Οπως η γυναίκα του καίσαρα δεν αρκεί να είναι τίμια, πρέπει και να φαίνεται τίμια, έτσι και μια εταιρεία δεν αρκεί να είναι ασφαλής: πρέπει να είναι σίγουρη για την ασφάλειά της, αλλά και να μπορεί να την αποδείξει. Και παρόλο που η λέξη «audit» μπορεί να προκαλέσει ανατριχίλα και στο πιο ανθεκτικό στέλεχος, είναι ο πλέον κατάλληλος δρόμος για τη διασφάλιση της... ασφάλειας της εταιρείας.

Κάθε επιχείρηση, συμπεριλαμβανομένης της δική σας, έχει πολύτιμα περιουσιακά στοιχεία Πληροφορικής, όπως υπολογιστές, δίκτυα, και δεδομένα. Και για την προστασία των εν λόγω περιουσιακών στοιχείων, απαιτείται από τις εταιρείες, μεγάλες και μικρές, να πραγματοποιούν τους δικούς τους ΙΤ ελέγχους ασφαλείας προκειμένου να αποκτήσουν μια σαφή εικόνα των κινδύνων ασφάλειας που αντιμετωπίζουν, καθώς και για το ποιος είναι ο καλύτερος τρόπος αντιμετώπισης των απειλών αυτών.

Παρακάτω παραθέτουμε 10 βασικά βήματα που θα σας βοηθήσουν στη διεξαγωγή των δικών σας ΙΤ security audit. Και παρόλο που αυτά τα βήματα, προφανώς, δεν είναι τόσο εκτεταμένα όσο είναι τα audits που παρέχονται από έναν εξειδικευμένο εξωτερικό πάροχο, ωστόσο θα σας βάλουν στο σωστό μονοπάτι για την προστασία της εταιρείας σας.

Βήμα 1ο: Καθορίστε τον στόχο του έλεγχου: Δημιουργείστε μία λίστα των παγίων και μία περίμετρο ασφάλειας
Το πρώτο βήμα στη διεξαγωγή ενός audit είναι να δημιουργήσετε μία κύρια λίστα με τα περιουσιακά στοιχεία και τα πάγια της εταιρείας σας, προκειμένου αργότερα να αποφασίσετε τι χρειάζεται να προστατευτεί μέσω ενός audit. Και ενώ είναι σχετικά εύκολο να καταγράψετε τα απτά πάγια, όπως οι υπολογιστές, οι servers και τα αρχεία, η διαδικασία αυτή δυσχεραίνει όσον αφορά στην καταγραφή των άυλων κεφαλαίων. Για να διασφαλίσετε τη συνέπεια στην επιλογή των άυλων κεφαλαίων, είναι χρήσιμο να σχεδιάσετε μία «περίμετρο ασφάλειας» για τις ελεγκτικές υπηρεσίες (audit).

Τι είναι η περίμετρος ασφάλειας; Η περίμετρος ασφάλειας είναι τόσο ένα εννοιολογικό όσο και ένα φυσικό όριο, εντός του οποίου θα εστιάσει το security audit, ενώ θα αγνοήσει ότι βρίσκεται εκτός του ορίου αυτού. Η κάθε εταιρεία εν τέλει θα αποφασίσει για τον εαυτό της ποια θα είναι η περίμετρος ασφάλειάς της, αλλά ένας γενικός εμπειρικός κανόνας υπαγορεύει ότι η περίμετρος ασφάλειας πρέπει να είναι το μικρότερο όριο που περιλαμβάνει τα πάγια τα οποία κατέχει και/ή χρειάζεται να ελέγχει η εταιρεία για την ασφάλειά της.

Πάγια προς εξέταση: Μόλις ορίσετε την περίμετρο ασφάλειας, είναι η στιγμή να ολοκληρώσετε και τη λίστα των παγίων και κεφαλαίων. Αυτή η διαδικασία απαιτεί να συνυπολογίσετε κάθε πιθανό πάγιο και να αποφασίσετε κατά πόσο εμπίπτει στην περίμετρο ασφάλειας που έχετε θέσει.

Παραθέτουμε μία λίστα από τα πλέον κοινά και ευαίσθητα πάγια:
1. Υπολογιστές και laptops
2. Routers και εξοπλισμός δικτύου
3. Εκτυπωτές
4. Φωτογραφικές μηχανές, ψηφιακές και αναλογικές, που περιέχουν ευαίσθητες εταιρικές φωτογραφίες
5. Δεδομένα – πωλήσεις, πληροφορίες πελατών, πληροφορίες εργαζομένων κ.λπ.
6. Εταιρικά smartphones και PDA
7. Τηλέφωνα VoIP, IP PBXs και τους σχετικούς servers
8. Καταγραφές και αρχεία κλήσεων
9. Email
10. Αρχεία προγράμματος και δραστηριοτήτων του ανθρώπινου δυναμικού
11. Ιστοσελίδες, και ιδιαίτερα αυτές που ζητούν δεδομένα των πελατών
12. Web server computer
13. Κάμερες ασφαλείας
14. Κάρτες πρόσβασης των εργαζομένων
15. Σημεία πρόσβασης (για παράδειγμα οποιοδήποτε scanner ελέγχει την είσοδο σε μία αίθουσα).

Προφανώς ο παραπάνω κατάλογος δεν είναι πλήρης, και θα πρέπει να αφιερώσετε χρόνο στον καθορισμό των ευαίσθητων παγίων που έχει η εταιρεία σας.

Επιπλέον, ενδείκνυται να χρησιμοποιήσετε όσο περισσότερες λεπτομέρειες μπορείτε στην κατάρτιση του καταλόγου σας (για παράδειγμα «25 Dell laptops μοντέλο D420 Version 2006» αντί για «25 υπολογιστές»), καθώς αυτό θα σας βοηθήσει να αναγνωρίσετε με περισσότερη σαφήνεια τους ιδιαίτερους κινδύνους που κάθε πάγιο της εταιρείας σας αντιμετωπίζει.


Βήμα 2ο: Δημιουργείστε ένα κατάλογο απειλών
Δεν μπορείτε να προστατεύσετε τα πάγια απλώς και μόνο γνωρίζοντας ποια είναι, αλλά πρέπει επίσης να κατανοήσετε με ποιο τρόπο το καθένα χωριστά κινδυνεύει ή απειλείται. Οπότε σε αυτό το στάδιο θα συνθέσετε ένα κατάλογο με όλες τις απειλές που αντιμετωπίζουν τα πάγιά σας.

Τι να περιλαμβάνουν οι απειλές; Αν ο κατάλογος με τις απειλές σας είναι πολύ ευρύς, ο έλεγχος ασφάλειας θα καταλήξει να επικεντρωθεί σε απειλές που είναι εξαιρετικά μικρές ή ασυνήθιστες. Οταν καλείστε να αποφασίσετε αν θα συμπεριλάβετε μια συγκεκριμένη απειλή στον ‘κατάλογο των απειλών’ σας, έχετε κατά νου ότι η εξέταση θα πρέπει να ακολουθεί μία προοδευτική κλίμακα.

Για παράδειγμα, αν εξετάζετε την πιθανότητα ένας τυφώνας να πλημμυρίσει τους servers σας, θα πρέπει να σκεφτείτε τόσο πόσο ασυνήθιστη απειλή είναι αυτή, αλλά και πόσο καταστροφική θα ήταν η ζημιά. Μία σχετικά ασυνήθιστη απειλή μπορεί να συμπεριληφθεί στον κατάλογό σας αν η πιθανή ζημιά που θα επιφέρει στην εταιρεία σας είναι μεγάλη.

Συνηθισμένες απειλές για να ξεκινήσετε: Παραθέτουμε κάποιες από τις σχετικά συνήθεις απειλές ασφάλειας που θα σας βοηθήσουν στην κατάρτιση του καταλόγου σας:
1. Passwords υπολογιστών και δικτύου: Υπάρχει καταγραφή με όλους τους ανθρώπους με password (και τι είδους); Πόσο ασφαλής είναι αυτή η ACL λίστα και πόσο ισχυρά είναι τα passwords που χρησιμοποιούνται αυτή τη στιγμή;
2. Φυσικά κεφάλαια: Μπορούν οι υπολογιστές ή τα laptop να μετακινηθούν και να απομακρυνθούν από το χώρο τους από επισκέπτες ή ακόμα και εργαζόμενους;
3. Αρχεία φυσικών κεφαλαίων: Υπάρχουν; Εχει γίνει back up;
4. Backups δεδομένων: Τι backup των ψηφιακών κεφαλαίων υπάρχουν; Πώς γίνεται το backup, πού βρίσκεται και ποιος το κάνει;
5. Καταγραφή πρόσβασης δεδομένων: Κάθε φορά που κάποιος έχει πρόσβαση σε κάποια δεδομένα, αυτό καταγράφετε μαζί με το ποιο, τι, πότε, πού κ.λπ.;
6. Πρόσβαση σε ευαίσθητα δεδομένα πελατών, όπως για παράδειγμα πληροφορίες πιστωτικών καρτών: Ποιος έχει πρόσβαση; Πώς μπορεί η πρόσβαση να ελεγχθεί; Μπορεί κάποιος έξω από τις εγκαταστάσεις της εταιρείας να έχει πρόσβαση σε αυτές τις πληροφορίες;
7. Πρόσβαση σε λίστες πελατών: Υπάρχει κάποια ‘κερκόπορτα’ στο website σας που δίνει πρόσβαση στη βάση δεδομένων πελατών σας; Μπορεί να ‘χακευτεί’;
8. Υπεραστικές κλήσεις: Υπάρχει περιορισμός στις υπεραστικές κλήσεις ή είναι ελεύθερες για όλους; Μήπως πρέπει να υπάρξει περιορισμό;
9. Emails: Υπάρχουν spam φίλτρα; Πρέπει οι εργαζόμενοι να εκπαιδευτούν στο πώς να εντοπίζουν πιθανά spam ή phishing emails; Υπάρχει κάποια εταιρική πολιτική που να υπαγορεύει ότι εξερχόμενα emails προς πελάτες δεν πρέπει να περιέχουν συγκεκριμένα είδη hyperlinks;

Βήμα 3ο: Προβλέψτε το μέλλον
Σε αυτό το σημείο έχετε συνθέσει τη λίστα των τρεχουσών απειλών, αλλά τι συμβαίνει με τις απειλές ασφάλειας που δεν έχετε εντοπίσει ακόμα, ή δεν έχουν καν αναπτυχθεί; Ενας καλός έλεγχος ασφάλειας πρέπει να συνυπολογίζει όχι μόνο τις απειλές αυτές που αντιμετωπίζει η εταιρεία σήμερα, αλλά και αυτές που θα αναδειχτούν στο μέλλον.

Εξετάστε το ιστορικό των απειλών σας: Το πρώτο βήμα για την πρόβλεψη του μέλλοντος είναι να εξετάσετε τα αρχεία της εταιρείας σας και να μιλήσετε με παλιότερους εργαζομένους σχετικά με τις απειλές ασφάλειας που αντιμετώπισε η εταιρεία στο παρελθόν. Οι περισσότερες απειλές επαναλαμβάνονται, οπότε με το να καταγράψετε τις εμπειρίες της εταιρείας και να συμπεριλάβετε τις σχετικές απειλές στον κατάλογο απειλών θα έχετε μία πιο ολοκληρωμένη εικόνα των τρωτών σας σημείων.

Διερευνείστε τις τάσεις στο κομμάτι της ασφάλειας: Εκτός από το να ελέγξετε τις απειλές προς τον κλάδο που δραστηριοποιείτε η εταιρεία σας, οι ειδικοί προτείνουν να παρακολουθείτε γενικώς τις τάσεις και τις εξελίξεις στις απειλές ασφάλειας.


Βήμα 4ο: Θέστε προτεραιότητες στα πάγιά σας και τα τρωτά σημεία
Σε αυτή τη φάση έχετε αναπτύξει έναν ολοκληρωμένο κατάλογο τόσο των παγίων όσο και των απειλών ασφάλειας που αντιμετωπίζει η εταιρεία σας. Αλλά κάθε πάγιο και κάθε απειλή δεν έχει την ίδια βαρύτητα ή προτεραιότητα. Σε αυτό το βήμα θέστε τις προτεραιότητές σας όσον αφορά τα πάγια και τα τρωτά σημεία, προκειμένου να γνωρίζετε ποιοι είναι οι μεγαλύτεροι κίνδυνοι ασφάλειας για την εταιρεία, και κατ’ επέκταση να επιμερίσετε ανάλογα τους εταιρικούς πόρους.

Υπολογισμός κινδύνου/ υπολογισμός πιθανότητας: Οσο μεγαλύτερος είναι ο κίνδυνος τόσο μεγαλύτερη προτεραιότητα έχει η αντιμετώπισή του.

Ο τύπος για τον υπολογισμό του κινδύνου είναι: Κίνδυνος = Πιθανότητα x Ζημιά

Ο τύπος αυτός του κινδύνου δηλώνει ότι απλώς πολλαπλασιάζετε την πιθανότητα μιας απειλής να συμβεί με τη ζημιά που θα προξενήσει αν τελικά συμβεί. Το αποτέλεσμα αυτής της εξίσωσης είναι ο κίνδυνος που δημιουργεί η απειλή για την εταιρεία σας.

Υπολογίζοντας την πιθανότητα: Η πιθανότητα δεν είναι παρά το ενδεχόμενο μια συγκεκριμένη απειλή να προκύψει ως γεγονός. Δυστυχώς, δεν υπάρχει βιβλίο που να αναφέρει την πιθανότητα το site της εταιρείας της να ‘χακευτεί’ φέτος, οπότε θα πρέπει να βρείτε αυτά τα στοιχεία μόνοι σας.

Υπολογίζοντας τη ζημιά: Ποια και πόση είναι η ζημιά που θα προκαλούσε μια συγκεκριμένη απειλή στην περίπτωση που προέκυπτε; Ο υπολογισμός της ενδεχόμενης ζημιάς μπορεί να υπολογιστεί με ποικίλους τρόπους. Μπορείτε να υπολογίσετε το κόστος σε ευρώ, ή σε ανθρωποώρες. Οποια μέθοδο και αν ακολουθήσετε, είναι σημαντικό να παραμείνετε συνεπείς σε ολόκληρη τη διαδικασία του ελέγχου, προκειμένου οι προτεραιότητες που θα τεθούν να είναι ακριβείς.

Σχέδιο δράσης
Δουλεύοντας με το νέο-αναπτυχθέντα κατάλογο των προτεραιοτήτων σας, θα υπάρξει μία σειρά από πιθανούς τρόπους αντίδρασης για κάθε μία απειλή. Τα υπόλοιπα έξι βήματα αυτού του άρθρου καλύπτουν τους κύριους τρόπους αντίδρασης ή ανταπόκρισης μιας εταιρείας για κάθε απειλή. Και προφανώς αυτοί οι τρόποι αντίδρασης σε καμία περίπτωση δεν είναι οι μοναδικοί κατάλληλοι. Ωστόσο, μπορούν να καλύψουν τη μεγάλη πλειοψηφία των απειλών που αντιμετωπίζει η εταιρεία σας.

Βήμα 5ο: Αναπτύξτε Network Access Controls
Οι έλεγχοι πρόσβασης δικτύου (NACs) ελέγχουν την ασφάλεια κάθε χρήστη που προσπαθεί να έχει πρόσβαση σε ένα δίκτυο. Αν για παράδειγμα, προσπαθείτε να βρείτε μία λύση απέναντι στην απειλή να προσπαθήσει ο ανταγωνισμός να κλέψει εταιρικές πληροφορίες από ιδιωτικά κομμάτια του site σας, η εφαρμογή Network Access Controls είναι η λύση.

Είναι η πρώτη διαδικασία ασφάλειας που συναντά οποιοσδήποτε (άνθρωπος ή σύστημα) προσπαθεί να συνδεθεί με τα πάγια Πληροφορικής της επιχείρησης. Τα network access controls θα πρέπει να παρακολουθούν και την ασφάλεια των χρηστών και συστημάτων που είναι ήδη συνδεδεμένα στο δίκτυο. Σε κάποιες περιπτώσεις, η διαδικασία αυτή θα αφορά και τη διόρθωση ή τη μετρίαση του κινδύνου βάσει διαγνωσμένων απειλών και σε προφίλ χρηστών ή συστημάτων.


Βήμα 6ο: Αναπτύξτε Intrusion prevention
Η πρόληψη των παραβιάσεων καλύπτει, ως διαδικασία, πολύ περισσότερα απ’ ότι το παραδοσιακό intrusion detection. Είναι πιο κοντά στο access control, καθώς αποτελεί το πρώτο επίπεδο ασφάλειας που μπλοκάρει χρήστες και συστήματα που προσπαθούν να εκμεταλλευτούν γνωστά τρωτά σημεία. Η διαδικασία αυτή θα πρέπει να περιλαμβάνει την επιβολή πολιτικών και ελέγχων που ελαχιστοποιούν το εύρος μιας επίθεσης στο σύνολο του δικτύου. Αν και τα συστήματα intrusion detection αποτελούν εμφανές και μη διαπραγματεύσιμο συστατικό της διαδικασίας, το ίδιο ισχύει και για άλλες τεχνολογίες -όπως τα firewalls.

Βήμα 7ο: Αναπτύξτε Identity & access management
Η διαδικασία αυτή ελέγχει το ποιος έχει πρόσβαση σε τι και πότε. Το authentication και το authorization αποτελούν κεντρικούς άξονες της διαδικασίας, αλλά η συνεπής διαχείριση των πολιτικών και της αποθήκευσης αποτελούν εξίσου σημαντικούς παράγοντες.

Βήμα 8ο: Δημιουργήστε backups
Οταν μιλάμε για απειλές στην ασφάλεια της Πληροφορικής, το πρώτο πράγμα που έρχεται στο μυαλό μας είναι το hacking. Αλλά μία μακράν πιο συνηθισμένη απειλή για τις περισσότερες εταιρείες είναι η κατά λάθος απώλεια των πληροφοριών. Και ο πιο συνηθισμένος τρόπος για να αντιμετωπιστούν αυτές οι απειλές είναι η ανάπτυξη ενός σχεδίου για τακτικά backups.

Βήμα 9ο: Φιλτράρετε και προστατεύστε τα emails
Κάθε μέρα δισεκατομμύρια spam emails στέλνονται σε όλο τον κόσμο. Για να ελαχιστοποιήσετε τους κινδύνους που πηγάζουν από αυτά τα emails απαιτούνται spam φίλτρα και φυσικά καλά εκπαιδευμένο προσωπικό. Οπότε, αν η απειλή που αντιμετωπίζετε προέρχεται από spam emails η προφανής (και σωστή) απάντηση είναι να αναπτύξετε ένα σύστημα φιλτραρίσματος και ασφάλειας των email για την εταιρεία σας.

Βήμα 10ο: Προστατευτείτε από φυσικές εισβολές
Παρά την άνοδο της νέας γενιάς απειλών όπως το hacking και τα spam emails, οι παλιές απειλές εξακολουθούν να θέτουν σε κίνδυνο τα πάγια και τα κεφάλαια της εταιρείας. Μία από τις πιο κοινές εισβολές είναι η φυσική εισβολή. Αν, για παράδειγμα, προσπαθείτε να αντιμετωπίσετε την απειλή του κάποιος να μπει κάποιος στο γραφείο και να κλέψει τα laptops, και κατ’ επέκταση πολύτιμες πληροφορίες της εταιρείας, τότε ένα σχέδιο για την αντιμετώπιση φυσικών εισβολών είναι απαραίτητο.


Συμπέρασμα
Τα παραπάνω δέκα βήματα που περιγράψαμε για τη διεξαγωγή των δικών σας IT Security Audit θα σας οδηγήσουν στο να αναγνωρίσετε τις απειλές που αντιμετωπίζει η εταιρεία σας, ενώ θα σας βοηθήσουν επίσης να αναπτύξετε ένα σχέδιο για την αντιμετώπισή τους. Αλλά είναι σημαντικό να θυμάστε ότι οι απειλές ασφάλειας μεταβάλλονται συνεχώς. Και για να είναι η εταιρεία σας ασφαλής θα πρέπει συνεχώς να αξιολογείτε καινούργιες απειλές και να αναθεωρείτε τους τρόπους αντίδρασης στις παλιές.

Security Audit: Η πρόταση της Space Hellas
Της Χαράς Βασιλειάδου, Information Security Specialist, Space Hellas
Το Information Security τμήμα της Space Hellas το οποίο απαρτίζεται από πιστοποιημένα στελέχη με πολυετή εμπειρία προσφέρει επί πολλά συναπτά έτη, υπηρεσίες που αφορούν στην Ασφάλεια Πληροφοριών.

Για εμάς, η Security Audit διαδικασία αφορά στην εξέταση λειτουργικότητας του εκάστοτε οργανισμού σε επιχειρηματικό επίπεδο, με κριτήρια αξιολόγησης τη συμβατότητα με διεθνή standards ασφάλειας, δημοσιευμένες μελέτες ειδικών τεχνολογικών θεμάτων, όπως και σε εφαρμοσμένες πρακτικές πρωτοπόρων οργανισμών.

Σε επίπεδο υπολογιστικής υποδομής, η Space Hellas προσφέρει εκτεταμένο security review των προϊόντων και συστημάτων τα οποία χρησιμοποιούνται, βάσει ειδικών οδηγιών που δίνονται από τους ίδιους τους κατασκευαστές, αλλά και guidelines που εκδίδονται από διεθνείς ανεξάρτητους οργανισμούς.

Ο τρόπος προσέγγισης και διεξαγωγής ενός Security Audit περιλαμβάνει Ερωτηματολόγια, Συνεντεύξεις, On-Site επισκέψεις των Συμβούλων Ασφάλειας της Space Hellas και ανασκόπηση όλων των εγγράφων του οργανισμού που αφορούν στην ασφάλεια πληροφοριών (Πολιτική Ασφάλειας, Προηγούμενοι Ελεγχοι, Τοπολογία Δικτύου κ. ά.).

Η υπηρεσία περιλαμβάνει ενδεικτικά τους παρακάτω ελέγχους:
• Διαδικασίες και Πολιτικές Ασφάλειας του Οργανισμού
• Κτηριακή Υποδομή/ Φυσική Ασφάλεια
• Πληροφοριακά Συστήματα
• Οργάνωση και Διοίκηση Πληροφορικής
• Ανάπτυξη και Προμήθεια Συστημάτων
• Λειτουργία και Υποστήριξη
• Εσωτερικός Έλεγχος και Διαδικασίες Ασφάλειας
• Συμμόρφωση με Νομικό και Κανονιστικό Πλαίσιο.

Συνοπτικά, τα οφέλη ενός οργανισμού από την υπηρεσία Security Audit είναι:
• Συμμόρφωση με κανονιστικό και νομικό πλαίσιο
• Αποτύπωση ολοκληρωμένης εικόνας του Επιπέδου Ασφάλειας
• Αξιοπιστία
• Μείωση των ευπαθειών
• Ευαισθητοποίηση σε θέματα ασφάλειας πληροφοριών
• Οργάνωση και προτεραιοποίηση των IT Projects.

Η Space Hellas προσφέρει όλα αυτά τα χρόνια υπηρεσίες ασφάλειας με τον πιο αξιόπιστο τρόπο, γεγονός που αποδεικνύεται τόσο μέσω των ολοκληρωμένων έργων που έχουμε στο portfolio μας όσο και μέσω του συνόλου των πιστοποιήσεών  μας ως εταιρεία στον τομέα της Ασφάλειας Πληροφοριών (ενδεικτικά: ISO 27001:2005, ΑΔΑΕ, ΝΑΤΟ).

Space Hellas A.E.
Συστήματα & Υπηρεσίες Τηλεπικοινωνιών, Πληροφορικής και Ασφάλειας
Ιδιωτική Επιχείρηση Παροχής Υπηρεσιών Ασφάλειας.
www.space.grinfo@space.gr.