Tema jednog od ranijih napisa bila je odgovornost za provjeru stanja sigurnosti informacijskog sustava. Tom prilikom je rečeno da provjera valjanosti sigurnosnih mjera mora biti u nadležnosti odjela koji upravlja sustavom informacijske sigurnosti i da bi, radi vjerodostojnosti same provjere, takve aktivnosti trebale biti neovisne od drugih strana čiji se rad provjerava (prije svega od odjela informatike). No, u neposrednoj vezi s ovim problemom pojavljuju se najmanje tri pitanja:
1. Kako organizacijski pozicionirati odjel koji upravlja informacijskom sigurnošću?
2. Kakvim ovlastima ovaj odjel mora biti naoružan?
3. Kako će ovaj odjel odrediti uspješnost sigurnosnih mjera?
U odgovoru na prvo pitanje treba reći da je samo manji dio domaćih tvrtki pozicionirao odjel informacijske sigurnosti izvan službe informatike. Radi se uglavnom o bankama (iako ima izuzetaka i u nefinancijskom sektoru), i to ponajviše zato što je prošlogodišnja incijativa HNB-a, između ostalog, jasno istaknula zahtjev o neovisnom položaju "security officer-a". Tvrtke koje su propustile napraviti takvu reorganizaciju postigli su možda zadovoljavajuću kvalitetu sigurnosti informatičkih tehnologija, no suočavaju se s problemom ograničenog utjecaja na sigurnost informacija, a od sigurnosne nepogode dijeli ih možda samo korak.
No, pokretanje neovisnog odjela informacijske sigurnosti i njegovo pozicioniranje izvan IT-a nije, samo po sebi, jamstvo uspješnog rada. Ostaje niz pitanja: je li uprava samo formalno zadovoljila uvjete regulatora ili sigurnosnih normi, a novopokrenuti odjel lišila stvarnih ovlasti... je li zaista osigurala zadovoljavajuću razinu kompetencije, ali i primjeren proračun... je li novopokrenuta služba u pravom smislu neovisna ili je pozicionirana unutar nekih drugih odjela (npr. upravljanja rizicima, odjela opće sigurnosti, interne revizije...) a da pri tome nema dovoljnu neovisnost? Stoga, uprava mora dati jasan odgovor na drugo pitanje, odabrati kompetentne ljude i ovlastiti ih na adekvatan način.
Ali ni to nije sve. Odjel informacijske sigurnosti vidi često dosege svog angažmana isključivo kroz izradu pravilnika, pokretanja radnih procedura i podupirajuće, ponekad samo formalno, sudjelovanje u drugim poslovnim procesa. To je, naravno, nužno za uspjeh programa sigurnosti ali ne i dovoljno. Praćenje i mjerenje uspješnosti sigurnosnih aktivnosti i specifičnih mjera mora biti jedna od glavnih obveza odjela informacijske sigurnosti. Nije dovoljno postići usklađenost sigurnosnog sustava tvrtke s regulatornim zahtjevima ili sigurnosnim normama, baš kao što nije dovoljno investirati, ponekad i značajne iznose, u sigurnosnu tehnologiju. Karika koja nedostaje u ukupnom uspjehu je kontinuirano praćenje i upravljanje svim postignućima koje je proveo ili incirao odjel informacijske sigurnosti.
Naše su tvrtke za sada zagrizle u pitanje pod brojem 1, a neke su to pitanje i uspješno riješile. No, tek se manji tvrtki suočio i s preostalim pitanjima.
Netko će reći "Sve je u redu dok nema posljedica", no nadam se da je management svjestan da je ovo pogrešan odgovor na bilo koje pitanje postavljeno na ovom mjestu.
3.10.07
"Poslovni dnevnik" o insiderskim prijetnjama
S malim zakašnjenjem upućujem vas na članak "Informatički sustavi na udaru pete kolone" koji je prije desetak dana izašao u Poslovnom dnevniku. Pored nekoliko primjera iz američke prakse, članak donosi i procjenu o potencijalnim štetama koje se mogu očekivati kod insiderskih prijetnji.
Prijetnjama insidera bavio se i seminar koji je Borea održala krajem rujna u Zagrebu, a članak iz Poslovnog dnevnika donosi i kratki intervju o ovoj temi koji sam s vodio s autorom članka.
Prijetnjama insidera bavio se i seminar koji je Borea održala krajem rujna u Zagrebu, a članak iz Poslovnog dnevnika donosi i kratki intervju o ovoj temi koji sam s vodio s autorom članka.
13.9.07
Curenje informacija i vrijednost dionica
U Jutarnjem listu od 8.9.2007. objavljen je razgovor s Antom Samodolom, čelnim čovjekom Hrvatske agencije za nadzor financijskih usluga. Hanfa je svojim radom izazvala brojne reakcije, a stvorila je i neke "neprijatelje". Nemam namjeru baviti se ovim dijelom Hanfine aktivnosti već ukazati na jedan od odgovora iz ovog članka.
Na pitanje o "redovitim curenjem informacija o upisu dionica kod javnih ponuda", Samodol potvrđuje takvu praksu, te najavljuje da će se Hanfa svim silama boriti protiv toga. Naime, ovakva informacija može imati snažan poticaj za neopravdani skok cijena dionica.
Ovaj odgovor pokazuje na najbolji način snagu informacija na tržištu dionica i mogućnosti manipulacija cijenama dionica korištenjem informacija. Mogući su i slučajevi kada se određene informacije neće objaviti odnosno biti će poznate samo uskom broju ljudi i to u veoma pogodnom trenutku.
Kao što Samodol tvrdi, "u zakonu je jasno što tko smije objaviti, a što ne smije". No, problem predstavlja činjenica da je manipulaciju informacijama ponekad veoma teško otkriti. Danas se preko 99% informacija koje bi mogle imati utjecaja na poslovanje tvrtki, pa tako i na cijenu dionica, obrađuje ili pohranjuje u digitalnom obliku, odnosno izmjenjuju nekim od oblika elektroničke komunikacije. Mjesta otkrivanja ili prikrivanja takvih informacija veoma su raznolika i često nedodirljiva u potrebnom trenutku. Čak i kad naknadno postane jasno da je došlo do manipulacije, načinjenu štetu teško je pokriti.
Stoga, pored propisivanja što se smije ili ne smije objaviti, zakon i provedbena praksa mora jasnije definirati kako se takve informacije moraju čuvati i obrađivati, te predvidjeti odgovornost rukovodstva i za slučajeve nemarnog odnosa prema važnim podacima. Vjerujemo da će i Hanfa prepoznati taj pravac uređivanja financijskog trižišta.
Na pitanje o "redovitim curenjem informacija o upisu dionica kod javnih ponuda", Samodol potvrđuje takvu praksu, te najavljuje da će se Hanfa svim silama boriti protiv toga. Naime, ovakva informacija može imati snažan poticaj za neopravdani skok cijena dionica.
Ovaj odgovor pokazuje na najbolji način snagu informacija na tržištu dionica i mogućnosti manipulacija cijenama dionica korištenjem informacija. Mogući su i slučajevi kada se određene informacije neće objaviti odnosno biti će poznate samo uskom broju ljudi i to u veoma pogodnom trenutku.
Kao što Samodol tvrdi, "u zakonu je jasno što tko smije objaviti, a što ne smije". No, problem predstavlja činjenica da je manipulaciju informacijama ponekad veoma teško otkriti. Danas se preko 99% informacija koje bi mogle imati utjecaja na poslovanje tvrtki, pa tako i na cijenu dionica, obrađuje ili pohranjuje u digitalnom obliku, odnosno izmjenjuju nekim od oblika elektroničke komunikacije. Mjesta otkrivanja ili prikrivanja takvih informacija veoma su raznolika i često nedodirljiva u potrebnom trenutku. Čak i kad naknadno postane jasno da je došlo do manipulacije, načinjenu štetu teško je pokriti.
Stoga, pored propisivanja što se smije ili ne smije objaviti, zakon i provedbena praksa mora jasnije definirati kako se takve informacije moraju čuvati i obrađivati, te predvidjeti odgovornost rukovodstva i za slučajeve nemarnog odnosa prema važnim podacima. Vjerujemo da će i Hanfa prepoznati taj pravac uređivanja financijskog trižišta.
3.9.07
Zaštita privatnosti na radnom mjestu
Početkom kolovoza se u Jutranjem listu pojavio članak na temu zaštite privatnosti u slučajevima korištenja elektroničke pošte na radnom mjestu . Članak navodi na zaključak da zaposlenici ne trebaju očekivati pretjeranu zaštitu osobnih podataka u takvim slučajevima i da poslodavac zadržava pravo uvida u takve oblike komunikacije.
Nekoliko tjedana kasnije, u rubrici pisma čitatelja objavljeno je pismo jednog pravnika koji tvrdi da je takav zaključak u suprotnosti s europskom praksom, te da zaposlenici imaju pravo na zaštitu elementarnih oblika privatnosti na radnom mjestu. Čitatelj ipak na kraju sugerira da bi stvarna praksa trebala biti negdje u sredini.
U međuvremenu ova se tema pojavila i u drugim medijima (npr. u jutarnjem programu HTV-a), a vjerujem da su mnogi od vas barem jednom sudjelovali u poduljoj debati na ovu temu u svojim organizacijama.
Naravno istina je negdje u sredini, no pitanje je gdje? Ja osobno smatram da zaštita privatnosti i prava pojedinaca mora imati prioritet i da svaka organizacija (državna tijela, financijske institucije, telekomunikacijske tvrtke, velike korporacije...) mora, ne samo pokazati brigu, nego i takve podatke zaštiti na pravi način.
No, u slučaju zaštite osobnih podataka na radnom mjestu dio odgovornosti moraju preuzeti i zaposlenici.
Naravno, da je apsurdno zabranjivati korištenje elektroničke pošte tijekom radnog vremena (što je moglo i proći prije pet-šet godina), baš kao što normalna organizacija neće zabraniti ni privatne telefonske razgovore. No, treba znati da postoje razlike između telefonskog razgovora i elektroničke pošte.
Telefonski razgovori nose ograničene rizike i to prije svega uslijed prekomjernog korištenja (ograničavanje učinkovitosti na radnom mjestu i dodatni troškovi za poslodavca), a takvi se rizici mogu prepoznati na temelju jednostavnih indikatora (npr. uvidom u izvještaje o troškovima telefonske centrale).
Stvari su složenije kod elektroničke pošte. Pored prekomjernog korištenja, elektronička pošta sadrži i mnoge druge rizike (curenje povjerljivih informacija, distribucija nelegalnih sadržaja, ugrožavanje integriteta drugih osoba...). U svjetskoj (uključujući i europsku) praksu poznati su slučajevi gdje su zaposlenici napravili takve delikte, no odgovornima se držalo organizacije. Upravo zbog tako predviđenih obveza i odgovornosti, organizacije moraju pravilnikom urediti korištenje elektroničke pošte, a uvođenjem tehnika učinkovitog nadzora provjeravati provedbu pravilnika.
Pojam "nadzor" odmah izaziva oprez i nepovjerenje, no treba reći da se nadzor elektroničke komunikacije, pa tako i elektroničke pošte, može (a i mora) provesti bez uvida u ukupni kontekst i sadržaj pisane komunikacije, a sasvim pouzdane indikatore je moguće dobiti na nižim mrežnim razinama: vrsta i količina prometa po intrenim ili vanjskim mrežnim adresama, pokazatelji odstupanja od prosječnih vrijednosti, karakter prometa, prisutnost kritičnih pojmova. Naravno, uvijek se može pregledati i sadržaj komunikacije, no to onda mora biti na temelju čvrstih indikatora i u skladu s propisanom procedurom kako bi se zaštitila privatnost zaposlenika.
U svakom slučaju, zaposlenika se mora upozoriti da organizacija ne snosi odgovornost za zaštitu njegovih (ili njenih) osobnih podataka koje zaposlenik pošalje u privatnoj komunikaciji. Nadalje, zaposlenik mora znati da organizacija može, zbog obveza koje ima prema regulatorima ili drugim tijelima koji propisuju uvjete poslovanja, u određenim, uvjetima provjeriti i sadržaj osobne komunikacije. Uz to, dobronamjerna organizacija će ograničiti i sankcionirati sve zloupotrebe takvog nadzora.
Ne treba zaboraviti da mnoge organizacije prikupljaju znatno vrijednije osobne podatke o svojim zaposlenicima u poslovnim bazama podataka.
Isto tako, svaka osoba mora znati da je puno više osobnih podataka, privatnih elektroničkih poruka i pokazatelja o osobnim navikama surfanja Internetom prikupljeno u arhivama telekomunikacijskih kuća i ISP tvrtki. Osobno smatram da se (opravdana) borba za zaštitu privatnosti u elektroničkoj komunikaciji mora voditi na ovim frontovima.
Nekoliko tjedana kasnije, u rubrici pisma čitatelja objavljeno je pismo jednog pravnika koji tvrdi da je takav zaključak u suprotnosti s europskom praksom, te da zaposlenici imaju pravo na zaštitu elementarnih oblika privatnosti na radnom mjestu. Čitatelj ipak na kraju sugerira da bi stvarna praksa trebala biti negdje u sredini.
U međuvremenu ova se tema pojavila i u drugim medijima (npr. u jutarnjem programu HTV-a), a vjerujem da su mnogi od vas barem jednom sudjelovali u poduljoj debati na ovu temu u svojim organizacijama.
Naravno istina je negdje u sredini, no pitanje je gdje? Ja osobno smatram da zaštita privatnosti i prava pojedinaca mora imati prioritet i da svaka organizacija (državna tijela, financijske institucije, telekomunikacijske tvrtke, velike korporacije...) mora, ne samo pokazati brigu, nego i takve podatke zaštiti na pravi način.
No, u slučaju zaštite osobnih podataka na radnom mjestu dio odgovornosti moraju preuzeti i zaposlenici.
Naravno, da je apsurdno zabranjivati korištenje elektroničke pošte tijekom radnog vremena (što je moglo i proći prije pet-šet godina), baš kao što normalna organizacija neće zabraniti ni privatne telefonske razgovore. No, treba znati da postoje razlike između telefonskog razgovora i elektroničke pošte.
Telefonski razgovori nose ograničene rizike i to prije svega uslijed prekomjernog korištenja (ograničavanje učinkovitosti na radnom mjestu i dodatni troškovi za poslodavca), a takvi se rizici mogu prepoznati na temelju jednostavnih indikatora (npr. uvidom u izvještaje o troškovima telefonske centrale).
Stvari su složenije kod elektroničke pošte. Pored prekomjernog korištenja, elektronička pošta sadrži i mnoge druge rizike (curenje povjerljivih informacija, distribucija nelegalnih sadržaja, ugrožavanje integriteta drugih osoba...). U svjetskoj (uključujući i europsku) praksu poznati su slučajevi gdje su zaposlenici napravili takve delikte, no odgovornima se držalo organizacije. Upravo zbog tako predviđenih obveza i odgovornosti, organizacije moraju pravilnikom urediti korištenje elektroničke pošte, a uvođenjem tehnika učinkovitog nadzora provjeravati provedbu pravilnika.
Pojam "nadzor" odmah izaziva oprez i nepovjerenje, no treba reći da se nadzor elektroničke komunikacije, pa tako i elektroničke pošte, može (a i mora) provesti bez uvida u ukupni kontekst i sadržaj pisane komunikacije, a sasvim pouzdane indikatore je moguće dobiti na nižim mrežnim razinama: vrsta i količina prometa po intrenim ili vanjskim mrežnim adresama, pokazatelji odstupanja od prosječnih vrijednosti, karakter prometa, prisutnost kritičnih pojmova. Naravno, uvijek se može pregledati i sadržaj komunikacije, no to onda mora biti na temelju čvrstih indikatora i u skladu s propisanom procedurom kako bi se zaštitila privatnost zaposlenika.
U svakom slučaju, zaposlenika se mora upozoriti da organizacija ne snosi odgovornost za zaštitu njegovih (ili njenih) osobnih podataka koje zaposlenik pošalje u privatnoj komunikaciji. Nadalje, zaposlenik mora znati da organizacija može, zbog obveza koje ima prema regulatorima ili drugim tijelima koji propisuju uvjete poslovanja, u određenim, uvjetima provjeriti i sadržaj osobne komunikacije. Uz to, dobronamjerna organizacija će ograničiti i sankcionirati sve zloupotrebe takvog nadzora.
Ne treba zaboraviti da mnoge organizacije prikupljaju znatno vrijednije osobne podatke o svojim zaposlenicima u poslovnim bazama podataka.
Isto tako, svaka osoba mora znati da je puno više osobnih podataka, privatnih elektroničkih poruka i pokazatelja o osobnim navikama surfanja Internetom prikupljeno u arhivama telekomunikacijskih kuća i ISP tvrtki. Osobno smatram da se (opravdana) borba za zaštitu privatnosti u elektroničkoj komunikaciji mora voditi na ovim frontovima.
21.8.07
Deset izjava koje vam zvuče poznato
U ovom napisu, prvom nakon nešto dulje ljetne pauze, želim vas uputiti na zanimljiv članak koji je nedavno izašao u Computerworldu ("Oh, don't tell me: 10 claims that scare security pros", 10.8.2007.). Ipak, čini mi se da će vam većina od deset točaka zvučati veoma poznati, ali ne zbog toga što ste možda već pročitali citirani članak, već zbog toga što ste ove tvrdnje čuli od svojih kolega, svojih šefova, svojih informatičara... Iz ustiju rukovoditelja, navedene tvrdnje zvuče pomalo bezazleno i tek kao minorni nedostaci s kojim se može živjeti, no iza svake tvrdnje stoje kritični propusti koji mogu kompromitirati ukupnu informacijsku sigurnost organizacije.
Ovom prilikom dodajem i jedanaestu izjavu:
"Do sada nismo imali ni jedan kritičan sigurnosni incident."
Ovakva izjava može se opravdati isključivo ako je organizacija pokrenula sve mjere proaktivnog nadzora rada informacijskog sustava i ako takve aktivnosti zaista i provodi. No, iskustvo govori da ćete sresti više koje organizacija su u stanju samouvjereno izreći ovu jedanaestu tvrdnju nego onih koji će moći na djelu pokazati aktivnosti nadzora i praćenja sustava informacijske sigurnosti.
Ovom prilikom dodajem i jedanaestu izjavu:
"Do sada nismo imali ni jedan kritičan sigurnosni incident."
Ovakva izjava može se opravdati isključivo ako je organizacija pokrenula sve mjere proaktivnog nadzora rada informacijskog sustava i ako takve aktivnosti zaista i provodi. No, iskustvo govori da ćete sresti više koje organizacija su u stanju samouvjereno izreći ovu jedanaestu tvrdnju nego onih koji će moći na djelu pokazati aktivnosti nadzora i praćenja sustava informacijske sigurnosti.
Pretplati se na:
Postovi (Atom)