Informatikai kockázatok kordában tartása COBIT-tal

Az elektronikus szolgáltatások átszövik életünk szinte minden területét a munkahelytől kezdve, a vásárlásainkon át egészen a szórakozásig. Egyre többek munkáját teszik könnyebbé és életét
tartalmasabbá a hálózatokba összekapcsolt számítógépek.
De tudjuk-e, hogy milyen veszélyekkel jár a helytelen használat?

Elektronikusan tárolt adataink megsemmisülhetnek, illetéktelenek kezébe kerülhetnek, vagy akár személyes azonosító adatainkkal visszaélve kötelezettségeket vállalhatnak a nevünkben.

Ma már nem elég egy naprakészen tartott víruskereső program, ennél sokkal többre van szükség! Ismernünk kell a lehetőségeink korlátait, és az informatika használatának kockázatait csökkentő eljárásokat, és alkalmazásokat.

Erre ad választ az Informatikai Rendszerellenőrök Egyesülete által fejlesztett nemzetközi módszertan a COBIT 4.

Minden szép és jó?

Az informatika alkalmazása számos pozitív hatása ellenére jelentős veszélyeket rejt magában. Eltekintve a társadalom egyes
rétegeire gyakorolt negatív hatásaitól (pl. elmagányosodás), vagy a túl sokat számítógéppel dolgozó emberek egészségügyi
problémáitól (pl. látás romlása, hátfájás), mely területekkel gyakrabban foglalkoznak más szerzők, mi az informatikai adataink biztonságát, vállalatunk piaci pozícióját, vagy adott esetben
életünket fenyegető veszélyeire kívánjuk felhívni a figyelmet.

Ezen a területen néhány nagyobb visszaélésen, gyorsan terjedő vírusokon, vagy engedély nélküli adatlekérdezéseken kívül keveset hallani az informatika alkalmazásából eredő veszélyekről, és ezek kockázatairól.

A korrekt szakmai tájékoztatást megcélzó sajtóorgánumok már évek óta igyekeznek tényszerű tájékoztatást adni, és a felhasználókat tovább képezni az informatika széleskörű használatából eredő új veszélyek elkerülése érdekében.

A tény az, hogy az elmúlt években megszaporodtak a dobozos szoftverek hibáit kihasználó kártevő alkalmazások; nőtt a
vírusok veszélyessége, és terjedési sebessége; a gondatlanul kezelt azonosítók és jelszavak segítségével milliárdos károkat okoznak bűnözők, versenytársaink, vagy éppen saját kollegáink akarva, vagy akaratlan.

Ezen esetek többsége nem is kerül nyilvánosságra a vállalat hírnevének védelme érdekében, vagy azért mert nem is veszik
észre, hogy bekövetkezett.

Milyen veszélyek leselkednek ránk?

Az otthoni felhasználók főleg a következő informatikai biztonsági kockázatoknak vannak kitéve:

  • Az internet használat veszélyeinek nem ismerete
  • A hibás, nem megbízható, és biztonsági szempontból gyenge szoftver telepítése
  • Régi, és idejétmúlt operációs rendszer használata
  • Gyerekek, barátok, stb. általi használat
  • kontrollálhatatlansága
  • Az otthoni számítógépeken vállalati információk veszélyeknek való kitevése.

Az üzleti felhasználókat ezeken túlmenően további kockázatok érinthetik:

  • A vállalati irányelvek és eljárások, és a személyes felelősségi kör nem ismerete
  • A vállalati információk értékének alulértékelése
  • A felhasználói azonosító megosztása kollégákkal vagy barátokkal
  • Hordozható számítógépek, kézi számítógépek használata irodán kívül

A menedzserek és vezetők további kockázatoknak vannak kitéve:

  • A biztonsági szabályszegések jelentőségének és hatásának fel nem ismerése
  • A biztonsági kockázatok nem ismerete
  • Az iránymutatás elmulasztása
  • A beosztottak tevékenységének nem ellenőrzése
  • A biztonság komolyan vételének hiánya és az intézkedések bevezetésének elmulasztása
  • A megfelelő biztonsági kultúra és kontroll keretrendszer kommunikálásának hiánya
  • Az irányelveknek való megfelelés biztosítása érdekében végzett kockázatkezelés monitoring elmulasztása

A felső vezetőket megint más szempontok érintik:

  • A kockázatkezelésért való felelősség minden szervezeti szinten való meghatározásának hiánya
  • A kockázatok közül a legjelentősebbek nem ismerete
  • A megfelelő biztonsági kultúra és kontroll keretrendszer elrendelésének és a megfelelő példamutatás elmulasztása
  • A kockázatkezelésért való felelősség menedzsment csapatba való beépítésének elmulasztása
  • A kockázatkezelésre fordított beruházások és / vagy az ezek által nyert előnyök monitorozásának elmulasztása
  • A kockázatkezelés irányításának elmulasztása és a maradvány kockázat nem ismerete

Az igazgató tanácsok és felügyelő bizottságok feladata jórészt az ellenőrzés, ők az alábbi informatikai biztonság kockázatoknak vannak kitéve:

  • A kockázatoknak való kitettség mértékének nem ismerete
  • A jogszabályi és szabályozási követelmények tudatosságának hiánya
  • A biztonsági mulasztások üzletre, az üzlet által érintettekre, a részvény árfolyamra, és a versenytársakra gyakorolt hatásának meg nem értése
  • A menedzsment kockázatkezeléssel kapcsolatos teljesítménymérésére való képtelenség
  • A biztonság fontossága iránti felsővezetői elkötelezettség kommunikálásának hiánya
  • A biztonsági beruházásokra való javaslatok elbírálásának elmulasztása

Kockázatok kezelése

Nem elégedhetünk meg a korábban adott bevált válaszokkal: egy víruskereső telepítése hamis biztonságérzetet teremt a tapasztalatlan felhasználókban! Ugyanígy egy alapbeállításaival
telepített vállalati tűzfal sem biztosít elégséges biztonságot, de még egy naprakészen tartott tűzfal sem jelent semmit, ha a felhasználók hozzáférési jogosultságai nincsenek korlátozva az általuk ténylegesen használt könyvtárakra, illetve nincsenek naprakészen tartva az üzemeltetési szabályzatok, üzletmenet
folytonossági tervek és külső támogató szerződések.

A biztonságot egészében kell vizsgálni, mert egy rendszer csak annyira erős, mint a leggyengébb eleme!

Az informatikai irányítás, mint szakterület egyre nagyobb szerepet kap a vállalat irányításon belül. Az Egyesült Államokban külön kutató intézetet - ITGI: Informatikai Irányítási Intézet - hoztak létre a vonatkozó módszertanok fejlesztésére.

A COBIT 4 módszertan (Az Információ-Technológia Irányításához, Kontrolljához és Ellenőrzéséhez készített többkötetes útmutató
és kézikönyv) többéves fejlesztés eredménye.

A COBIT szerint a szervezeteknek meg kell felelniük az informatikai, és összes egyéb eszközeikre vonatkozó minőségi, bizalmi, biztonsági követelményeknek. A vezetésnek
optimalizálnia kell a rendelkezésükre álló erőforrásokat, beleértve az adatokat, alkalmazási rendszereket, műszaki megoldásokat, létesítményeket és embereket.

Ehhez kapcsolódóan a vállalat vezetésnek meg kell ismernie az informatikai rendszerük állapotát, és döntéseket kell hozni arról, hogy milyen szintű biztonságot, és kontrollt kell
megvalósítani.

A COBIT segít a vezetőknek ezeknek a különböző igényeknek a kielégítésében azzal, hogy az üzleti kockázatok, a kontroll szükségletek, és a műszaki dolgok közötti szakadékokat áthidalja. Bevált gyakorlatokat mutat egy szakterületi és folyamati keretrendszeren keresztül és egy kezelhető, és logikus szerkezetben mutatja be a tevékenységeket.

A vezetők mellett a COBIT szól még a felhasználóknak, akik össze tudják vetni a jelenlegi külső, vagy belső szolgáltatók által
nyújtott informatikai szolgáltatások biztonságának és kontrolljának szintjét a nemzetközi sztenderdekkel, illetve a belső ellenőröknek, akik ennek segitségével alá tudják
támasztani a szakvéleményüket a belső kontrollok megfelelőségére vonatkozólag.

Mi is az informatikai biztonság?

Rendelkezésre állás, sértetlenség, titkosság

Az informatikai biztonság célkitűzése azok érdekeinek a megvédése, akik számítanak az információra, és az információkat szállító rendszerekre és távközlési csatornákra, attól, hogy kárt szenvedjenek a rendelkezésre állás, titkosság és sértetlenség sérülése miatt.

Azaz a legtöbb számítógép használó számára a biztonsági célkitűzéseket akkor értük el, ha az informatikai rendszerek:

  • Használhatóak amikor szükség van rájuk,
  • Ellen képesek állni a támadásoknak, és helyreállíthatóak a hibák bekövetkezése után,
  • Az információt az látja, vagy az hozza nyilvánosságra, akinek arra joga van,
  • Az információ védett a jogosulatlan változtatásoktól,
  • Az üzleti tranzakciók és információcserék megbízhatóak.

Ezen elemek relatív jelentősége attól függően változik, hogy milyen értékű az információ, illetve, hogy milyen környezetben kerülnek azok az információk felhasználásra.

Példának okáért, a vezetői információk sértetlensége különösen fontos egy olyan vállalat számára, melynek stratégia döntései
ezen alapulnak. Vagy egy internetes vásárlás sértetlensége nagyon fontos az interneten vásárló otthoni felhasználó számára.

Mit kell védeni?

Az informatikai rendszerekben védeni kell az infrastruktúrát, a kommunikációs csatornát, az alkalmazásokat, és az adatokat. Azaz a kiszolgáló gépeket, hálózati kábeleket, kliens gépeket és perifériát, a kiszolgálókon futó programokat, a fájlszerveren tárolt és a kommunikációs hálózaton haladó adatokat, a
hozzáférési azonosítókat és jelszavakat.

Az informatikai biztonság megteremtéséhez a fizikai biztonság mellett, úgymint jól zárható helységek, tűz és árvízvédelem, sokkal inkább a logikai biztonság megteremtése az összetettebb feladat.

Biztonság

=

Rendelkezésre állás

+

Sértetlenség

+

Titkosság

A védelem legalapvetőbb lépései

Informatikai rendszerek biztonságossá tétele, csakúgy, mint a házaké, olyan intézkedések összekapcsolását kívánja meg, mint a riasztó rendszer, és a fegyelmezett viselkedés. Nincsen értelme a ház riasztóját bekapcsolni, és ugyanakkor nyitva hagyni a hátsó ajtót. Szintén semmi értelme a legkorszerűbb hálózati biztonsági megoldás bevezetésének, amennyiben a munkatársak nem tudják, hogyan kell az eszközöket működtetni, vagy mi a teendő
szabálysértés észlelése esetén.

Egy szervezet szempontjából a legfontosabb biztonsággal kapcsolatos teendőket a COBIT Alapvető Biztonság kötete alapján a következők szerint határozhatjuk meg:

Tervezés és Szervezés

  • Készítsen informatikai stratégiát - határozza meg az informatikai architektúrát
  • Határozza meg az informatikai szervezet felépítését és kapcsolataikat
  • Kommunikálja a vezetői célokat és irányt
  • Szervezze az emberi erőforrásokat
  • Gondoskodjon a külső követelményeknek való megfelelésről
  • Értékelje a kockázatokat

Beszerzés és Megvalósítás

  • Azonosítsa az automatizált megoldásokat
  • Szerezze be és tartsa karban a műszaki infrastruktúrát
  • Dolgozza ki és tartsa karban a folyamatokat
  • Telepítse, és vizsgáltassa be a rendszereket
  • Kezelje a változásokat

Szolgáltatás és támogatás

  • Határozza meg, és menedzselje a szolgáltatási szinteket
  • Menedzselje a külső szállítóktól igénybe vett szolgáltatásokat
  • Gondoskodjon a szolgáltatások folyamatos működéséről
  • Bizonyosodjon meg a rendszerek biztonságáról
  • Menedzselje a konfigurációt
  • Menedzselje az adatokat
  • Menedzselje a létesítményeket

Monitorozás

  • Monitorozza a folyamatokat - értékelje a belső kontrollok megfelelőségét
  • Kérjen független megerősítést

A vállalati adatok biztonságban vannak a helyi hálózaton!
Vagy mégsem?

Egy jónevű szálloda unatkozó biztonsági menedzsere, hogy elfoglalja magát fájlcserélő programot telepit a számítógépére, melyen keresztül cseveghet, és zenéket, és filmeket tölthet le. Annak érdekében, hogy a népszerűbb virtuális klubbokba is beengedjék nagy adatmennyiséget oszt meg, jobb híján a szálloda fájlszerverét.

Vállalati adatok titkosságának sérülése...

Egy informatikai biztonsági cég lelkes gyakornok munkatársa szabadidejében észreveszi ezt a hatalmas szabálysértést, és tájékoztatja a főnökeit. A biztonsági cég vezetője megkeresi a
szálloda igazgatóját, aki a széleskörű vizsgálat helyett eltussolja az ügyet. Korlátozza a munkatársak internet hozzáférését és úgy gondolja a vezetés, hogy ezentúl minden rendben. Pedig ahol a biztonságért felelős menedzser ilyen hatalmas mulasztást követ el, ott számos más rés is lehet a számítógépes rendszerben.

Ipari kémkedés...

A biztonsági cég egy rosszul fizetett gyakornoka, aki véletlenül felfedezte, hogy a szálloda bizalmas adatai elérhetőek várta, hogy éberségéért jutalmat kap, de mivel nem kérték fel a céget a problémák feltárására, ő sem kaphatott főnökei biztatásánál több jutalmat.

Biztos, ami biztos alapon ő azonban készített egy biztonsági másolatot a hálózaton elérhető fájlszerver érdekesebb dokumentumairól, és másfelé próbálkozott, hogy az ösztöndíját kicsit kiegészítse. Barátnője véletlenül a versenytárs
szállodában volt szakmai gyakorlaton így nem volt nehéz megtalálnia a vevőt az érdekes dokumentumokra.

Szabványok, honlapok, hivatkozások:

www.isaca.hu

www.isaca.org

ISACA Könyvesbolt: www.isaca.org/bookstore

ITIL: www.itsmf.org


vissza: Kockázat Magazin archívum

Nyitólap | Kockázat Magazin | Cikkek | Alapfogalmak | Partnerek | Kapcsolatfelvétel

Copyright 2005, Abesse Minden jog fenntartva | Online Marketing: MarketingSzoftverek