eGOVERNMENT
ským jménem a heslem o maximální délce 4 znaků – hlavní argument: „Krátká hesla jsou pro klienty sexy – delší hesla budou zapomínat…“). I když v dané organizaci existovala pozice bezpečnostního manažera a byly zde zavedeny funkční bezpečnostní procesy v duchu ISMS, přesto se zmíněný návrh dostal v této podobě až k programátorům. A to všechno v důsledku toho, že informační bezpečnost, respektive bezpečnostní manažer, nebyl přizván k návrhu obchodních procesů dané aplikace. Přitom i řada „obyčejných“ uživatelů s průměrnou znalostí základů informační bezpečnosti ví, že prolomení čtyřznakového hesla je v dnešní době více než jednoduché. V tomto konkrétním případě se naštěstí bezpečnostní manažer organizace do návrhu aplikace zapojil ještě relativně včas a dokázal do procesů i celkového návrhu aplikace prosadit alespoň základní bezpečnostní požadavky.
se budeme hodně snažit a investovat nemalé částky do technických prvků zabezpečení, jeho negativní vliv nikdy zcela neodstraníme. Proto je potěšující, že stále více organizací si tuto známou pravdu uvědomuje a začíná soustřeďovat odpovídající pozornost také na pravidelné vzdělávání uživatelů svých informačního systému. Školení informační bezpečnosti může být realizováno jak prezenční, tak i e-learningovou formou. Možné je i angažování externího školitele. V rámci jeho náplně je vhodné uživatele seznámit s možnými hrozbami, které na ně mohou v praxi působit, jako jsou například často využívané útoky metodami sociálního inženýrství. Dále by v obsahu školení rozhodně nemělo chybět seznámení se stávajícími bezpečnostními pravidly organizace, jako jsou např. pravidla pro nakládání s informacemi, pravidla pro používání výpočetní techniky, zásady zabezpečení notebooků, mobil-
„Nedostateãná úroveÀ bezpeãnostního povûdomí ãasto v˘znamnû degraduje i jinak vysokou úroveÀ technického zabezpeãení.“ V praxi se však poměrně často setkáváme s podobnými případy, kdy oblast bezpečnosti není řešena vůbec a nedostatky jsou objeveny až v závěrečných vývojových fázích při provádění bezpečnostních prověrek a penetračních testech. Náprava identifikovaných bezpečnostních nedostatků je však v těchto fázích vývoje zpravidla až několikanásobně finančně náročnější. Pokud je bezpečnost řešena ex-post, tak navíc málokdy u aplikace dosáhneme takové úrovně bezpečnosti, jako kdyby byla řešena již v počátečních fázích návrhu aplikace. Pokud organizace nemá sama k dispozici potřebné specialisty, nezbývá jí než se poohlédnout po dostatečně erudovaných externistech, případně tuto oblast outsourcovat od externího dodavatele.
ních zařízení, datových médií atd. atd. V mnoha organizacích mohou být také velmi důležitým aspektem pravidla pro nakládání s osobními údaji (např. klientů) nebo pravidla pro manipulaci s daty zákazníků. I když témata probíraná v rámci takového školení jsou zpravidla míněna
velmi vážně, z vlastní zkušenosti vím, že řada uživatelů z nich má spíše legraci. Proto je velmi vhodné školení doplnit o nějakou formu testu odolnosti uživatelů organizace vůči vybraným typům útoků. Zpravidla se jedná o fiktivní útoky vedené metodami sociálního inženýrství prostřednictvím telefonu, e-mailu nebo externích médií, případně kombinovaně. Provedení těchto testů před školením uživatelů dokáže upoutat pozornost zaměstnanců a současně jim v praxi ukáže reálnost tohoto typu útoků. Pokud se testy provádějí po školení, jsou prostředkem pro ověření jeho účinnosti.
Bezpeãnost nezná hranic Stejně jako jsou významná bezpečnostní opatření v organizační a personální oblasti, z nichž některé jsme zmínili výše, jsou dnes neméně aktuální také některé nové bezpečnostní technologie, jako je např. Network Behaviour Analysys (NBA), Data Loos Prevention (DLP) nebo Security Information and Event Management (SIEM), které také významně pomáhají v udržení potřebné bezpečnostní úrovně organizace. Ale o těchto technologiích snad až někdy příště… Petr Nádeníček, Senior IT Security Consultant AEC, spol. s r.o., člen Cleverlance Group
Nezastupitelná role bezpeãnostního povûdomí uÏivatelÛ I když v poněkud přeneseném významu, je i z výše uvedeného příkladu jasně vidět, jak důležité je bezpečnostní povědomí organizace i jednotlivých uživatelů-zaměstnanců. Nedostatečná úroveň bezpečnostního povědomí často významně degraduje i jinak vysokou úroveň technického zabezpečení. Ať se nám to líbí nebo ne, uživatel byl, je a bude nejslabším článkem bezpečnosti každého informačního systému, a i když
Parlamentní magazín
35