31.12.07

Pogled na 2007. godinu

Pogled unatrag na godinu koja je na izmaku, izuzetno je neoriginalan način zaključivanja tekuće godine i pripreme za slijedeću. No, s obzirom da ove stranice nisu bile ažurne kako sam planirao prije pokretanja bloga, dozvoljavam si ovu neoriginalnost i na kraju godine objavljujem pogled na informacijsku sigurnost u 2007. u Hrvatskoj.

Ako informacijsku sigurnost sagledavamo kroz sigurnosne incidente, onda svakako moramo biti zadovoljni što je Hrvatska još uvijek izvan matrice tipičnih incidenata koji su u svijetu dominirali ove godine. Dakle, u Hrvatskoj nije bilo slučajeva gubitka ili krađe podataka velikih razmjera koji bi ugrozili privatnost naših građana, a takvih je događaja u međunarodnim razmjerima bilo izuzetno puno (s, ponegdje, katastrofalnim posljedicama - pogledaje pregled deset najvećih u 2007. na ovoj stranici). No, kada kažem da nije bilo takvih slučajeva, onda moram naglasiti da nije bilo zabilježenih slučajeva. Kod nas se još uvijek smatra da su se sigurnosni incidenti dogodili tek kada je netko direktno osjetio posljedice. Nažalost, incidenti u infomacijskoj sigurnosti postoje i onda kada ih direktno ne zamjećujemo, a mnoge zamjećujemo tek sa znatnim vremenskim odmakom i ponekad veoma posredno. Ipak, smatram da doista nije bilo incidenata velikih razmjera, no ponajprije zahvaljujući činjenici da potencijalni dobitak nije dovoljno atraktivan napadačima (zbog manjeg tržišta, što sa sobom podrazumijeva i manji opseg potencijalnih žrtava, npr. kada govorimo o krađi identiteta "phishing" napadima).

Ipak, takav trend neće trajati vječno, a dokaz je i oblik računalnog kriminala koji je dominirao medijima u Hrvatskoj ove godine. Vjerujem da pamtite slučajeve prijevara na bankomatima koje su pogodile nekoliko hrvatskih banaka i mnoge njihove klijente. Rekao bih da je takvih slučajeva bilo više nego u proteklim godinama, a to može argument koji nas upućuje da ekonomija računalnog kriminala opravdava napadačima ulazak i na naše "tržište": rezultati neće možda biti opsegom značajni kao na tržištu od nekoliko desetaka miljuna potencijalnih žrtava, no troškovi realizacije napada su sve niži a mogućnost zadržavanja anonimnosti napadača jednako visoka, pa možemo očekivati da će se takvi incidenti proširiti i na "moderne" oblike računalnog kriminala (ako uopće smijemo zloupotrebe na bankomatima nazvati nemodernim).

Treba spomenuti i drugi slučaj koji je vladao naslovnicama novina. Zaposlenici jedne velike banke isplatili su veliki iznos u "cashu" osobi na temelju falsificiranih podataka o identitetu (tj. falsificirane putovnice). Iako sredstvo pomoću kojeg je napravljena prijevara ne spada u računalni resurs (falsificirana je putovnica a ne digitalni identitet), ovaj je slučaj školski primjer "insiderskog" računalnog kriminala, zato što su, prema novinskim napisima, počinitelji - zaposlenik/zaposlenici banke, došli do ključnih informacija uvidom u bazu podataka (moram istaknuti da sam o cijelom slučaju isključivo upoznat na temelju novisnikih napisa i nije mi poznat nikakav drugi detalj o načinu izvršenja). Po svemu sudeći, radi se o zloupotrebi ili pogrešnoj dodjeli pristupnih prava informacijskom sustavu, možda i o socijalnom inžinjeringu te nepoštovanju propisane procedure. Također, ovaj slučaj nam govori o potencijalnim nedostacima korištenja tradicionalne tehnologije (identifikacija putovnicom) u kombinaciji s informacijskom tehnologijom.

Godina na izmaku je donijela i dvije novosti na području zakonske regulative: Odluku HNB-a o primjerenom upravljanju informacijskim sustavom i Zakon o informacijskoj sigurnosti.

Odluka HNB-a, koju treba čitati u kontekstu ranije objavljenih Smjernica HNB-a za upravljanje informacijskim sustavom u cilju smanjenja operativnog rizika (iz 2006.) značajno će utjecati na provedbu mjera informacijske sigurnosti u bankama te pridonosi stvaranju pozitivnih trendova u upravljanju informacijskim rizicima, a kakvi postoje u svijetu već nekoliko godina. Vjerujem da će ubrzo i druga državna tijela ili agencije morati regulirati pitanja informacijske sigurnosti na sličan način (sukladno dostignućima EU).

U srpnju je izglasan i Zakon o informacijskoj sigurnosti. Ovaj zakon bi trebao potaknuti uređenje problematike sigurnosti informacija za tijela državne vlasti. Kad kažem potaknuti, onda ukazujem na činjenicu da se pitanja sigurnosti moraju rješavati brojnim provedbenim aktima (standardi i pravilnici), a koje i sam zakon (koji ima tek nekoliko stranica) predviđa. Stoga, u ovom trenutku ne možemo reći da je zakon imao neki osobiti učinak jer treba pričekati provedbene dokumente. Zakon predviđa donošenje provebenih dokumentata u roku od 6 mjeseci, što bi trebalo značiti do kraja siječnja 2008. Naravno, ne očekujem ove dokumente u predviđenom roku, no iskustvo nam govori da bi donošenje pravilnika kao i realizacija ovog zakona mogla biti veoma dugotrajna i teška. Iskreno se nadam da će me praksa demantirati i u tom ću slučaju svakako priznati pogrešnu procjenu.

Na kraju obećanje za 2008: obećajem da će stranice ovog bloga biti puno ažurnije!

29.10.07

Pozicioniranje odgovornosti za informacijsku sigurnost

Tema jednog od ranijih napisa bila je odgovornost za provjeru stanja sigurnosti informacijskog sustava. Tom prilikom je rečeno da provjera valjanosti sigurnosnih mjera mora biti u nadležnosti odjela koji upravlja sustavom informacijske sigurnosti i da bi, radi vjerodostojnosti same provjere, takve aktivnosti trebale biti neovisne od drugih strana čiji se rad provjerava (prije svega od odjela informatike). No, u neposrednoj vezi s ovim problemom pojavljuju se najmanje tri pitanja:

1. Kako organizacijski pozicionirati odjel koji upravlja informacijskom sigurnošću?
2. Kakvim ovlastima ovaj odjel mora biti naoružan?
3. Kako će ovaj odjel odrediti uspješnost sigurnosnih mjera?

U odgovoru na prvo pitanje treba reći da je samo manji dio domaćih tvrtki pozicionirao odjel informacijske sigurnosti izvan službe informatike. Radi se uglavnom o bankama (iako ima izuzetaka i u nefinancijskom sektoru), i to ponajviše zato što je prošlogodišnja incijativa HNB-a, između ostalog, jasno istaknula zahtjev o neovisnom položaju "security officer-a". Tvrtke koje su propustile napraviti takvu reorganizaciju postigli su možda zadovoljavajuću kvalitetu sigurnosti informatičkih tehnologija, no suočavaju se s problemom ograničenog utjecaja na sigurnost informacija, a od sigurnosne nepogode dijeli ih možda samo korak.

No, pokretanje neovisnog odjela informacijske sigurnosti i njegovo pozicioniranje izvan IT-a nije, samo po sebi, jamstvo uspješnog rada. Ostaje niz pitanja: je li uprava samo formalno zadovoljila uvjete regulatora ili sigurnosnih normi, a novopokrenuti odjel lišila stvarnih ovlasti... je li zaista osigurala zadovoljavajuću razinu kompetencije, ali i primjeren proračun... je li novopokrenuta služba u pravom smislu neovisna ili je pozicionirana unutar nekih drugih odjela (npr. upravljanja rizicima, odjela opće sigurnosti, interne revizije...) a da pri tome nema dovoljnu neovisnost? Stoga, uprava mora dati jasan odgovor na drugo pitanje, odabrati kompetentne ljude i ovlastiti ih na adekvatan način.

Ali ni to nije sve. Odjel informacijske sigurnosti vidi često dosege svog angažmana isključivo kroz izradu pravilnika, pokretanja radnih procedura i podupirajuće, ponekad samo formalno, sudjelovanje u drugim poslovnim procesa. To je, naravno, nužno za uspjeh programa sigurnosti ali ne i dovoljno. Praćenje i mjerenje uspješnosti sigurnosnih aktivnosti i specifičnih mjera mora biti jedna od glavnih obveza odjela informacijske sigurnosti. Nije dovoljno postići usklađenost sigurnosnog sustava tvrtke s regulatornim zahtjevima ili sigurnosnim normama, baš kao što nije dovoljno investirati, ponekad i značajne iznose, u sigurnosnu tehnologiju. Karika koja nedostaje u ukupnom uspjehu je kontinuirano praćenje i upravljanje svim postignućima koje je proveo ili incirao odjel informacijske sigurnosti.

Naše su tvrtke za sada zagrizle u pitanje pod brojem 1, a neke su to pitanje i uspješno riješile. No, tek se manji tvrtki suočio i s preostalim pitanjima.

Netko će reći "Sve je u redu dok nema posljedica", no nadam se da je management svjestan da je ovo pogrešan odgovor na bilo koje pitanje postavljeno na ovom mjestu.


3.10.07

"Poslovni dnevnik" o insiderskim prijetnjama

S malim zakašnjenjem upućujem vas na članak "Informatički sustavi na udaru pete kolone" koji je prije desetak dana izašao u Poslovnom dnevniku. Pored nekoliko primjera iz američke prakse, članak donosi i procjenu o potencijalnim štetama koje se mogu očekivati kod insiderskih prijetnji.

Prijetnjama insidera bavio se i seminar koji je Borea održala krajem rujna u Zagrebu, a članak iz Poslovnog dnevnika donosi i kratki intervju o ovoj temi koji sam s vodio s autorom članka.

13.9.07

Curenje informacija i vrijednost dionica

U Jutarnjem listu od 8.9.2007. objavljen je razgovor s Antom Samodolom, čelnim čovjekom Hrvatske agencije za nadzor financijskih usluga. Hanfa je svojim radom izazvala brojne reakcije, a stvorila je i neke "neprijatelje". Nemam namjeru baviti se ovim dijelom Hanfine aktivnosti već ukazati na jedan od odgovora iz ovog članka.

Na pitanje o "redovitim curenjem informacija o upisu dionica kod javnih ponuda", Samodol potvrđuje takvu praksu, te najavljuje da će se Hanfa svim silama boriti protiv toga. Naime, ovakva informacija može imati snažan poticaj za neopravdani skok cijena dionica.

Ovaj odgovor pokazuje na najbolji način snagu informacija na tržištu dionica i mogućnosti manipulacija cijenama dionica korištenjem informacija. Mogući su i slučajevi kada se određene informacije neće objaviti odnosno biti će poznate samo uskom broju ljudi i to u veoma pogodnom trenutku.

Kao što Samodol tvrdi, "u zakonu je jasno što tko smije objaviti, a što ne smije". No, problem predstavlja činjenica da je manipulaciju informacijama ponekad veoma teško otkriti. Danas se preko 99% informacija koje bi mogle imati utjecaja na poslovanje tvrtki, pa tako i na cijenu dionica, obrađuje ili pohranjuje u digitalnom obliku, odnosno izmjenjuju nekim od oblika elektroničke komunikacije. Mjesta otkrivanja ili prikrivanja takvih informacija veoma su raznolika i često nedodirljiva u potrebnom trenutku. Čak i kad naknadno postane jasno da je došlo do manipulacije, načinjenu štetu teško je pokriti.

Stoga, pored propisivanja što se smije ili ne smije objaviti, zakon i provedbena praksa mora jasnije definirati kako se takve informacije moraju čuvati i obrađivati, te predvidjeti odgovornost rukovodstva i za slučajeve nemarnog odnosa prema važnim podacima. Vjerujemo da će i Hanfa prepoznati taj pravac uređivanja financijskog trižišta.

3.9.07

Zaštita privatnosti na radnom mjestu

Početkom kolovoza se u Jutranjem listu pojavio članak na temu zaštite privatnosti u slučajevima korištenja elektroničke pošte na radnom mjestu . Članak navodi na zaključak da zaposlenici ne trebaju očekivati pretjeranu zaštitu osobnih podataka u takvim slučajevima i da poslodavac zadržava pravo uvida u takve oblike komunikacije.

Nekoliko tjedana kasnije, u rubrici pisma čitatelja objavljeno je pismo jednog pravnika koji tvrdi da je takav zaključak u suprotnosti s europskom praksom, te da zaposlenici imaju pravo na zaštitu elementarnih oblika privatnosti na radnom mjestu. Čitatelj ipak na kraju sugerira da bi stvarna praksa trebala biti negdje u sredini.

U međuvremenu ova se tema pojavila i u drugim medijima (npr. u jutarnjem programu HTV-a), a vjerujem da su mnogi od vas barem jednom sudjelovali u poduljoj debati na ovu temu u svojim organizacijama.

Naravno istina je negdje u sredini, no pitanje je gdje? Ja osobno smatram da zaštita privatnosti i prava pojedinaca mora imati prioritet i da svaka organizacija (državna tijela, financijske institucije, telekomunikacijske tvrtke, velike korporacije...) mora, ne samo pokazati brigu, nego i takve podatke zaštiti na pravi način.

No, u slučaju zaštite osobnih podataka na radnom mjestu dio odgovornosti moraju preuzeti i zaposlenici.

Naravno, da je apsurdno zabranjivati korištenje elektroničke pošte tijekom radnog vremena (što je moglo i proći prije pet-šet godina), baš kao što normalna organizacija neće zabraniti ni privatne telefonske razgovore. No, treba znati da postoje razlike između telefonskog razgovora i elektroničke pošte.

Telefonski razgovori nose ograničene rizike i to prije svega uslijed prekomjernog korištenja (ograničavanje učinkovitosti na radnom mjestu i dodatni troškovi za poslodavca), a takvi se rizici mogu prepoznati na temelju jednostavnih indikatora (npr. uvidom u izvještaje o troškovima telefonske centrale).

Stvari su složenije kod elektroničke pošte. Pored prekomjernog korištenja, elektronička pošta sadrži i mnoge druge rizike (curenje povjerljivih informacija, distribucija nelegalnih sadržaja, ugrožavanje integriteta drugih osoba...). U svjetskoj (uključujući i europsku) praksu poznati su slučajevi gdje su zaposlenici napravili takve delikte, no odgovornima se držalo organizacije. Upravo zbog tako predviđenih obveza i odgovornosti, organizacije moraju pravilnikom urediti korištenje elektroničke pošte, a uvođenjem tehnika učinkovitog nadzora provjeravati provedbu pravilnika.

Pojam "nadzor" odmah izaziva oprez i nepovjerenje, no treba reći da se nadzor elektroničke komunikacije, pa tako i elektroničke pošte, može (a i mora) provesti bez uvida u ukupni kontekst i sadržaj pisane komunikacije, a sasvim pouzdane indikatore je moguće dobiti na nižim mrežnim razinama: vrsta i količina prometa po intrenim ili vanjskim mrežnim adresama, pokazatelji odstupanja od prosječnih vrijednosti, karakter prometa, prisutnost kritičnih pojmova. Naravno, uvijek se može pregledati i sadržaj komunikacije, no to onda mora biti na temelju čvrstih indikatora i u skladu s propisanom procedurom kako bi se zaštitila privatnost zaposlenika.

U svakom slučaju, zaposlenika se mora upozoriti da organizacija ne snosi odgovornost za zaštitu njegovih (ili njenih) osobnih podataka koje zaposlenik pošalje u privatnoj komunikaciji. Nadalje, zaposlenik mora znati da organizacija može, zbog obveza koje ima prema regulatorima ili drugim tijelima koji propisuju uvjete poslovanja, u određenim, uvjetima provjeriti i sadržaj osobne komunikacije. Uz to, dobronamjerna organizacija će ograničiti i sankcionirati sve zloupotrebe takvog nadzora.

Ne treba zaboraviti da mnoge organizacije prikupljaju znatno vrijednije osobne podatke o svojim zaposlenicima u poslovnim bazama podataka.

Isto tako, svaka osoba mora znati da je puno više osobnih podataka, privatnih elektroničkih poruka i pokazatelja o osobnim navikama surfanja Internetom prikupljeno u arhivama telekomunikacijskih kuća i ISP tvrtki. Osobno smatram da se (opravdana) borba za zaštitu privatnosti u elektroničkoj komunikaciji mora voditi na ovim frontovima.

21.8.07

Deset izjava koje vam zvuče poznato

U ovom napisu, prvom nakon nešto dulje ljetne pauze, želim vas uputiti na zanimljiv članak koji je nedavno izašao u Computerworldu ("Oh, don't tell me: 10 claims that scare security pros", 10.8.2007.). Ipak, čini mi se da će vam većina od deset točaka zvučati veoma poznati, ali ne zbog toga što ste možda već pročitali citirani članak, već zbog toga što ste ove tvrdnje čuli od svojih kolega, svojih šefova, svojih informatičara... Iz ustiju rukovoditelja, navedene tvrdnje zvuče pomalo bezazleno i tek kao minorni nedostaci s kojim se može živjeti, no iza svake tvrdnje stoje kritični propusti koji mogu kompromitirati ukupnu informacijsku sigurnost organizacije.

Ovom prilikom dodajem i jedanaestu izjavu:

"Do sada nismo imali ni jedan kritičan sigurnosni incident."

Ovakva izjava može se opravdati isključivo ako je organizacija pokrenula sve mjere proaktivnog nadzora rada informacijskog sustava i ako takve aktivnosti zaista i provodi. No, iskustvo govori da ćete sresti više koje organizacija su u stanju samouvjereno izreći ovu jedanaestu tvrdnju nego onih koji će moći na djelu pokazati aktivnosti nadzora i praćenja sustava informacijske sigurnosti.

13.6.07

Čiji je zadatak provjeravati sigurnosne mjere?

Svaki program upravljanja informacijskom sigurnošću biti će nekompletan (i nedjelotvoran) ako ne uključuje i redovitu provjeru ispravnosti i pridržavanja propisanih mjera. Redovita provjera (naziva se i "auditing", "assessment"...) jedna je od ključnih aktivnosti složenog procesa koji svim zaintereseranim stranama mora pružiti jamstvo o adekvatnosti i učinkovitosti sigurnosnih procesa. Nije jedini - postoje i druge aktivnosti kako kroz horizontalni tako i kroz vertikalni pogled - no svakako je najkompleksniji i s najintenzivnijim doticajima prema komplementarnim aktivnostima.

Provjera sigurnosnih mjera se kod nas najčešće percipira kroz dvije izvedbe.


Jedan oblik susrećemo preko revizija poslovnih sustava, čiji plan realizacije mora obuhvatiti i provjeru rada informacijskih sustava, te daje ocjenu o potencijalnim nedostacima koji mogu utjecati na izvedbu poslovnog sustava.
Drugi oblik susrećemo preko tzv. penetracijskih testiranja. Ova izvedba obično nije formalno pozicionirana kao poslovna revizija, a svojim je obuhvatom usmjerena prije svega na tehnički aspekt nekog dijela informacijskog sustava.

I to je, manje-više sve. No, provjera sigurnosnih mjera mora biti definirana sveobuhvatnije. Područja primjene danas su raznolikija od revizijskih aktivnosti i testiranja novih aplikacija. Pojavom regulatornih propisa, definicijom sigurnosnih standarda ili barem isticanjem smjernica o sigurnosnim mjerama, odgovornošću uprava tvrtki za djelotvornost sigurnosnog sustava i nekim drugim pokretačkim momentima, sigurnosna provjera je aktivnost za koji uprave tvrtki moraju biti i te kako zainteresirani.


Provjera sigurnosnih mjera mora krenuti od dobre definicije samih sigurnosnih mjera. One moraju biti dobro strukturirane već u fazi njihovog donošenja, propisivanja i izvedbe, a nakon toga treba se osigurati mehanizam njihove kontinuirane provjere, usporedbe s očekivanim ili prihvatljivim rezultatima, te generirati smislene indikatore koji će ukazivati na odstupanja ili će omogućiti mjerenje učinkovitosti pridržavanja sigurnosnih mjera.


Provjera sigurnosnih mjera mora biti dio nadležnosti i odgovornosti poslovne cjeline koja upravlja informacijskom sigurnošću i pri tome je veoma važno očuvati neovisnost od dijela organizacie koji operativno provodi pojedine sigurnosne mjere (čitaj, dakle, od službe informatike). Nemojte zaboraviti da provjera sigurnosnih mjera mora imati doticaj s procesom provjere i otklanjanja računalnih ranjivosti ("Vulnerability Management"), s testiranjem aplikativnih sustava u razvojnom ciklusu, s internom revizijom, s "compliance" incijativama, s upravljanjem operativnim rizicima, s forenzičkim aktivnostima...


Stoga, provjera sigurnosnih mjera mora postati dobro definiran proces koji neće biti izoliran od drugih cjelina (a naročito ne od službe informatike). Potrebno je očuvati nevisnost, vjerodostojnost i preciznost provjera, obuhvatiti organizacijske, administrativne i tehničke sigurnosne mjere, a indikatori i izvještaji moraju biti dostupni svim poslovnim cjelinama koje, svaka na svoj način, doprinose ukupnom uspjehu programa informacijske sigurnosti.

29.5.07

45% zaposlenika na odlasku otuđuje podatke

Nedavno su objavljeni rezultati jedne ankete prema kojima čak 45% zaposlenika kopira i odnosi (ili otuđuje) podatke svojih poslodavaca neposredno prije prestanka radnog odnosa. Naravno, svakoj anketi ili tržišnom ispitivanju treba, prije nego što uronite u same rezultate, provjeriti metodologiju, uzorak ispitanika i motive (ovo istraživanje ju naručila tvrtka Liquid Machines). No, i bez dužnog opreza vjerujem da ćete se suglasiti s rezultatima. Odlazak zaposlenika jedan je od najelegantnijih oblika otuđivanja povjerljivih informacija, a ponekad i intelektualnog vlasništva. Zaposlenici na odlasku čak se i ne moraju izlagati osobitim rizicima: odlasci se obično planiraju dulje vrijeme i u završnom razdoblju na starom radnom mjestu biti će mnogo prilika za prikupljanje svih informacija, prije nego što se pojave sumnje kod nadređenih. Osim toga, mnoge vrijedne informacije mogu se prikupljati tijekom cijelog radnog odnosa a, jednostavno rečeno, mogu se i pamtiti (za sada ne postoji tehnologija brisanja podataka iz sivih ćelija). Stoga, ovaj visoki postotak ne čudi, no isto tako ne mora značiti da će sve informacije biti zloupotrebljene: možda novi poslodavci neće biti zaintersirani ili će im donešene informacije već biti poznate ili pak otuđene informacije nemaju specifičnu težinu. Rezultati ove ankete zapravo potvrđuju tezu koju u zadnje vrijeme zastupaju neki stručnjaci a govori o tome da se sigurnosne mjere moraju biti provođene iz središta prema vanjskom okruženju, a ne obrnuto. Drugim riječima, pažnja sigurnosnih timova mora biti fokusirana na podatke a tek onda na perimetar. Tradicionalnim pristupom, primjena sigurnosnih tehnologija u najvećoj se mjeri bavi perimatarskom infrastrukturom i prijetnjama koje dolaze iz vanjskog okruženja.

Visoki postotak na koji nas upućuje objavljeno istraživanje potvrđuje i procjene, stare gotovo cijelo desetljeće, da je približno tri četvrtine računalnih delikata uzrokovano ponašanjem "insidera". Još do nedavno mogla su se pročitati osporavanja takvih procjena, no kvaliteta i vrijednost poslovnih informacija te neprobojnost perimetarskih zaštitinih tehnologija, upućuju dovoljno motivirane strane da prolaz do atraktivnih informacija pronađu zaobilaženjem Interneta - dakle pronalaženjem najslabijih karika u unutarnjoj organizaciji (te iskorištavanjem nelojalnih zaposlenika).

21.5.07

Treba li regulirati informacijsku sigurnost?

Iako se smatra da je management u poslovnim sustavima danas sasvim svjestan problema informacijske sigurnosti i načina za njihovo rješavanje, u svijetu je zavladala praksa regulacije informacijske sigurnosti zakonima i sličnim tržišnim propisima (SOX, EU Data Protection, Basel II...). No, pojavljuju se pitanja je li takav način regulacije sukladan zakonima tržišta i slobodnoj ekonomiji. Treba li zaista zakonom urediti informacijsku sigurnost ili se može, kao i u nekim drugim slučajevima, ovo pitanje prepustiti samoregulaciji?

Moj odgovor je: regulacija je neophodna. Evo i glavnih razloga.

Informacije koje se kreiraju i obrađuju današnjim poslovnim modelima obuhvaćaju znatno širu vrijednost od one koja ima značenje za upravu i vlasnike pojedinog poduzeća. Nekoliko primjera: sve detaljniji, opsežniji i delikatniji osobni podaci (dakle podaci koji ne samo da pripadaju pojedincima nego su ponekad od naročitog osobnog značaja) a predmet su svakodnevnih poslovnih transakcija u poduzećim i organizacijama svih profila; financijski podaci koji imaju značaj za brojne dioničare (institucionalne i vaninstitucionalne); podaci čija bi zloupotreba ili narušavanje moglo utjecati na bankarski, mirovinski, zdravstveni, energetski (ali i na neki drugi) sustav (a koje možemo okarakterizirati kao sustave od općeg značaja)...

Današnji informacijski rizici mogu na jednostavan i direktan način uzrokovati značajne posljedice ne samo upravi i vlasnicima nego i drugim interesnim grupama uključenim u rad informacijskih sustava. Ako uprave nisu direktno motivirane (čitaj: prisiljene) očuvati, osim vlastitih, i vrijednosti drugih sudionika onda je, nažalost, vrlo izvjesno da to neće napraviti (ili će napraviti veoma površno i nedjelotvorno).

Stoga, neophodno je da država i državna regulatorna tijela propisuju pravila za specifične segmente poslovanja koja se moraju slijediti u primjeni informacijskih tehnologija i kojima će se zaštiti svi sudionici ovih segmenata poslovanja.

No, isto tako je važno da se ova pravila primjenjuju, te da specijalizirana tijela provjeravaju njihovu provedbu (razumije se: uz tržišne posljedice za prekršitelje).

9.5.07

"Top-down" načelo kod upravljanja informacijskim rizicima (3)

Ovo je treći i završni nastavak zapisa (ovdje pogledajte prvi i drugi nastavak) koji obrazlaže potrebu da se procesu upravljanja informacijskim rizicima, pa onda i informacijskoj sigurnosti, pristupi "odozgo", pogledom managementa. Važno je još jednom naglasiti da smo do visinu rizika mogli utvrditi samo na temelju suradnje rukovodstva (jer samo osobe odgovorne za pojedine poslovne procese mogu točno odrediti moguće posljedice) i informatičkog osoblja (koje je, najčešće, najbolje poznaje informatičku infrastrukturu).

Ovdje dolazimo do treće važne točke u "top-down" konceptu: najviši management mora biti upoznato ne samo s visinom rizika nego i s popisom kontrolnih mjera i mora dati nalog za njihovu primjenu. Samo na taj način će ove mjere dobiti potrebnu težinu a u praksi će se prevladati primjedbe korisnika i rukovodstva organizacijskih cjelina o svoijevoljnom nametanju ovih mjera od strane informatičkog osoblja.

Četvrta važna točka u primjeni "top-down" koncepta odnosi se na proširenja poslovnih procesa s novim tehnološkim sustavima (što se danas najčešće povezuje s otvaranjem novih poslovnih mogućnosti ili s ponudom novog proizvoda). Današnje tržišne inovacije su uglavnom neraskidivo vezane s primjenom novih informacijskih tehnologija i aplikativnih sustava, a svaki nova aplikativni sustav mora proći kroz proces upravljanja rizcima. Nova aplikacija može u sebi sadržavati značajne sigurnosne rizike, no s druge strane i otvarati značajne poslovne mogućnosti. Odluka o prihvaćanju ili izbjegavanju ovih rizika mora biti ostavljena rukovodstvu organizacije s obzirom da se radi o strateškoj poslovnoj odluci.

Peta važna točka "top-down" koncepta je održavanje odnosa unutar organizacije prema kojemu informatičke službe moraju biti svojevrsni davatelji informatičkih usluga a stvarni "vlasnici" podataka, odnosno korisnici s nadležnošću za sve značajne odluke o korištenju i obradi mora imati rukovodstvo pojedinih poslovnih procesa. Na taj način će se postići i kvalitetnija primjena pojedinih komponenti sustava a rukovodstva poslovnih cjelina preuzeti značajni dio odgovornosti.

Šesta točka "top-down" koncepta obuhvaća obvezu stalne provjere rada informacijskog sustava, praćenje stupnja ostvarivanja poslovnih ciljeva organizacije kroz korištenje informacijskog sustava te utvrđivanje svih događaja koji ukazuju na povredu predviđene razine sigurnosti. Rukovodstvo organizacije mora biti izvještavano o rezultatima provjere, ali i niže razine rukovodstva moraju biti upoznate s rezulttaima provjere za dijelove informacijskog sustava iz svoje nadležnosti. To se posebno odnosi na rukovodstvo informatičke službe, koje mora provoditi detaljnije praćenje rada na dnevno-operativnoj razini.

4.5.07

"Top-down" načelo kod upravljanja informacijskim rizicima (2)

Upravljanje rizicima mora točno identificirati i popisati svu informacijsku imovinu s kojom organizacija raspolaže, a na tako strukturiranom imovinom napraviti procjenu prijetnji i analizu ranjivosti, utvrditi visinu rizika te propisati potrebne sigurnosne mjere.

Inventura informacijske imovine druga je glavna točka "top-down" koncepta i ujedno prvi korak u procesu upravljanja rizicima. Informacijsku imovinu treba sagledati prije svega kao poslovne podatke koji imaju određenu vrijednost za organizaciju i čijom bi povredom došlo do značajnih posljedica za poslovanje. Evidencija tako definirane imovine mora biti usklađena s glavnim poslovnim procesima, a rukovoditelji ovih procesa moraju odgovoriti kakve posljedice očekuju uslijed gubitka povjerljivosti, integriteta ili dostupnosti podataka s kojima se svakodnevno služe.

Sve dok se držimo informacijskog sustava i njegovih glavnih modula, inventura informacijske imovine ići će predvidljivim tokom, iako ne uvijek sasvim glatko. No, moramo pripaziti da ne zanemarimo podatke koji su smješteni izvan baze podataka ili izvan aplikativnih sustava. Jako puno značajnih, ponekad i kritičnih, infomacija generira se kroz Office ili Excel, a smještaju se kojekuda po diskovima osobnih računala (uključujući i sve arhivske kopije, draft verzije dokumena i sve kopije koje se ponekad i nesvjesno generiraju). Elektronička pošta je odavno dobila svojstvo kritična poslovne informacija, a intelektualno vlasništvo je obuhvaćeno i drugim formatima (prezentacijama, grafičkim zapisima, nacrtima...). Konačno, popis informacijske imovine ne smije zanemariti ni papirnate podatke, koliko god se to smatralo nespojivim s karakterom informacijskog sustava.

Potom slijede preostale aktivnosti u procesu upravljanja rizicima, a jedan od završnih rezultata biti procjena visine rizika i definicija potrebnih kontrolnih mjera koje organizacija mora provesti kako bi spriječila eskalaciju prisutnih prijetnji.

30.4.07

"Top-down" načelo kod upravljanja informacijskim rizicima

Ako pogledamo praksu u većini organizacija, informatičke službe imaju vodeću riječ kada se odlučuje o vrsti, opsegu i težini sigurnosnih mjera. Takva uloga je rezultat tradicionalnih odnosa koji potječu još iz razdoblja kada su se ove službe nazivale "Elektronički računski centar", a njihove su usluge služile uglavnom da se nešto brže izračunaju kamate ili plaće zaposlenih.

No informcijski sustavi danas imaju neusporedivo značajniju ulogu, a rizici kojima je rad informacijskih sustav izložen mogu imati katastrofalne posljedice za poslovanje poduzeća. Ujedno, ostvarivanje poslovnog uspjeha znači i spremnost preuzimanja određenih rizika, pa tako i onih s područja informacijskih tehnologija.

Odluka o tome koje resurse zaštiti i kakvim mjerama to provesti, donosi se kroz proces upravljanja rizicima. Pogrešna odluka može imati značajne posljedice, bilo zbog nedovoljno jake mjere i financijske štete koju je izazvao sigurnosni incident, bilo kao propuštena poslovna prilika koju je nepovratno zauzela konkurencija. Stoga, odlučivanje o sigurnosnim mjerama prestaje biti dio uobičajenih nadležnosti informatičkih službi, već se mora sagledavati kao obaveza rukovodstva. Postojanje "risk-management" postupka je prvi preduvjet provedbu programa sigurnosti prema "top-down" načelu, od pozicije uprave prema pojednim poslovnim procesima.

Dakako, stvari nisu baš crno-bijele i postojeće procese nije moguće preusmjeriti i promjeniti samo naredbom presjednika uprave. Koje su glavne značajke "top-down" pristupa u provedbi informacijske sigurnosti?

Najvažniji je prvi korak: planiranje i provedba upravljanja informacijskim rizicima. Inicijativa za upravljanje rizicima mora biti pokrenta s razine uprave, a uprava (ili jedan njen član) mora biti pokrovitelj ovog procesa. U postupak upravljanja rizicima moraju biti uključeni i drugi članovi rukovodstva i odgovorne osobe pojedinih poslovnih procesa (izvan službe informacijskih tehnologija).

Nastavlja se...

29.4.07

Namjena ovog bloga

Pred vama se nalazi prvi tekst u blogu info-rizici.blogspot.com, službenom blogu poduzeća Borea. Cilj ovog bloga je približiti čitateljima pristup sigurnosti informacija i informacijskih sustava koji slijedimo u svojem radu. A taj pristup zasnovan je na "top-down" smjeru djelovanja kod planiranja, provedbe i provjere mjera kojima se održava integritet, dostupnost te čuva povjerljivost informacija i informacijskih servisa.

Naime, nekako je uobičajeno da najviše rukovodstvo u poduzećima i organizacijama stoji po strani kada se donose odluke o informacijskoj sigurnosti, smatrajući da se radi isključivo o tehničkom pitanju. No, prema načelima korporativnog upravljanja ali i zakonske regulative (koja je prisutnija u razvijenijim zemljama, no sve bliža i nama) danas više nije moguće opravdati takvu nezainteresiranost. Sve razine rukovodstva, ne samo unutar kruga IT službi, preuzimaju odgovornost za sigurnost informacija iz svog djelokruga, a nebriga najvišeg rukovodstva o provedbi mjera sigurnosti smatra se primjerom nemarnosti koju vlasnici ili dioničari sankcioniraju.

Sigurnost informacijskih sustava postiže se prije svega dobrom definicijom neophodnih organizacijskih procesa i uključivanjem svih zaposlenih u ove procese. Tehnološka rješenja su često neophodan element bez kojeg se procesi ne bi mogli dobro provoditi, ali tehnološka rješenja dolaze na dnevni red tek kada smo definirali procese.

U praksi imamo, najčešće, suprotan smjer: odlučivanje o sigurnosnim mjerama je upravljano tehnološkim rješenjima a ne poslovnim zahtjevima. Rezultat toga je nekonzistentna sigurnost informacija i visoki troškovi primjene ovih rješenja, a često je i nezadovoljstvo rukovodstva konačnim rezultatima.

Ovaj blog će se baviti problematikom primjene "top-down" pristupa kod implemenatcije programa informacijske sigurnosti i upravljanjem rizicima kao osnovnim mehanizmom za takav pristup. Pisati ćemo o jednoj temi o kojoj se u Hrvatskoj rijetko govori, a to je "IT Governance", odnosno u upravljanju informacijskom sustavima unutar konteksta korporativnog upravljanja, glavnim sigurnosnim procesima koji se moraju provoditi i mnogim srodnim temama.

Vaše komentari i prijedlozi su nam osobito važni. Javite nam se na ovim stranicama ili na adresu inforisk@borea.hr