Polityk i konsultant

W ostatnim akapicie dotknęliśmy tego, co tak naprawdę najistotniejsze w pracy biura bezpieczeństwa. "Interwencja informatycznych komandosów" w sytuacji zagrożenia bezpieczeństwa jest może i efektowna, zawsze jednak jest oznaką słabości instytucji finansowej. Kiedy już zagrożenie zostanie usunięte, przytomny dyrektor pochwali biuro bezpieczeństwa i... natychmiast je zgani. Dlaczego w ogóle interwencja była konieczna? Dlaczego stworzono warunki, by takie zagrożenie stało się realne? Czemu pozostawiono nie chronioną dziurę? Czy, gdyby postępowano z większą wyobraźnią, skutki byłyby bardziej ograniczone?

Bodaj najważniejszą odpowiedzialnością biura bezpieczeństwa pozostaje bowiem polityka bezpieczeństwa - czyli zespół działań, które przeciwdziałają zagrożeniom i pozwolą szybko usuwać ich skutki. Według statystyk około połowy zagrożeń bezpieczeństwa systemów informatycznych pochodzi od wewnątrz, a nie z zewnątrz firmy. Wewnątrzkorporacyjna polityka bezpieczeństwa to więc "oczko w głowie" biura bezpieczeństwa. Opiszmy pokrótce, co mieści się w tym pojęciu.

Przede wszystkim polityką bezpieczeństwa będą regulaminy i procedury. Wszyscy użytkownicy systemów informatycznych instytucji finansowej powinni być poinformowani o prostych, zwięzłych i przejrzystych regułach korzystania z systemów, np. o zakazie przynoszenia do pracy własnych dyskietek, uruchamiania programów pobranych z Internetu, zasadach postępowania w przypadku podejrzenia włamania, udostępnianiu (czy raczej nieudostępnianiu) swoich identyfikatorów i haseł osobom postronnym. Wszystko to trzeba zawrzeć w odpowiednich regulaminach i zakomunikować je zainteresowanym. Za złamanie tych reguł powinna obowiązywać też jasna sankcja.

Bardzo ważny jest udział przedstawicieli biura bezpieczeństwa we wszelkich przedsięwzięciach informatycznych, które bank, ubezpieczyciel czy inna instytucja finansowa prowadzą. Kupując nowy sprzęt, oprogramowanie, zaczynając projekt informatyczny lub współpracę w ramach outsourcingu, firma powinna zasięgnąć opinii biura bezpieczeństwa, a prawdopodobnie w ogóle włączyć go w prace zespołu zadaniowego.

Podajmy prosty przykład: przygotowanie nowego sprzętu na potrzeby firmy brokerskiej. Zadaniem tym zajmuje się albo wyspecjalizowana komórka w służbach informatycznych, albo w ogóle firma zewnętrzna. Jednak każdy nowy komputer podłączony do sieci to potencjalna dziura bezpieczeństwa. Przed wpięciem kabla sieciowego w gniazdko karty należy wykonać kilka czynności. Po pierwsze, zainstalować system operacyjny (odpowiedni image powinien mieć preinstalowane korporacyjne zabezpieczenia), potem uaktualnić go wszystkimi "łatkami", które wprowadzono w czasie między sporządzeniem tego image'u a dokonaniem instalacji. Następnie maszynę trzeba dodać do korporacyjnych systemów bezpieczeństwa, które rozpoznają ją jako "własną" (np. wpisać w tablice DNS czy DHCP itd.), później ustawić regularną aktualizację oprogramowania antywirusowego i definicji wirusów, a wreszcie "przeskanować" jej bezpieczeństwo przy użyciu narzędzi, które symulują atak. Praca ta powinna być wykonana wg ściśle zdefiniowanej procedury. Biuro bezpieczeństwa nie będzie oczywiście wykonywało instalacji i uaktualnień, ale z całą pewnością to ono powinno zdefiniować tę procedurę oraz warunki, które muszą być spełnione, aby wreszcie włożyć kabel sieciowy w gniazdko nowego komputera.