Čo je Informačná bezpečnosť
Je bezpečnosť, ktorá sa zaoberá prístupom k ochrane informácii jednotlivej organizácie. K informácia sa v tomto prípade pristupuje ako k celku. Informačná bezpečnosť sa zaoberá vytvorením prostredia, ktoré zabezpečí celistvosť, dôvernosť a dostupnosť dát. V rámci informačnej bezpečnosti je nevyhnutné stanoviť pravidlá na riadenie zaobchádzania a prístupov k informáciám, definovať hladiny bezpečnosti pre zariadení a v organizácii vytvoriť proces riadenia rizík v organizácii a zadefinovať proces na identifikovanie a odstránenie bezpečnostných incidentov. Moderným označením, ktoré dobre znie ušiam v poslednom čase sa využíva označenie Kybernetická bezpečnosť, toto označenie je nepresné. Rovnako ako používať označenie holistický princíp v Kybernetickej bezpečnosti a myslieť si, že takto definovaný prístup pokrýva všetky dáta v organizácii
Čo je bezpečnostný incident?
Na riadenie informačnej bezpečnosti je nevyhnutné využívať procesné riadenie. Jedným z veľmi dôležitých procesov je riadenie bezpečnostných incidentov. Je to proces identifikácie, správy, zaznamenávania a analýzy bezpečnostných incidentov v reálnom čase. Bezpečnostný incident sa neviaže na naplnenie konkrétneho rizika, medzi bezpečnostné incidenty patria aj hrozby, pokusy o prienik, neoprávnený prístup, kompromitácia systémov a iné. Riadenie bezpečnostných incidentov vychádza z pochopenia zodpovednosti jednotlivcov za klientské dáta a systémy každej organizácie. Táto zodpovednosť vyžaduje, aby si jednotlivé zložky organizácie dali odpovede na otázku: Čo sa má stať, ak sa fungujúce systémy pokazia? Práve jednotlivé kroky, ktoré treba robiť vytvárajú systém, resp. proces, ktorým firma odstraňuje každý bezpečnostný incident.
Vzhľadom na rozsiahlosť, čo všetko patrí medzi bezpečnostné incidenty a vzhľadom na ich čoraz častejší výskyt je nevyhnutné zaviesť proces, ktorý vie identifikovať incidenty a následne reagovať. Pri správnej reakcii na incidenty musíte predpokladať využitie rôznych zdrojov od rôznych hárdverových zariadení, cez ľudskú silu, forenzné postupy až po vývoj softvérových záplat. Cieľom pri riadení incident procesu je zmierňovať riziko na najnižšiu možnú mieru.
Riadenie bezpečnostných incidentov
Na vytvorenie správneho podhubia pre riadenie incidentov je nevyhnutné urobiť si predprípravné kroky, ako sú napríklad:
- Pripravte si procedúru na riešenie bezpečnostných incidentov.
- Vytvorte monitorovací systém, ktorý dokáže odhaliť bezpečnostné incidenty.
- Vytvorte si systém kategorizácie incidentov v súčinnosti s IT a osobou zodpovednou za ochranu osobných údajov vo Vašej firme.
- V prípade, že incident predsa len nastal, vytvorte si formulár s jednotlivými krokmi a všetky Vaše kroky do neho zaznamenávajte.
- Dokumentujte, dokumentujte, dokumentujte každý jeden krok od logovania až po každé rozhodnutie.
- O každom kroku informujte celú skupinu, ktorá je zodpovedná a spolupracuje na odstránení incidentu.
- Nevyhnutým krokom sa javí informovanie štátnych organizácii ako sú Národný bezpečnostný úrad a iné sektorovo nevyhnutné úrady, v prípade ak počas bezpečnostného incidentu unikli osobné dáta, je nevyhnutné kontaktovať Úrad na ochranu osobných údajov.
Prvým krokom bude identifikovanie koordinátora incidentu a presné ohraničenie incidentu, identifikovanie vektoru hrozby a ak je nevyhnutné musí dôjsť k oddeleniu napadnutých systémov od prevádzkových. Zároveň je potrebné úzko spolupracovať s Business continuity managerom a riadiť sa business continuity plánmi. Veľmi dôležitým zdrojom informácii je vyšší manažment, ktorý musí byť neustále informovaný a zároveň na mieste je úzka komunikácia o incidente s hovorcom spoločnosti. Nezabudnite na správne a časovo podmienené ohlasovanie bezpečnostných incidentov jednotlivým úradom, takéto ohlásenie musí schváliť vyšší manažment. Neodporúčame ponechať nahlasovanie na automatický, autonómny systém, ktorý hlási na základe prekročenia kontrolovaných hladín udalostí.
Na čo nezabudnúť?
Hlavnou podstatou procesného riadenie odstránenia bezpečnostného incidentu je presné a jasné zadefinovanie rolí, ľudí ktorí riadia bezpečnostný incident a ich zodpovednosti. V prípade procesu na to máme nástroj, ktorý sa vo lá RACI tabuľka (Responsible, Accountable, Consulted, Informed). Ďalší nevyhnutný krok je zoznam, v ktorom si viete vyškrtávať jednotlivé kroky na odstránenie incidentu a máte istotu, že na nič nezabudnete a každú akciu si zaznamenáte aj s výsledkom a zodpovednou osobou a aj so závislosťami. Typickou závislosťou je závislosť napríklad na backup a recovery procedúre, Disaster recovery procedure, ale aj Incident manažmente v rámci informačného systému vo firme. Nevyhnutnou vecou pri odstraňovaní incidentu je správne zbieranie dôkazov s využitím forenzných metód. Takéto know how však nie je ľahké udržať si v rámci firmy, preto je vhodné si zabezpečiť a podpísať zmluvu s firmou, ktorá túto vedomosť má. Posledné odporúčanie sa týka učenia. Po každom incidente je nevyhnutné urobiť stretnutie tímu a vytvoriť zoznam odporúčaní a zlepšení pre ďalší prípad. Zároveň je nevyhnutné v čase, keď security incident management nie je naštartovaný, pravidelne cvičiť odozvu tímu pravidelnými tréningami.
Všetky odporúčania v článku sú vhodné na okamžitú odozvu na bezpečnostný incident. Každá organizácia si však ten svoj proces musí nastaviť podľa svojich pravidiel, implementovaných procesov a zvyklostí, ktoré v organizácii panujú.