Ασφάλεια Πληροφορικής Επιχειρήσεων και Οργανισμών

"Κάθε τι που γίνεται για την ασφάλεια μας από τους ανθρώπους, ακόμη και η εξουσία και η ηγεμονία, είναι φυσικό αγαθό, αρκεί να μπορεί να βοηθήσει κάποιον να την αποκτήσει" έχει πει ο Επίκουρος (βλ., Επίκουρος. Άπαντα Διαθήκη, Επιστολή προς Ηρόδοτον, Επιστολή προς Πυθοκλή, Επιστολή προς Μενοικέα, Κύριαι Δόξαι, Επικούρου προσφώνησις, μετάφραση Φιλολογική Ομάδα Κάκτου, εκδ. Κάκτος, Αθήνα, 1994).

Και επειδή στην σύγχρονη κοινωνία και το περιβάλλον λειτουργίας επιχειρήσεων και οργανισμών, τα επεισόδια πληροφοριακής ασφάλειας και άλλα συμβάντα ηλεκτρονικών εγκλημάτων και παράνομων πράξεων με την βοήθεια ή με βάση την τεχνολογία των ηλεκτρονικών υπολογιστών και επικοινωνιών έχουν ολοένα και μεγαλύτερη αυξητική τάση (βλ. πρόσφατο άρθρο μου, ‘Έλεγχος Συστημάτων Πληροφορικής’, και τελευταία ανακοίνωση περιστατικών ασφάλειας πληροφορικής της Imperva), απαιτούνται μέτρα προστασίας και ασφάλειας σε όλα τα επίπεδα (επιχειρήσεων / οργανισμών, προσωπικών οικιακών υπολογιστών της οικογένειας, και κοινωνίας).

Αυτό το σύντομο άρθρο εστιάζει στα ελάχιστα μέτρα του πρώτου επιπέδου (επιχειρήσεων / οργανισμών).

Οι πληροφοριακές υποδομές και συστήματα της σύγχρονης επιχείρηση ή οργανισμού, πέραν των άλλων πολιτικών, διαδικασιών και πρακτικών (μέτρων) πληροφοριακής οργάνωσης, διαχείρισης, στρατηγικής, κλπ., χρειάζονται και συγκεκριμένα μέτρα προστασίας για να μπορεί η πληροφορική να αναπτύξει και λειτουργήσει με περισσότερη ασφάλεια (αποφυγή απάτης, βλάβης, κλπ.) και πιο αποτελεσματικά τα απαιτούμενα συστήματα πληροφορικής της εταιρείας. Ο σκοπός αυτών των ειδικών μέτρων είναι η δημιουργία ενός αποτελεσματικού πλαισίου προστασίας της ακεραιότητας, διαθεσιμότητας και εγκεκριμένης πρόσβασης της πληροφοριακής περιουσίας (υποδομές, εγκαταστάσεις, δεδομένα, αρχεία, λογισμικό, πληροφοριακά συστήματα, κλπ.) της εταιρείας ή οργανισμού. Αυτά τα μέτρα (ασφάλειας πληροφορικής) μπορεί να υπερκαλύπτουν άλλα μέτρα (π.χ., οργάνωσης, στρατηγικής, ανάπτυξης συστημάτων, κλπ.) που απαιτούνται για την καλύτερη λειτουργία της πληροφορικής.

Τα πιο κρίσιμα ελάχιστα μέτρα Ασφάλειας Πληροφορικής, με βάση την πρακτική εμπειρία, θεωρούνται τα ακόλουθα: Αξιολόγηση Κινδύνων Ασφάλειας Πληροφοριών, Πολιτική Ασφάλειας Πληροφοριών, Πολιτική Φυσικής Ασφάλειας Γραφείων, Εγχειρίδιο Ασφάλειας Πληροφοριών και Πολιτική Διαχείρισης Κωδικών Ασφάλειας.

Αυτά περιγράφονται στην συνέχεια.

1. Αξιολόγηση Κινδύνων Ασφάλειας Πληροφοριών

Η αξιολόγηση κινδύνων ασφάλειας πληροφοριών γίνεται αρχικά για την θέσπιση και λειτουργία των πολιτικών και διαδικασιών ασφάλειας πληροφορικής για τους συγκεκριμένους κινδύνους που έχουν αναγνωρισθεί για την επιχείρηση ή οργανισμό.

Στην συνέχεια επαναλαμβάνεται σε ετήσια ή άλλη βάση, ανάλογα με τις ανάγκες ασφάλειας, για την διόρθωση και βελτίωση των πολιτικών και διαδικασιών ασφάλειας πληροφορικής.

Η αξιολόγηση αυτή περιλαμβάνει (ενδεικτικά) τα εξής:

1. Ανάλυση κινδύνων ασφάλειας πληροφορικής

2. Διατύπωση κόστους πιθανών λαθών

3. Εξέταση όλων των επιχειρηματικών κινδύνων και λύσεων των συγκεκριμένων κινδύνων

4. Ασφάλεια Δικτύου και τι προστασία θέλει η εταιρεία για όλες τις υποδομές

5. Ορισμός των κρισίμων οντοτήτων προς προστασία (συστήματα πληροφορικής, εξοπλισμός, πληροφορίες, reports, μέσα αρχεία σε χαρτί, σχέδια, αλληλογραφία, λογισμικό κλπ.)

6. Καθορισμός πηγών πιθανής επίθεσης (προσωπικό, εξωτερικοί συνεργάτες, INTERNET, προμηθευτές κλπ.)

7. Κανόνες ενίσχυσης ασφάλειας του δικτύου.

2. Πολιτική Ασφάλειας Πληροφοριών

Η πολιτική ασφάλειας πληροφοριών περιέχει οδηγίες υψηλού επιπέδου που περιγράφουν τους γενικούς στόχους της επιχείρησης, τις αρμοδιότητες της διοίκησης, και ‘τι’ πρέπει να γίνει σχετικά με τον έλεγχο, προστασία (‘λογική’ και ‘φυσική’) και ασφάλεια των κρισίμων πληροφορικών περιουσιακών στοιχείων, όπως: Πληροφοριακά συστήματα, λογισμικό, εφαρμογές, εγκαταστάσεις, κτίρια, υποδομές, βάσεις δεδομένων, δίκτυα, πληροφορίες, μέσα αποθήκευσης, ιστορικά αρχεία, κλπ. Τα περιεχόμενα μίας ενδεικτικής πολιτικής είναι: Γενική Περιγραφή, Στόχοι, Ορισμοί, Ιδιοκτησία Πληροφοριών, Λογοδοσία και Αρμοδιότητες, Κανόνες ‘Φυσικής’ και ‘Λογικής’ Πρόσβασης, Χρήση Διαδικτύου και Ηλεκτρονικού Ταχυδρομείου, Σχεδιασμός Ανάκαμψης από Καταστροφή, Διαδικασίες Αντιγραφής, Αρχειοθέτηση και Καταστροφή Αρχείων, Μέσων και Εκτυπώσεων, κλπ. Αυτή η πολιτική αποτυπώνεται σε ένα σχετικό έγγραφο που επικυρώνεται από την ανώτατη ηγεσία του Οργανισμού, συνοδεύεται από πρακτικές και εφαρμόσιμες διαδικασίες ασφαλείας, διέπει όλους τους εργαζόμενους (προσωπικό της εταιρείας, εξωτερικούς συνεργάτες, επισκέπτες, κλπ.), και να είναι γνωστή στο προσωπικό όλων των βαθμίδων μέσω ενημερωτικών σεμιναρίων και εκπαίδευσης.

3. Πολιτική Φυσικής Ασφάλειας Γραφείων

Ο εξοπλισμός, οι εγκαταστάσεις, τα γραφεία των χρηστών και της πληροφορικής, το λογισμικό, τα έντυπα, τα δεδομένα, οι μηχανογραφικές καταστάσεις, τα μητρώα, τα βιβλία, και άλλα κρίσιμα έγγραφα της εταιρείας (π.χ. άδειες χρήσης, συμβόλαια, κλπ.), που έχουν σχέση με την λειτουργία του συγκεκριμένου πληροφοριακού συστήματος πρέπει να προστατεύονται με πολιτικές και διαδικασίες προστασίας. Η πολιτική φυσικής ασφάλειας γραφείων περιέχει οδηγίες για την προστασία και τους περιορισμούς (φυσικής) πρόσβασης στον εξοπλισμό, τις εγκαταστάσεις, τα γραφεία, το λογισμικό, τα έντυπα, τα δεδομένα, τις μηχανογραφικές καταστάσεις, τα μητρώα, τα βιβλία, και άλλα κρίσιμα έγγραφα της εταιρείας (π.χ. άδειες χρήσης, συμβόλαια, κλπ.). Αυτά να ελέγχονται ως προς την φυσική τους παρουσία με βάση ένα συγκεκριμένο πρόγραμμα φυσικού ελέγχου.

4. Εγχειρίδιο Ασφάλειας Πληροφοριών

To εγχειρίδιο ασφάλειας πληροφοριών περιέχει κατευθυντήριες οδηγίες για την ανάπτυξη των πολιτικών και διαδικασιών ασφάλειας πληροφοριών της επιχείρησης ή οργανισμού.

Τα περιεχόμενά του, είναι, ενδεικτικά, τα εξής:

1. Εισαγωγή: Εισαγωγή, διοικητική σύνοψη, ακροατήριο, ορισμοί

2. Μεθοδολογική προσέγγιση: Βασική προσέγγιση ασφάλειας, αξιολόγηση κινδύνων, καθορισμός της πληροφοριακής περιουσίας, καθορισμός των απειλών

3. Πληροφοριακή Αρχιτεκτονική: Αναλυτική περιγραφή της αρχιτεκτονικής της πληροφορικής, υποδομές πληροφορικής, εφαρμογές πληροφορικής, δίκτυα, λογισμικό, υπηρεσίες πληροφορικής

4. Οργάνωση ασφάλειας πληροφορικής: Δομή και οργάνωση ασφάλειας πληροφορικής, πολιτικές και διαδικασίες ασφάλειας, κλπ.,

5. Προστασία κέντρου δεδομένων: Φυσική προστασία του κέντρου δεδομένων και των υποδομών δικτύωσης, κλπ.

6. Ασφάλεια εφαρμογών πληροφορικής: Γενικά μέτρα ελέγχου πληροφορικής, μέτρα ελέγχου εφαρμογών, ειδικές εφαρμογές ασφάλειας

7. Ασφάλεια δικτυακών υπηρεσιών: Καθορισμός αναγκών, διαμόρφωση του συνολικού δικτύου και των υπηρεσιών, προστασία των δικτυακών υποδομών, κλπ.,

8. Έλεγχος ασφάλειας: Καθορισμός δεδομένων προς συλλογή, μηχανισμός συλλογής δεδομένων, διαδικασία συλλογής, διαχείριση και συντήρηση δεδομένων και στοιχείων ελέγχου, νομικές προ-υποθέσεις

9. Διαχείριση περιστατικών ασφάλειας: Προετοιμασία και σχεδιασμός διαχείρισης περιστατικών, διαδικασία ειδοποίησης και σημεία επαφών, αρμοδιότητες και ρόλοι τοπικών στελεχών και διοίκησης, κλπ.,

10. Συνεχής παρακολούθηση ασφάλειας: Αρμοδιότητες και ρόλοι στελεχών, διαδικασία παρακολούθησης, αναφορές στην ανώτατη διοίκηση

5. Πολιτική Διαχείρισης Κωδικών Ασφάλειας

Η πολιτική διαχείρισης κωδικών ασφάλειας περιέχει κατευθυντήριες οδηγίες για την καλύτερη και ασφαλέστερη δομή και χρήση των κωδικών ασφάλειας πληροφοριών της επιχείρησης ή οργανισμού. Τα περιεχόμενα της, είναι, ενδεικτικά, τα εξής:

1. Δομή και σύνθεση του κωδικού: Κάθε κωδικός ασφάλειας (password) πρέπει να περιέχει ένα από τα εξής: Άνω των 6 χαρακτήρων, Μικρά ή μεγάλα γράμματα (A, B, C,…..Z, a, b, c,……z), αριθμούς (0, 1, 2…..9), ειδικούς χαρακτήρες ([};”!$=, κλπ.), κλπ.

2. Αποθήκευση των κωδικών: Οι κωδικοί πρέπει να αποθηκεύονται σε ‘κρυπτογραφημένη’ μορφή και το αρχείο που περιλαμβάνει όλους τους κωδικούς δεν πρέπει να είναι διαθέσιμο για οποιαδήποτε χρήση σε μη ‘κρυπτογραφημένη’ μορφή.

3. Εμφάνιση των κωδικών: Οι κωδικοί δεν πρέπει να φαίνονται σε οθόνες.

4. Τυποποιημένοι λογαριασμοί: Οι τυποποιημένοι κωδικοί και λογαριασμοί λογισμικού συστήματος, που συνήθως παρέχονται από τους αντίστοιχους προμηθευτές πρέπει να αλλάζουν αμέσως μετά την αρχική εγκατάσταση του συγκεκριμένου λογισμικού.

5. Πρώτη χρήση των κωδικών: Ο κάθε χρήστης πρέπει να αλλάζει τον κωδικό του αμέσως μετά την πρώτη χρήση του.

6. Αλλαγή των κωδικών: Οι κωδικοί (passwords) πρέπει να αλλάζουν από κάθε χρήστη κάθε 30, 60, 90 ημέρες, κλπ.

7. Εκπαίδευση: Εκπαίδευση στην σωστή χρήση και συντήρηση των κωδικών πρέπει να δίνεται σε συνεχή βάση σε όλους τους χρήστες.

Συμπεράσματα

Το άρθρο αυτό περιγράφει τα ενδεικτικά ελάχιστα μέτρα της θεματικής περιοχής «Ασφάλεια Πληροφορικής». Αυτά μπορούν να βελτιωθούν, χρησιμοποιηθούν και αξιοποιηθούν, ενδεικτικά: (α) από τα αρμόδια στελέχη της πληροφορικής κατά τις δραστηριότητες θέσπισης και εκτέλεσης των πολιτικών και διαδικασιών ασφάλειας των πληροφοριακών υποδομών και συστημάτων της εταιρείας ή οργανισμού, (β) από το διοικητικό συμβούλιο και τις επιτροπές του στην εποπτεία και παρακολούθηση εκτέλεσης των μέτρων προστασίας των πληροφοριακών υποδομών και συστημάτων της εταιρείας, και (γ) από Ελεγκτές (Εσωτερικούς, Εξωτερικούς, Πληροφορικής, κλπ) μέσω των συγκεκριμένων δράσεων, προγραμμάτων και ερωτηματολογίων ελέγχου.

Άλλα μέτρα ασφάλειας πληροφορικής, οργάνωσης πληροφορικής, επιχειρηματικής συνέχειας εφαρμογών πληροφορικής, κλπ., καθώς και συγκεκριμένα προγράμματα ελέγχου (audit programs) και ερωτηματολόγια ελέγχου (audit checklists and audit questionnaires) περιέχονται στα βιβλία του Ι. Κυριαζόγλου (βλ. Kyriazoglou, John: 'IT Strategic & Operational Controls’ και Kyriazoglou, John: ‘Addendum to IT Strategic & Operational Controls’).