Είναι προφανές ότι μόνο οι τεχνικές δικλείδες ασφάλειας (λύσεις και προϊόντα) δεν μπορούν να αποτρέψουν περιπτώσεις παραβίασης της ασφάλειας των πληροφοριών και μη εξουσιοδοτημένης τροποποίησης και κατοχής τους. Οι Οργανισμοί χρειάζεται να μεταδώσουν στους χρήστες και να διατηρήσουν μια κουλτούρα σχετικά με τη προστασία των επιχειρηματικών πληροφοριών

Οι διάφορες προκλήσεις λόγω διαφοροποίησης του τρόπου διεκπεραίωσης των καθημερινών διεργασιών στο εταιρικό περιβάλλον, από τη χρήση κανόνων και μηχανισμών προστασίας των πληροφοριών, χρειάζεται να κατανοηθούν και να επιλυθούν.
Αυτό σημαίνει ότι οι λειτουργίες και διεργασίες που αφορούν στην ασφάλεια των πληροφοριών πρέπει να είναι ουσιαστικές, να μπορούν να εφαρμοστούν με σχετική ευκολία και να μη περιορίζουν τις καθημερινές δραστηριότητες των χρηστών σε σχέση με τη διεκπεραίωση της εργασίας τους.

Οι χρήστες πρέπει να εκπαιδεύονται σχετικά με τη σημασία της προστασίας των εταιρικών πολιτικών ασφάλειας, έτσι ώστε να διαμορφώνουν και την αντίστοιχη συμπεριφορά.

Η διαμόρφωση μια κουλτούρας για την ασφάλεια των πληροφοριών καθώς και η κατανόηση και εφαρμογή των κανόνων για τη προστασία των πληροφοριών, είναι αποτέλεσμα σωστής επικοινωνίας, σχεδιασμού και εφαρμογής διαφορετικών δράσεων. Οι εν λόγω δράσεις είναι αποτέλεσμα σχεδιασμού και στη συνέχεια εφαρμογής συγκεκριμένης στρατηγικής. Μιας στρατηγικής που σχεδιάζεται από επαγγελματίες της ασφάλειας πληροφοριών, οι οποίοι συχνά υποπίπτουν σε σημαντικά λάθη, τα οποία στοιχίζουν σε αποτελεσματικότητα και αξιοπιστία.

Στις επόμενες παραγράφους προσδιορίζονται τα σημαντικότερα λάθη τα οποία γίνονται κατά το σχεδιασμό της στρατηγικής αλλά και την εφαρμογή των βασικών άρχων της Ασφάλειας Πληροφοριών. Λάθη τα οποία ξεκινούν και καταλήγουν στον ανθρώπινο παράγοντα.

Απουσία συνολικής στρατηγικής διαχείρισης της ασφάλειας πληροφοριών

Η Στρατηγική πρέπει να είναι προσαρμοσμένη στον συγκεκριμένο Οργανισμό και αφορά στη συγκεκριμένη κουλτούρα και ανάγκες για προστασία των πληροφοριών. Τα κυριότερα λάθη τα οποία αφορούν στη διαμόρφωση της στρατηγικής είναι τα ακόλουθα:

  • Σε πολλές περιπτώσεις δεν υπάρχει στρατηγική και η διαμόρφωση του πλαισίου διαχείρισης της Ασφάλειας Πληροφοριών ξεκινά από την ανάγκη της κανονιστικής συμμόρφωσης είτε από τη ματαιοδοξία της πιστοποίησης με κάποιο πρότυπο.
  • Η στρατηγική δεν έχει γίνει επίσημα αποδεκτή και δε στηρίζεται από τη Διοίκηση.
  • Στρατηγική πέρα και πάνω από πιστοποιήσεις, πρότυπα, κανονιστικές απαιτήσεις. Στρατηγική η οποία περιλαμβάνει όλα τα προηγούμενα, αλλά τα υλοποιεί, τα εφαρμόζει αφού προηγουμένως έχει κατανοήσει τις ανάγκες ασφάλειας του Οργανισμού όπως αυτές προσδιορίζονται από αξιολογήσεις κινδύνων, αξιολογήσεις αδυναμιών ασφάλειας αλλά και αξιολόγηση της κρισιμότητας των υφιστάμενων πληροφοριών. Δε πρέπει, επίσης, να παραβλέψουμε την ανάγκη για προσδιορισμό της ροής των κρίσιμων πληροφοριών εσωτερικά αλλά και εξωτερικά του Οργανισμού, συνεπικουρούμενης από την αξιολόγηση των δικλείδων ασφάλειας κατά τη ροή και χρήση των κρίσιμων εταιρικών πληροφοριών.
    Η στρατηγική είναι αναγκαίο να περιλαμβάνει συγκεκριμένα βήματα υλοποίησης, χρόνο-προγραμματισμό αλλά και παραμέτρους μέτρησης της αποτελεσματικότητάς της έτσι ώστε να μπορεί να αναπροσαρμοσθεί.

Πολιτικές και διαδικασίες που είναι εφικτό να εφαρμοστούν
Η θέσπιση και τεκμηρίωση των κανόνων προστασίας είναι από τους ακρογωνιαίους λίθους της Ασφάλειας Πληροφοριών. Συχνά αντιμετωπίζεται ως μια διαδικασία συλλογής και αποτύπωσης κανόνων οι οποίοι δεν ανταποκρίνονται στο Επιχειρηματικό περιβάλλον, επαναλαμβάνονται και πολλοί από αυτούς δε μπορούν να εφαρμοστούν.

Τα συχνότερα λάθη που συναντούμε είναι τα ακόλουθα:

  • Αντιγραφή από διάφορες πήγες χωρίς επεξεργασία και προσαρμογή στο υφιστάμενο περιβάλλον και κουλτούρα.
  • Μεταφορά αυτούσιων φράσεων από πρότυπα, κανονιστικές διατάξεις και βέλτιστες πρακτικές.
  • Μη εμπλοκή αντιπροσώπων άλλων Επιχειρηματικών οντοτήτων του Οργανισμού. Των οντοτήτων, δηλαδή, που καλούνται να εφαρμόσουν πολιτικές και διαδικασίες.
  • Δεν είναι επικαιροποιημένες, δεν αντιστοιχούν είτε στην υφιστάμενη οργανωτική δομή, είτε στην υφιστάμενη τεχνολογική υποδομή.

Απουσία διεργασίας συνεχούς αξιολόγησης κινδύνων
Η αξιολόγηση κινδύνων, τις περισσότερες φορές, αντιμετωπίζεται ως αναγκαιότητα στο πλαίσιο κανονιστικών απαιτήσεων αλλά και τήρησης απαιτήσεων εναρμόνισης με κάποια πρότυπα.

Το συχνότερο λάθος αφορά στην προετοιμασία της εν λόγο διαδικασίας. Η προετοιμασία είναι ελλιπής και στις περισσότερες περιπτώσεις οι συμμετέχοντες, έκτος των τμημάτων ασφάλειας πληροφοριών, ειδοποιούνται την τελευταία στιγμή και δεν έχουν τη δυνατότητα ορθής προετοιμασίας και κατανόησης του αντικειμένου των ελέγχων.

Η συχνότητα και το εύρος που καλύπτουν οι αξιολογήσεις κινδύνων είναι ένα ακόμα σημείο που χρήζει προσοχής. Ο κάθε Οργανισμός έχει ανάγκη μια διεργασίας συνεχούς αξιολόγησης κινδύνων. Είναι κατανοητό πως η διενέργεια πλήρους αξιολόγησης κινδύνων κάθε χρόνο είναι ουτοπία. Είναι όμως εφικτό να υπάρχει καλύτερη οργάνωση της διεργασίας έτσι ώστε ανά τακτά χρονικά διαστήματα να διενεργείται αξιολόγηση κινδύνων σε διαφορετικές Επιχειρηματικές υποδομές κατά τη διάρκεια ενός έτους. Επίσης, εβδομαδιαίοι και μηνιαίοι επαναλαμβανόμενοι έλεγχοι σε κρίσιμες επιχειρηματικές δραστηριότητες είναι αναγκαίοι. Αυτό που χρειάζεται να γίνει κατανοητό, είναι ότι δεν χρειάζεται η βοήθεια εξωτερικών συνεργατών για τη διενέργεια των αξιολογήσεων κινδύνων. Χρειάζεται ουσιαστική ενασχόληση του τμήματος / υπευθύνου της Ασφάλειας Πληροφοριών. Εξ άλλου, η αξιολόγηση κινδύνων είναι ακρογωνιαίος λίθος της ασφάλειας πληροφοριών και δε νοείται επαγγελματίες του χώρου να κρατούν αποστάσεις και να μην εμπλέκονται ενεργά (ακόμα και να αποφεύγουν) στη συγκεκριμένη διεργασία.

Ελλιπείς διαχείριση των διορθωτικών ενεργειών σε συνέχεια των αξιολογήσεων κινδύνων
Εάν υποθέσουμε ότι τα αποτελέσματα της εκάστοτε αξιολόγησης κινδύνων είναι το αποτέλεσμα μιας αποτελεσματικές διεργασίας, τότε η συνέχεια και η ολοκλήρωση της διεργασίας απαιτεί την αντιμετώπιση των κινδύνων και την υλοποίηση εκείνων των δικλείδων ασφάλειας που θα μειώσουν τον κίνδυνο σε αποδεκτό για τον Οργανισμό επίπεδο. Η συνεχής παρακολούθηση και ο έλεγχος υλοποίησης των διορθωτικών ενεργειών που αφορούν στη αντιμετώπιση των κινδύνων, είναι ακόμα σημαντικότερη διαδικασία, η οποία συχνά παραβλέπεται.
Το συνηθέστερο φαινόμενο αφορά στην παράληψη των ελέγχων υλοποίησης των διορθωτικών ενεργειών, αλλά και στην ελαστικότητα στους χρόνους υλοποίησης των διορθωτικών ενεργειών.

Ένα ακόμα σημείο που χρίζει προσοχής, είναι η δημιουργία ενός ενιαίου καταλόγου με όλους τους κινδύνους σχετικά με την ασφάλεια πληροφοριών, από όποια διεργασία αξιολόγησης κινδύνων και αν αυτά προέρχονται (penetration testing, vulnerability assessment, security testing, κτλ). Ο τρόπος αποτύπωσης, περιγραφής αλλά και αξιολόγησης πρέπει να είναι ενιαίος και να δίνει τη πραγματική εικόνα του κινδύνου σε σχέση με την επίδρασή του στους επιχειρηματικούς στόχους και επιδιώξεις.

Εκπαίδευση και ενημέρωση χρηστών
Μεγάλη κουβέντα και πολλές ώρες έχουν αφιερωθεί στη περιγραφή της αναγκαιότητας για εκπαίδευση και ενημέρωση των χρηστών. Ακόμα περισσότερες ώρες έχουν αφιερωθεί στη περιγραφή ενός αποτελεσματικού τρόπου εκπαίδευση των χρηστών σε θέματα ασφάλειας πληροφοριών. Δυστυχώς όμως πολλές λιγότερες ώρες έχουν αφιερωθεί στην εκπαίδευση.
Ακόμα και στις περιπτώσεις που αυτό γίνεται, υπάρχουν κάποια λάθη που χρειάζεται να παραλειφθούν.

  • Η εκπαίδευση δεν είναι στοχευμένη στο κοινό που την παρακολουθεί. Συνήθως αποτελείται από γενικούς όρους και θεωρίες και κάποιες φορές προσπαθεί να ανάλυσει στο κοινό επιθέσεις κακόβουλων χρηστών χρησιμοποιώντας τεχνικούς όρους.
  • Δε υπάρχει πρόγραμμα εκπαίδευσης το οποίο να έχει συνέχεια, να αποτελείται από διαφορετικές θεματικές ενότητες οι οποίες θα καλυφθούν με περισσότερες της μιας εκπαίδευσης.

Ο τελικός χρήστης χρειάζεται πρώτα να κατανοήσει την αξία των πληροφοριών που διαχειρίζονται σε καθημερινή βάση και στη συνέχεια να δεχθεί στοχευμένα μηνύματα και να κατανοήσει πολιτικές, διαδικασίες και τεχνικούς μηχανισμούς που λειτουργούν σε σχέση με τα μηνύματα που θέλει να περάσει η εκάστοτε εκπαίδευση.

Νομιμοποίηση των εξαιρέσεων
Κάθε κανόνας έχει και την εξαίρεσή του, είναι και αυτό ένας κανόνας. Σε πολλούς Οργανισμούς συναντούμε συχνά τη νομιμοποίηση των εξαιρέσεων. Κάτω από την δικαιολογία ότι ο Επιχειρηματικός Υπεύθυνος των πληροφοριών αποδέχεται τον κίνδυνο από τη μη τήρηση κάποιων κανόνων ασφάλειας πληροφοριών. Πολλές φορές η εν λόγο αποδοχή συνοδεύεται από φόρμες … απαλλαγής. Το συγκεκριμένο τέχνασμα λειτουργεί σε περιπτώσεις συμμόρφωσης με κάποια ‘γνωστά’ πρότυπα. Στη πραγματικότητα αποτελεί αναβολή υλοποίησης των κανόνων και συμβιβασμό με το κίνδυνο. Οι εξαιρέσεις πρέπει να είναι οι ελάχιστες δυνατές και η ισχύς τους πρέπει να επαναξιολογείται σε ετήσια βάση.

Κανόνες και απαιτήσεις ασφάλειας σε προτάσεις συνεργασίας, λειτουργικές προδιαγραφές και συμβάσεις
Μία από τις μεγάλες και αναμφισβήτητες αλήθειες στην ασφάλεια πληροφοριών, είναι ότι η εκ των υστέρων υλοποίηση των δικλείδων ασφάλειας, επιφέρει επιπρόσθετο κόστος και καθυστερεί σημαντικά την εφαρμογή των απαιτήσεων και κανόνων της ασφάλειας πληροφοριών. Σε πολλές περιπτώσεις το επιπρόσθετο κόστος, αποτελεί ανασταλτικό παράγοντα εφαρμογής της εκάστοτε δικλείδας ασφάλειας.
Η παραπάνω παράληψη, είναι κατά μεγάλο ποσοστό υπεύθυνη για τις περιπτώσεις hard coded passwords για την επικοινωνία μεταξύ συστημάτων και βάσεων δεδομένων, καθώς και για περιπτώσεις εφαρμογών οι οποίες είναι χτισμένες κάνοντας χρήστη του λογαριασμού ‘public’ της βάσης δεδομένων.

Δε μπορούν να επικοινωνήσουν την αξία εσωτερικά και κυρίως προς τα πάνω
Μελετώντας το τρόπο δράσης των διαφόρων Οργανισμών, παρατηρούμε ότι στο χώρο της Ασφάλειας Πληροφοριών έχουν παγιδευτεί σε μια προσπάθεια να κάνουν περισσότερα, να αγοράσουν – επενδύσουν περισσότερο, να εγκαταστήσουν περισσότερα, να αξιολογήσουν τους κινδύνους και τις αδυναμίες ασφάλειας οπουδήποτε μέσα στο εταιρικό περιβάλλον κτλ.

Τις περισσότερες φορές καταναλώνεται περισσότερη ενέργεια στην προσπάθεια να αξιολογηθούν λύσεις και να τεκμηριωθούν ολοένα και περισσότερες ανάγκες προς υλοποίηση, παρά ενέργεια που αφορά στον προσδιορισμό των πραγματικών αναγκών και του αποτελεσματικού τρόπου επικοινωνίας των αναγκών αυτών στη Διοίκηση. Το ζητούμενο είναι να κατανοήσει η Διοίκηση την ανάγκη, τις πιθανές εναλλακτικές επίλυσης του προβλήματος καθώς και το κόστος κάθε εναλλακτικής πρότασης.

Πολλά περισσότερα μπορούν να επιτευχθούν αν απλά κοιτάξουμε γύρω μας με καθαρή σκέψη και αναρωτηθούμε «Τι είναι αυτό που προσπαθεί να πετύχει ο Οργανισμός για τον οποίο εργαζόμαστε;». Η απάντηση στην εν λόγο ερώτηση είναι αυτό για το οποίο η ασφάλεια πληροφοριών υπάρχει σε κάθε Οργανισμό.

Οργανωτική τοποθέτηση της ασφάλειας πληροφοριών
Ο ρόλος και η λειτουργία ενός φορέα διαχείρισης και συντονισμού της ασφάλειας πληροφοριών αποτελεί αναγκαιότητα. Η εικονική λειτουργία ενός τέτοιου ρόλου καλύπτει θεσμικές ή κανονιστικές απαιτήσεις, αλλά στην πραγματικότητα δε μπορεί να διαχειριστεί αποτελεσματικά τις απαιτήσεις ασφάλειας ενός Οργανισμού.
Η λειτουργία ενός τέτοιου φορέα απαιτεί ανεξαρτησία και στήριξη, μα πάνω από όλα θέληση για αποτελεσματικότητα στην προστασία των κρίσιμων επιχειρηματικών πληροφοριών.

Το συχνότερο λάθος που παρατηρείται είναι η μη ανεξάρτητη λειτουργία του εν λόγο φορέα, αλλά η λειτουργία του ως μέρος της επιχειρηματικής οντότητας Πληροφορικής.

Συμπεριφορά επαγγελματιών προς συναδέλφους
Ένα από τα σημαντικότερα σημεία, που συχνά παραγκωνίζεται, αφορά στη συμπεριφορά των επαγγελματιών της ασφάλειας πληροφοριών ως προς τους συναδέλφους τους. Λόγω του εύρους του αντικειμένου και της αναγκαιότητας του, πολλές φορές οι επαγγελματίες του χώρου είναι απόλυτοι στη γνώμη που εκφράζουν και δεν συζητούν το τρόπο υλοποίησης των δικλείδων ασφάλειας. Η άποψη των συναδέλφων που καλούνται να εφαρμόσουν κανόνες και δικλείδες ασφάλειας δε πρέπει να παραγνωρίζεται. Μπορούν να συνεισφέρουν εποικοδομητικά στον αποτελεσματικό τρόπο εφαρμογής κανόνων και μέτρων προστασίας. Για να γίνει όμως αυτό χρειάζεται να ακουστεί η γνώμη τους, καθώς και να τους γίνει κατανοητό το τι θέλουμε να επιτύχουμε με τα προτεινόμενα μέτρα προστασίας, ποιος είναι ο στόχος και οι οι κίνδυνοι από τους οποίους προστατεύουμε τον Οργανισμό αλλά και τους ίδιους.

Log off
Οι πολυάριθμες τεχνολογικές εξελίξεις στο χώρο της πληροφορικής και της ασφάλειας πληροφοριών δεν εξασφαλίζουν την επαρκή προστασία των επιχειρηματικών πληροφοριών. Ως εκ τούτου, η ασφάλεια των πληροφοριών δεν μπορεί να κατανοηθεί ή να προσδιορισθεί ως αμιγώς τεχνικό θέμα.
Η ασφάλεια πληροφοριών, ξεκινά, αφορά και καταλήγει στον ανθρώπινο παράγοντα. Ως εκ τούτου χρειάζεται να προσδιορίσουμε τα σημαντικότερα λάθη που γίνονται κατά το σχεδιασμό και την προσπάθεια εφαρμογής κανόνων και τεχνολογιών και να διδαχθούμε από αυτά.

Του Νότη Ηλιόπουλου
Msc Infosec, ISO 27001 LA, CISA, CISM
piliopou@me.com