U ovoj lekciji raspravljati ćemo o nekim ključnim komponentama upravljanja sigurnošću. Ove komponente su važne kako bi se osigurao pristojan sigurnosni položaj organizacija. Uglavnom raspravljati ćemo o pravilima, standardima i procedurama.
Pravila se odnose na cijelu organizaciju, visoke su razine i širokog opsega. Obično su pravila definirana na duži rok i obično obuhvaćaju nekoliko godina. Sa pravilima tvrtke se definiraju odgovornosti kako za upravu tako i za korisnike.
Zatim imamo standarde koji ističu pravila koja su potrebna za postizanje ciljeva koji su definirani pravilima tvrtke. Dakle, standardi bi bili brojniji u usporedbi s pravilima tvrtke.
I odmah ispod standarda, imamo procedure koji su u osnovi specifični koraci potrebni za realizaciju pravila tvrtke. Osnovni cilj procedura je osposobiti zaposlenike i osigurati dosljednost u poslovnim procesima povezanim sa sigurnošću. Iz toga proizlazi da ako imate standardnu operativnu proceduru i imate dokumente s popisima konkretnih koraka koje je potrebno poduzeti u određenoj situaciji, tada nije važno koji zaposlenik provodi te korake. Imat ćete dosljednost rezultata i dosljednost procesa.
To je vrlo važno jer ako nemate standardne operativne procedure, onda će različiti zaposlenici krenuti različitim rutama. Oni mogu poduzeti različite korake, što može dovesti do različitih rezultata. Pa razmislite na primjer, postoji phishing napad na vašu organizaciju koji je otkriven. Ako imate odgovarajuće postupke, kako riješiti taj phishing napad počevši od prvog do posljednjeg koraka tada ćete biti u boljoj poziciji da osigurate neugroženost svog sigurnosnog položaja.
Također imamo smjernice koje se u osnovi nalaze na istoj razini piramide kao i procedure. Smjernice su izborne preporuke, što znači da su predložene najbolje prakse, ali nisu obvezne.
Kako bismo razumjeli što pravila , standardi i procedure podrazumijevaju, koje su razlike između njih i kako ih strukturirati možemo uzeti za primjer implementaciju lozinki.
Primjer provođenja pravila, standarda i procedura
Pravila
Dakle, pravila tvrtke za lozinke kažu da lozinke moraju biti jake, treba ih redovito rotirati i korisnici su odgovorni za čuvanje svojih lozinki. Ako primijetite, pravila su prilično široka i generičke prirode te se ne spominju specifične stvari. Tako su, na primjer, rekli da lozinke moraju biti jake ali nisu specificirali koliko moraju biti jake ili kako odabrati jake lozinke. Također se ne spominje koliko se redovito trebaju izmjenjivati i tako dalje. Dakle, široko je i općenite prirode.
Standard
Sada, standard lozinki može specificirati stvari poput lozinke koja treba biti veća od osam znakova i treba imati dva posebna znaka. Ovaj standard u osnovi objašnjava više detalja o tome da lozinke moraju biti jake. Dakle, kako bismo ih učinili jakima, moramo biti sigurni da su duže od određene duljine i da imaju posebne znakove.
Druga točka je da se lozinke moraju mijenjati svakih 90 dana.
Treće, korisnici su odgovorni za svoje lozinke i u slučaju da smatraju da je ugrožena, moraju odmah kontaktirati IT odjel. Ovaj dio standarda objašnjava i pruža više pojedinosti o tome kako su korisnici odgovorni za čuvanje svojih lozinki i koje su njihove odgovornosti u slučaju da posumnjaju da im je lozinka ugrožena.
Postupci i smjernice
Sada pogledajmo postupke i smjernice koje daju konkretne korake koje je potrebno poduzeti. Tako, na primjer, razmotrimo postupak promjene lozinke. Dakle, navodi se konkretne korake koje vi trebate učiniti.
Na primjer:
1. Morate se prijaviti na svoj račun.
2. Morate otići na postavke opcija i odabrati promjenu lozinke.
3. Zatim morate unijeti novu lozinku zajedno s potvrdom i kliknuti Pošalji.
Sve su to jednostavni i lako razumljivi koraci i znate da će ih zaposlenici moći lagano sprovesti.
Ovo je jednostavan primjer, ali u nekim slučajevima, na primjer, pri rješavanju proboja sigurnosti, može doći do nepredviđenih situacija ako nemamo pojednostavljen skup procedura.
Smjernice za lozinku mogle bi biti nešto poput preporuke za odabir fraze ili rečenice za lozinku, sama duljina će lozinku učiniti vrlo jakom i gotovo ju je nemoguće probiti hakerskim napadom grubom silom (brute force).
Dakle, vidjeli smo da pravila tvrtke daju opći smjer. Standardi nam u osnovi omogućuju da detaljnije objasnimo pravila tvrtke. Zatim imate procedure koje navode određene korake koje trebate poduzeti.
Zaključak
Dizajniranje učinkovitih politika informacijske sigurnosti težak je zadatak i postoji niz izazova koji se moraju riješiti. Pogledajmo neke ključne stvari koje morate uzeti u obzir ako želite dizajnirati učinkovitu politiku informacijske sigurnosti.
Dakle, prvo su rizici. Uvijek biste trebali jasno identificirati rizike, njihovu mogućnost pojavljivanja i prioritizirati ih. Dakle, ključna opasnost ovdje je da ako propustite rizik, posebno onaj koji je vjerojatno da će se ostvariti, tada bi vaša politika informacijske sigurnosti imala ozbiljan nedostatak.
Sljedeće su pravni i regulatorni zahtjevi. Svaka industrija ima svoj skup pravnih i regulatornih zahtjeva za usklađenost i pri dizajniranju vaših politika informacijske sigurnosti, ti zahtjevi moraju biti pravilno adresirani. Svaka politika informacijske sigurnosti bez pravne snage je prilično beskorisna, pa bi vaša politika trebala jasno identificirati primjere koji se smatraju kao prekršaji i kazne povezane s tim, i onda biste također trebali osigurati da se te kazne provode.
Uvijek biste trebali uključiti ljude, posebno osoblje, koje će se svakodnevno pridržavati vaše sigurnosne politike. Oni mogu čak pomoći u optimizaciji politike i ponekad mogu identificirati područja ili probleme koji su možda bili previdjeni. Možete imati najbolju politiku informacijske sigurnosti na svijetu, ali ako vaši zaposlenici nisu pravilno obučeni kako je implementirati, onda je prilično beskorisna. Stoga biste uvijek trebali osigurati da provodite periodične obuke i radionice na kojima dijelite pravila politike informacijske sigurnosti i upoznate svoje zaposlenike s njima. Naposljetku, uvijek bi trebali imati podršku uprave, i ta podrška ne bi trebala biti samo usmena već i pisana i mora biti vidljiva. Dakle, ako zaposlenici vide da viši menadžment podržava sigurnosnu politiku i preporučuje je, tada su skloniji slijediti je.