Symantec Polska
lista stron
produkty
zakup produktów
pomoc techniczna
Security Response
Pliki do pobrania
partnerzy
informacje o firmie
komentarze


© 1995-2008 Symantec Corporation. Wszelkie prawa zastrzezone.
Informacje Prawne
Ochrona Danych
informacje o firmie
Feature Article

Kompleksowy przewodnik zarządzania ryzykiem

ID ARTYKUŁU: 120

Czy nie byłoby wspaniale, gdyby każdy kierownik działu informatycznego miał kryształową kulę pomagającą mu w przewidywaniu ataków hakerów, wirusów oraz awarii systemów? Na razie jednak informatycy muszą zadowolić się metodami zarządzania ryzykiem, pomagającymi w przygotowaniu się na wypadek naruszenia bezpieczeństwa sieciowego. W przeszłości do obrony sieci przed zagrożeniami dysponowali oni jedynie zdrowym rozsądkiem, intuicją i szczęściem. Dziś jednak, przy wzrastającym znaczeniu technologii informatycznych i sieci dla wyników działalności firmy, intuicja i szczęście nie zapewniają wystarczającej ochrony przed błędami i niedopatrzeniami w systemach informatycznych. Wyżsi rangą kierownicy i akcjonariusze przedsiębiorstwa wymagają bardziej strukturalnego i naukowego podejścia do kwestii zarządzania zagrożeniami oraz łagodzenia ich skutków.

Co oznacza zarządzanie ryzykiem w odniesieniu do systemów informatycznych?

Przy wzrastającej roli handlu elektronicznego, wirtualnych sieci prywatnych i telepracy, przedsiębiorstwa stają się coraz bardziej podatne na zagrożenia sieciowe. Rozmaite zagrożenia , począwszy od hakerów po wirusy i przeciążenie systemu aż do nadużyć wewnętrznych, zmuszają działy informatyczne przedsiębiorstw do rozpaczliwego łatania luk w mapie sieci. Zarządzanie ryzykiem sieciowym daje kierownikom działów informatycznych bardziej systematyczne podejście do mierzenia zasobów i słabych punktów sieci, oceny zagrożeń i ciągłego monitorowania podstaw systemu zabezpieczeń.

Zarządzanie ryzykiem jako narzędzie analizy kosztów

Zarządzanie ryzykiem to więcej niż określanie i kontrolowanie (lub eliminacja) ryzyka, na jakie narażona jest firma. To proces oceny wpływu ryzyka na wyniki jej działalności. Poprzez zarządzanie ryzykiem sieciowym kierownicy działów informatycznych mogą określać, które zagrożenia w największym stopniu wpłyną na infrastrukturę biznesową firmy i które wydatki w zakresie zabezpieczeń dadzą największy zwrot z inwestycji.

Stadia zarządzania ryzykiem

Zarządzanie ryzykiem sieciowym obejmuje dzisiaj różne fazy bezpieczeństwa sieciowego: ocena, planowanie, implementacja i monitorowanie. Celem tej nowej, kompleksowej metody jest wypracowanie zorientowanych na zarządzanie ocen i zaleceń, które można zintegrować z ogólną misją firmy, celami i priorytetami biznesowymi.

  • Ocena
Ocena jest procesem identyfikacji słabych punktów w systemie zabezpieczeń sieciowych. Nie istnieje definitywny model oceny ryzyka, niektóre firmy w znacznym stopniu polegają na metodologii i kalkulacjach, inne na bardziej jakościowym podejściu w stylu „pytanie-odpowiedź”. W każdym modelu oceny występuje element niepewności. Ocenę należy rozpocząć od kroków podanych poniżej.
    • Ustalenie celu. Przed rozpoczęciem oceny, dyrektorzy i kierownicy działów informatycznych powinni zdefiniować przyczyny implementacji systemu zarządzania ryzykiem. Dla wielu przedsiębiorstw zarządzanie ryzykiem stanowi rozszerzenie ich misji. Jeżeli na przykład głównym priorytetem firmy jest obsługa klienta, wówczas głównym celem zarządzania ryzykiem mogłoby być zapobiegnięcie takim zagrożeniom sieciowym, które mogłyby spowodować problemy w obsłudze klienta. Chociaż cele te mogą przyjąć różne formy w zależności od firmy, istnieje jeden wspólny, ostateczny cel zarządzania ryzykiem: uzyskanie pozytywnego wpływu na wyniki działalności firmy.
      Inwentaryzacja systemów/zasobów o znaczeniu krytycznym. Należy wykonać spis wszystkich elementów w sieci wartych ochrony obejmujących dane zastrzeżone, treści internetowe, hasła, usługi itd. Jeżeli reputacja firmy i baza klientów jest bezpośrednio związana z siecią, należy je również uważać za zasoby sieciowe. Inwentaryzacją objęte powinny zostać wszystkie systemy, usługi i komponenty.
    • Identyfikacja zagrożeń. Mówiąc ogólnie, należy zidentyfikować każdą osobę lub rzecz, która może wykorzystać sieć do wyrządzenia szkody w zasobach przedsiębiorstwa. Na liści podejrzanych powinni znaleźć się hakerzy, wirusy, niezadowoleni pracownicy, ale również błędy ludzkie, awarie systemu itd.
    • Identyfikacja słabych punktów sieci. Przy pomocy nieinwazyjnej i niewymagającej przerywania pracy metody należy określić sposoby dostępu zagrożeń do zasobów firmy. Szczególny nacisk należy położyć na obszary szczególnie narażone na zagrożenie. Potencjalnymi słabymi punktami są punkty dostępowe, dostępne aplikacje i serwery. W dużych sieciach wchodzących w skład łańcucha dostaw liczba punktów dostępu wzrasta, zwiększając liczbę słabych punktów.
    • Kwantyfikacja wartości ryzyka Ponieważ zapewnienie stuprocentowej ochrony przed każdym zagrożeniem jest praktycznie niemożliwe, informatycy muszą zidentyfikować te zasoby i słabe punkty, które mają największe znaczenie. Kwantyfikacja zagrożeń sieciowych wpływających na wyniki działalności firmy pomaga w ustaleniu priorytetów działań i wydatków związanych z bezpieczeństwem sieci. Podstawowe równanie służące do obliczenia ryzyka: Ryzyko = Zasoby x Zagrożenia x Słabe Punkty. Aby skutecznie przydzielić wartości zasobom sieciowym i ryzykom, wydziały informatyczne i biznesowe przedsiębiorstw muszą ze sobą współpracować .

  • Planowanie
Faza planowania związana jest z fazą oceny, określeniem polityki pomiarów stanu bezpieczeństwa na podstawie wpływu na poszczególne ryzyka, jak również ich harmonizowaniem z ogólnymi celami biznesowymi. Na sukces w planowaniu zarządzania ryzykiem wpływają dwa czynniki: zaangażowanie kierownictwa wyższego szczebla i sprawna komunikacja między działami.
    • Wypracowanie zasad. Bez wypracowania przejrzystych zasad bezpieczeństwa, nawet najbardziej skuteczne rozwiązania w dziedzinie zabezpieczeń mogą wymknąć się spod kontroli. Zasady definiują odpowiedzi na pytania: „jak”, „dlaczego”, „kiedy” i „przez kogo”.
    • Wdrożenie procesu kontroli/audytu systemu zabezpieczeń. Regularne kontrole pozwalają umocnić kierowników działów informatycznych oraz kierownictwo innych działów w przekonaniu o skuteczności strategii bezpieczeństwa. Jednak przed przeprowadzeniem audytu kierownicy muszą określić proces, który da odpowiedź na następujące pytania: Kto przeprowadzi kontrolę? Czy będzie to proces wewnętrzny? Czy kontrola zostanie zlecona innej firmie? Jakie metody zostaną użyte do analizy danych dotyczących bezpieczeństwa? Kto zweryfikuje dane? Kto określi, czy potrzebna jest reforma systemu zabezpieczeń?
    • Wypracowanie odpowiednich procedur technicznych. Dział informatyczny musi zadać szereg pytań hipotetycznych dotyczących scenariuszy technologicznych obłożonych potencjalnie dużym ryzykiem i uzyskać na nie odpowiedzi.
      • W przypadku naruszenia bezpieczeństwa: Określenie procedury postępowania dla pracowników działu informatycznego oraz użytkowników w przypadku ataku hakerów, wirusów lub wystąpienia innych przypadków naruszenia bezpieczeństwa. Kogo użytkownicy powinni powiadomić po wykryciu wirusa? W jakich okolicznościach informatycy powinni wyłączyć sieć lub korporacyjny serwer poczty elektronicznej? W jaki sposób dział informatyczny będzie przekazywał użytkownikom ostrzeżenia i informacje w sytuacjach awaryjnych?
      • W przypadku zmiany konfiguracji sieci: Wyznaczenie osoby odpowiedzialnej za zmianę konfiguracji sieci. Określenie, w jakich przypadkach i dlaczego osoba taka powinna dokonać zmian.
      • W przypadku wprowadzania nowych aplikacji: Czy istnieje procedura testowania nowych aplikacji przed ich wprowadzeniem? Kto jest odpowiedzialny za konwersję danych? Jakie są kolejne kroki integracji nowych aplikacji z użytkownikami?
    • Wybór zespołu reagowania na przypadki naruszenia bezpieczeństwa i opracowanie planu działania w nieprzewidzianych okolicznościach. Członkowie takiego zespołu mają wstępnie przydzielone obowiązki na wypadek wystąpienia sytuacji awaryjnych. Wybór lidera zespołu i opracowanie zasad działania zespołu. Opracowanie solidnego planu postępowania w nieprzewidzianych okolicznościach jest sztuką samą w sobie – stanowi istotny element każdego systemu zarządzania ryzykiem. Plany takie obejmują całą sieć i dotyczą kwestii na wielką skalę, takich jak konfiguracja serwerów rezerwowych, źródła dodatkowego zatrudnienia i usług konsultacyjnych, usług innych dostawców i relacje między dostawcami.

  • Wdrożenie
Kierownicy działów informatycznych muszą dopasować dostępne produkty bezpieczeństwa sieciowego, takie jak zapory firewall, oprogramowanie antywirusowe oraz oprogramowanie do filtrowania poczty elektronicznej i treści internetowych do specyficznych potrzeb swoich sieci. Nie każda aplikacja jest właściwa dla każdej sieci. Na podstawie wniosków uzyskanych w wyniku oceny systemu zarządzania ryzykiem dział IT powinien wybrać aplikacje bezpieczeństwa, które odpowiadają specyficznym wymaganiom przedsiębiorstwa oraz użytkowników. We współpracy z kierownikami działów lub działem kadr dział informatyczny powinien również określić różne poziomy bezpieczeństwa dla poszczególnych użytkowników. Jeden z członków zespołu informatycznego powinien być odpowiedzialny za konfigurację różnych poziomów bezpieczeństwa aplikacji. Dział informatyczny oraz kadra zarządzająca firmy powinni również opracować zasady przydzielania użytkownikom specyficznych uprawnień.
  • Monitorowanie
Zarządzanie ryzykiem jest procesem ciągłym, nie kończącym się wraz ze wdrożeniem systemu zabezpieczeń. Przez ciągłe monitorowanie sieci można określić, które aplikacje zabezpieczeń dobrze spełniają swe zadanie, które obszary wymagają więcej uwagi oraz jak zmiany w sieci wpływają na ogólny poziom bezpieczeństwa.
Z perspektywy strategicznej dane generowane przez narzędzia monitorowania sieci dają podstawę do okresowych przeglądów/audytów systemu zarządzania ryzykiem. W sensie operacyjnym narzędzia te ostrzegają administratora sieci o próbach naruszenia bezpieczeństwa. Dostępne są różne programy do monitorowania sieci:
    • systemy wykrywania włamań, monitorujące sieć lub poszczególne komputery pod kątem podejrzanych działań związanych z ruchem w sieci. Dyskretne rozwiązania wykrywania włamań porównują „normalny” ruch z podejrzanymi pakietami danych, ostrzegając menadżerów systemu lub przerywając połączenie w przypadku wystąpienia wykrycia nieprawidłowości. Rozwiązania te umożliwiają generowanie raportów dziennikowe dla ruchu w sieci.
    • Zapory firewall zapewniają ochronę sieci przed osobami usiłującymi włamać się do systemu. Większość aplikacji posiada funkcję powiadamiania działu informatycznego o próbach nielegalnego wejścia i tworzy raporty dziennikowe na temat takich prób.
    • Aplikacje antywirusowe skanują system w poszukiwaniu potencjalnych wirusów i naprawiają lub poddają kwarantannie podejrzane pliki. Większość dostępnych programów antywirusowych powiadamia dział informatyczny o występowaniu podejrzanych plików.
    • Naruszenie bezpieczeństwa:
      • Wewnętrzne. Funkcja filtrowania zawartości poczty elektronicznej może skanować przychodzące i wychodzące wiadomości pod kątem obecności materiałów poufnych lub kontrowersyjnych. Filtrowanie treści internetowych uniemożliwia natomiast użytkownikom odwiedzanie niewłaściwych lub potencjalnie niebezpiecznych stron internetowych. Obie te funkcje mogą udostępniać generować raporty na temat działań użytkowników i przypadków naruszenia zasad bezpieczeństwa.
      • Zewnętrzne. Oprogramowanie uwierzytelniające i szyfrujące zabezpiecza sieć i dane wychodzące przed nieupoważnionym dostępem przez żądanie od użytkowników podawania haseł lub prywatnych kluczy szyfrujących. Takie narzędzia zabezpieczeń często mają możliwość generowania raportów na temat prób wtargnięcia do systemu.

Zintegrowane zarządzanie ryzykiem

W sytuacji idealnej zarządzanie ryzykiem w sieci powinno stać się integralną częścią codziennych operacji przedsiębiorstwa. Nowe, zautomatyzowane narzędzia obsługują tą integrację rozwiązań zarządzania ryzykiem na poziomie całego przedsiębiorstwa przez translację analiz zabezpieczeń w zalecenia mające wpływ na wynik działalności firmy. Kadra kierownicza wyższego szczebla będzie obarczać działy informatyczne odpowiedzialnością nie tylko za praktyki w zakresie bezpieczeństwa sieciowego, lecz również za zasady i procedury stanowiące bazę takich praktyk.