IT saugumas. Pagrindinės klaidos renkantis sprendimus

IT saugumas. Pagrindinės klaidos renkantis sprendimus

2016-01-15

Ar reikia ką nors dar įtikinėti, kad IT saugumo tema visoms organizacijoms turi būti viena iš prioritetinių? Deja, vis dar taip. Daug kartų esu girdėjęs keistų argumentų: „mes neturime ko prarasti ir slėpti“, „mūsų duomenys nėra jautrūs“ ir pan. Tačiau, gyvenimas negailestingas ir vieni supranta IT saugumo svarbą nuovokumo dėka, kiti – tik per karčią patirtį. Šį kartą – apie pirmuosius.

Taigi, kur dažniausiai paslysta IT vadovai rinkdamiesi ir pirkdami saugumo sprendimą?

Neįvertinti įmonės poreikiai

Visi daug kartų esame buvę prekybos centre. Ar bandėte apsipirkti su pirkinių sąrašu ir be jo? Kaip sekėsi? Net neabejoju, kad be pirkinių sąrašo namo parsinešėt ne vieną, o kelis nereikalingus daiktus, patraukusius jūsų akį ir nejučia įsmukusius į krepšelį. Neabejoju, kiekvieno iš mūsų namuose yra bent po kelis daiktus, kurie buvo nupirkti nesusimąstant, tarytum, lengvoje hipnozės būsenoje, o vėliau pamesti ir užmiršti kokioje dulkiniausiose namų vietoje.
Alegorija su impulsyviu pirkimu pasirinkta neatsitiktinai. Kaip ir renkantis prekes parduotuvėje, taip ir renkantis IT saugumo sprendimus, visų pirma reikia atsakyti į klausimus, kurie padės išsiaiškinti ar sprendimo iš tiesų reikia. Štai keli klausimų pavyzdžiai:
1. Kas mano organizaciją padaro sėkminga? Įdirbis su klientais? Suderinti procesai? Šiuolaikiškos technologijos? Puikiai sustyguota kainodara?
2. Kokius nuostolius organizacija patirtų sutrikus procesams ar visai veiklai? Dingus duomenims? Kiek kainuotų vienos valandos IT sistemų prastova?
3. Kokie duomenys jautriausi? Ar įmanoma juos klasifikuoti?
4. Ar organizacijos veikla reguliuojama kokių nors standartų?
5. Ar patiriami nuostoliai dėl darbuotojų asmeniniais tikslais naudojamų darbo priemonių? Kitaip tariant, kiek laiko darbuotojai skiria naršymui Facebook darbo metu?
6. Kiek pinigų prarastumėte, jeigu darbuotojas nutekintų konfidencialią informaciją? Ir pan.

Atsakę į šiuos klausimus žengsite link veiklos tęstinumo analizės, duomenų apsaugos politikos. Nujaučiu, kad dabar dalis skaitytojų raukia antakius ir tyliai bamba.
Noriu jus nuraminti, dideli ir sudėtingi dokumentai bei saugumo politikos tikrai nėra būtinos. Tačiau pažiūrėti į savo kasdienę veiklą iš šalies, įvertinti rizikas bei naudas, būtina. Kaip kitaip nuspręsti kas naudinga ir reikalinga?
Įvertinę, tarkime, 6-ąjį punktą, galėtumėte sau atsakyti ar jums reikalingas URL bei aplikacijų kontrolės sprendimas. Galbūt norite suteikti darbuotojams galimybę jaustis darbo vietoje laisvai, naršyti kur jiems patinka. O gal darbuotojai socialiniams tinklams skiria 30% savo darbo laiko ir jums nepatinka finansuoti kolegų „hobių“? Norėtumėte matyti kiek ir kas laiko praleidžia naršydami? Dažnai pasitaiko atvejų, kai organizacijos išleidžia daug pinigų tokiems sprendimams, tačiau jų nenaudoja susidūrę su darbuotojų nepasitenkinimu ar menka nauda. Tokių klaidų galima išvengti viską gerai apgalvojus iš anksto.

Sprendimai vertę įgauna tik specialistų rankose

Nieko nenustebinsiu, IT saugumo sritis reikalauja specifinės kompetencijos bei patirties, kurios jūsų IT specialistai gali tiesiog neturėti. Įprasta ugniasienė su papildomu funkcionalumu (URL ir aplikacijų kontrole, antivirusine sauga ir pan.) daugeliui specialistų yra aiški. Tačiau yra sprendimų, kurie be kompetencijos ir specialistų, tiesiog netenka prasmės. Pavyzdžiui, įvykių kaupimo bei koreliacijos sprendimai, atakų identifikavimo bei prevencijos sistemos (IDS/IPS/IDP).

Įvykių kaupimo bei koreliacijos sprendimai (SIEM) įprastai yra ne incidentų prevencijos priemonė, o informacijos kaupimo bei informavimo apie incidentus įrankis. Tokio sprendimo pagalba galite lengvai aptikti incidentus, kurie susekami tik tuo atveju jeigu lyginate juos su kitais įvykiais. Pavyzdžiui, vartotojas prisijungia prie nuotolinės prieigos sprendimo, o už 5 minučių įeina į ofisą. Atskirai šie įvykiai atrodo normalūs ir kasdieniški, tačiau juos palyginus suprastumėte, kad tai kelia įtarimą. Įvykių koreliavimo sprendimas su tinkamai aprašytomis taisyklėmis identifikuos šį galimą incidentą. Bet tai tik pirmas žingsnis. Kur kas svarbiau – tinkamai ir laiku sureaguoti. Be žmogaus stebinčio sistemą laiku sureaguoti praktiškai neįmanoma, o tokių procesų automatizavimas nerekomenduojamas. Todėl be vidinių ar išorinių specialistų, toks sprendimas tiesiog šildys orą jūsų duomenų centre.

Tą suprantantys įmonių IT vadovai vis dažniau sprendimų priežiūrą perleidžia išoriniams tiekėjams arba net saugumo valdymo centrams, dar vadinamiems SOC – „Security Operation Centers“. O kartais, įvertinę galimas išlaidas, tiesiog šių sprendimų atsisako.

Reklama ir realybė – kaip atskirti?

Visi suprantame, kad automobilių gamintojo reklaminiuose lankstinukuose nurodytos kuro sąnaudos ar variklio galia tėra tik teoriniai rezultatai, pasiekiami idealiomis sąlygomis. Gal ką nustebinsiu, tačiau IT gamintojai taip pat kartais meluoja.
Reklaminiai triukai naudojami tiek našumo parametrams gerinti, tiek pridedant gražiai skambančio funkcionalumo. Ar nebūtų smagu, jei ugniasienė apsaugotų nuo visų grėsmių ir papildomai atliktų prevenciją nuo duomenų nutekėjimo? Įsigijus tokį sprendimą paaiškėja, kad ugniasienės našumas, dirbant visu pajėgumu, krenta net kokius 15 kartų (neperdedu), o DLP funkcionalumas apsiriboja tik išeinančių laiškų tikrinimu pagal neredaguojamą raktažodžių sąrašą (taip pat neperdedu).

Testuokite ir lyginkite

Sunku būtų patikėti, kad kas nors galėtų įsigyti automobilį be bandomojo važiavimo. Tačiau nuolat susiduriu su atvejais, kai klientai pirkdami IT sprendimą baiminasi įsigyti „katę maiše“. Patarsite nelyginti automobilio su ugniasiene? Ir būsite teisūs, nes automobilio pasirinkimas susijęs su emocijomis, kurias patiriate kasdien juo važiuodami. Tačiau ugniasienė, kuri neretai kainuoja daugiau nei naujas automobilis, taip pat naudojama kasdien, maža to – ištisą parą bent kelis metus. Jei ugniasienė neatitiks lūkesčių, neatliks numatytų funkcijų, neatlaikys apkrovų, neišspręs problemų, dėl kurių buvo skirtas biudžetas jai įsigyti – neigiamos emocijos garantuotos. Ne tik jums, bet ir jūsų kolegoms, vadovams…
Nesvarbu kokio dydžio jūsų biudžetas – testus daryti būtina. Nepagailėkite laiko, pasiimkite bent kelis skirtingus sprendimus. Šiais konkurencingais laikais visi gamintojai suteikia įrangą bandymams. O patiems testams atlikti yra puikus metodas, angliškai vadinasi „Proof of concept“ (PoC). Jo pagalba įvertinsite, kaip teorija įgyvendinama praktikoje ir pamatysite, kaip bliukšta reklaminiai triukai.
„Surprise, surprise – renewal price“ (lietuviškai: „siurprizas, siurprizas – atnaujinimo kaina“). Prieš pasirašydami sutartį, paprašykite tiekėjo atsiųsti licencijų bei aptarnavimo pratęsimo kainas. Esu tikras, kad būsite nustebinti. Kainos gali skirtis drastiškai. Tačiau ir nuo tokių nemalonių sukrėtimų galima apsisaugoti. Mano siūlymas, įsigykite sprendimą su licencijomis bei palaikymu kuo ilgesniam laikui, prašykite tiekėjo užtikrinti esamą kainą arba ilgesnio termino kainas išskirstyti pamečiui. Visa tai įmanoma. Svarbiausia – patikimas ir kompetentingas partneris.
Tikiuosi, mano mintys padės jums darbuose. Ateityje plėsiu dar daugiau temų. Jeigu turite klausimų, o gal ir pastabų – visada galite rašyti man vytautas.zulonas@atea.lt.