Prostowanie fundamentów

Do tej pory jakoś się udawało, ale w 2006 r. dyrektorom IT trudno będzie uciec przed tym, co nieuniknione. Problemy w dziedzinie bezpieczeństwa narosły do tego stopnia, że nie da się ich rozwiązać bez powrotu do spraw podstawowych.

Do tej pory jakoś się udawało, ale w 2006 r. dyrektorom IT trudno będzie uciec przed tym, co nieuniknione. Problemy w dziedzinie bezpieczeństwa narosły do tego stopnia, że nie da się ich rozwiązać bez powrotu do spraw podstawowych.

Początek roku zawsze sprzyja snuciu planów. Chcielibyśmy, aby 2006 r. był lepszy od poprzedniego i pod wieloma względami zapewne taki właśnie będzie, z jednym wszakże wyjątkiem: bezpieczeństwa. Wieloletniego unikania zajęcia się tą problematyką od podszewki nie da się raczej przedłużyć. Ubiegły rok pokazał, że ryzyko kradzieży danych wciąż rośnie, a pomysłowość złodziei informacji zdaje się nie mieć granic.

Każdy powie, że gdyby tylko miał dostatecznie dużo środków, byłoby po sprawie. Szkopuł w tym, że budżety na informatykę nie staną się nagle wielokrotne większe, niż były do tej pory. A nawet gdyby się stały, nikt nie jest w stanie w krótkim czasie zamówić i wykonać właściwie zaprojektowanych aplikacji - tu bowiem zaległości są największe. A przecież to tylko jedna z wielu potrzeb - są jeszcze sieci, pamięci masowe, systemy zabezpieczeń itd.

Pieniądze tylko pozornie gwarantują święty spokój. Ci, których stać na zakup rozwiązań ochronnych, dowiadują się poniewczasie, że to nie koniec wydatków. Dostawcy bowiem proponują przede wszystkim rozwiązania do gaszenia pożarów i usługi strażaków, gdy tymczasem dyrektorzy informatyki chcieliby uniemożliwić powstawanie ognisk zapalnych. Tak rozumiany cel wysiłków w dziedzinie bezpieczeństwa od doboru konkretnych rozwiązań i ich ceny zależy tylko częściowo.

Bieżący rok to ostatni moment na ustalenie strategii w dziedzinie bezpieczeństwa i rozpoczęcie jej realizacji. Ta strategia musi być kompleksowa i wolna od skrzywień produktowych, przede wszystkim jednak musi skupiać się na sprawach fundamentalnych. Nie będzie to przedsięwzięcie łatwe, ale po wielu latach udawania, że bezpieczeństwo da się "robić przy okazji", innej drogi raczej nie ma.

Kontynuowanie kuracji polegającej na aplikowaniu miejscowego znieczulenia ma swoje granice. Decyzje strategiczne trzeba podejmować już, ale z rozwagą, mając na uwadze stan obecny, etap rozwoju technologii, dostępne zasoby oraz oczekiwania użytkowników itp. Wśród wyzwań strategicznych znajdą się kwestie dotyczące pieniędzy, ludzi, organizacji, technologii oraz oczywiście skali zagrożeń. Spróbujmy to nieco bardziej skonkretyzować.

1. Pieniądze

Kluczowym wyzwaniem jest zapewnienie procesom związanym z zapewnieniem bezpieczeństwa właściwego finansowania. To niby jasne, ale bezpieczeństwo zawsze stwarza dylematy związane z wydatkami. Być może jest tak dlatego, że w argumentacji usprawiedliwiającej wydatki na bezpieczeństwo wciąż przeważają wątki techniczne, których decydenci nie rozumieją. Wyzwaniem podstawowym jest więc zmiana słownictwa i argumentacji związanych z bezpieczeństwem w taki sposób, aby obiektywne cele techniczne mogły zostać przetłumaczone na język korzyści biznesowych.

To najtrudniejszy element całego procesu zmiany, ale bez niego trudno mówić o jakimkolwiek postępie. Dopiero gdy szefowie działów bądź osoby odpowiedzialne za kluczowe procesy zrozumieją, że bezpieczeństwo jest w ich interesie, powstaną rzeczywiste warunki do realizacji jakiejkolwiek strategii. Niektóre firmy zrozumiały to już dawno i zachowanie wymagań związanych z bezpieczeństwem informacji i danych wpisały do budżetów, procedur i procesów. Z pozytywnym skutkiem.

Druga sprawa to próba nakreślenia szkicu kierunków, w których iść będą inwestycje w bezpieczeństwo, z którego powinny wynikać szacunki dynamiki tych wydatków. Taki szkic będzie kwestią bardzo indywidualną dla każdej firmy, ale można próbować wskazać przynajmniej jego kluczowe elementy. W tym miejscu trzeba odpowiedzieć na kilka podstawowych pytań.

  • Które procesy wymagają ochrony, w szczególności ochrony informacji, a które poradzą sobie bez niej?

  • Czy bezpieczeństwo informacji chcemy zapewnić samodzielnie, czy też w ramach partnerstwa ze specjalistami zewnętrznymi?

  • Czy ochronie mają podlegać wszystkie informacje, czy też jedynie ich wąski podzbiór (umowy, cenniki, plany marketingowe, wiadomości e-mail, wydruki)?

  • Czy inwestować przede wszystkim w kompetencje ludzi, czy też w rozwiązania techniczne?

  • Jak zdefiniować próg akceptowalnego ryzyka? Ciągłość biznesu to tylko jedna z formuł i nie w każdych warunkach wystarczająca.

  • Jak zapewnić efektywne mechanizmy utrzymania bezpieczeństwa na wysokim poziomie w długim okresie (podział obowiązków i odpowiedzialności, narzędzia, zadania)?

  • Jak będzie wyglądać proces weryfikowania poprawności funkcjonujących założeń (kto, jak często, jak dogłębnie)?

    Powyższa lista w żadnym razie nie jest pełna, nie jest też próbą parafrazowania metodyk zawartych w standardach Cobit czy ISO 17799, które skądinąd warto przejrzeć. Jest to raczej zachęta do zrozumienia tego, że bezpieczeństwo, w szczególności bezpieczeństwo informacji, jest zagadnieniem fundamentalnym, przenikającym wszystko, którego nie da się zbyć pytaniem: no to ile? Koszty bezpieczeństwa realizowanego profesjonalnie zależą od świadomie wybranego poziomu ochrony. Ten zaś zawsze będzie wynikiem kompromisu między tym, co możliwe teoretycznie, a tym, co możliwe w praktyce.

    2. Ludzie

    Jeżeli własne siły są niezbędne, skąd je wziąć? Znalezienie specjalistów w dziedzinie bezpieczeństwa informacji jest problemem dla wielu firm w Polsce. Zdobycie doświadczenia w tej dziedzinie wymaga wielu lat, więc nie ma ich zbyt wielu. Co gorsza, specjalistów brakuje także na Zachodzie, a w szranki o wysokość wynagrodzenia polskie firmy jeszcze długo nie mają co stawać. Sytuacji nie poprawia fakt, że szkoleń w tej dziedzinie - poza szkoleniami ogólnymi i produktowymi - w zasadzie nie oferuje nikt. Szkolenia za granicą to jakaś opcja, ale ich koszt dla wielu firm będzie nie do udźwignięcia.

    Jednym ze sposobów na budowanie kompetencji wewnątrz firmy jest zatrudnienie odpowiednio wynagradzanej "gwiazdy" i budowanie wokół niej grona osób skłonnych do pogłębiania wiedzy. Ten model również nie jest łatwy do wprowadzenia, ale daje szansę na stabilizację i utrzymanie kompetencji w dłuższym okresie. Nie jest przy tym powiedziane, że każdym aspektem bezpieczeństwa muszą zajmować się pracownicy firmy. Zadania mniej istotne lub też wymagające zaawansowanych narzędzi można zlecić na zewnątrz, pozostawiając w firmie kompetencje wymagające "bycia na miejscu".

    O ludziach w kontekście bezpieczeństwa nie można mówić wyłącznie z punktu widzenia specjalistów w dziedzinie bezpieczeństwa informacji. Użytkownicy są co najmniej tak samo ważni! Jeśli rezolucja nadająca bezpieczeństwu nowy wymiar ma podparcie w głębokim przekonaniu o jego znaczeniu, użytkownikom trzeba będzie poświęcić znacznie więcej czasu i uwagi niż dotychczas. Nie ma się co łudzić, że jakoś się to zrobi. W tym względzie potrzeba autentycznej chęci pomocy drugiej stronie, szacunku i cierpliwości. Szkolenie użytkowników, wyjaśnianie im zawiłych kwestii, prowadzenie za rękę - to nie jest zajęcie dla administratora (a w każdym razie nie dla każdego), i o tym trzeba pamiętać. I jeszcze jedno: jednorazowe akcje niewiele zmienią - trzeba znaleźć formułę długofalową.

    3. Organizacja

    Rok 2006 będzie dla wielu firm rokiem zmiany w architekturze systemów i byłoby dobrze, aby architektura ta uwzględniała bezpieczeństwo. Wiele firm wykorzystuje aplikacje działające na platformie Windows NT 4.0 Server. Większość z zatrudnionych w nich informatyków jeszcze pamięta, jakie błędy (z punktu widzenia bezpieczeństwa) popełniono podczas projektowania tych aplikacji. Ci ludzie doskonale wiedzą, co powinno znaleźć się w ich nowych wersjach, przeznaczonych dla nowszych platform. Wiedzieli to zapewne także kilka lat temu, ale ich rady nie zostały uwzględnione, ponieważ wiązałoby się to z dodatkowymi kosztami.

    Jak sobie pościelisz, tak się wyśpisz, mówi staropolskie przysłowie. Nowe aplikacje mogą być bezpieczne: zawierać standardowe odwołania do systemów zarządzania tożsamością, umożliwiać bezpieczne uwierzytelnianie, nadawać uprawnienia do poszczególnych funkcji i obiektów, logować zmiany dokonywane przez poszczególnych użytkowników, nie kasować danych, lecz jedynie je dezaktywować, raportować nietypowe zdarzenia, nie zezwalać na bezterminowe hasła itp. Nowoczesne technologie umożliwiają tworzenie takiej funkcjonalności bez wydłużania projektu, bez zwiększania jego budżetu - wystarczy tylko chcieć!

    Aby funkcje wzmacniające bezpieczeństwo aplikacji, a więc i danych, pojawiły się w nowych wersjach aplikacji, powyższe zalecenia muszą zostać zwerbalizowane na etapie zbierania wymagań. To nie stanie się samo - wszystkie te wymagania trzeba zebrać, osądzić i włączyć do zapytań ofertowych, zleceń i procedur odbioru prac. Na potrzeby formułowania takich wymagań zawsze w ten sam sposób powinna istnieć standardowa procedura, której nie da się pominąć.

    Bezpieczeństwo aplikacji to zagadnienie od zawsze traktowane po macoszemu w nadziei, że uda się je osiągnąć dzięki zwielokrotnionym zabezpieczeniom w warstwie sieci. Pogląd ten z roku na rok okazuje się nie mieć racji bytu, a jednak wciąż jest wyznawany. Standaryzacja procedur zamawiania i odbioru aplikacji uwzględniająca mechanizmy bezpieczeństwa uznane przez firmę za nieodzowne jest potrzebna choćby po to, aby przerwać ten nonsens, niepotrzebnie wystawiający firmę na nadmierne zagrożenie. Jak świadczy przykład operatorów telekomunikacyjnych i banków - jest to nie tylko pożądane, ale i możliwe.

    Dobrej rady jak zabrać się do organizacji procesu zamawiania oprogramowania dostarczyć mogą powszechnie dostępne otwarte standardy. Trzeba jednak pamiętać, że tak jak ISO 9000 nie gwarantuje dobrej jakości produktów, tak Cobit czy ISO 17799 nie gwarantują bezpieczeństwa informatyki. Standardy są jedynie narzędziem do osiągania celu, jakim jest wysoki poziom bezpieczeństwa. Nie można traktować ich jak fetyszy i wdrażać na pokaz, do czego jednak pokusa zawsze jest w organizacjach wielka.


  • TOP 200