BezpieczeństwoKłopoty z polityką zgodności > redakcja Opublikowane 29 maja 20130 0 121 Podziel się Facebook Podziel się Twitter Podziel się Google+ Podziel się Reddit Podziel się Pinterest Podziel się Linkedin Podziel się Tumblr Z kolei niepodważalnym faktem jest, że środowisko bezpieczeństwa zmienia się zbyt szybko, aby przedsiębiorstwa były zawsze w stanie ochronić się przed wszelkiego typu zagrożeniami. W 2012 roku przeprowadziliśmy szczegółowy audyt bezpieczeństwa sieci w blisko 900 firmach na całym świecie. Wyniki badań wykazały, że 63% z nich były zainfekowane botami, o których istnieniu nikt nie wiedział. Wspomniane boty średnio co 2 godziny komunikowały się z zewnętrznymi centrami dowodzenia, na bieżąco wykradając dane z zawirusowanych sieci.Wszystkie ze wspomnianych firm posiadały liczne technologie bezpieczeństwa – firewalle, systemy antywirusowe oraz wiele innych produktów. Mimo wszystko ich sieci zostały zainfekowane, prawdopodobnie na skutek nieregularnych aktualizacji lub zmian w architekturze sieci, które bez odpowiednich poprawek w rozwiązaniach bezpieczeństwa tworzyły słaby punkt ochrony. W wielu przypadkach do zainfekowania botami dochodziło za pomocą wymierzonych ataków email typu spear-phishing lub zawirusowanych załączników wysyłanych do pracowników.Dostałeś maila? To mail dostał ciebieCo więcej, zagrożenia bezpieczeństwa nie ograniczały się jedynie do sieci. 54% przedsiębiorstw miało do czynienia z wyciekami danych na skutek emaili pomyłkowo wysłanych do niewłaściwych odbiorców lub niewłaściwie opublikowanych w sieci wiadomości.Nic dziwnego zatem, że w marcu agencja European Network and Information Security Agency (ENISA) nawoływała do zwalczania coraz częściej pojawiających się popularnych zagrożeń, w tym ataków spear-phishing. ENISA wyszła nawet nieco dalej, zalecając by rząd i przedsiębiorstwa poszukiwały alternatyw do tradycyjnych emaili, które pozwalałyby lepiej chronić się przed podszywaniem oraz phisingiem. Sprawy ochrony informacji przesyłanych w emailach oraz procedury bezpieczeństwa z tym związane stały się dla wielu firm problemami nie do pokonania.Jeżeli dodać do tego ostatnią publikację European Commission’s Cybersecurity Directive, która drastycznie zaostrzyła wymogi publicznego informowania o wyciekach danych, nie da się ukryć, że przedsiębiorstwa muszą w tej chwili bardzo poważnie podchodzić do problemu utrzymywania zgodności z wymogami prawnymi dotyczącymi bezpieczeństwa.Wszystko się zmieniaProblem utrzymania zgodności ma dwa podłoża. Jak już wspominaliśmy, codzienne obowiązki dotyczące zarządzania siecią wprowadzają częste zmiany w konfiguracji urządzeń i topologii sieci, a każda zmiana, niezależnie od tego jak mała, może sprawić, że stan bezpieczeństwa firmy nie jest zgodny z wymogami prawnymi. Szczególnie dotyka to przedsiębiorstwa posiadające kilka oddziałów, gdzie dział IT może mieć problemy z byciem na bieżąco na temat sytuacji w każdej z siedzib firmy.Drugim problemem jest to, że wymogi prawne dotyczą nie tylko działu IT, ale także tego, co robią pracownicy. Obowiązki pracowników zmieniają się, a te zmiany narażają firmę w takim samym stopniu jak reorganizacja zasobów sieciowych, nawet jeżeli personel jest regularnie szkolony na temat właściwej troski o powierzone im dane. Implementację systemu bezpieczeństwa i zdefiniowanie odpowiednich polityk dodatkowo jeszcze utrudnia mnogość przepisów, do których muszą dostosować się firmy (badania wykazały, że korporacje z listy Fortune 1000 muszą brać pod uwagę ponad 30 różnych regulacji prawnych).A to przecież tylko pierwszy krok do uzyskania pełnej zgodności. Systemy muszą być wciąż monitorowane i regularnie sprawdzane aby mieć pewność, że są wciąż zgodne z wymogami prawnymi oraz aby w każdej chwili móc przedstawić odpowiedni raport bezpieczeństwa w przypadku audytu. W jaki więc sposób firmowe działy IT mają sobie radzić z tym niezwykle złożonym problemem wciąż zmieniających się reguł prawnych, skoro nie mają wystarczająco zasobów do poświecenia na niekończącą się analizę logów systemowych?Automatyzacja w służbie pracownikomAby być na bieżąco ze wszystkimi wymaganiami potrzebny jest automatyczny monitoring sieci, produktów bezpieczeństwa oraz polityk, działający w czasie rzeczywistym. Musi on również reagować na wszelkie zmiany w systemach oraz regulacjach prawnych dotyczących przedsiębiorstwa. Jeden czytelny wykres sieci może pomóc pracownikom działu IT w śledzeniu i wykrywaniu potencjalnych problemów w ruchu w sieci oraz informować o potencjalnych obszarach zagrożeń poprzez wyświetlanie konfiguracji poszczególnych firewalli oraz aktualnych ustawień polityk bezpieczeństwa na danych urządzeniach.Automatyzacja może dać pracownikom IT widoczność i możliwość szybkiego reagowania na wszelkie incydenty bezpieczeństwa, zanim jeszcze doprowadzą do poważnych strat. Jednak skąd pracownicy mogą wiedzieć, czy w danym momencie cała konfiguracja jest zgodna z wymogami prawnymi? Otóż w tym miejscu główną rolę powinny odegrać narzędzia monitorujące zgodność z regulacjami.Zaawansowany system bezpieczeństwa powinien oferować zarówno zaawansowany interfejs zarządzania jak i efektywne narzędzie monitorujące zgodność z wymogami prawnymi, będące w stanie porównać konfigurację urządzeń z szeroką bazą informacji na temat dobrych praktyk dotyczących bezpieczeństwa oraz wszelkich regulacji. Rozwiązanie powinno również automatycznie reagować na wszelkie zmiany w konfiguracji, informując dział IT o potencjalnych zagrożeniach wynikających z tych zmian oraz sugerując wprowadzenie poprawek w przypadku niespełnienia wymogów. Prawie równie istotnym zagadnieniem jak utrzymanie bezpieczeństwa i rozwiązywanie problemów jest możliwość dokumentacji zgodności z wymogami prawnymi na żądanie dyrekcji lub w przypadku audytu zewnętrznego.Automatyzacja pomaga przedsiębiorstwom oderwać się od ciągłej gonitwy za zmieniającym się prawem oraz pozwala uzyskać pełną kontrolę nad systemem. Odpowiednie rozwiązanie pozwoli działowi IT na śledzenie potencjalnych problemów, wyświetli informacje o obszarach zagrożenia oraz obecnym stanie zgodności z aktualnymi regulacjami prawnymi i dobrymi praktykami, a dodatkowo zaproponuje zmiany pomocne przy zarządzaniu systemem bezpieczeństwa. Zmiany są nieuniknione, a dzięki takiemu rozwiązaniu mamy pewność, że ryzyko zagrożenia bezpieczeństwa firmy jest zminimalizowane.