O έλεγχος ασφάλειας είναι απαραίτητος για να είμαστε σίγουροι ότι τα συστήματα προστασίας των πληροφοριών που έχουμε εγκαταστήσει λειτουργούν αποτελεσματικά. Η αναφορά και μόνον της λέξης «έλεγχος» είναι ικανή να αναστατώσει ακόμα και το πιο σκληροτράχηλο στέλεχος μιας επιχείρησης. Σημαίνει ότι ένας τρίτος παράγοντας θα συντάξει μία γραπτή επίσημη έκθεση, αναφορικά με ένα ή περισσότερα κρίσιμα στοιχεία της επιχείρησης.
Κι αν οι περισσότεροι είναι εξοικειωμένοι με τους οικονομικούς ελέγχους, έχουν τουλάχιστον ελλιπή γνώση σχετικά με τον έλεγχο ασφάλειας πληροφοριών – security audit όπως έχει επικρατήσει και στις ελληνικές επιχειρήσεις – δηλαδή τον έλεγχο των μεθόδων με τις οποίες διασφαλίζονται η ακεραιότητα, εμπιστευτικότητα και διαθεσιμότητα των πληροφοριών.
Τι είναι και ποιους αφορά το security audit
Το security audit αποτελεί μια συστηματική, μετρήσιμη τεχνική εκτίμηση για το βαθμό εφαρμογής της πολιτικής ασφάλειας της επιχείρησης. Οι ελεγκτές εργάζονται κατανοώντας πλήρως το ελεγκτικό περιβάλλον, συχνά έχοντας ικανή εσωτερική πληροφόρηση ώστε να εντοπίσουν τους πόρους που πρέπει να ελεγχθούν και στη συνέχεια να αποτυπώσουν σαφώς τις παρατηρήσεις και τις προτάσεις τους.
Δεν πρέπει να γίνει σύγχυση του όρου «security audit» ή «IT Audit» με τη διαδικασία αποτροπής παράνομης παρείσφρησης στα πληροφοριακά συστήματα του Οργανισμού, του γνωστού μας «penetration testing». Το penetration testing – ή πιο απλά pen-test, περιορίζεται στον εντοπισμό αφύλακτων σημείων σε ένα κρίσιμο πόρο της εγκατάστασης, όπως το web server ή το firewall. Συνήθως το pen test πραγματοποιείται εκτός εγκατάστασης με μηδαμινή εσωτερική πληροφόρηση, ώστε να προσομοιώσει με όσο το δυνατόν περισσότερη ακρίβεια τους τρόπους με τους οποίους κάποιος hacker θα επιτεθεί στο σύστημα.
Το security audit είναι μέρος μιας συνεχούς διαδικασίας προσδιορισμού και υποστήριξης αποτελεσματικών κανόνων ασφάλειας και εμπλέκει όλους τους πληροφοριακούς πόρους ενός Οργανισμού, καθώς και τους χρήστες τους.
Καταρχάς γίνεται η ανάλυση κινδύνων για να κατηγοριοποιηθούν τα πληροφοριακά συστήματα ανάλογα με το βαθμό κρισιμότητάς τους και να εντοπιστούν οι παράγοντες κινδύνου. Στη συνέχεια δημιουργείται η πολιτική ασφάλειας, όπου προσδιορίζεται τι θα προστατευθεί και με ποιον τρόπο. Κατόπιν, με διάφορες μεθόδους οι οποίες συμπεριλαμβάνουν και προϊόντα ασφάλειας, αυτή η πολιτική εφαρμόζεται σε όλο τον Οργανισμό. Και τέλος πραγματοποιείται το security audit με σκοπό να ελεγχθεί η αποτελεσματικότητα των μεθόδων αυτών.
Το security audit λοιπόν είναι η διαδικασία ελέγχου και διασφάλισης ότι τα πληροφοριακά συστήματα της εταιρείας είναι προστατευμένα επαρκώς – τίποτε περισσότερο και τίποτε λιγότερο.
Διαδικασία του security audit
Δεδομένης της δυναμικής φύσης των εφαρμογών, συστημάτων και αποθηκευτικών μέσων, πολλοί αναρωτιούνται αν όντως υπάρχει αποτελεσματικός τρόπος να ελεγχθεί το σύνολο των κανόνων που διασφαλίζουν την ορθή τους χρήση και να αξιολογηθεί η ασφάλειά τους. Το security audit παρέχει έναν αμερόληπτο και μετρήσιμο τρόπο για να διαπιστωθεί ο βαθμός ασφάλειας της εγκατάστασης.
Οι ελεγκτές διεξάγουν προσωπικές συνεντεύξεις, ανιχνεύουν τα τρωτά σημεία στην πληροφοριακή υποδομή, εξετάζουν τις παραμέτρους λειτουργίας των συστημάτων, αναλύουν την κυκλοφορία των δικτύων και ελέγχουν τις ημερολογιακές εγγραφές. Κυρίως τους αφορά η τήρηση των κανόνων ασφάλειας καθώς και η συμμόρφωση με νόμους και κανονισμούς.
Ιδού μερικές βασικές ερωτήσεις στις οποίες οι ελεγκτές πρέπει να πάρουν απαντήσεις:
- Ποια είναι η πολιτική δημιουργίας των passwords; Είναι εύκολο να «σπάσουν»;
- Υπάρχει κατάλογος ελέγχου πρόσβασης στους δικτυακούς πόρους, ώστε να ελέγχεται η πρόσβαση σε κοινόχρηστα δεδομένα;
- Καταγράφονται σε ημερολόγια οι προσβάσεις σε αρχεία, εφαρμογές και συστήματα και παρακολουθούνται υπεύθυνα;
- Οι παράμετροι ασφάλειας των λειτουργικών συστημάτων είναι σύμφωνες με την πολιτική ασφάλειας του Οργανισμού ή/και με τις βέλτιστες πρακτικές;
- Έχουν διαγραφεί όλες οι μη απαραίτητες λειτουργίες και εφαρμογές από τα συστήματα;
- Τα λειτουργικά συστήματα και οι εφαρμογές ενημερώνονται με τις διορθώσεις που προσφέρονται από τον πάροχο (patch management);
- Πού τηρούνται τα backup και ποιοι έχουν πρόσβαση; Ενημερώνονται – και με ποιο τρόπο;
- Υπάρχει σχέδιο ανάκαμψης των συστημάτων σε περίπτωση καταστροφής (disaster recovery plan), έχουν γίνει δοκιμές και πόσο συχνές είναι; Τα αποτελέσματα παρουσιάζονται και εγκρίνονται από τη Διοίκηση;
- Υπάρχουν εγκατεστημένα εργαλεία κρυπτογράφησης ώστε να διασφαλίζεται η διακίνηση πληροφοριών και έχουν παραμετροποιηθεί σωστά;
- Υπάρχει και τηρείται μεθοδολογία υλοποίησης των in-house εφαρμογών, η οποία λαμβάνει υπόψη θέματα ασφάλειας;
- Έχουν ελεγχθεί οι εφαρμογές για τυχόν παραλείψεις στην ασφάλεια;
- Υπάρχει μεθοδολογία ελέγχου αλλαγών στις εφαρμογές και πώς αυτή παρακολουθείται;
- Πώς ελέγχεται η πρόσβαση στις κτηριακές εγκαταστάσεις του ΙΤ;
Από το δείγμα αυτό των ερωτήσεων αντιλαμβανόμαστε ότι αν οι απαντήσεις είναι έντιμες και ακριβείς, μπορεί να αξιολογηθεί αντικειμενικά η ασφάλεια των ζωτικών πληροφοριακών πόρων ενός Οργανισμού.
Πολιτική Ασφάλειας
Όπως προαναφέρθηκε, το security audit είναι ουσιαστικά μία αξιολόγηση της αποτελεσματικότητας της πολιτικής ασφάλειας ενός Οργανισμού. Οπωσδήποτε αυτό προϋποθέτει ότι ο Οργανισμός διαθέτει τέτοια πολιτική, πράγμα που δυστυχώς δεν ισχύει πάντα. Η πολιτική ασφάλειας είναι το σύνολο των κανόνων που διέπουν την ασφαλή χρήση των πληροφοριακών πόρων του Οργανισμού, είναι γραπτή και επιπλέον όλοι οι εργαζόμενοι την έχουν αποδεχτεί ενυπόγραφα. Σε καμία περίπτωση δεν αμφισβητείται η ακεραιότητα και η επάρκεια των εργαζομένων, αντιθέτως διασφαλίζεται ότι οι εργαζόμενοι ανεξαρτήτως θέσεως αντιλαμβάνονται τις υποχρεώσεις τους αναφορικά με την προστασία των πληροφοριακών πόρων του Οργανισμού και συμφωνούν ότι θα τις τηρήσουν.
Οπωσδήποτε όμως υπάρχουν αποκλίσεις μεταξύ της πολιτικής ασφάλειας και της κουλτούρας του Οργανισμού. Ακόμα και αν έχουν καλές προθέσεις, συχνά οι εργαζόμενοι επιλέγουν την ευκολία τους σε βάρος της ασφάλειας. Για παράδειγμα, όλοι γνωρίζουν ότι πρέπει να επιλέξουν κωδικό ασφάλειας (password) που δεν είναι προβλέψιμος, αλλά δυστυχώς ένας τέτοιος κωδικός απομνημονεύεται δύσκολα. Ο ελεγκτής λοιπόν καλό θα είναι να ψάξει για χαρτάκια κολλημένα κάτω από το πληκτρολόγιο με γραμμένο το password ή για ενεργοποίηση της εντολής αυτόματης εμφάνισής του στο εδικό πεδίο. Επίσης, το προσωπικό του IT γνωρίζει ότι η πρόσβαση του διαχειριστή σε ένα σύστημα πρέπει να προστατεύεται από κωδικό. Όμως πάνω στη βιασύνη τους να το υλοποιήσουν, μεταθέτουν το βήμα αυτό για αργότερα, με αποτέλεσμα να το ξεχάσουν και να εγκαταστήσουν στο δίκτυο ένα επισφαλές σύστημα.
Ο έλεγχος ασφάλειας θα επιδιώξει ακριβώς να μετρήσει το βαθμό συμμόρφωσης με την πολιτική ασφάλειας και θα προτείνει μέτρα για τη βελτίωσή του.
Προετοιμασία του ελέγχου
Πριν ξεκινήσει ο έλεγχος απαιτείται αρκετή προπαρασκευαστική εργασία ώστε οι ελεγκτές να γνωρίζουν ακριβώς τι πρόκειται να ελέγξουν. Εκτός από ανασκόπηση των αποτελεσμάτων παλαιότερων ελέγχων που πιθανό να έχουν πραγματοποιηθεί, υπάρχουν αρκετά «εργαλεία» στα οποία μπορούν να αναφερθούν ή να χρησιμοποιήσουν. Το πρώτο είναι η ανίχνευση του περιβάλλοντος, δηλαδή μια τεχνική περιγραφή όλων των πληροφοριακών συστημάτων, η οποία περιλαμβάνει και την οργανωτική διάρθρωση της εγκατάστασης. Ακόμα κι αν αυτή είναι ξεπερασμένη μπορεί να παρέχει ένα γενικό πλαίσιο λειτουργίας.
Ένα χρήσιμο συμπληρωματικό εργαλείο είναι τα ερωτηματολόγια ασφάλειας, τα οποία, αν και εκ φύσεως υποκειμενικά, σκιαγραφούν το πλαίσιο των συμφωνημένων πρακτικών ασφάλειας. Οι ερωτώμενοι συνήθως καλούνται να εκτιμήσουν την αποτελεσματικότητα των μέτρων που διέπουν την προσπέλαση σε πληροφοριακά συστήματα και δεδομένα. Για παράδειγμα, την ταυτοποίηση των χρηστών, την πρόσβαση σε βιβλιοθήκες και εφαρμογές, τη φυσική ασφάλεια, την εκ των έξω πρόσβαση σε συστήματα, τους ελέγχους διαχείρισης των συστημάτων και διαδικασιών, τη σύνδεση με εξωτερικά δίκτυα, την πρόσβαση από απόσταση, την αντιμετώπιση περιστατικών ασφάλειας, το σχέδιο επαναλειτουργίας μετά από καταστροφή κ.ο.κ.
Τα ερωτηματολόγια πρέπει να είναι σαφή και πλήρως κατανοητά και να παρέχουν τη δυνατότητα κλιμάκωσης των απαντήσεων από το λιγότερο ικανοποιητικό (δεν καλύπτει τις απαιτήσεις) μέχρι το περισσότερο ικανοποιητικό (καλύπτει τις απαιτήσεις και διαθέτει υποστηρικτική τεκμηρίωση). Έτσι οι ελεγκτές θα αποκτήσουν μια καλή εικόνα του περιβάλλοντος και θα εντοπίσουν σημεία ιδιαίτερου ελεγκτικού ενδιαφέροντος ή κρισιμότητας.
Άλλο σημαντικό βοήθημα των ελεγκτών είναι το ημερολόγιο περιστατικών ασφάλειας που έχουν καταγραφεί στο παρελθόν και που καθορίζουν ιστορικά τα αδύνατα σημεία στο προφίλ ασφάλειας του Οργανισμού. Επίσης πρέπει να εξετάσουν τις τρέχουσες συνθήκες ώστε να διασφαλίσουν ότι τα περιστατικά αυτά δεν θα ξανασυμβούν. Για παράδειγμα, αν οι ελεγκτές καλούνται να ελέγξουν ένα σύστημα που επιτρέπει διασύνδεση με το internet, θα πρέπει να εξετάσουν τα ημερολόγια των firewalls και του IDS, ώστε να διαπιστώσουν επαναλαμβανόμενες προσπάθειες εντοπισμού αδύνατων σημείων του συστήματος.
Λόγω του μεγάλου εύρους των υπό εξέταση δεδομένων και για την αποφυγή λαθών και παραλείψεων, οι ελεγκτές οφείλουν να προσδιορίσουν με ακρίβεια το αντικείμενο του ελέγχου. Καθοριστικοί παράγοντες γι’ αυτό είναι ο επιχειρηματικός σχεδιασμός του Οργανισμού, το είδος και η κρισιμότητα των δεδομένων και συστημάτων, τυχόν περιστατικά ασφάλειας στο παρελθόν, χρονικοί περιορισμοί του ελέγχου, καθώς και η ικανότητα και εμπειρία των ελεγκτών. Ο σωστός σχεδιασμός απαιτεί ξεκάθαρο αντικείμενο του ελέγχου, κατανοητό και συμφωνημένο με τον ελεγχόμενο.
Στη συνέχεια οι ελεγκτές θα σχεδιάσουν το πλάνο ελέγχου, όπου θα αναφέρονται ο τρόπος που θα γίνει ο έλεγχος, το απαιτούμενο προσωπικό και τα εργαλεία που θα χρησιμοποιηθούν. Κατόπιν θα συζητήσουν με τους ελεγχόμενους το αντικείμενο του ελέγχου και τυχόν διαχειριστικές λεπτομέρειες, όπως π.χ. τη διάρκεια του ελέγχου, την πιθανή εμπλοκή του προσωπικού και το κατά πόσον ο έλεγχος θα επηρεάσει τον κύκλο των καθημερινών εργασιών. Τέλος θα διασφαλίσουν ότι όλα αυτά έγιναν κατανοητά και συμφωνήθηκαν με τους ελεγχόμενους.
Διενέργεια ελέγχου
Η προετοιμασία έχει ολοκληρωθεί και η ώρα του ελέγχου έχει φθάσει. Αυτό που πρέπει να αποφύγουν οι ελεγκτές είναι να επηρεάσουν αρνητικά την καθημερινή δραστηριότητα του Οργανισμού κατά τη διάρκεια του ελέγχου. Έχοντας αυτό υπόψη τους, κάνουν μία εισαγωγική ενημερωτική συνάντηση με τους ελεγχόμενους, καθιστώντας σαφές το εύρος και το αντικείμενο του ελέγχου. Στη συνάντηση αυτή αποσαφηνίζονται οι απορίες, τίθενται ερωτήματα και υποβάλλονται αιτήματα της τελευταίας στιγμής, βεβαίως εντός του αρχικού πλαισίου του ελέγχου.
Οι ελεγκτές οφείλουν να είναι ακριβείς και λεπτολόγοι και να εφαρμόζουν τα ισχύοντα πρότυπα και διαδικασίες. Κατά τη διάρκεια του ελέγχου θα συλλέξουν δεδομένα αναφορικά με τη φυσική ασφάλεια των πληροφοριακών συστημάτων και θα διεξάγουν συνεντεύξεις με το προσωπικό. Θα προσπαθήσουν να ανιχνεύσουν τρωτά σημεία στο δίκτυο (network vulnerability test), θα εκτιμήσουν την ασφάλεια λειτουργικών συστημάτων, εφαρμογών και του συστήματος ελέγχου πρόσβασης και θα αξιολογήσουν διαδικασίες και καθημερινές πρακτικές.
Ο έλεγχος ακολουθεί τα βήματα του εγκεκριμένου προγράμματος ελέγχου (checklist), αλλά παράλληλα οι ελεγκτές θα πρέπει έχουν τα μάτια τους ανοιχτά για τυχόν απρόσμενα προβλήματα. Στην περίπτωση αυτή εγκαταλείπουν προσωρινά το προκαθορισμένο πρόγραμμα και ακολουθούν το ένστικτό τους, που ενδεχομένως τους οδηγήσει σε πολύτιμα ευρήματα.
Με την ολοκλήρωση του ελέγχου οι ελεγκτές ενημερώνουν τους υπεύθυνους της εγκατάστασης σχετικά με τα ευρήματα και τα προβλήματα που εντοπίστηκαν και που απαιτούν άμεση διόρθωση. Απαντώνται σε γενικές γραμμές τυχόν ερωτήσεις των υπευθύνων, προσέχοντας να μη δημιουργηθούν λανθασμένες εντυπώσεις σχετικά με τα αποτελέσματα του ελέγχου. Πρέπει να τονιστεί εδώ ότι σ’ αυτό το στάδιο οι ελεγκτές μπορεί να μην είναι σε θέση να παρέχουν συγκεκριμένες και οριστικές απαντήσεις, οι οποίες βέβαια θα δοθούν μετά την ανάλυση των αποτελεσμάτων.
Επιστροφή στο γραφείο
Πίσω στα γραφεία τους, οι ελεγκτές θα αρχίσουν το «χτένισμα» του προγράμματος ελέγχου για τυχόν παραλείψεις τους, καθώς και την ανάλυση των αποτελεσμάτων των κάθε είδους δοκιμών που έχουν πραγματοποιήσει. Αξιολογούν την κρισιμότητα των ευρημάτων και συμφωνούν τα σημεία που θα τονίσουν στην έκθεση ελέγχου. Η έκθεση μπορεί να συνταχθεί σε διάφορες μορφές, αλλά πρέπει να είναι απλή, κατανοητή και άμεση, να περιέχει συγκεκριμένα ευρήματα καθώς και υποδείξεις για τη διόρθωση των προβλημάτων που εντοπίστηκαν.
Η έκθεση ελέγχου αποτελείται από τη συνοπτική αναφορά για τη Διοίκηση, την αναλυτική περιγραφή των ευρημάτων ως επίσης και υποστηρικτικές αναφορές που τεκμηριώνουν τα ευρήματα, όπως ημερολόγια συστημάτων, αποτελέσματα vulnerability tests ή άλλων δοκιμών, αναφορές από audit tools, εκτυπώσεις των λειτουργικών συστημάτων, τοπολογίες δικτύου, επιστολές, emails κ.λπ.
Στη συνοπτική αναφορά είναι σημαντικό να τονιστούν όχι μόνο οι αδυναμίες αλλά και τα δυνατά σημεία της εγκατάστασης, ώστε η Διοίκηση να αποκτήσει μια ισορροπημένη, πλήρη εικόνα. Στη συνέχεια, η αναφορά γίνεται λεπτομερής και τα ευρήματα παρουσιάζονται με λογική σειρά σε διαφορετική σελίδα το καθένα. Σε κάθε σελίδα αναφέρεται το πρόβλημα, οι επιπτώσεις του και πώς αυτό μπορεί να διορθωθεί, αφήνοντας χώρο για την καταγραφή των διορθωτικών βημάτων και του χρονοδιαγράμματος υλοποίησής τους, ως επίσης και για τα σχόλια του ελεγχόμενου.
Μην τους κρατάτε σε αγωνία
Η έκθεση ελέγχου πρέπει να είναι έτοιμη σε εύλογο χρονικό διάστημα, ώστε να δοθεί ο απαιτούμενος χρόνος για διόρθωση των προβλημάτων που εντοπίστηκαν. Αν η πολιτική του Οργανισμού το επιτρέπει και υπάρχουν οι απαιτούμενοι ανθρώπινοι πόροι, οι ελεγκτές θα μπορούσαν να καθοδηγήσουν το προσωπικό της εγκατάστασης προκειμένου να διορθώσει τις αδυναμίες και να αξιολογήσει την επιτυχία των προσπαθειών του. Βασικό ρόλο στη διόρθωση των αδυναμιών παίζει η Διοίκηση, η οποία, οπλισμένη με την έκθεση ελέγχου πρέπει να παρακολουθεί την εξέλιξη των διορθωτικών μέτρων έως την τελική εξάλειψη των προβλημάτων.
Όχι Μεμονωμένο Γεγονός, αλλά Συνεχής Διαδικασία
Οι επιχειρήσεις είναι ζωντανοί Οργανισμοί, οι οποίοι για να επιβιώσουν στο ανταγωνιστικό περιβάλλον πρέπει να ακολουθούν τις τάσεις της αγοράς, τις εξελίξεις της τεχνολογίας και τις διαφοροποιήσεις σε νομοθεσίες και κανονισμούς. Οι αλλαγές αυτές συμπαρασύρουν και τις απαιτήσεις για ασφαλή διαχείριση των πληροφοριακών συστημάτων, πράγμα που καταδεικνύει ότι ο έλεγχος ασφάλειας δεν μπορεί να είναι μεμονωμένο γεγονός, αλλά συνεχής προσπάθεια για βελτίωση της προστασίας των δεδομένων.
Το security audit αξιολογεί την πολιτική ασφάλειας της εγκατάστασης και παρέχει μετρήσιμα στοιχεία για την αποτελεσματικότητά της εντός του διαρθρωτικού πλαισίου, των στόχων και των δραστηριοτήτων του Οργανισμού. Στοχεύει στη συνεχή βελτίωσή της, ενώ παράλληλα συμβάλλει στη διόρθωση των αδυναμιών που εντοπίστηκαν κατά την ελεγκτική διαδικασία.
Εάν θεωρήσουμε ότι η έκθεση ελέγχου καλύπτει κάθε πτυχή της πολιτικής ασφάλειας, τότε οι ελεγκτές έχουν κάνει ολοκληρωμένη δουλειά. Το πόσο καλή ή κακή είναι, εξαρτάται από την ικανότητα, την εμπειρία και την επαγγελματική επάρκειά τους. Ευελπιστώντας ότι οι ελεγκτές διαθέτουν τα απαραίτητα προσόντα, ο έλεγχος κρίνεται επιτυχής και η λειτουργία της επιχείρησης περισσότερο ασφαλής.
Πηγές: ISACA Journal, Security Focus.
Της Ελένης Σωτηρίου
CISA, CISM