Ελληνικά
English
Risk Management & Confrontation as a Pillar of Business Continuity
Μέσα στο χαοτικό οικοσύστημα της ασφάλειας πληροφοριών και στην πανσπερμία τεχνικών λύσεων πολλών κατασκευαστών, βρισκόμαστε στην πολύ δύσκολη θέση να επιλέξουμε τα επόμενα βήματα μας από κάθε θέση ευθύνης.
Πολύ σπάνια λαμβάνουμε προειδοποιητικά μηνύματά πριν συμβεί το καταστροφικό συμβάν καθώς κάθε περίπτωση είναι μοναδική. Πως λοιπόν θα προσεγγίσουμε την αξιολόγηση ασφάλειας-διαθεσιμότητας;
- Θα βασιστούμε στον κατασκευαστή και στις δικές του διαβεβαιώσεις;
- Θα προσλάβουμε κάποιον ειδικό για να υλοποιήσει την αξιολόγηση για εμάς;
- Θα προχωρήσουμε χωρίς ιδιαίτερο προβληματισμό βασιζόμενοι στις «λίγες πιθανότητες» να αποτελέσουμε στόχο;
Η σωστή προσέγγιση βαθμολόγησης της ασφάλειας θα πρέπει να προέλθει από το κατάλληλο Risk Assessment και μόνο. Σε αυτό θα υπολογιστούν όσα περισσότερα σενάρια κινδύνου μπορούμε να εφαρμόσουμε, με όσο το δυνατό πιο ρεαλιστικά τεχνικά αντίμετρα ήδη σε λειτουργία.
Στις ερωτήσεις:
Είμαστε ασφαλείς;
Σε ποιο βαθμό ;
Ποια είναι τα επόμενα βήματα βελτίωσης ;
Nα αγοράσω λύση DLP ή λύση SIEM ;
VPN ή Teamviewer ;
Η σωστή απάντηση μπορεί να είναι μόνο: «ξεχωριστή λίστα κινδύνων/σεναρίων με επιθυμητά αντίμετρα που μας λείπουν» στους τομείς “endpoint”, “network”, “Cloud”, “Applications” και ”Business Processes”.
Ποια σενάρια δεν έχουμε αντιμετωπίσει παραδείγματος χάριν όπως:
Κλοπή ενός laptop (διαρροή δεδομένων);
Διακοπή ηλεκτροδότησης (διαθεσιμότητα δεδομένων) ;
Πόσο ευαίσθητα δεδομένα θα διαρρεύσουν από το laptop;
Πόσο χρόνο αντέχω χωρίς παραγωγική υποδομή λόγο ηλεκτροδότησης;
Έχουμε κρυπτογράφηση δίσκου για το 1ο σενάριο ;
Έχουμε γεννήτρια για το 2ο σενάριο;
Αν όχι πόσα χρήματα δικαιολογεί η επένδυση να ξοδέψω με βάση την απώλεια παραγωγής (επιχειρησιακή συνέχεια) ;
Τελικά η αξιολόγηση του πόσο ασφαλής είναι η υποδομή μας πρέπει να καταλήξει σε μία σειρά «εκκρεμοτήτων» που θα πρέπει να υλοποιηθούν ώστε να προσθέσουν αξία και να λύσουν τα πιο σημαντικά προβλήματα με βάση την τρωτότητα της υποδομής και το προφίλ κινδύνου. Σε αντίθετη περίπτωση θα καταλήξει η διαδικασία σε “μελέτες” όπου το ρεαλιστικό μέτρο χάνεται ανάμεσα στο ιδεατό και επιθυμητό.
Η διαδικασία δημιουργίας αυτών των «εκκρεμοτήτων» θα μπορούσε να είναι ως εξής:
- Είναι πιθανό να μολυνθεί ο file server (critical asset) αν «κολλήσει» malware ο χρήστης στο εταιρικό PC (σενάριο 1);
- Αν είναι πιθανό, τι θα μου κοστίσει αν χάσω τα δεδομένα για 5 ημέρες ;
- Τι backup λογισμικό χρειάζομαι για να έχω τα δεδομένα πίσω σε 3 ώρες (αντίμετρο 1) ;
- Τι firewall και υπηρεσίες σχεδιασμού δικτύου θα χρειαστώ (αντίμετρο 2) για να μειώσω την πιθανότητα κατά 50% να μολυνθεί ο file server (πιθανότητα) ;
- Αν έχω ήδη κασέτα με backup (αντίμετρο 3) πόσο πιθανό είναι σε μια φωτιά να καταστραφεί η κασέτα από υψηλή θερμοκρασία (σενάριο 2) ;
- Αξίζει να πληρώσω για θυρίδα σε διαφορετικό χώρο (αντίμετρο 4) ;
Η εφαρμογή των σεναρίων πιθανού κινδύνου πάνω σε σημαντικά ICT assets είναι ο ακρογωνιαίος λίθος κάθε εκκίνησης διαδικασίας και πονοκέφαλος κάθε συμβούλου Επιχειρησιακής Συνέχειας (ISO22301) ή/και ασφάλειας (ISO27001). Από αυτή την αντιστοιχία θα επιλεγούν οι πιθανότητες, ο βαθμός ευπάθειας και τελικά το πόσο χρόνο και χρήμα θα επενδύσουμε στην επίλυση τους. Το τελευταίο που πρέπει να μας απασχολεί είναι το μοντέλο και οι δυνατότητες του νέου firewall ή του λογισμικού antimalware. Αντίθετα το πρώτο που οφείλει να μας απασχολήσει είναι: “πόσα σενάρια κινδύνου ΔΕΝ έχω καλύψει και ποιος θα με βοηθήσει να ανακαλύψω ακόμα περισσότερα από αυτά?”
Κάθε ρίσκο είναι και μία ευκαιρία, όχι μόνο κίνδυνος. Η οδηγία IMO στην ναυτιλία για τις αρχές του 2021, η αυξημένη τηλεργασία του συνόλου του πληθυσμού, η διάλυση της κλασικής περιμέτρου κίνησης των δεδομένων, τα GDPR πρόστιμα και πολλές άλλες αναγκαστικές οδηγίες προσφέρουν την τέλεια ευκαιρία. Μπορούμε βγαίνοντας από την κρίση να βρεθούμε πολύ καλύτερα ενημερωμένοι, προετοιμασμένοι και με πολύ καλή επίγνωση του απαραίτητου Risk Treatment που απαιτεί η δική μας επιχείρηση.
Leave a comment