ZERO DAY – ZERO BUDGET: AZ INFORMÁCIÓBIZTONSÁG-MENEDZSMENT, A SZABVÁNYOKON TÚL

A kivételekről és a fenntarthatóságról –  információbiztonsági szempontból. „Soha nem fog eljönni az az idő, amikor minden úgy működik, ahogy tervezted!”

Részlet cégvezetőnk, Farkas Imre: Zero Day – Zero Budget: Information Security Management Beyond Standards  c. könyvéből

AZ A NAP, AMIKOR MINDEN MŰKÖDIK a tervek szerint – annak a napja is, amikor a munkádra már nincs szükség. Nagyjából.
A nem kívánt eseményekre való felkészülés, azok felderítése és az ellenük való fellépés a jól megvalósított biztonság központi tényezője, tanácsos hát megbékélnünk a folyamatosan felmerülő eltérésekkel és kivételekkel – ezek valójában a barátaink. A munkád nem az, hogy elérd a „rendellenesség mentességet”; hanem a lehető legteljesebb felkészülés a nemvárt eseményekre és a kockázatok és nem-megfelelések megfelelő eszkalációjának és megfelelő intézkedések meghozatalának biztosítása – mert a kivételek mindig jelen vannak.

Általában a dolgok legalább harmada/negyede nem úgy alakul, ahogy szeretnéd.
Ahhoz azonban, hogy felismerd azokat az eseményeket és körülményeket, amelyek nem támogatják a szervezet biztonsági céljait, meghatározott alapkövetelményekre van szükség, megbízható irányelvek formájában.

A fenntarthatóság azt is jelenti, hogy azokat a kivételeket, amelyek minden erőfeszítésünk ellenére megmaradnak, folyamatosan újravizsgáljuk és végül adekvát módon kezeljük.

TEREMTS ÁTLÁTHATÓSÁGOT

A biztonsági szabályzatok kiadása, projektek indítása, a folyamatok végrehajtása nem old meg minden kérdést. 
Mindig lesznek kivételek, és ez teljesen normális. Amire szükséged van, az egy olyan módszer, amellyel az alapvető biztonsági követelményektől való eltéréseket kezelheted, mert az esetek mintegy 30% -ában elkerülhetetlenül lesznek ilyenek. Ez azt jelenti, hogy minden alkalmazott szabály esetében 100 esetből körülbelül 30 lesz, ami ellentétes a szabályzattal.

Ennek rengetegféle, például üzleti megtérülési oka lehet. Rendet teremthetsz a káoszban, ha ezeket a kivételeket konzekvensen egy robusztus kockázat-felülvizsgálati és -elfogadási folyamatba irányítod.

A menedzsment transzparens, dokumentált módon megadhat rövidebb (néhány hónapos) türelmi időszakot, vagy elfogadhatja a kockázatot hosszabb ideig, például egy évig. Ez mindenki számára megkönnyíti azt, hogy a legnagyobb kockázatokra koncentráljon.
Annak az évnek az elteltével természetesen újra meg kell vizsgálni azokat az okokat, amelyek miatt a kockázat elfogadásra került, majd figyelembe véve az aktuális helyzetet új döntést lehet hozni.

A KITETTSÉGEK ILYEN MÓDON VALÓ ELFOGADÁSÁT MINDENKÉPP ELŐZZE MEG A KOCKÁZATOKNAK LEHETŐSÉGEINK
SZERINTI INTÉZKEDÉSEKKEL VALÓ CSÖKKENTÉSÉRE TETT KÍSÉRLET.

Ez indikálhatja a szabályok megváltoztatását, illetve a biztonsági elvárások szintjének a vállalkozás prioritásaihoz és kockázati profiljához való további hangolását.
Ez biztonsági „szemüveggel” nézve kompromisszumot jelenthet, ám fontos, hogy végülis szervezetünk prioritásait és céljait támogassuk.

Ezért kritikus az alapkövetelmények meghatározása és a kivételek folyamatos feltárása. Proaktív megközelítéssel ez háromféleképpen lehetséges. A proaktív azt jelenti ez esetben, hogy nem csupán az általunk felfedésre kerülő incidensekre vagy adatsértésekre hagyatkozunk prioritásaink meghatározásában.

Tekintsük át a szervezetek többségében elfogadott három jellemző felállást, módszert.

NE BÉBISZITTELJ (MIKROMENEDZSELJ) MINDEN FOLYAMATOT

A szabályoktól való eltérések felfedezésének első módja, amely a legkézenfekvőbbnek tűnik, de egyúttal a legkevésbé hatékony és érett, az, amit „minden folyamat bébiszittelésének” nevezhetünk.
Ez az ellenőrzés „első szintjén” fordul elő, ami azt jelenti, hogy minden releváns működési folyamat esetében közvetlenül képviseltetjük a biztonsági szervezetet magában a folyamatokon belül.

Ez olyan, mint a következő történet első szereplője.

Egy kis falunak csak akkor volt vize, amikor esett az eső, ezért felbéreltek két embert, hogy hozzanak tiszta vizet a faluba.
Az első ember vásárolt két vödröt, és naponta többször megtette az utat a tótól a faluba és vissza, hogy vizet hozzon.
Ezt minden nap megismételte, így emberünk számtalan alkalommal tette meg az utat a faluból a tóhoz és vissza.

A másik ember több hónapra eltűnt, és egy olyan tervvel tért vissza, amely segítségével csővezetéket építhetnének a tótól a faluba.
El is kezdték a megvalósítást a terv szerint és a következő évre el is készült a vízvezeték. A vezeték elkészültét követően a falunak a nap 24 órájában, a hét minden napján volt vize.

„Furcsa módon” a második ember soha nem cipelt egy vödröt sem a tótól a faluba.

VEGYÜK PÉLDÁNAK AZ INFORMATIKAI VÁLTOZÁSKEZELÉSI FOLYAMATOT.

Minden változást – a kisebbektől a nagyokig – jóváhagyatni az illetékes biztonsági személlyel, természetesen nagyon körültekintő és prudens megoldás. Mindazonáltal ennek a módszernek számos gyenge pontja is van.

Az első és a legkézenfekvőbb az, hogy minden változtatási kérelem válogatás nélküli feldolgozásra kerül – ez felemészti a biztonsággal foglalkozó osztály értékes erőforrásait, és szűk keresztmetszethez vezet a folyamatban.

Ezt látva megpróbálhatunk praktikusabbak lenni, és csak jelentős változások esetén kérünk biztonsági felülvizsgálatot.

Ez működhet, de ebben az esetben, hasonlóan az összes változás áttekintéséhez, a biztonsági felülvizsgálat még mindig szűk keresztmetszet lesz, és ez ellentétes a szándékunkkal.
Emellett így rossz üzenetet küldünk a szervezetnek.
Az üzenet az lesz, hogy a biztonsági csapat által végrehajtott extra operatív szintű ellenőrzés, amely minden változtatást, minden hozzáférési kérelmet bébiszittel, szigorú ellenőrzésnek tűnhet, ehelyett inkább arról szól, hogy a szervezet nem képes létrehozni a megfelelő irányítási struktúrát.

Ez a megközelítés emellett azt éri el, hogy a cég operatív szintű működése, az IT működése és működtetése erősen függésbe kerül a biztonsági ellenőrzésektől.

Egy idő után a biztonsági ellenőrzés a késések mentségévé válhat, és a mérnökök ahelyett, hogy elolvasnák (!), megértenék és alkalmaznák a biztonsági szabályokat, a biztonsági csapathoz fordulnak, hogy értelmezzék a rendszer architektúrájának vagy megoldásának minden egyes részletét, és eseti alapon hozzák meg a go / no-go döntéseket.

Az biztos, hogy ha a szabályzatok nincsenek jól megírva, kétértelműek vagy elavultak, akkor a fenti lehet az egyetlen módja a dolgok kézben tartásának.

Ez azonban végzetes pillanathoz vezet, amikor a biztonsági menedzser elengedi a kontrollt és lemond a történések mindenfajta validálásáról; tehát a fenti állapot csak ideiglenesen elfogadható.
Mindez ellentétes a jó vezetés alapelveivel. Minden folyamat bébiszittelése a történetbeli vödrök folytonos cipelését jelenti; sokkal inkább a fenntartható megoldás, a csővezeték építésével kellene foglalkoznunk!