη, τροποποίηση ή απώλεια των δεδομένων.
- Λάθη και παραλείψεις που δεν προέρχονται από εχθρικό (malicious) λογισμικό.
- Απώλεια της διαθεσιμότητας των πληροφοριακών πόρων λόγω φυσικών καταστροφών ή καταστροφών που οφείλονται στον ανθρώπινο παράγοντα.
- Αστοχία λειτουργίας των πληροφοριακών πόρων λόγω αμέλειας κατά την υλοποίηση και τη λειτουργία τους.
Το εύρος των τακτικών ελέγχων ασφάλειας αφορά στο σύνολο των πληροφοριακών συστημάτων της εταιρείας και αποτελεί μία συνεχή διαδικασία. Για το λόγο αυτό ελέγχονται μόνο οι διαδικασίες και οι δικλείδες ασφαλείας, οι οποίες έχουν σχέση με τις παραπάνω υψηλής κρισιμότητας απειλές ασφάλειας:
- Έλεγχος τήρησης δικλείδων ασφαλείας – Τακτικός έλεγχος των βασικών Παραμέτρων και Διαδικασιών ασφάλειας, οι οποίες προσδιορίζονται από την Πολιτική Ασφάλειας Πληροφοριών, τις Πρότυπες Οδηγίες Ασφάλειας Πληροφοριακών Συστημάτων και τις τεκμηριωμένες διαδικασίες ασφάλειας. Διενεργούνται επιθεωρήσεις οι οποίες ελέγχουν την τήρηση και την πληρότητα των υπαρχουσών διαδικασιών ασφάλειας. Επίσης επιθεωρούνται οι παράμετροι οι οποίες έχουν χαρακτηριστεί ως κρίσιμες για την ασφάλεια των πληροφοριακών συστημάτων, των εφαρμογών και του δικτύου δεδομένων. Το χρονικό διάστημα των επιθεωρήσεων εξαρτάται από το αντικείμενο του ελέγχου και περιλαμβάνει καθημερινές, εβδομαδιαίες και μηνιαίες επιθεωρήσεις. Η επιθεώρηση γίνεται βάσει προκαθορισμένης λίστας ελέγχου, η οποία τροποποιείται ανάλογα με την περιοχή ελέγχου.
- Κανονιστική συμμόρφωση – Καταγραφή όλων των σημείων ελέγχου που αφορούν στις απαιτήσεις συμμόρφωσης. Προσδιορισμός του τρόπου και της συχνότητας ελέγχου.
- Έλεγχος για μη εξουσιοδοτημένες ενέργειες – Επιθεώρηση των αρχείων καταγραφής συμβάντων των πληροφοριακών συστημάτων και των διαφόρων μηνυμάτων ασφάλειας των εφαρμογών και των μηχανισμών υλοποίησης και προστασίας του δικτύου δεδομένων της εταιρείας. Ο έλεγχος διεξάγεται σε καθημερινή και εβδομαδιαία βάση με στόχο την αποκάλυψη μη εξουσιοδοτημένων προσβάσεων, μη εξουσιοδοτημένης χρήσης των πληροφοριακών πόρων της εταιρείας, μη εξουσιοδοτημένης τροποποίησης των δεδομένων, καθώς και αποκάλυψη πιθανών παρεισδύσεων στα δεδομένα της εταιρείας.
- Διερεύνηση περιστατικών ασφάλειας – Σε περίπτωση κατά την οποία προκύψουν περιστατικά ασφάλειας (οποιασδήποτε μορφής παραβίασης της φυσικής και λογικής ασφάλειας των πληροφοριακών συστημάτων) διενεργούνται συγκεκριμένες ενέργειες με στόχο την αποτελεσματική απόκριση στα συμβάντα ασφάλειας, ώστε αυτά να αντιμετωπίζονται με μεθοδικό και οργανωμένο τρόπο, να αποφεύγονται οι ενέργειες πανικού και να μειώνεται η πιθανότητα ζημιάς. Όλα τα περιστατικά ασφάλειας αντιμετωπίζονται και καταγράφονται έτσι ώστε να υλοποιηθούν οι απαραίτητες διορθωτικές ενέργειες προκειμένου να μην ξανασυμβούν.
- Διαχείριση και έλεγχος αδυναμιών ασφάλειας (vulnerabilities management) – Συστηματικός έλεγχος των πληροφοριακών συστημάτων με σκοπό τον προσδιορισμό των τρωτοτήτων και των αδυναμιών ασφάλειας, έτσι ώστε να μειώνεται η πιθανότητα εκδήλωσης του αποτελέσματος των αδυναμιών ασφάλειας.
- Διενέργεια προγραμματισμένων επιθεωρήσεων των πληροφοριακών συστημάτων και του δικτύου δεδομένων, με χρήση εξειδικευμένων εργαλείων ανίχνευσης τρωτοτήτων. Για το σκοπό αυτό γίνεται χρήση τόσο εμπορικών εργαλείων, όσο και χρήση εργαλείων τα οποία χρησιμοποιούνται για επιθέσεις κατά των πληροφοριακών συστημάτων (hacking tools).
- Παρακολούθηση των αδυναμιών ασφάλειας πληροφοριακών συστημάτων οι οποίες προκύπτουν καθημερινά. Η ενημέρωση σχετικά με τις νέες αδυναμίες των λειτουργικών συστημάτων και λογισμικού γίνεται από συγκεκριμένους διαδικτυακούς τόπους (internet sites), καθώς και με παρακολούθηση σεμιναρίων σχετικά με την ασφάλεια των συστημάτων.
- Αξιολόγηση κινδύνων ασφάλειας πληροφοριών
Στο πλαίσιο της αξιολόγησης κινδύνων χρειάζεται να προσεγγίσουμε την αξιολόγησή τους από δύο οπτικές γωνίες:- Τακτικές αξιολογήσεις ασφάλειας πληροφοριών (risk & vuln assessments). Η αξιολόγηση των κινδύνων ασφάλειας αποτελεί ολοκληρωμένο έλεγχο της ασφάλειας του υπό εξέταση συστήματος και διενεργείται βάσει συγκεκριμένης μεθοδολογίας. Η σειρά με την οποία πρόκειται να διεξαχθεί η αξιολόγηση κινδύνων προσδιορίζεται από την έως τώρα αξιολόγηση κινδύνων, αλλά και την κρισιμότητα των συστημάτων και των εφαρμογών της εταιρείας.
- Penetration testing. Απαραίτητο στις περιπτώσεις λειτουργίας διαδικτυακών τόπων που παρέχουν δυνατότητα συναλλαγών. Επίσης σημαντικό είναι να δοκιμάσουμε penetration testing και στο εσωτερικό του Οργανισμού. Η αποτελεσματικότητα ενός penetration testing εξαρτάται από τη σωστή εσωτερική προετοιμασία, ξέρουμε τι ζητάμε και μεταφράζουμε σωστά τα αποτελέσματα.
- Αξιολόγηση ασφάλειας στο πλαίσιο ανάπτυξης νέων συστημάτων
Ασφάλεια κατά την ανάπτυξη και συντήρηση πληροφοριακών συστημάτων.
Σκοπός των συγκεκριμένων ελέγχων είναι η εξασφάλιση του απαραίτητου επιπέδου ασφάλειας των πληροφοριακών συστημάτων όταν αυτά βρίσκονται στο στάδιο της ανάπτυξης. Οι δοκιμές ασφάλειας διεξάγονται στα πλαίσια ανάπτυξης έργων, καθώς και κατά την εγκατάσταση νέων πληροφοριακών συστημάτων.
Επίσης δοκιμές ασφάλειας διεξάγονται στην περίπτωση κατά την οποία διενεργούνται σημαντικές αλλαγές στις παραμέτρους των εγκατεστημένων πληροφοριακών συστημάτων ή διενεργείται αλλαγή του σκοπού χρήσης ενός η περισσότερων συστημάτων.
Στα πλαίσια των δοκιμών ασφάλειας εξετάζονται τα ακόλουθα:
- Εναρμόνιση με τους κανόνες της Πολιτικής Ασφάλειας.
- Εναρμόνιση με τις πρότυπες οδηγίες Ασφάλειας Πληροφοριακών Συστημάτων.
- Έλεγχοι κατά των τεχνικών αδυναμιών ασφάλειας.
- Έλεγχοι διαπέρασης των μηχανισμών ασφάλειας.
Προκειμένου να δημιουργηθεί η λίστα με τις κατάλληλες περιπτώσεις ελέγχου χρησιμοποιούνται τα ακόλουθα στοιχεία:
- Λειτουργικές και αναλυτικές προδιαγραφές έργου.
- Απαιτήσεις ασφάλειας πληροφοριακών συστημάτων του έργου ή του νέου συστήματος.
- Κρισιμότητα δεδομένων συστημάτων καθώς και κρισιμότητα των παρεχόμενων υπηρεσιών μέσω του συγκεκριμένου έργου ή συστήματος.
- Πολιτική Ασφάλειας Πληροφοριακών Συστημάτων.
- Πρότυπες οδηγίες Ασφάλειας Πληροφοριακών Συστημάτων.
Πώς μπορεί η τεχνολογία να βοηθήσει στην αυτοματοποίηση των ελέγχων και της συνεχούς παρακολούθησης
Η τεχνολογία μπορεί να βοηθήσει στην αυτοματοποίηση κάποιων ελέγχων ασφάλειας πληροφοριών, να αποτελέσει δηλαδή μέρος της διαδικασίας ελέγχου.
Παραδείγματα εργαλείων τα οποία μπορούν να βοηθήσουν είναι τα ακόλουθα:
- Εργαλεία αυτοματοποιημένου ελέγχου για αδυναμίες ασφάλειας.
- Συστήματα κεντρικής διαχείρισης προσβάσεων.
- Εργαλεία ελέγχου εναρμόνισης με το θεσμικό – κανονιστικό πλαίσιο (compliance assessment).
- Υποσυστήματα καταγραφής μηνυμάτων ασφάλειας.
Πριν από τη χρήση των αυτοματοποιημένων εργαλείων, υπάρχει ανάγκη προσδιορισμού των κρίσιμων σημείων ελέγχου και των δυνατοτήτων αυτοματοποίησης των εν λόγω ελέγχων. Επίσης πρέπει να προσδιορίσουμε πώς θα χρησιμοποιηθούν και πώς τα αποτελέσματά τους θα τροφοδοτούν τους ελέγχους μας. Ιδιαίτερη έμφαση χρειάζεται να δοθεί στην ορθή παραμετροποίηση και συνεχόμενη συντήρησή τους, έτσι ώστε να έχουν αξία τα παραγόμενα στοιχεία.
Log out …
Η παραπάνω διεργασία είναι επίπονη, συνεχής και χρειάζεται πολύ καλό προγραμματισμό προκειμένου να υλοποιηθεί αποτελεσματικά. Οι διαθέσιμοι πόροι και η εκάστοτε εταιρική κουλτούρα είναι οι παράγοντες που επηρεάζουν την υιοθέτηση ή όχι του εν λόγω πλαισίου.
Σε κάθε περίπτωση, οι επαγγελματίες του χώρου αξίζει να το προσπαθήσουμε.
Του Νότη Ηλιόπουλου
Msc Infosec, ISO 27001 LA, CISA, CISM
niliopoulos@intellisolutions.gr