Управління ризиками безпеки ІТ. Частина 2

Розділ 2. Можливість


Можливості для інтегрованих підходів


Структура управління ризиками


Створення формальної програми ERM – це можливість створення середовища та інфраструктури, яка пронизує всі політики прийняття рішень і роботу всієї корпорації. Щоб домогтися успіху, необхідно інтегрувати ключові аспекти подібної програми та забезпечити обмін інформацією про них. Наведений далі графік ілюструє цю модель. Давайте розглянемо кожну фазу і її вплив на всю програму ERM.



Малюнок Б. Структура управління ризиками

Ефективна програма ERM вимагає інтеграції корпоративних, виробничих і регулятивних елементів.


корпоративні елементи-Корпоративна стратегія ризиків-виробничі елементи-Планування та аналіз ризиків-Контроль та управління ризиками-Оптимізація засобів управління-регулятивні елементи-Звіти про відповідність вимогам


Корпоративна стратегія ризиків. На цьому етапі керівництво корпорації має визначити і формалізувати прийнятну стійкість до корпоративних ризиків. Цей процес включає в себе визначення категорій ризиків для компанії, визначення рівнів ризиків, які можуть існувати, і створення посібників з визначення рівня ризиків, яким компанія в цілому хоче протистояти. Потім необхідно визначити прийнятні рівні ризиків для кожного підрозділу, а потім повідомити їх кожної організаційної одиниці. Підрозділи можуть мати різним ступенем стійкості до ризиків. Це залежить від специфіки їхнього ринку і фінансового стану. Завданням кожного підрозділу є реалізація директив по стійкості до ризиків у відповідності з певними ситуаціями, з якими вони стикаються.


Планування та аналіз ризиків. Коли корпоративне керівництво визначило "корпоративну стабільність до ризиків", ці директиви повинні бути доведені до підрозділів. Вони повинні служити керівництвом у їх повсякденній роботі з планування бізнесу та прийняття рішень. Потім підрозділи розробляють детальний аналіз ризиків, з якими стикається їхній бізнес, і визначають категорії цих ризиків, в залежності від їхнього потенційного впливу на бізнес. Потім ця категоризація може розподілити всі ризики по чотирьох квадрантам, які описані в розділі, присвяченому структурі управління ризиками.


Контроль та управління ризиками. Наступний крок – створення і розгортання засобів управління для скорочення ризиків, а також контроль їх успіху та ефективності. Засоби управління – це щось, що знижує ймовірність або наслідки ризику. Це можуть бути технологічні рішення, або процедурні поліпшення, або те й інше разом.


У разі безпеки ІТ ризик певних загроз або наслідків можна значно знизити, взявши на озброєння перевірені технології та рішення. Такий тип підходу може створити прийнятну платформу, яка допомагає знизити ризик певних наслідків. Це сприяє підвищенню безпеки та скорочення загальних витрат на управління безпекою ІТ.


Наприклад, більшість компаній стикається з ризиком того, що до захищених додатків, даними або системам отримають доступ неавторизовані люди. Це не той ризик, який можна помістити у категорію "прийнятних". Його необхідно знизити настільки, наскільки це в людських силах. Для цього, наприклад, використовують потужне рішення для управління доступом.


Аналогічно, основний ризик у багатьох компаніях пов'язаний з порушеннями поділу обов'язків, коли певні люди володіють правами більшими, ніж це необхідно для їх робочих обов'язків. Одним із дуже частих прикладів цього є безліч людей, у яких є права суперкористувача на доступ до всієї системи, навіть якщо їм насправді потрібні значно менші права доступу. Прикладом "гіршого випадку "цієї ситуації може слугувати один і той же невідповідний співробітник, який не тільки ініціює, але і схвалює певну бізнес-транзакцію. У цьому випадку ймовірність зловживань дуже значна, і її потрібно знизити будь-якими засобами.



Справитися з ризиком і знизити його допомагає створення серйозного набору засобів управління внутрішньою безпекою. Це також значно полегшує завдання відповідності законодавчим вимогам, яка стоїть перед компаніями. Необхідно постійно оцінювати ризики і плани щодо їх зменшення, базуючись на змінах умов бізнесу. У міру появи нових ризиків і зміни старих потрібно міняти і план з управління та зменшення ризиків.


Основний елемент цього етапу – це безперервний контроль ефективності кожного засобу управління. У разі безпеки ІТ контроль може включати в себе звіти про події в системі безпеки, автоматизовану фільтрацію і зіставлення подій для виявлення проблем з безпекою, перевірку того, що у всіх користувачів є лише необхідний рівень привілеїв доступу, пошук і виправлення будь-яких порушень політики розмежування обов'язків, та інше.


Контроль повинен включати в себе аналіз не тільки певних подій (наприклад, численних невдалих спроб аутентифікації), але також і тенденцій подій. У деяких випадках проблеми безпеки можна ідентифікувати тільки шляхом спостереження тенденцій в розвитку подій протягом якогось періоду часу. Хоча цей тип контролю часто вимагає деякого втручання людини, його можна в значній мірі автоматизувати. Для цього можна використовувати ефективне рішення для управління подіями безпеки.


Оптимізація засобів управління. Зміна визначеної стратегії управління ризиками може бути викликано різними причинами: виникнення нових ризиків, невдале застосування методик зниження ризиків і т.д. Крім того, умови бізнесу також можуть диктувати зміна стійкості до ризиків – коли справи йдуть добре, прийнятний більш високий ризик.


Оптимізація засобів управління передбачає, що описана вище діяльність, пов'язана з контролем, буде використана для динамічної модифікації засобів контролю, які застосовуються для управління кожним ризиком. Це нескінченний процес, оскільки ризики завжди динамічні.


Звіти про відповідність вимогам: інформація та аудити Остання фаза зазвичай включає в себе створення звітів та інформації для будь-якого аудиту об'єктів ІТ, пов'язаного з відповідністю законодавчим вимогам. Даний етап – це природний наслідок зусиль і результатів, що мали місце в рамках всієї діяльності за програмою ERM. Ось чому програма ERM настільки важлива для ефективного забезпечення відповідності законодавчим вимогам. Вона надає структуру для боротьби з корпоративними ризиками будь-якого типу. Програма дозволяє створити внутрішні засоби управління не тільки для виправлення цих ризиків, але також для надання звітів та інформації. Ці дані допоможуть довести, що цілі, пов'язані з відповідністю певним нормам, досягнуті.


Принципи успішного управління ризиками


Незважаючи на зростання інтересу до управління ризиками, поточні організаційні методики щодо неефективно. Причиною цього є те, що управління ризиками в багатьох компаніях кожним підрозділом здійснюється незалежно. Центральний контроль або нагляд за цими розрізненими зусиллями часто відсутня. Це призводить до відсутності єдиного і цілісного підходу до управління ризиками у всій організації. Ось ключові атрибути успішної програми управління ризиками.


Корпоративна структура ERM. Управління ризиками має бути єдиним у всьому підприємстві. Воно повинно стимулюватися пріоритетами і політиками з управління ризиками корпоративного рівня. Найефективніший спосіб здійснити це – загальна структура, яка використовується в кожному підрозділі. Завдяки такому підходу можна обмінюватися інформацією про ризики в рамках загальної моделі і керувати ними за допомогою єдиних методик. Структура ERM під назвою COSO (Committee of Sponsoring Organizations of the Treadway Commission, або Комітет організацій-спонсорів) – це загальноприйнята модель, яку можна використовувати для цих цілей.


Безперервне управління і вимірювання. Успішність програми ERM необхідно постійно контролювати. Це робиться за допомогою спеціальних вимірювань того, наскільки успішно вона працює. Цю інформацію потім слід консолідувати на корпоративному рівні, щоб відрегулювати "важелі управління" (тобто пріоритети і політики), які використовуються для управління діями з управління ризиками.

Управління ризиками повинно бути частиною роботи кожного. Обмін інформацією про стратегії та цілі управління ризиками повинен бути в організації повсюдним. Щоб прийти до успіху, програма ERM повинна бути частиною повсякденної роботи на всіх рівнях.


Центральне управління і контроль поточної програми ERM. Підрозділи повинні відповідним чином управляти ризиками, відповідно до корпоративними нормами. Щоб забезпечити це, повинен існувати центральний регулюючий орган, який контролює роботу всіх ініціатив корпорації з управління ризиками.


Управління ризиками, пов'язаними з безпекою в ІТ


Такі ризики, як хакерські атаки, шкідливі програми і неавторизований доступ до захищених ресурсів та систем, вимагають серйозних планів по роботі з ними. Це необхідно для зниження їх до прийнятного низького рівня. При аналізі ризиків безпеки ІТ, з якими стикаються корпорації, слід враховувати захист ресурсів, безперервну доступність послуг і відповідність законодавчим вимогам. Це необхідно для розробки стратегій управління загальним ризиком безпеки ІТ. Ось ключові питання, які необхідно задати.


Захист ресурсів. Як можна забезпечити безпеку і конфіденційність важливих корпоративних ресурсів, які повинні бути доступні лише авторизованим людям для здійснення схвалених дій?


Безперервна доступність служб. Як можна забезпечити безперервну доступність послуг, які надаються співробітникам, партнерам і клієнтам, без падіння якості або рівня обслуговування?


Відповідність нормам. Як внутрішні або зовнішні аудитори ІТ можуть перевірити, що організація насправді задовольняє вимогам законодавчих норм, яким вона повинна відповідати?


Захист ресурсів


Будь-який ризик неавторизованого доступу або використання конфіденційних ресурсів є неприйнятним за визначенням. Тому абсолютно необхідна надійна інфраструктура для управління доступом до всіх корпоративних ресурсів. Давайте розглянемо всі типи ресурсів та об'єктів, які потребують захисту. Деякі з них можуть не бути спочатку очевидними, але при відсутності суворих заходів захисту можуть представляти собою значний ризик.


Доступ до додатків У міру розширення організаціями своїх ланцюжків постачань і розповсюдження, все більше і більше бізнес-партнерів і замовників отримують доступ до додатків в режимі онлайн. Це створює сильну потребу в надійних засобах управління доступом.


Група ІТ повинна мати можливість створювати централізовані політики, які точно визначають, які користувачі можуть одержати доступ до кожного з додатком, умови, на яких вони можуть отримати доступ, і функції програми, якими їм дозволено користуватися.



При оцінці рішень для управління доступом групи ІТ повинні враховувати такі загальні вимоги, щоб забезпечити відповідність своїм поточним і майбутнім вимогам:



Веб-служби Програми, які отримують доступ до веб-служб, повинні авторизуватися і проходити аутентифікацію в чому так само, як реальні користувачі, які намагаються отримати доступ до веб-додатку. Цей процес реалізується за допомогою XML-документів, хоча вимоги до суворої безпеки також (якщо не більше) важливі для веб-служб.


Важливі системні файли і бази даних Надійна інфраструктура управління доступом необхідна, щоб забезпечити можливість доступу до конфіденційних ресурсів (репозиторіїв, системних файлів і баз даних паролів UNIX, а також корпоративних баз даних) тільки правильно авторизованим користувачам. Така інфраструктура має включати можливість створення централізованих політик. Ці політики визначають, які користувачі можуть одержати доступ до кожного важливого ресурсу, виходячи з їх ідентифікатора, ролі, організаційної одиниці та інших критеріїв. Щоб ці можливості були ефективні, найбільше значення має гнучкість моделі політик.


Контроль за важливими системними службами Можливість перервати певні важливі системні служби необхідно ретельно контролювати. Зокрема, зловмисне або необережне переривання цих важливих системних процесів (наприклад, процесу запису подій в контрольний журнал) має бути включено в будь-яку всеосяжну програму управління ризиками в ІТ. Ефективна платформа для управління ризиками буде надавати гранулярні призначення прав на переривання системних служб подібного роду.


Права доступу суперкористувача У будь-якому середовищі ІТ є кілька адміністраторів з повними правами доступу суперкористувача (наприклад, Root в UNIX і Administrator в Windows). Однак насправді всім суперкористувача рідко потрібні всі права доступу, які їм надані. Результат – ризик, якому піддається система. Це ризик виконання операції, яка має важкі наслідки, і яку не можна легко відстежити або скасувати. Одним зі способів зниження таких ризиків є впровадження рішення, яке забезпечує гранулярні призначення прав суперкористувача, щоб кожен користувач міг виконувати лише певні операції на певних системах.


Доступ до системних журналів Коли один адміністратор може не тільки виконати підозрілу операцію, але і змінити після цього системний журнал, ризик не виявлення шкідливого події стає реальним. Тому важливо, щоб був доступний централізований спосіб обмеження доступу (і на читання, і на запис) до всіх системним журналів. Можливість відключення журналірованія повинна бути обмежена лише самими довіреними адміністраторами. Також слід розглянути можливість використання спеціалізованого рішення для управління доступом.



Користувальницькі облікові записи Остання область ризиків належить до неправильного використання звичайних користувальницьких облікових записів. Тут є дві основні області, які викликають занепокоєння. Перша – це коли співробітник залишає компанію. Його (або її) облікові записи і права доступу до додатків можуть бути не деактивовані негайно. Коли це відбувається, є великий ризик неправильного доступу до цих облікових записів, особливо якщо співробітник був звільнений не за власним бажанням.


Друга область ризиків включає в себе існування користувацьких облікових записів, якими деякий час не користуються. У самому типовому випадку роль користувача змінюється, але його облікові записи, необхідні для попередньої ролі, не видаляються. В результаті у деяких людей може бути декілька облікових записів, деякі з яких більше не відповідають їхній роботі. Ці "завислі" облікові записи представляють собою ризик неправильного використання. Цей ризик потрібно контролювати. Ефективне рішення для управління доступом має надавати можливості просканувати всю середу на наявність облікових записів, якими давно не користувалися. При цьому можна задавати, що таке "давно". Після цього небажані облікові записи видаляються.


Ресурси мейнфреймів Важливо, щоб той же рівень управління доступом, реалізований для всіх розподілених систем, також був доступний для мейнфреймів в цьому ж середовищі. Цей тип рішення повинен підтримувати політики на основі ролей. Вони визначають користувачів, які можуть отримувати доступ до захищених ресурсів і додатків на мейнфрейми, і умови, на яких цей доступ буде наданий.


Безперервна доступність служб


Безперервна доступність служб ІТ для бізнесу просто необхідна. Це також один з найважливіших аспектів управління ризиками в ІТ.


Більшість компаній може буквально жити і вмирати через доступність своїх онлайн-служб. Компанії, що надають фінансові послуги, в середньому втрачають кілька мільйонів доларів, якщо їх служби будуть недоступні протягом однієї години з діб. Те ж саме вірно для внутрішніх служб і додатків, якими користуються співробітники. Якщо працівник не може з якихось причин отримати онлайн-доступ до служб, то втрата продуктивності та підтримка бізнес-процесів може бути жахливою.


Однією з найбільш значних перешкод для безперервної доступності служб є область комп'ютерних загроз. Сьогодні користувачів комп'ютерів атакують віруси, хакерські програми та інші шкідливі програми, які часто встановлюються без дозволу або сповіщення користувача. Всі разом ці програми відомі, як шкідливі ("malware"). Вони можуть виконувати цілий ряд дій, починаючи з просто набридливих, і закінчуючи потенційно руйнівними. Це, наприклад, перенастроювання операційних систем і веб-браузерів, контроль електронної пошти, перехоплення і передача даних, що вводяться (включаючи паролі), а також компрометація доступу до конфіденційних даних.


У число "шкідників" входять не лише віруси. Це, наприклад, також програми-шпигуни і рекламне програмне забезпечення. Хоча вони звичайно не так руйнівні, як атаки вірусів, ці програми можуть значно знизити ефективність роботи. Іншою важливою сферою ризиків в ІТ є управління уразливими в системах. Зазвичай, коли публічно оголошують про вразливість і пов'язаної з нею "латкою", шкідливий програмний код ("exploit"), що використовує цю уразливість, створюється у хакерському співтоваристві майже негайно. Своєчасна установка виправлень на кожній машині в мережі є необхідною, але дуже важким завданням. Ці уразливості є значний ризик для доступності служб. З цієї причини необхідний централізований і автоматизований метод відстеження, управління та установки пакетів виправлень проти вразливостей.



Відповідність нормам


Останній елемент управління ризиками в ІТ відноситься до відповідності різним урядовим та галузевим нормам. Це відповідність стало для бізнесу обов'язковим. Це головний елемент управління ризиками для бізнесу в цілому. Забезпечення відповідності включає в себе вимоги до таких питань, як видимість, безпека, доступність, конфіденційність інформації та прозорість. Якщо підприємство не може адекватно впоратися з цими проблемами, воно ризикує зіткнутися зі значними правовими санкціями. Також це загрожує падінням довіри з боку інвесторів і втратою для іміджу торгової марки.


Якщо у вас є ефективна програма по зниженню ризиків, пов'язаних із захистом ресурсів і доступністю служб, вам необхідно створити комплект документів для забезпечення відповідності розділам більшості норм, що відносяться до безпеки.


Необхідність відповідати вимогам змушує багато компаній заново оцінити (і в більшості випадків значно поліпшити) свої внутрішні політики і процедури безпеки. Хоча вимоги цих нормативних актів (наприклад, закон Сарбейнса-Окслі, закон про звітність і безпеки медичного страхування, закон Гремма-Ліча-Блайлі) часто різняться, в них є один спільний елемент: необхідність надійних засобів внутрішнього контролю. Внутрішній контроль – це набір процесів, які можуть забезпечити успішне виконання бізнес-процедур або операцій. У випадку з контролем безпеки ці процеси часто служать для гарантії того, що тільки належним чином авторизовані люди можуть отримати доступ до конфіденційної інформації, програм та ресурсів.


Більшість компаній, на жаль, мають кошти внутрішнього контролю, які за своєю природою – ручні. Вони складаються з паперової роботи, мають на увазі цикли схвалення і містять безліч можливостей для виникнення помилок. Автоматизація – ось ключ до внутрішнього відповідності нормам. Це єдиний спосіб, щоб витрати на відповідність були керованими. Примітка. Для отримання додаткової інформації про те, як підвищити ефективність управління безпекою, див. наступну статтю на сайті ca.com: "Reducing the Costs of IT Security Management" ("Зниження витрат на управління безпекою ІТ "). Область, де автоматизація засобів управління безпекою найбільш важлива, – це управління користувачами і їх доступом до корпоративних ресурсів. Або, іншими словами, управління всіма ідентифікаторами користувачів і правами доступу, якими ці користувачі наділені.


Є три важливих аспекти автоматизації засобів управління, які можуть значно підвищити ефективність зусиль щодо забезпечення відповідності. Це відбувається шляхом забезпечення обгрунтованого відповідності за допомогою автоматизації всіх національних засобів управління безпекою. Примітка. Для отримання додаткової інформації про створення ефективного середовища управління відповідністю вимогам, див наступну статтю на сайті ca.com: "The Role of Security Management in Regulatory Compliance" ("Роль управління системою безпеки в забезпеченні відповідності законодавчим вимогам").



1. Централізовані політики, які автоматично керують усім доступом користувачів до захищених ресурсів всіх типів в організації. Це серце будь-якого успішного управління конфіденційністю. Отже, це – основний елемент у забезпеченні потреб багатьох основних сьогоднішніх законодавчих вимог.


2. Автоматичне призначення (і видалення) облікових записів і прав доступу до ресурсів для всіх користувачів у відповідності з певними політиками. Ці політики зазвичай засновані на ролі користувача або його положенні в організації.


3. Автоматичний збір, фільтрація, візуалізація та аналіз всіх подій у середовищі, пов'язаних з безпекою. Це робить аудит системи безпеки не тільки можливим, але і в масштабуванні.


Рішення для управління ризиками, пов'язаними з безпекою в ІТ


У попередніх розділах цієї статті обговорювалися деякі основні галузі ризиків, пов'язаних з безпекою в ІТ. Розглядалися деякі технологічні рішення, які могли б допомогти знизити і проконтролювати ці ризики. Дві найважливіших області для скорочення ризиків ІТ – це управління ідентифікаторами і правами доступом та інтегроване управління безпекою.


Управління ідентифікацією і доступом (Identity and Access Management, IAM)


Майже у всіх компаніях ідентифікатори користувачів і їх права доступу є основним елементів стратегії електронного бізнесу. За цими ідентифікаторами стоять працівники, тимчасові співробітники, партнери, клієнти та інші люди, які беруть участь у всіх операціях.


Розуміння управління ідентифікацією – це ключ до створення успішного набору процесів і систем. Це управління визначає, хто може мати доступ і до яких додатків, баз даних та платформ, а також умови, на яких цей доступ можна надати.


Відповідаючи на ці питання, організації можуть виграти від ефективного зниження ризиків безпеки ІТ, захистити життєво важливі ресурси бізнесу і спростити бізнес-операції, досягнувши відповідності законодавчим нормам.


Основні питання, на які має відповісти компонент управління безпекою, пов'язаний з ідентифікацією та доступом, наступні.



Наступна діаграма ілюструє первинні компоненти ефективної платформи для управління ідентифікаторами і доступом в ІТ, і як ці компоненти взаємодіють для зниження загальних ризиків безпеки.



Малюнок В. Інтегрована платформа IAM

Зауважимо, що необхідно захистити доступ до широкого діапазону ресурсів (внизу діаграми). Сюди входять не тільки програми, але і фізичні пристрої, системи, а також важливі системні служби та бази даних.


Працівники-Тимчасові співробітники-Замовники ланцюжка поставок-Партнери-Служба підтримки-Система управління персоналом-Каталог-Адміністрування ідентифікаторів-Підготовка до роботи-Управління доступом-Аудит і моніторинг-Корпоративна інфраструктура-Загальні ролі, політики, звіти, технологічні процеси-Журнал подій-Фізичні ресурси-Мобільний телефон-Ідентифікаційні картки-Кишеньковий комп'ютер-Телефон-Платформи Системи-Системні служби-мейнфрейми-Системні файли-Додатки-SCM-ERP-SAP-Спеціалізовані програми


Ключові можливості для успішного управління ідентифікацією і доступом Рішення для управління ідентифікацією і доступом повинно включати в себе чотири наступних області можливостей.





При оцінці рішень для управління ідентифікацією переконайтеся, що ці компоненти тісно інтегровані й складають функціонально уніфіковану платформу. Є кілька причин, по яких необхідна інтегрована платформа. Оскільки є певні базові концепції, які є загальними для цих компонентів, то якщо кожен компонент визначає "роль" різним чином, то буде практично неможливо контролювати права доступу для кожної ролі для всіх компонентів платформи для забезпечення сумісності. Також важливо, щоб компонент аудиту та моніторингу зміг забезпечити візуалізацію всієї інфраструктури, незалежно від джерела подій. Без цього не буде ніякого способу досягти уніфікованого представлення всього середовища. Нарешті, інтегрована платформа значно полегшує управління і підвищує безпеку. Це відбувається через те, що неінтегрованих компоненти по своїй суті більш складні, і тому більш схильні до помилок безпеки. Також ними важче керувати.


Інтегроване управління погрозами


На ринку існують буквально сотні продуктів, які обіцяють позбавити вашу середовище від різних типів шкідливих і шпигунських програм. Хоча деякі з них з цим завданням справляються краще, ніж інші, застосування незалежних точкових рішень для різних областей програми управління погрозами може бути проблематичним. Вони не забезпечують той рівень інтеграції і функціонального єдності, який необхідний для боротьби з усе більш витонченими і частими атаками шкідливих програм.


Програма управління ризиками безпеки має справу не тільки з частими погрозами шкідливих програм, але також з відомими (опублікованими) або потенційними уразливими систем. Важливо розташовувати автоматизованим і цілісним механізмом управління пакетами виправлень, які поширюються по всій середовищі для боротьби з уразливими.


Ключові можливості для успішного інтегрованого управління погрозами При оцінці рішень для управління погрозами важливі такі можливості, покликані знизити ризики безпеки ІТ. Подібне зниження ризиків значно вплине на ефективність і структуру витрат групи ІТ. Воно дозволить підвищити ефективність роботи всієї компанії.


Схожі статті:


Сподобалася стаття? Ви можете залишити відгук або підписатися на RSS , щоб автоматично отримувати інформацію про нові статтях.

Коментарів поки що немає.

Ваш отзыв

Поділ на параграфи відбувається автоматично, адреса електронної пошти ніколи не буде опублікований, допустимий HTML: <a href="" title=""> <abbr title=""> <acronym title=""> <b> <blockquote cite=""> <cite> <code> <del datetime=""> <em> <i> <q cite=""> <s> <strike> <strong>

*

*