Objavljeno dne napisal blogadmin

Kibernetska varnost je ključna aktivnost vsakega poslovnega sistema, ocena tveganja je temelj

Današnji poslovni svet pravzaprav zahteva, da smo na takšen ali drugačen način neprestano povezani s spletom. Večina poslovnih aktivnosti se izvaja preko elektronskih medijev. To je lahko enostavna izvedba kartičnega plačila za paket žvečilnih ali pa izvedba kompleksne poslovne transakcije med dvema poslovnima subjektoma. V obeh primerih v ozadju poteka izmenjava elektronskih podatkov preko sestavljenih sistemov, ki se pričnejo z našo vstopno točko, nadaljujejo preko neznanega infrastrukturnega dela in se zaključijo v ravno tako neznanem poslovnem informacijskem sistemu. Če malo pomislimo, je že tovrsten opis sistemov nekoliko nenavaden – svoje podatke, ki omogočajo izvedbo poslovne transakcije zaupamo večim popolnoma neznanim sistemom, kjer je za varnost naših podatkov poskrbljeno kot pač je.

Izvedba nepooblaščenega dostopa oziroma napada, se torej lahko izvede na različnih nivojih in na različne načine. Če dobro pomislimo, je izvedba napada pravzaprav neizbežna – vprašanje je samo ali smo pred napadom dobro zaščiteni. Smo? No, ja…. smo – vsi skupaj. Mi, oni vmes, pa tisti na koncu. Smo.

Ugotovili smo, da ne glede na trenutno obliko informacije, bo ta prej ali slej zapisana tudi v elektronski obliki in bo posledično izpostavljena poizkusom napadov, ki se dogajajo v sistemih za elektronske obdelave podatkov. Seveda je logično vprašanje zaskrbljenega posameznika – kako pa vsi skupaj skrbimo za varovanje inforamacij? Kako vemo, kateri del informacijskega sistema je potrebno zaščititi in kako? Vsi podatki, ki so shranjeni v določenem sistemu so lahko dostopni vsem, če ustrezne nastavitve niso izvedene kot je potrebno. Včasih je celo bolj kritično, če niso na voljo, ko je potrebno.

Pomembno vprašanje za vse poslovne subjekte je – Kako smo pripravljeni na kibernetske napade? Ali imamo pripravljene in izdelane scenarije ukrepov v primeru napadov? Ali imamo ustrezne sisteme, ki zaznajo aktivnosti, ki so značilne za poizkuse izvajanja nepooblaščenih dostopov (za vdore)? Smo prepoznali tveganja povezana z ranljivostmi omrežja organizacije, ki predstavlja ožilje našega organizma – informacijskega sistema? Bomo živeli dolgo ali pa nas čaka infarkt?

V primeru, da v podjetju ni ustreznega kadra, ki lahko zagotovi odgovor na navedena vprašanja, je smiselno skočiti po nasvet strokovnjaku za informacijsko varnost. Pri izbiri je potrebno biti zelo previden, saj se pogosto dogodi, da se pod okriljem “svetovanja” skriva prodajnik, ki mora doseči svoje kvote in vi ste ravno prava žrtev za nakup neustrezne rešitve, ki bo “svetovalcu” omogočila doseganje prodajnih ciljev, vam pa ne bo ravno dosti izboljšala varnosti informacijskega sistema.

Ocena tveganja

Ocena tveganja predstavlja neke vrste vmesnik med poslovnimi zahtevami in tehničnimi ter organizacijskimi zahtevami (in s tem tudi varnostnimi zahtevami). Na podlagi izvedene ocene tveganja izhajamo iz poslovnih potreb, ki določajo področja, kjer moramo z ustreznimi ukrepi izboljšati stanje varovanja informacij (ali celotnega poslovanja).

Metode za izvedbo ocene

Metod za izvedbo ocene tveganja je več, najpogosteje pa se osredotočamo v ocenjevanje potencialnih posledic in pa v ocenjevanje same pogostosti, da se določen dogodek udejani. Pri določanju stopenj tako vpliva, kot posledic, je temelj dobro in nedvoumno določena ocenjevalna lestvica, saj le tako lahko zagotovimo, da z enako stopnjo poznavanja določenega področja, pridobimo enake ocene.

Kot primer lahko določimo lestvico vpliva. Vpliv, ki ga ima varnostni incident, se lahko odraža v:

  • zaupnosti – kako mi oziroma podjetje doživljamo, če je določen nabor podatkov razkrit nepooblaščenim osebam,
  • dostopnosti – kako mi oziroma podjetje doživljamo, če določeni podatki niso dostopni, ko bi bil dostop potreben,
  • celovitosti – kako mi oziroma podjetje doživljamo, če se določeni podatki nepooblaščeno spremenijo,

Sedaj je “vpliv” določen preko 3 parametrov, ki ga določajo. Potrebno je še jasno določiti razrede in kriterije za ocenjevanje stopnje, ki jo vpliv ima. Za področja zaupnosti, tako na primer določimo:

  • Razred 1 – Podatki so razkriti zaupanja vrednim osebam, ki sicer prvotno niso imele odobrenega dostopa
  • Razred 2 – Podatki so razkriti osebam, s katerimi imamo določeno pogodbeno razmerje, kjer so te zavezane k molčečnosti
  • Razred 3 – Podatki so razkriti tudi osebam, ki niso zavezane k molčečnosti
  • Razred 4 – Podatki so razkriti širši množici, lahko tudi javno, vendar se z omrejitvijo dostopa posledica incidenta lahko zaustavi,
  • Razred 5 – Podatki so razkriti, javno dostopni, nadzor do omejitve dostopa ni več v upravljanju organizacije

Ko na podoben način določimo še verjetnost pojavitve incidenta, lahko s pomočjo metode zmnožka oznake razreda določimo stopnjo tveganja.

Stopnja tveganja = Stopnja_Razreda_Vpliva X Stopnja_Razreda_Verjetnosti

Ocenjeno tveganje, prag in ukrepi

Z razmislekom o tem kako določeno tveganje vpliva na naš informacijski sistem in njegove vire, ter izdelano predstavo o tem kaj je za nas sprejemljivo tveganje (prag tveganja), lahko določimo ustrezne ukrepe. Dajmo to malo poenostaviti – ko opazujemo določeno poslovno aktivnost in vidimo, da lahko pride do takšnih situacij, ki so enostavno dovolj velik razlog, da nas malo stisne v želodcu – no to tveganje predstavlja “prag”.

Na področju varovanja informacij presežeg praga pomeni, da je potrebno določiti ukrepe za zniževanje tveganj. Ti so lahko tehnični ali pa organizacijski, navadno pa gre za kombinacijo – da bi tveganje znižali, je potrebno določiti in vpeljati tako tehnične, kot tudi organizacijske ukrepe.

Tehnični ukrepi predstavljajo rešitve, kot so na primer nov požarni zid, ali pa programska oprema, rešitev za izvajanje varnostnega kopiranja, medtem ko pa organizacijski ukrepi obsegajo ukrepe, ki so na primer pravilniki, spremembe postopkov in načinov izvajanja del in nalog in podobno. Oba tipa ukrepov se navadno nadgradita z izvajanjem usposabljanj, izobraževanj ali osveščanj.

Spremljanje in ponovno ocenjevanje tveganj

Ocenjena tveganja so lahko kakovostno orodje upravljalca, le če so ažurna. To pomeni, da je potrebno tveganja ocenjevati redno in po enaki metodologiji. V primeru, da gre za spremembo v metodologiji, je potrebno vedeti kako ta sprememba vpliva na reakcijo in pogoje za dostopanje ali preseganje praga.

Kako vse skupaj dela?

Enostavno in po korakih:

  1. Identifikacija trveganja (prepoznava) – glede na poznavanje poslovnega okolja, strokovnega znanja in nevarnosti, prepoznavmo določeno tveganje – na primer “izguba podatkov”
  2. Analiza tveganja – glede na naš informacijski sistem in vgrajene varnostne mehenizme, izvedemo analizo kako problematično je dejansko prepoznano tveganje – na primer ugotovimo, da se varnostne kopije sicer delajo, da pa jih delamo, vsake 30 dni, sočasno pa zasledujemo obvestila, ki se nanašajo na vedno pogostejše pojavitve kriptovirusov
  3. Ocena tveganja – iz analizirane verjetnosti in vpliva, dodamo obema parametroma še numerične vrednosti
  4. Izračun – izvedemo zmnožek vpliva in verjetnosti,
  5. Preverjanje ustreznosti praga tveganja – ocenimo ali je za oceno tveganja primeren privzeti prag, ali pa bi ga bilo za ta primer potrebno spremeniti,
  6. Določanje ukrepov – glede na ocenjeno tveganje in sprejet prag za upravljanje s tveganji, določimo ustrezne ukrepe. Ti so “kontrolni” in “zniževalni”. Kontrolni povedo kako in s čim določeno tveganje opazujemo, medtem ko nam zniževalni povededo, s čim lahko določeno tveganje znižamo.

Ukrepi so navedno tisti, ki predstavljajo investicijske izzive za IT oddelke organizacij. S pomočjo ocene tveganja, bodo lažje upravičili in predstavili poslovne razloge, zakaj je potrebno določeno investicijo tudi izvesti in kako bi ta vplivala na delovanje poslovnih procesov – kaj bodo konkretne posledice vpeljanega ukrepa.

Osnovni koncept je postavljen. Podrobneje drugič.

Facebook
Twitter
LinkedIn
Share