Polityka dostępu do informacji w sieci przedsiębiorstwa

Zabezpieczanie sieci rozpoczyna się od ustanowienia reguł polityki bezpieczeństwa, która powinna mieć wsparcie zarówno budżetowe, jak i zarządu przedsiębiorstwa. Polityka powinna określać architekturę i infrastrukturę potrzebną do zabezpieczania danych. Definiuje ona role użytkowników i egzekwuje zasady dostępu do informacji.

Podstawową sprawą jest odpowiedź na pytanie: kto potrzebuje dostępu i gdzie?

W naturze ludzkiej leży zaufanie do tych, których się zatrudnia, ale bezpieczeństwo wymaga ostrożności. Dawanie większego dostępu, niż potrzeba, jest często podyktowane chęcią ułatwienia sobie pracy.

Według analiz Gartnera, użytkownicy przekraczają swój poziom uprawnień w zakresie dostępu w 65-75 proc. organizacji.

Reguły polityki bezpieczeństwa mogą ograniczać indywidualny dostęp do specyficznych serwerów, a nawet do różnych dokumentów w jednej aplikacji. Niedawno ratyfikowane standardy podpisów cyfrowych i szyfrowania oparte na XML mogą umożliwić sterowanie dostępem na poziomie danych w ramach określonego dokumentu. Odpowiednie pola w takim dokumencie mogą być niejawne dla poszczególnych użytkowników.

Możliwość szyfrowania poszczególnych części dokumentu miały do tej pory jedynie specjalizowane aplikacje, np. Adobe Acrobat. Nie było to dostępne w dokumentach Microsoft Word czy bazach danych Oracle.

Współczesna architektura bezpieczeństwa pozwala zapewnić użytkownikom tylko niezbędny dostęp (jest zasadnicza różnica między uprawnieniami dostępu do bazy danych sprzedaży a dostępem tylko do specyficznych danych w takiej bazie).

Wzmacnianie bezpieczeństwa systemu operacyjnego

Dobrą ochronę zapewnić może bezpieczny system operacyjny lub oprogramowanie wzmacniające bezpieczeństwo systemu operacyjnego. Jednak na razie niewiele organizacji chce ponosić koszty i wprowadzać działania administracyjne, związane z użyciem tych technologii. Obecnie stosują je organizacje wojskowe lub rządowe, ale w niedalekiej przyszłości korzystać z nich będą prawdopodobnie także instytucje finansowe i biznesowe.

Dla biznesu, który tego wymaga, bezpieczny lub wzmocniony system operacyjny jest najlepszą ochroną wewnętrzną. Takie systemy pozwalają użytkownikom na dostęp do poszczególnych aplikacji lub plików i chronią przed wprowadzaniem nieautoryzowanych zmian.

Pozwalają odizolować aplikację na poziomie systemu operacyjnego, co uniemożliwi ewentualnemu napastnikowi przejęcie kontroli nad całą maszyną. Mogą ograniczać aktywność portów, dostęp do innych systemów oraz pozwalają na definiowanie ograniczeń w działaniu programów.

Przy wdrażaniu bezpiecznych i wzmocnionych systemów operacyjnych pojawia się sprawa kosztów, wiążąca się z koniecznością zainstalowania nowego systemu ręcznie na każdym serwerze i uaktualniania go, gdy ukazują się nowsze wersje.

Ponadto trzeba przeszkolić administratorów, aby mogli zarządzać różnymi wersjami systemu operacyjnego. Trzeba się liczyć z tym, że kolejna wersja aplikacji może nie współpracować z nowym lub wzmocnionym systemem operacyjnym.