Polityka wkroczyła do sieci

Od ogółu do szczegółu

Polityka wkroczyła do sieci

Zasady korzystania z zasobów informatycznych w dziale obsługi klienta "Naszej Firmy"

Przyjrzyjmy się jeszcze nieco bardziej technicznym, widocznym z punktu widzenia administratorów i użytkowników, elementom polityki bezpieczeństwa.

Mimo że dostęp do budynków i pomieszczeń nie leży bezpośrednio w obszarze zainteresowań wąsko rozumianego bezpieczeństwa informatycznego, to nie można o nim zapominać. Spójrzmy choćby na zapewnienie bezpieczeństwa kluczowych serwerów lub np. macierzy dyskowych magazynujących wszystkie transakcje z ostatnich 5 lat. Nawet najlepsze zapory i IPS-y okażą się bezużyteczne, jeżeli ktoś wejdzie do serwerowni i ukradnie dyski. Zadbajmy zatem o odpowiednie zabezpieczenie pomieszczeń, do których dostęp musi być bardzo ograniczony.

Kolejnym ważnym punktem jest ścisłe określenie polityki haseł. Jest to bodaj najczęściej ignorowany punkt polityki bezpieczeństwa. Administratorzy muszą bowiem położyć na szali z jednej strony swój spokój i kiepskie bezpieczeństwo - jeżeli pozwolą na słabe i łatwe do zapamiętania hasła, a z drugiej strony odpowiedni poziom bezpieczeństwa, ale przy bezustannych narzekaniach użytkowników. Niestety, hasła 6-znakowe i bez znaków specjalnych to relikt, do którego nie warto wracać. Rozważmy więc wprowadzenie systemów zarządzania tożsamością z silnym uwierzytelnianiem, np. za pomocą tokenów. Zdejmie to z barków użytkowników konieczność pamiętania wielu haseł, a i administratorzy odetchną z ulgą.

Skoro jesteśmy przy kwestiach dostępowych. Określmy, kto i kiedy może korzystać z komputerów w naszej organizacji, bo jeżeli np. w weekendy nie pracujemy, to śmiało można odciąć dostęp do zasobów informacyjnych firmy wszystkim użytkownikom.

I tutaj znowu płynnie możemy przejść do kolejnego punktu związanego z poufnością danych - szyfrowania. Jeżeli wiemy, że całość korespondencji płynącej z departamentu prawnego lub działu rozwoju oprogramowania ma szczególną wagę, uwzględnijmy to w polityce bezpieczeństwa i wymuśmy korzystanie z algorytmów szyfrujących, np. 3DES czy AES.

Następny z drażliwych tematów to poczta. 80% pracowników potrzebuje dostępu do firmowej poczty elektronicznej do wykonywania swoich obowiązków i jest to zrozumiałe. Ale nie ma racjonalnego usprawiedliwienia dla zezwalania na korzystanie z poczty prywatnej - źródła wszelakich infekcji.

Kolejna istotna sprawa to dostęp zdalny i użytkownicy mobilni. Możemy mieć genialne zabezpieczenia wewnątrz firmy, ale cóż nam z tego przyjdzie, jeżeli zezwolimy na bezpośredni dostęp do serwera CRM za pomocą pulpitu zdalnego lub innego niezbyt bezpiecznego narzędzia. Stosujmy kanały VPN i to z odpowiednim poziomem zabezpieczeń.

Nie zapominajmy o kolejnej bolączce ostatnich lat - sieciach bezprzewodowych. Teraz, kiedy cena prostego punktu dostępowego spadła poniżej 100 zł, każdy może w szufladzie biurka zamontować taką przenośną lukę w zabezpieczeniach. Pół biedy, jeżeli zasięg tych urządzeń byłby ograniczony do murów naszej firmy. Niestety, niejednokrotnie wykracza on daleko poza nie. Dlatego zabrońmy korzystania z nieautoryzowanych punktów Wi-Fi. Określmy również jasno, jak wyglądają zasady korzystania z sieci przewodowych - do jakich celów może być wykorzystywany Internet, w jakich godzinach i dniach. Świadomy takich obostrzeń użytkownik nie będzie mógł mieć pretensji, jeżeli poniesie konsekwencje z powodu ich nieprzestrzegania.

Niejako przy okazji pisania o wiedzy i świadomości użytkowników wypada wspomnieć o innej, związanej z tym kwestii. Mowa o właściwym poinformowaniu wszystkich, których dotyczy polityka bezpieczeństwa, o jej istnieniu - oczywiście w zakresie odpowiednim do pełnionych obowiązków. Co więcej, nie wystarczy tylko powiedzieć, że dokument taki istnieje. Pracownik powinien się z nim zapoznać i podpisem poświadczyć zobowiązanie do jego przestrzegania. Bez tego trudno będzie o skuteczną egzekucję polityki.

Błądzić jest rzeczą ludzką

Polityka wkroczyła do sieci

Cykl budowy polityki bezpieczeństwa wg modelu Deminga (PDCA)

Nie od dziś wiadomo, że człowiek uczy się na błędach, a o te podczas budowania polityki bezpieczeństwa nietrudno. Ale lepiej uczyć się na cudzych błędach - podobno na tym polega inteligencja.

Jakie więc są najczęściej występujące problemy? Charakterystyczne dla wszystkich osób związanych z informatyką, a zwłaszcza techników jest skupianie się na własnych systemach - brak im szerszego spojrzenia na bezpieczeństwo. Dlatego też tak istotne w komitecie sterującym jest uczestnictwo osób, które nie są technikami, ale za to dobrze rozumieją potrzeby bezpieczeństwa. Pomoże to zapobiec innemu problemowi - tworzeniu polityki "pod administratorów".

Teoretycznie ma być bezpiecznie, ale w rzeczywistości okazuje się, że wszystkie zalecenia są formułowane w taki sposób, aby odciążyć administratorów systemów i ułatwić im życie. Trzeba więc wypracować kompromis, który pozwoli z jednej strony zadowolić administratorów, a z drugiej, spełnić założenia bezpieczeństwa. Pozostając przy technologii, kolejnym mankamentem jest bezgraniczna w nią wiara. Zapominamy, że supernowoczesne zabezpieczenia również zawodzą i nie bierzemy pod uwagę scenariusza działania na taką właśnie okoliczność.

Bądźmy więc pesymistami i przyjmujmy czarne scenariusze. Jeżeli nic się nie stanie - to świetnie, a jeżeli jednak dojdzie do katastrofy, to będziemy przygotowani. Wiara w technologię przekłada się również na niezwykle rzadkie sprawdzanie poprawności funkcjonowania wprowadzonych rozwiązań. Przeważnie kończy się na wstępnych testach i tyle. Jeżeli coś działa, to nie ruszać. A niekiedy okazuje się, że np. IDP nie został w pełni skonfigurowany i pozwala na znacznie więcej, niż wynikałoby z planu. Oprócz regularnych audytów zewnętrznych określmy zasady prowadzenia wewnętrznych testów penetracyjnych.

I kolejna dobra rada. Wspominaliśmy o konieczności zapoznania użytkowników z polityką bezpieczeństwa w odpowiednim zakresie. Jeżeli jednak spytamy taką osobę, ile z podpisanego właśnie dokumentu zrozumiała, zapewne stwierdzi, że niewiele. Dlatego nie silmy się na specjalistyczne sformułowania i wyszukane zwroty, jeżeli chcemy dotrzeć do osoby niemającej pojęcia o informatyce. Znowu posłużmy się psychologiczną zasadą: środki przekazu dostosuj do możliwości jego odbiorcy.

Pora na odpoczynek?

I to już prawie wszystko, ale - jak mawiają - "prawie" robi różnicę. Po wdrożeniu wszystkich kroków będziemy chcieli mieć pewność, że wszystko funkcjonuje zgodnie z planem. Nie obędzie się więc bez audytu zleconego zewnętrznej organizacji. Jeżeli ten wypadnie pomyślnie, możemy... zacząć wszystko od nowa. Niestety, to prawda. Budowanie polityki bezpieczeństwa to niekończąca się praca. Na tym etapie nie będzie ona aż tak mozolna, jak do tej pory, ale się od niej nie ustrzeżemy. Informatyka ma niestety tą przypadłość, że nie znosi zastoju. Dlatego też będziemy zmuszeni do wyciągania wniosków z pojawiających się nowych zagrożeń, powodowanych przez nie naruszeń bezpieczeństwa, aktualizowania polityki i zabezpieczania, a także prowadzenia nowych szkoleń i zlecania audytów. A zatem do pracy!


TOP 200