You are currently browsing the archives for February, 2009.

Deset najvećih pogrešaka pri korporativnom upravljanju informacijskom sigurnošću

28/02/2009 // Posted in ICT sigurnost  |  No Comments

Iako su teoretski i praktični temelji upravljanja informacijskom sigurnošću postavljeni još tijekom Drugog svjetskog rata, pogreške koje se danas događaju u korporativnom upravljanju informacijskom sigurnošću gotovo da se mogu unificirano prepoznati i zatim sistematizirati u mnogim poslovnim subjektima. Generalno, ako govorimo o Republici Hrvatskoj, upravljanje informacijskom sigurnošću najbolje je organizirano u onim sektorima koji su pod direktnim utjecajem regulatora (HNB, Hanfa) ili predmetne regulative, dok je najlošije organizirano ukoliko ne postoji eksterna regulacija, nego je proces informacijske zaštite prepušten voluntarizmu Uprave. No, nemojmo misliti kako su te pogreške nešto inherentno “hrvatsko” – u svijetu se svakodnevno događaju sigurnosni propusti i problemi u korporacijama i organizacijama koje imaju ogroman promet i značaj u svojim branšama. Jednostavno, upravljanje informacijskom sigurnošću proces je koji ima značajnu stohastičku komponentu jer ovisi o angažmanu čovjeka koji počesto ima subjektivnu kvalitativnu karakteristiku, a takvi su sustavi inherentno visoko nestabilni.

Uočit ćete da se informacijskoj sigurnosti veća pažnja poklanja u onim privrednim granama u kojima su profitne marže izrazito visoke a vašoj mašti prepuštam razmišljanje zašto je to tako i da li je jedini uzrok činjenica da izdašnije reinvestiranje dobiti u sigurnost takvim organizacijama omogućuje postizanje viših stupnjeva organizacijske sigurnosti.

Recimo to jasno – apsolutno sigurni informacijski sustavi nisu postojali, ne postoje i nikada neće postojati. No, moguće je izraditi sustav koji u sebi ima ugrađene sve teorijske sastavnice informacijske sigurnosti, koji informacijsku sigurnost promatra kao proces a ne projekt koji ima svoj kraj te koji je sposoban učiti iz vlastitih propusta. Upravljanje sigurnošću informacijskog sustava naslanja se na upravljanje rizicima po taj isti sustav – samim time, ako se neke rizike po sustav mora prihvatiti, zato što je vjerojatnost njihove pojave mala i/ili trošak uklanjanja prevelik – rukovodstvo organizacije mora biti svjesno da je i sigurnost tako postavljenog sustava nužno korelirana s prihvaćenim rizicima i odabranim metodama za njihovo smanjenje.

Izložimo deset najčešćih pogrešaka koje se događaju pri upravljanju informacijskom sigurnošću u velikim korporacijama, s komentarom situacije u Republici Hrvatskoj.

  1. Upravljanje informacijskom sigurnošću povjereno je “bilo kome samo da u organigramu postoji ta funkcija”. Još je gore ako je se upravljanje korporativnom informacijskom sigurnošću povjeri odgovornome za informacijsko-telekomunikacijski sustav, jer je u tom slučaju ta osoba u poziciji vršiti kao CISO reviziju vlastitog posla kao CIO, što se ne bi trebalo dozvoliti i što nije u sukladnosti sa standardima koji se odnose na sustav upravljanja informacijskom sigurnošću
  2. Neke uprave nemaju apsolutno nikakav interes za postizanjem ciljeva informacijske sigurnosti, što minimalo otežava njihovo provođenje a u krajnjoj liniji dovodi do onoga nezamislivog, a to je da upravljanje informacijskom sigurnošću u korporaciji uopće ne postoji – u Hrvatskoj danas postoji poveći broj velikih organizacija i dioničkih društava koje uopće nemaju sustav upravljanja informacijskom sigurnošću. Posljedica takvog stava diseminira se hijerarhijski i na niže razine upravljanje, te samim time nema suradnje organizacijskih cjelina korporacije u postizanju ciljeva informacijske sigurnosti. Osnovni razlog ovakvog stava je u biti neobrazovanost i nesenzibiliziranost uprava za moderne poslovne funkcije ili tehnološka različitost temeljnog procesa korporacije u odnosu na informacijsku znanost. Iz tog razloga, MBA poslovni studiji trebali bi biti temeljni poslijediplomski edukacijski arsenal svim vršnim rukovoditeljima koji nemaju formalno obrazovanje iz ekonomije, metoda upravljanja, financija i informatike.
  3. Informacijska sigurnost percipira se isključivo kao trošak. Još je gore kada se čitava informatika i telekomunikacije doživljavaju troškom koji ne dodaje vrijednost temeljnoj proizvodnoj djelatnosti poduzeća. Ovome nimalo ne doprinose oni stručnjaci za informacijsku sigurnost koji ne znaju jasno artikulirati svoje proizvode kada ih pokušavaju plasirati unutar poduzeća i organizacija.
  4. Certifikacija po nekom od standarda koji se odnosi na informacijsku sigurnost. Iako je certificiranje vrhunsku dokaz da je neka organizacija praktično implementirala sustav upravljanja informacijskom sigurnošću, ukoliko uprava nije iskreno obvezala sebe politikom i svakodnevnom praksom za postizanjem ciljeva izloženih u politici informacijske sigurnosti, certifikacija će predstavljati paralelni sustav koji nema veze sa situacijskim stanjem u organizaciji i samim time, bit će percipirana kao trošak, čime u potpunosti ispunjava sve uvjete za “samoispunjavajuće proročanstvo”.
  5. Izostanak suradnje između instance odgovorne za provođenje informacijske sigurnosti i ostalih odjela ili organizacijskih cjelina ili troškovnih centara unutar poduzeća, najčešće zbog psiholoških otpora i percepcije funkcije CISO kao interne policije
  6. Neprovođenje sustava edukacije zaposlenika, od prvog dana zapošljavanje nadalje, u praktičnom provođenju informacijske sigurnosti. U mnogim poduzećima jedini dodir zaposlenika s informacijskom sigurnošću – prije nego počine neki propust, namjerno ili zbog neznanja – nemušta je i godinama prepisivana stavka u ugovoru o radu koja se odnosi na odavanje poslovne tajne. Druga česta pogreška je stav kako je jedan razgovor ili interno predavanje dovoljno – sustav upravljanja informacijskom sigurnošću konstantno se mijenja i stoga postoji stalna potreba za ponovljenim obrazovanjem i internim tečajevima. Uz ovo se usko vežu i temeljna pravila i politike korištenja korporativnog informacijskog i telekomunikacijskog sustava
  7. Uprave često ne shvaćaju kako je upravljanje informacijskom sigurnošću samo mali kotačić u upravljanju integralnom korporativnom sigurnošću. Naravno, rijetka su poduzeća u kojima je jedno uspješno postavljeno ukoliko drugo ne postoji, ili je neadekvatno postavljeno.
  8. Nažalost, prema dostupnim informacijama i razgovorima s voditeljima odjela informatike, CIO-ima i osobama odgovornim za informatiku i/ili informacijsku sigurnost, većina nefinancijskog i neinženjerskog sektora u Hrvatskoj, uključujući dobar dio državnih institucija, svoju aktivnost ne odvija u skladu s ciljevima oporavka od katastrofe i modernog upravljanja kontinuitetom poslovanja (Business Continuity and Disaster Planning). Uprave su neobrazovane po pitanju temeljne metodologije poslovnog kontinuiteta, smatraju da je to nepotreban trošak i oslanjaju se na statistički uzorak iz prošlosti koji govori o izostanku takvih događaja. Vezano uz ovo ide neadekvatna politika upravljanja rizicima po imovinu poduzeća – materijalnu i nematerijalnu. Tragično je što je situacija upravo obrnuta – naglasak na oporavak od katastrofe i temeljne odrednice upravljanja kontinuitetom poslovanja mogu se efikasno postaviti i bez velikih ulaganja, dok se preraspodjelom resursa unutar poduzeća mogu u značajnom opsegu postići njihovi ciljevi bez dodatnih ulaganja.
  9. Pri definiranju zadataka i dužnosti funkcije zadužene za upravljanje informacijskom sigurnošću ne postoji referentna lista traženih kompetencija jer je ta funkcija srazmjerno nova u našem realitetu. Nije jasno koje obrazovanje bi trebala imati ta osoba, koje certifikacije, kakvo je traženo iskustvo, koji su očekivani kompenzacijski paketi i prema kojim kriterijima se odlučuje da li se kadar za upravljanje informacijskom sigurnošću regrutira unutar organizacije ili se angažiraju vanjski konzultanti, iako oba principa imaju svoje mane i prednosti. Štoviše, kod formiranja nove poslovne funkcije, ne pazi se na to da bi informacijska sigurnost trebala biti visoko u korporativnoj stratifikaciji, već se vrlo često “gura” nisko, odakle niti po položaju niti po utjecaju, ne može previše utjecati na poslovne procese. To informacijsku sigurnost gura na margine poslovnih procesa u korporativnom okruženju.
  10. Vrlo često pažnja se poklanja isključivo tehničkom kontekstu. Tako se informacijska sigurnost poistovjećuje s mjerama tehničke zaštite informacijskih i telekomunikacijskih procesa unutar korporacija, koje po automatizmu uvode voditelji informatičkih odjela jer predstavljaju zdravorazumske mjere i svojevresni “best practice”, Informacijska sigurnost daleko je kompleksniji proces koji obuhvaća gotovo sve druge poslovne procese i mnoge ostale funkcije van strogog tehničkog konteksta.

    Sudski priznati forenzički program

    27/02/2009 // Posted in Vještak za informatiku  |  No Comments

    Ponekad se kod nas u stručnim krugovima mogu čuti izjave kako je ovaj ili onaj forenzički program “sudski priznat”, “gotovo sudski priznat”, “faktički standard” i slično.

    Razotkrijmo ovaj mit. U Republici Hrvatskoj ne postoji računalni program koji bi bio “priznat” per se, niti računalni program čiji se rezultat korištenja bespogovorno prihvaća u sudskim procesima kao činjenica. Vansudska vještačenja i vještačenja temelje se na primjeni vrhunskih i dokazanih metoda struke te posredno, ali u osnovi – na znanstvenoj metodi.

    Stoga sud poziva svjedoka suda – vještaka, fizičku ili pravnu osobu koja na definiranu okolnost vještačenja daje svoj nalaz i mišljenje, a koja raspolaže stručnim znanjima kojima sud ne raspolaže.

    Korištenje specijaliziranih računalnih programa tijekom izrade nalaza i mišljenja, predstavlja takvo znanje.

    Vještačenje koje je učinjeno u skladu sa pravilima struke, koje je koherentno, dokumentirano i može se reproducirati predstavlja dokaz kojemu će sud pokloniti (ili odbiti dati!) svoju vjeru – pritom je posve svejedno koristi li vještak naredbe operativnog sustava da bi došao do materijala na kojemu temelji nalaz ili mišljenje, softver otvorenog koda ili skupe komercijalne pakete.

    Proces forenzičke analize

    26/02/2009 // Posted in ICT forenzika  |  No Comments

    Vrlo zanimljiv intervju s Robertom Fitzgeraldom iz tvrtke Lorenzi Group, specijalizirane za računalnu forenziku. Na jednostavan i svima shvatljiv način objašnjava tijek procesa forenzičke analize, ali i na koji način fizičke osobe i korporacije mogu ne samo koristiti usluge računalnog forenzičara nego i primijeniti temeljne obrasce integralne i tehničke zaštite kako bi zaštitili svoje računalne resurse i poslovne procese.

    Encase

    26/02/2009 // Posted in ICT forenzika  |  No Comments

    Encase je jedan od najpoznatijih računalnih forenzičkih alata koji je našao svoj put i u mnoge državne institucije koje se bave informacijskom sigurnošću i forenzičkim aktivnostima širom svijeta. Pogledajte kratku demonstraciju zašto je to tako.

    vojkovic.info

    26/02/2009 // Posted in Ostalo  |  No Comments

    Na Web adresi http://www.vojkovic.info/ nalaze se osobne Web stranice dr.sc. Gorana Vojkovića, vrsnog pravnog stručnjaka koji je svoje poznavanje pravne znanosti kombinirao s tehničkim kontekstom informacijske sigurnosti. Autor je članaka u časopisima Mreža, Informator te infoTrend.

    MIPRO 2009

    22/02/2009 // Posted in Članci/konferencije/predavanja  |  No Comments

    Od 25-29 svibnja 2009 godine u Opatiji će biti održana 32-ga međunarodna konferencija MIPRO.

    Na toj konferenciji u sekciji ISS – Information Systems Security – prijavljen je znanstveni rad u autorstvu Saša Aksentijević, mag. Edvard Tijan  (Pomorski fakultet Rijeka) te dr. Bojan Hlača (Pomorski fakultet Rijeka) pod naslovom “Importance of organizational information security in port community systems”.

    U tom radu će se pokušati dati osvrt na posebnosti sustava integralnog upravljanja sigurnošću u Port Community sistemima.

    Sadržaj:

    I. INTRODUCTION TO PORT COMMUNITY SYSTEMS
    II. HARDWARE AND SYSTEM LAYER INFRASTRUCTURE
    III. APPLICATION LAYER INFRASTRUCTURE
    IV. DISASTER RECOVERY PROCEDURES
    V. ENSURING PORT COMMUNITY BUSINESS CONTINUITY
    VI. MINIMUM REQUIREMENTS FOR ORGANIZATIONAL SECURITY
    VII. INTEGRATED MODEL OF PORT COMMUNITY SECURITY
    VIII. CONCLUSION

    Traju dogovori vezano uz prezentaciju rada na konferenciji. Po dovršetku konferencije, rad će biti objavljen na ovom siteu pod sekcijom “Radovi”.

    Nove stranice!

    13/02/2009 // Posted in Ostalo  |  No Comments

    Poštovani čitatelji,

    pokrenute su nove Web stranice koje će, osim u svrhu osobnih stranica, prvenstveno služiti kao “outlet” za aktivno promišljanje o problematikama:

    • sudskih vještačenja iz područja informatike i telekomunikacija
    • vansudskih vještačenja iz istog područja
    • forenzike računalnih i mrežnih sustava
    • teorije i prakse integralne korporativne sigurnosti i sigurnosti informacijskih sustava,

    te u nešto manjoj mjeri:

    • teorijom i praksom korporativnog upravljanja sektorom informatike

    Cilj je održati stranice aktualnima, stoga je predviđena dinamika osvježavanja minimalno jednom tjedno, ovisno o raspoloživom vremenu i novim sadržajima.

    Za sada Vas pozivam da uputite sve prijedloge i kritike preko Kontakt obrasca s desne strane korisničkog sučelja. Otvoren sam za sve konstruktivne prijedloge i kritike po pitanju sadržaja i formata stranica.

    Dostavu promjena na stranicama možete osigurati prijavom na newsletter (novosti) koje će biti automatski slane periodički u Vaše sandučiće elektronske pošte. Predviđena dinamika slanja newsletter-a je jednom mjesečno, dakle radi se o sustavu koji radi s niskom frekvencijom slanja.