Audyty bezpieczeństwa

Wszelkie rozwiązania informatyczne zazwyczaj są tworzone z myślą o ich bezpieczeństwie. Między innymi z myślą o naruszeniach przez osoby działające w złej wierze. Przewidywać należy zarówno zagrożenia pochodzące z otoczenia zewnętrznego, jak i zagrożenia związane z działalnością osób wewnątrz danej organizacji. Często zdarza się, że zabezpieczenia nastawione na zagrożenia zewnętrzne radzą sobie całkiem nieźle i w sposób prawidłowy chronią bezpieczeństwo systemów informatycznych.

Jednak wewnątrz organizacji panuje atmosfera swoistego „folwarku”, gdzie prawie każdy może dokonać prawie dowolnej czynności. Gdzie dostęp do fizycznych komponentów systemu informatycznego oraz dostęp do możliwości konfigurowania urządzeń jest praktycznie niczym nie ograniczony. Problemy zaczynają się, gdy pojawia się sfrustrowany pracownik, który widzi szansę na „odegranie się” na swojej organizacji właśnie poprzez ingerencję w słabo lub wcale nie chronione systemy informatyczne i/lub dane produkcyjne. Dlatego też raz na jakiś czas warto przeprowadzać przegląd polityk bezpieczeństwa oraz ich wypełniania – tzw. audyty bezpieczeństwa. Musi on dotyczyć zarówno polityk bezpieczeństwa zewnętrznego, jak i wewnętrznego.

Testy zewnętrzne to zazwyczaj tzw. testy penetracyjne, które pozwalają wykryć znane luki w systemach bezpieczeństwa. Niekiedy wynik takiego audytu wymusza w konsekwencji znalezienia luk np. konieczność dokonania aktualizacji różnego rodzaju firmware’ów, systemów operacyjnych, czy konfiguracji różnych urządzeń. Nieraz wskazuje także na konieczność doposażenia infrastruktury informatycznej w nowe urządzenia lub na zmianę strategii zarządzania np. dotyczącej używanych haseł.

Testy wewnętrzne to bardziej złożony proces, wymagający użycia kilku różnych narzędzi oraz skorelowania uzyskanych wyników. Niekiedy wymaga rozpracowania kilku różnych systemów zabezpieczeń, które posiadały różnych twórców, niekiedy już nie pracujących dla danej organizacji i ich ujednolicenia. Tutaj pojawia się konieczność wykonania tzw. reverse egineering’u i to niekiedy w warunkach braku dokumentacji i/lub wiedzy, co twórcy danego systemu zabezpieczeń przyświecało, gdy go projektował (jeśli go w ogóle projektował!) i wdrażał.

Gdy audytor zna wiele rozwiązań stosowanych powszechnie od lat, to znakomicie przyspiesza to ten proces i czyni go w ogóle możliwym. W różnych organizacjach, szczególnie tych, które już spotkały się z wyciekami danych i wiedzą, jak kosztowne (w różnych aspektach) wiążą się z tym problemy, wdraża się kompleksowy system ochrony przed wyciekiem danych (DLP). Samo jego wdrażanie narzuca kompleksowy przegląd i wymusza konieczność naprawy dużej części polityk wewnętrznego bezpieczeństwa w organizacji. Choć zamków do serwerowni na pewno nie założy…