Az információbiztonság helye egy szervezet életében Apáti László, CISM

Az előadás tartalma  Informácóbiztonsági alapelvek.  Kockázatok, kockázatkezelés célja.  A kockázatkezelés megítélésének problémái.  Ennek gyökere: a szabályzás és hozzáállás problémái.  Hogyan kellene jól szabályozni?  Ki mit tud hozzátenni a siker érdekében?

Információbiztonság  Információbiztonság vagy IT biztonság?  Pontosan mit is kellene védenünk tehát?  Miért van erre szükség?  Mik lennének az alapelvek?  Teljeskörűség: a rendszer összes elemére kiterjedve.  Zártság: az összes releváns kockázatot figyelembe véve.  Folyamatosság: időben változó körülmények ellenére megszakítás nélkül.  Kockázatokkal arányos módon: kárértékkel arányos költségekkel.  Kielégítő szinten: a kockázatokat elviselhető mértékűre csökkentve. „A biztonság nem egy állapot, hanem egy folyamat!”

Teljeskörűség? Zártság? Folyamatosság? Kockázatokkal arányos módon? Kielégítő szinten? Analógia #1 Kényelem vagy biztonság?

Analógia #2 Teljeskörűség? Zártság? Folyamatosság? Kockázatokkal arányos módon? Kielégítő szinten? „Minden rendszer biztonsága fokozható a teljes használhatatlanságig.”

Mit kezdhetünk a kockázatokkal?  Elkerülés  Áthárítás  Mérséklés  Elfogadás A mérséklésnek célja és szerepe van. A maradványkockázatot pedig elfogadjuk.

Mit kell tudni a kockázatok mérsékléséről?  Mindig határozott célja van. Amelyik szabály nem vezethető vissza konkrét üzleti érdekre, az felesleges.  A szabályzás mértéke és szigorúsága a védendő érték és a veszély nagyságának függvénye.  Nem csak korlátoz, hanem lehetőséget is teremt.  Célja a biztonság növelése: megelőzheti a bajt, riasztást generálhat, csökkentheti a kár mértékét.  Valamilyen szabályzás formájában jelenik meg.  Akkor működik, ha a szabályokat betartják.  A szabályokat folyamatosan felül kell vizsgálni. A szabályzás nem gát, hanem meder kell, hogy legyen.

Mit lát ebből egy egységsugarú felhasználó?  Korlátozások (nem lehet pendrive-ot behozni)  Akadályok (nincs Net a gépemen, se bittorrent)  Maradiság (nem vihetem haza a munkához használt fájljaimat, pedig 2016-ot írunk…)  Szigor (nem telepíthetek semmit a laptopomra)  Kényelmetlenség (se Facebook, se Gmail…)  Körülményes használat (VPN bejelentkezés SMS kóddal)  Lassú folyamatok (igénylés és végrehajtás közti idő)  Bürokrácia (igénylők, engedélyek, nyilvántartások) „De mindez megkerülhető, és ezzel segítek a cégen…” … és itt kezdődik a baj…

Miért így látja?  Mert csak a szabályokat látja, de azok okát nem érti.  Fogalma sincs, milyen kihatása lehet a szabályok megkerülésének.  Nincsen következménye a szabályok megsértésének.  A szabályzás hiányzik, vagy nem ismert.  A védelmi intézkedések reaktív jellegűek.  A nem tervezett szabályzás nem egyenszilárdságú.  Az IT kiszolgáló helyett irányító szerepkörben tetszeleg. “Good governance applied by good people leads to reliable security. Bad governance applied by good people leads to hell. Good governance applied by bad people also leads to hell. Bad governance applied by bad people leads to all sorts of hell.”

Mindemellett milyen a hozzáállása?  Mindenki informatikus… (tudatlanság, felelőtlenség)  Tudatlanság (nem megfelelő/naprakész ismeretek)  Jóindulatú szabályszegés (naivitás)  A szabályok ismeretének hiánya (képzetlenség)  Csak most az egyszer… (fegyelmezetlenség)  Nem történik semmi, ha nem tartom be a szabályokat!  Visszaélés jogosultságokkal (kalandvágy, kíváncsiság)  Szándékosság (lojalitás hiánya, egyéni érdekek)  Bosszú (elégedetlenség, frusztráció, düh, hibás önértékelés) Az első lépést rendre követi a többi, amíg a felhasználó nem ütközik ellenállásba.

A szabályzás jellemző hibái  Nincs, és még csak igény sincs rá.  Igény van, de erőforrás nincs.  Van, de ad-hoc, nincs mögötte stratégia.  Van, de reaktív.  Vannak szabályok, de régiek, elavultak, nem illeszkednek az aktuális folyamatokhoz.  A szabályzás nem egyenszilárdságú (pl: az adat életútja).  Jók a szabályok, de senki nem ismeri őket.  Vannak szabályok, ismerik is, de nincsenek betartatva. A szabályzás megléte vezetői felelősség. A megvalósítás módja cégenként változó.

Mi mindennek az oka?  Nincs vezetői elkötelezettség.  Az intézkedések nincsenek összhangban a cég ügymenetével, feleslegesen nehezítik a munkát.  A védelem nem megtervezett.  Nincsenek felelősök és hatáskörök, nincs SoD.  A jogosultságok nincsenek menedzselve (IDM, RBAC).  A szabályok nincsenek kikényszerítve, megkerülhetők.  Nincsenek monitorozva az események, így nincsen következménye a szabályok megsértésének.  Nincs tudatosítás, oktatás. Az információbiztonság szabályozatlan.

Kinek a feladata az informácóbiztonság megteremtése és fenntartása?  Cégvezető, tulajdonos  Management  CIO/CSO/CISO  Belső ellenőr  Informatikusok  Rendszergazdák  Üzemeltetők  Fejlesztők  SOC  Alkalmazottak  HR  Beszerzés  Raktározás  Biztonsági szolgálat  Beszállítók  Szolgáltatók  Üzletfelek  Külső munkatársak Mindenki érintett, mindenki felelős.

Mi kell a jó szabályzáshoz?  Vezetői elkötelezettség.  Stratégia és ennek megfelelő biztonsági program.  Naprakész vagyonleltár.  Az információ értékének felfogása.  Komplex kockázatkezelés.  A munkafolyamatok pontos ismerete.  Folyamatos felülvizsgálat.  Kontroll, mérés, visszacsatolás és korrekció.  Oktatás. Ha csak egyetlen elem is hiányzik, az egész folyamat vakvágányra fut. …és ebből lesz a hamis biztonságérzet…

Mit ad nekünk a jó információbiztonsági szabályzás?  Stratégiai összhangot a cég céljaival: a biztonsági fejlesztési igények nem lesznek öncélúak, a működést támogatják.  Biztonságot: a kockázatok elfogadható szintre csökkennek.  Értéket közvetít: megfelelően megalapozott üzleti lehetőségeket biztosít, csökkenti a károkat.  Optimalizálja az erőforrásokat: egyenszilárdság, nincs átfedés vagy vakfolt.  Méri, hol tartunk a stratégia megvalósításában: megfelelő-e a védelem, hol lehet/kell javítani a folyamatokon, szabályzáson. A kitűzött célok elérése a meglévő erőforrások maximális kihasználása és a fennálló korlátozó körülmények mellett.

Hogyan is kellene ennek történnie?  Stratégia, mely a cég céljait támogatja (erőforrások és korlátok figyelembe vétele, reális célok).  Kockázatok felismerése és elfogadható szintre szorítása.  A cég vezetésének, és minden munkavállalójának bevonása: támogatás és elkötelezettség (értsék és akarják).  Szerepkörök, felelősségek és hatáskörök definiálása (független ITSec, SoD).  KOMMUNIKÁCIÓ (formális és informális, horizontális és vertikális, tudatosítás és oktatás).  Mérés és visszacsatolás (döntéstámogatás). Mindehhez megtervezett folyamatok, és minden érintett támogatása szükséges.

Hogyan épüljön be a szabályzás a napi életbe?  Stratágiai cél  szabályok  folyamatok.  Legyenek pontosan definiált szerepkörök, hozzájuk rendelt felelősség- és hatáskörrel.  A szabályok betartását lehetőség szerint technikai eszközökkel kényszerítsük ki.  Történjen monitorozás, legyen felelősségre vonás.  Szakértelem és felelősségtudat minden szinten.  Folyamatos legyen a tájékoztatás és az oktatás. Az információbiztonság épüljön be a céges folyamatokba.

Van erre sablon?  Minden rendszerre ráhúzható információbiztonsági szabályzat nem létezik. Nyilván nem, hiszen ahány cég, annyi különböző rendszer, folyamat, erőforrás és megvalósítási mód. DE:  Léteznek keretrendszerek (pl.: ISO27001)  Best practice listák.  Iparági szabályzás.  Törvényi szabályzás (InfoTV, IBTV, egyéb törvények).  … és józan ész! … és mindig vannak szakértők, jó pénzért...

ISO27001  A.5 Information security policies – controls on how the policies are written and reviewed  A.6 Organization of information security – controls on how the responsibilities are assigned; also includes the controls for mobile devices and teleworking  A.7 Human resources security – controls prior to employment, during, and after the employment  A.8 Asset management – controls related to inventory of assets and acceptable use, also for information classification and media handling  A.9 Access control – controls for Access control policy, user access management, system and application access control, and user responsibilities  A.10 Cryptography – controls related to encryption and key management  A.11 Physical and environmental security – controls defining secure areas, entry controls, protection against threats, equipment security, secure disposal, clear desk and clear screen policy, etc.  A.12 Operational security – lots of controls related to management of IT production: change management, capacity management, malware, backup, logging, monitoring, installation, vulnerabilities, etc.  A.13 Communications security – controls related to network security, segregation, network services, transfer of information, messaging, etc.  A.14 System acquisition, development and maintenance – controls defining security requirements and security in development and support processes  A.15 Supplier relationships – controls on what to include in agreements, and how to monitor the suppliers  A.16 Information security incident management – controls for reporting events and weaknesses, defining responsibilities, response procedures, and collection of evidence  A.17 Information security aspects of business continuity management – controls requiring the planning of business continuity, procedures, verification and reviewing, and IT redundancy  A.18 Compliance – controls requiring the identification of applicable laws and regulations, intellectual property protection, personal data protection, and reviews of information security

A „vezetőség” szerepe  Folyamatában legyen igénye a biztonságra.  Hagyja jóvá a biztonsági stratégiát.  Biztosítson megfelelő erőforrást a célok megvalósításához.  Gondoskodjon a megfelelő szervezeti felépítés kialakításáról (feladat, felelősség, hatáskör).  Teremtsen egyensúlyt a teljesítmény, költségek és a biztonság vonatkozásában.  Vállaljon felelősséget a döntéseiért.  Önmaga is tartsa be a szabályokat!

Az információbiztonsági felügyelő szerepe  Dolgozza ki a biztonsági stratégiát az üzleti igényeknek megfelelően, tartsa meg az összhangot.  Felügyelje a biztonságirányítási rendszert.  Adjon minőségi tájékoztatást, valós és releváns információkat a vezetői döntések előkészítéséhez.  Biztosítsa a folyamatos kockázatértékelési és üzleti hatásfelméréseket.  Tegyen javaslatot az azonosított kockázatok kezelésére, csökkentésére.  Biztosítsa a szabályzásnak való megfelelőséget.

A rendszergazdák szerepe  A feladatainak megfelelően legyenek naprakész műszaki ismeretei.  Végezzen felelősségteljes munkát, tartsa be a szabályokat. Még akkor is, ha senki nem ellenőrzi (főleg kis cégeknél).  Maradjon lojális.  Tartson „rendet” a rendszereiben, legyenek kiforrott és formális munkafolyamatai.  Maradjon meg kiszolgálói szerepkörben, ne váljék „félistenné”.

A fejlesztők szerepe  Megbízható, stabil rendszer előállítása.  Biztonsági funkciók tervezése, biztonságos fejlesztési módszertanok ismerete és betartása.  Alapos tesztelés.  Továbbfejleszthető produktum előállítása (clean kód, doksik, modern technológiák).  Üzemeltethető produktum előállítása (doksik, telepítők, megfelelő architektúra).  Használható produktum előállítása (ergonomikus, hibamentes és biztonságos).

A felhasználók (vagyis MINDENKI) szerepe  A vonatkozó szabályok megismerése.  A szabályok betartása, a rendszerek előírás szerinti kezelése.  A céges eljárásrendek tiszteletben tartása.  A tapasztalt problémák/incidensek jelzése.  Felelősségtudat.  Lojalitás, a cég érdekeinek tiszteletben tartása.  Kalandvágy tökéletes hiánya.  Józan ész!

És a többiek?  Titkárság  Projektvezetők  Belső ellenőrzés  HR  Beszerzés  Raktározás  Biztonsági szolgálat  Beszállítók  Szolgáltatók  Üzletfelek  Külső munkatársak, alvállalkozók Tényleg MINDENKI érintett és felelős!

Kérdések? Köszönöm a figyelmet!