Πρότυπα ασφαλείας πληροφοριών: Ο δρόμος διασφάλισης των επιχειρησιακών πόρων

Στο σύγχρονο κόσμο της απανταχού διαθέσιμης και εύκολα προσπελάσιμης πληροφορίας, αρκεί ένα κλικ για να φέρει την καταστροφή. Για αυτό και η χάραξη μιας αποτελεσματικής πολιτικής ασφαλείας των πληροφοριών είναι επιτακτική όσο ποτέ άλλοτε.

Στα καλώδια των δικτύων μας και στους δίσκους των υπολογιστών μας, ρέουν και φυλάσσονται πλέον πληροφορίες και στοιχεία, η αξία των οποίων όλο και αυξάνεται.

Κάθε σύγχρονη επιχείρηση τηρεί τα λογιστικά – και εν γένει οικονομικά της στοιχεία –  ηλεκτρονικά, ενώ τα τμήματα πωλήσεων και marketing σχεδιάζουν καμπάνιες προώθησης και διαφημίσεις, με προγράμματα υπολογιστών. Το πελατολόγιό μας, αποθηκεύεται στους σκληρούς μας δίσκους και πολύ συχνά διατηρούμε προσωπικά δεδομένα των πελατών μας, οι οποίοι έχουν συναινέσει σε αυτό, αρκεί τα δεδομένα αυτά να τα τηρούμε μόνο εμείς.

Πάνω σε αυτό το σκηνικό, ήρθε, κάποια χρόνια πριν, να προστεθεί το Internet και οι γοητευτικές του εφαρμογές. Μπορούμε πλέον να ανταλλάσσουμε πληροφορίες με τους προμηθευτές μας στην άλλη άκρη του πλανήτη, να διαβάζουμε και να τροποποιούμε αρχεία του δικτύου μας ενώ βρισκόμαστε στο δρόμο, να προωθούμε τα προϊόντα μας μέσα από ιστοσελίδες, η μορφή και το περιεχόμενο των οποίων, μας ξεχωρίζει από τον ανταγωνισμό. Οι πελάτες μας, από την άλλη μεριά, μπορούν με την πιστωτική τους κάρτα να μας στέλνουν παραγγελίες και να προμηθεύονται τα προϊόντα μας, χωρίς να μας επισκεφτούν.

Ο εχθρός καραδοκεί
Το τοπίο που περιέγραψα παραπάνω, θα ήταν ειδυλλιακό αν δεν υπήρχαν κίνδυνοι που το απειλούν. Και μην πάει το μυαλό σας σε πλημμύρες και καταστροφές.Ένας αδικημένος υπάλληλος, ένας ανταγωνιστής, ένας δυσαρεστημένος πελάτης, αρκούν για να αλλοιώσουν τα λογιστικά μας αρχεία, να αλλάξουν τη μορφή της ιστοσελίδας μας προς το χειρότερο (και .πονηρότερο) ή να υποκλέψουν τη διαφημιστική μας καμπάνια, πριν βγει στον αέρα, με ό,τι αυτό συνεπάγεται. Ακόμα και ένας ηλεκτρονικός ιός, που χτυπά τυφλά και χωρίς σαφή στόχο, μπορεί να στείλει στο διαδίκτυο τα προσωπικά στοιχεία των πελατών μας, με δυσάρεστες συνέπειες για τη φήμη – και την ύπαρξη ακόμα, της εταιρείας μας.
Δραστηριοποιούμενος πολλά χρόνια στο χώρο, έχω διέλθει από όλα τα στάδια των τεχνολογιών προστασίας και ασφάλειας πληροφοριών. Τα απλά antivirus, ήταν η αιχμή της τεχνολογίας πριν μερικά χρόνια, ενώ σήμερα κάθε επιχείρηση που σέβεται τον εαυτό της, χρησιμοποιεί ένα firewall για να συνδεθεί στο Internet. Το θέμα δυστυχώς είναι, ότι όλες αυτές οι λύσεις μοιάζουν με παυσίπονα, που προσπαθούν να καταπολεμήσουν μια σοβαρή ασθένεια. Αν δεν προσεγγίσει κανείς με συστηματικό και δομημένο τρόπο το πρόβλημα, θα βρεθεί στη δυσάρεστη θέση να επενδύει συνεχώς χρήματα και να παίρνει ένα μικρό κλάσμα της επένδυσής του, ως όφελος. Ποια είναι η λύση;

Δομημένη προσέγγιση
Εκείνο που χρειάζεται μια επιχείρηση για να νιώθει και να είναι ασφαλής σήμερα, είναι ένα ολοκληρωμένο Σύστημα Διαχείρισης της Ασφάλειας των Πληροφοριών της (ΣΔΑΠ). Πρόκειται για ένα σύνολο διαδικασιών και κανόνων, η εφαρμογή των οποίων υποστηρίζεται από προϊόντα υλικού και λογισμικού (όπως τα antivirus και firewall που προαναφέραμε) και έχει ως μόνο σκοπό να προστατεύσει τις πληροφορίες μας, σε όποια μορφή κι αν βρίσκονται, ενώ παράλληλα εξασφαλίζει τη συνέχεια της επιχειρηματικής δραστηριότητας, αντιμετωπίζοντας όλες τις σημαντικές για εμάς απειλές. Επειδή, από την άλλη μεριά, όλοι γνωρίζουμε την ιστορία με τη γυναίκα του Καίσαρα (που δεν πρέπει μόνο να είναι, αλλά και να φαίνεται τίμια), θα πρέπει επιπλέον να είμαστε σε θέση να αποδεικνύουμε και σε τρίτους ότι διαθέτουμε ένα ΣΔΑΠ, που λειτουργεί αποτελεσματικά. Αυτό επιτυγχάνεται με την πιστοποίηση του συστήματός μας κατά ISO από ανεξάρτητο φορέα και την τακτική επιθεώρησή του από αυτόν. Ήρθε όμως η στιγμή να δούμε πώς μπορούμε να επιτύχουμε όλα τα παραπάνω. Θα αναπτύξουμε τη διαδικασία με βάση το ISO/IEC 27001:2005 πρότυπο ασφάλειας πληροφοριών, το οποίο καλύπτει όλα όσα θέσαμε παραπάνω.

Ανάλυση κινδύνων
Από τη σκοπιά του προτύπου, ο λόγος ύπαρξης όλων των μέτρων ασφαλείας δεν είναι άλλος από την προστασία της επιχειρηματικής μας δραστηριότητας. Οι απαιτήσεις της τελευταίας, είναι, που θα μας οδηγήσουν στις σωστές αποφάσεις για τις ασφαλιστικές δικλείδες που θα χρησιμοποιήσουμε και θα μας επιτρέψουν να δημιουργήσουμε ένα ολοκληρωμένο πλέγμα ασφάλειας.
Το πρώτο πράγμα λοιπόν που πρέπει να κάνουμε, είναι να καταγράψουμε συστηματικά όλες τις διεργασίες που λαμβάνουν χώρα στην επιχείρηση-οργανισμό μας και επηρεάζουν με οποιοδήποτε τρόπο την παραγωγική διαδικασία. Όσοι από τους αναγνώστες έχουν περάσει από διαδικασία πιστοποίησης Συστήματος Διαχείρισης Ποιότητας (κατά ISO 9001) έχουν ήδη ένα Core Process Diagram, το οποίο αποτελεί εξαίρετη αφετηρία.
Για τις ανάγκες του άρθρου, ας υποθέσουμε ότι έχουμε μια μικρή επιχείρηση που πραγματοποιεί πωλήσεις μέσω Internet.
Θα πρέπει τώρα να κάνουμε στους υπεύθυνους της επιχείρησης, το εξής ουσιαστικό ερώτημα: ΄΄Αν υποθέσουμε ότι η υποδομή της εταιρείας κατέρρεε, ποιες διεργασίες θα προσπαθούσατε να υποστηρίξετε πρώτα, ώστε να εξασφαλίσετε στοιχειωδώς τη συνέχεια της δραστηριότητας΄΄; Με απλά λόγια: Ποια είναι η σειρά σημαντικότητας των παραπάνω διεργασιών για την επιχείρηση;
Ας υποθέσουμε λοιπόν, ότι οι υπεύθυνοι της επιχείρησης, μας δίνουν την εξής σειρά: ΕΔ3, ΕΔ4, ΕΔ5, ΕΔ2, ΕΔ1.Υπάρχουν πολλές, επιστημονικά τεκμηριωμένες μέθοδοι για τη «βαθμολόγηση» των διεργασιών, αλλά εμείς θα ακολουθήσουμε μια σύντομη και αυθαίρετη: Θα αποδώσουμε στις διεργασίες τους βαθμούς που παίρνουν οι νικητές στη Formula 1, όπως φαίνεται στον Πίνακα 1.
Το επόμενο βήμα μας, είναι να εντοπίσουμε τις διεργασίες επεξεργασίας και διακίνησης πληροφοριών, που υποστηρίζουν τις παραπάνω επιχειρηματικές διεργασίες. Για τις ανάγκες του παραδείγματός μας, θα υποθέσουμε ότι έχουμε τις πληροφοριακές διεργασίες, που φαίνονται στον Πίνακα 2.
Τώρα, θα πρέπει να εκτιμήσουμε κατά πόσο η κάθε επιχειρηματική διεργασία, εξαρτάται από μία ή περισσότερες πληροφοριακές διεργασίες. Για να το κάνουμε αυτό, χρησιμοποιούμε πάλι μια αυθαίρετη κλίμακα (10 = εξαρτάται απόλυτα, 6 = εξαρτάται, 4 = απλώς τη χρησιμοποιεί, 0 = είναι ανεξάρτητη) και συντάσσουμε τον Πίνακα 3.
Η δεύτερη στήλη του Πίνακα 3, προκύπτει, πολλαπλασιάζοντας την αξιολόγηση της κάθε επιχειρηματικής διεργασίας με τα νούμερα που δείχνουν πόσο εξαρτάται από τις διεργασίες πληροφοριών και αθροίζοντάς τα. Π.χ. 290 = 4×0+5×10+10×10+8×10+6×10
Ο τρόπος που προκύπτουν τα νούμερα της δεύτερης στήλης, μας δείχνουν πόσο σημαντική είναι η κάθε πληροφοριακή διεργασία. Βλέπουμε λοιπόν, ότι στο παράδειγμά μας η εταιρική ιστοσελίδα είναι ο πλέον σημαντικός πόρος της επιχείρησης από πλευράς IT. Ποιος άλλωστε δεν θα το περίμενε αυτό, για μια τέτοιου είδους επιχείρηση.
Προχωρώντας ένα βήμα ακόμα, πρέπει να εντοπίσουμε τις μηχανές που υποστηρίζουν τις IT διεργασίες που μόλις αναφέραμε και με την ίδια κλίμακα να τις συσχετίσουμε με αυτές. Επειδή πιστεύουμε ότι έγινε κατανοητό το σκεπτικό μας, παραθέτουμε απλώς τους Πίνακες 4 και 5.
Καταλήξαμε λοιπόν σε μια αξιολόγηση της κάθε συσκευής του δικτύου μας, λαμβάνοντας υπόψη (και αυτό είναι το σημαντικό) τις επιχειρηματικές διεργασίες που υποστηρίζει. Τι σημαίνουν τα αποτελέσματα που βγάλαμε; Απλούστατα:

• Η επιχείρηση δεν μπορεί σε καμιά περίπτωση να μείνει χωρίς router και τηλεφωνικό κέντρο.
• Ο web και ο mail server είναι το ίδιο σημαντικοί και πρέπει να προσεχθούν ιδιαίτερα.
• Το fax είναι σημαντικό, αλλά δεν θα έρθει και η συντέλεια του κόσμου αν πάψει να δουλεύει.

Το τελευταίο μας βήμα τώρα, είναι να εντοπίσουμε τους κινδύνους που απειλούν τις παραπάνω συσκευές και να καταλήξουμε έτσι σε ένα συμπέρασμα, για το τι έχουμε να φοβηθούμε. Πάλι για τις ανάγκες του παραδείγματός μας, θα λάβουμε υπόψη μας ένα μικρό αριθμό κινδύνων, που φαίνονται στον Πίνακα 6.
Κάθε κίνδυνος από τους παραπάνω, έχει δύο συνιστώσες: Την πιθανότητα να συμβεί και την επίπτωση που θα έχει. Ας πούμε για ευκολία, ότι η πιθανότητα έχει 3 βαθμίδες: 0 = απίθανο, 5 = πιθανό, 10 = βέβαιο και η επίπτωση άλλες 3: 0 = καμιά επίπτωση, 5 = σημαντικό, 10 = καταστροφικό.
Συνδέουμε τώρα τις συσκευές μας με τους κινδύνους, στον Πίνακα 7.
Η δεύτερη στήλη εδώ, προκύπτει ως άθροισμα γινομένων επίπτωσης, πιθανότητας και σημαντικότητας συσκευής.
Π.χ. 284000 = 5720x0x5+2900x5x10+3016x0x5+1240x0x5+2780x5x10
Καταλήγουμε λοιπόν, στο ότι πρέπει να φοβόμαστε περισσότερο διακοπή ρεύματος και αστοχία υλικού, σχεδόν το ίδιο με την επίθεση από hacker και πολύ λιγότερο μόλυνση από ιό. Ανάλογα λοιπόν, θα πρέπει να είναι και τα μέτρα ασφαλείας που θα πάρουμε.

Συμμόρφωση με Πολιτική Ασφαλείας και Νομοθεσία
Πριν όμως προχωρήσουμε στη λήψη μέτρων ασφαλείας, θα πρέπει η ίδια η επιχείρηση να αποφασίσει πώς θέλει να χειρίζεται τις πληροφορίες της, να καταρτίσει δηλαδή μια Πολιτική Ασφαλείας. Δεν κρίνουμε σκόπιμο να αναπτύξουμε τα περί Πολιτικής Ασφαλείας σε αυτό το άρθρο, αλλά θα αναφέρουμε ενδεικτικά, ότι για λόγους που δεν προέκυψαν από την παραπάνω ανάλυση κινδύνων, μπορεί να έχει αποφασιστεί ότι ο αριθμός πιστωτικής κάρτας ενός πελάτη δεν θα παραλαμβάνεται με e-mail, αλλά μόνο μέσω του web site ή με fax. Από την άλλη μεριά, είναι πιθανό η επιχείρηση να υπόκειται σε ειδικές διατάξεις χειρισμού πληροφοριών (π.χ. ιατρικό ή τραπεζικό απόρρητο), οι οποίες επίσης πρέπει να γίνουν σεβαστές.
Όλα τα παραπάνω, αποτελούν απαιτήσεις, οι οποίες πρέπει να γίνουν σεβαστές και να εξυπηρετηθούν κατάλληλα από τους μηχανισμούς προστασίας

Επιλογή και υλοποίηση δικλείδων ασφαλείας
Αφού ολοκληρωθεί η Ανάλυση Κινδύνων και ληφθούν υπόψη οι όποιες επιπλέον απαιτήσεις για την προστασία των πληροφοριών, φτάνουμε στην επιλογή των ασφαλιστικών δικλείδων που πρέπει να εφαρμόσουμε, προκειμένου να επιτύχουμε το βαθμό προστασίας που θέλουμε. Οι ασφαλιστικές αυτές δικλείδες μπορεί να έχουν καθαρά τεχνική μορφή (π.χ. εγκατάσταση και λειτουργία μιας εφαρμογής antivirus) ή καθαρά διαδικαστική μορφή (π.χ. διαδικασία που καθορίζει επακριβώς το ποιος επιτρέπεται να βλέπει τα εισερχόμενα fax και τι επιτρέπεται να κάνει με αυτά).
Το ίδιο το πρότυπο ISO 27001 καθορίζει ένα σύνολο από ασφαλιστικές δικλείδες (133 συνολικά), τις οποίες μπορούμε να εφαρμόσουμε προκειμένου να επιτύχουμε τη μείωση του κινδύνου. Σε κάθε περίπτωση όμως, ο τρόπος και η μεθοδολογία εφαρμογής τους εναπόκειται σε εμάς και απαιτεί πολύ καλή γνώση τόσο της τεχνολογίας, όσο και της λειτουργίας της επιχείρησης. Οι τομείς, που μεταξύ άλλων καλύπτονται από το πρότυπο, με μια σύντομη περιγραφή του καθενός, περιγράφονται στον Πίνακα 8.
Πρέπει βεβαίως στο σημείο αυτό να αναφέρουμε ότι εκτός από το ISO 27001 υπάρχει και ένα σύνολο άλλων προτύπων, που αναφέρονται εκτενέστερα σε συγκεκριμένους τομείς και τα οποία μπορεί κανείς να βρει στη βιβλιογραφία του παρόντος.
Μετά την ολοκλήρωση της επιλογής των ασφαλιστικών δικλείδων που μας ενδιαφέρουν και τη σύνταξη των σχετικών διαδικασιών, έχουμε στα χέρια μας ένα Σύστημα Διαχείρισης της Ασφάλειας των Πληροφοριών μας (ΣΔΑΠ). Θα πρέπει να τονίσουμε ξανά, ότι το ΣΔΑΠ δεν αποτελείται μόνο από τεχνικής φύσης δικλείδες, αλλά και από καθαρά διοικητικές.

Έλεγχος, βελτίωση και πιστοποίηση
Όπως και στην περίπτωση της διαχείρισης ποιότητας, το σύστημα που φτιάξαμε υπόκειται σε συνεχή έλεγχο και βελτίωση. Είναι πιθανόν να διαπιστώσουμε στην πορεία ότι κάποιες διαδικασίες που έχουμε υιοθετήσει, δεν είναι οι πλέον ενδεδειγμένες και χρειάζονται αναθεώρηση ή ότι έχουμε «υπερβάλει εαυτόν» στην ανάλυση κινδύνων και θα πρέπει να γίνουμε λίγο πιο ρεαλιστές. Όλα αυτά πρέπει να μας οδηγήσουν στην αναθεώρηση του συστήματος, ώστε να φτάσουμε τελικά να καλύψουμε τις ανάγκες μας, με τον πλέον ενδεδειγμένο τρόπο.
Αφού το σύστημα βελτιστοποιηθεί, ήρθε η στιγμή να το πιστοποιήσουμε. Επαναλαμβάνουμε, ότι η πιστοποίηση δεν είναι μια διαδικασία που θα ασφαλίσει περισσότερο τις πληροφορίες μας ή θα βελτιώσει το σύστημά μας. Ο λόγος που χρειάζεται να πιστοποιήσουμε ένα ΣΔΑΠ, είναι για να μπορούμε να αποδείξουμε σε οποιονδήποτε τρίτο, ότι το έχουμε και ότι το ακολουθούμε πιστά. Αυτός ο τρίτος, μπορεί να είναι οι μέτοχοι, αν είμαστε εισηγμένη εταιρεία – οι πελάτες μας, αν χειριζόμαστε προσωπικές τους πληροφορίες, όπως στην περίπτωση του παραδείγματός μας – οι προμηθευτές μας, αν απαιτούν εχεμύθεια από εμάς και πάντα βεβαίως, οι κρατικοί φορείς, κάτω από τους νόμους των οποίων λειτουργούμε.
Τα βήματα της πιστοποίησης κατά ISO 27001 είναι απλά και παρόμοια με τα υπόλοιπα ISO πρότυπα. Αρχικά, επιλέγουμε το φορέα που θέλουμε να μας πιστοποιήσει και του αποστέλλουμε την τεκμηρίωση του ΣΔΑΠ. Αυτή αποτελείται από το σύνολο των διαδικασιών μας, την ανάλυση κινδύνων που έχουμε κάνει, την πολιτική ασφαλείας μας και ό,τι άλλο μας ζητηθεί. Οι Επιθεωρητές του φορέα θα μελετήσουν τα στοιχεία και θα μας ενημερώσουν για το αν – καταρχήν – η τεκμηρίωσή μας συνάδει με τις απαιτήσεις του προτύπου ή όχι. Αν ναι, θα οριστεί ημερομηνία επιθεώρησης. Αν όχι, θα μας υποδείξουν τα σημεία που δεν καλύπτονται και θα πρέπει να κάνουμε τις απαραίτητες διορθώσεις.
Σκοπός της επιθεώρησης είναι να διαπιστωθεί από το φορέα κατά πόσο αυτά που αναφέρονται στην τεκμηρίωση, ακολουθούνται κιόλας από την επιχείρηση. Θα γίνει δειγματοληπτικός έλεγχος στην τήρηση των διαδικασιών, θα ερωτηθούν υπάλληλοι και στελέχη, ώστε να διαπιστωθεί κατά πόσον έχουν κατανοήσει το ΣΔΑΠ (η εκπαίδευση του προσωπικού είναι βασική απαίτηση του προτύπου) και θα δοκιμαστούν οι διαδικασίες, με τις οποίες η επιχείρηση χειρίζεται πιθανά συμβάντα ασφαλείας.

Πρέπει να τονίσουμε ότι το πιστοποιητικό το οποίο η επιχείρηση θα λάβει μετά την επιθεώρηση, δεν ισχύει στο διηνεκές, αλλά υπόκειται σε τακτικό επανέλεγχο από το φορέα πιστοποίησης, ώστε να εξασφαλίζεται ότι η επιχείρηση εφαρμόζει το ΣΔΑΠ με επιτυχία.

Πίνακας 1

Πίνακας 2

Πίνακας 3

Πίνακας 4

Πίνακας 5

Πίνακας 6

Πίνακας 7

Πίνακας 8

Βιβλιογραφία

Για τη σύνταξη του παρόντος χρησιμοποιήσαμε πληροφορίες από τα ακόλουθα:

1. ISO/IEC 27001:2005, Information technology – Security techniques – Information security management systems – Requirements
2. ISO/IEC 17799:2005, Information technology – Security techniques – Code of practice for information security management

Χρήσιμα επίσης για όποιον θέλει να εμβαθύνει στα σχετικά πρότυπα, είναι τα παρακάτω:

1. ISO/IEC 13335-1:2004, Information technology – Security techniques – Management of information and communications technology security – Part 1: Concepts and models for information and communication technology security management
2. ISO/IEC TR 18044:2004, Information technology – Security techniques – Information security incident management
3. ISO/IEC 18028, Information technology – Security techniques – IT Network security