Ľudský faktor v informačnej bezpečnosti

Autor: Jozef Vyskoč | 24.9.2010 o 14:17 | Karma článku: 6,97 | Prečítané:  2334x

V súčasnosti sa už bežne v súvislosti s informačnou bezpečnosťou hovorí i píše o tzv. ľudskom faktore – o tom, aký vplyv na praktickú úroveň bezpečnosti systému majú „ľudia okolo“. Pod tým sa spravidla myslia používatelia IS a hrozby, ktoré dokážu vyvolať svojou (ne)činnosťou ... a azda každý správca systému to vie podoprieť historkami o tom, aké nezmysly a hlúposti popáchali „jeho“ používatelia. Pozoruhodne často však absentujú zmienky o ďalších osobách, ktoré tiež patria do kategórie „ľudí okolo“ – ako keby (ne)činnosť manažérov organizácie, správcu systému, bezpečnostného manažéra, audítorov, externých konzultantov, či pri širšom zábere aj autorov súvisiacich koncepčných a strategických dokumentov, noriem, štandardov a zákonov nemala na úroveň bezpečnosti systémov žiaden vplyv. Je to zvláštne, keďže vzhľadom k „váhe“ osôb, spomenutých v predchádzajúcej vete, môžu mať ich rozhodnutia či návrhy naozaj vážne dôsledky na samotné riešenie, resp. na úroveň praktickej bezpečnosti systémov organizácie, či celej spoločnosti. Prečo sa vlastne mlčky predpokladá, že len bežní používatelia sú nevedomí keď príde na informačnú bezpečnosť?

Nie je chybou sústrediť sa len na tých najslabších a o ostatných sa tváriť, že neexistujú? Veď taký manažér organizácie nemusí bezpečnosť jej systémov ovplyvniť len rozhodnutím, ktoré sa výslovne týka IS či financovania jeho zabezpečenia. Pokiaľ „vnútorná kultúra“ organizácie či charakterové vlastnosti manažérov (zvlášť tých vyššie postavených) ich stavia do pozície, že na nich sa nevzťahujú bežné obmedzenia, ktoré platia len pre obyčajných zamestnancov, z manažérov sa stávajú atraktívne ciele útokov využívajúcich sociálne inžinierstvo. Inak povedané, trochu premýšľajúci útočník sa pokúsi nadviazať bližší kontakt (na čo sa výborne hodia sociálne siete) skôr s manažérom, pre ktorého neplatia bezpečnostné obmedzenia, ako s chudákom používateľom, ktorého bezpečnostné opatrenia zväzujú tak, že sotva dokáže urobiť niečo viac ako spustiť zopár vybraných aplikácii. Naozaj stačí spoľahnúť sa na to, že manažéri sú akosi automaticky náležite "odolní" voči takýmto útokom a zvyšovanie bezpečnostného povedomia orientovať len na bežných používateľov?

Nejde však len o manažérov. Špecifickým prípadom sú „ľudia okolo“, ktorých pracovné zaradenie priamo predpokladá viac ako bežnú úroveň znalostí z informačnej bezpečnosti. Je vcelku zrejmé, že nesprávny človek na takom mieste dokáže spôsobiť značnú ujmu na úrovni zabezpečenia ... ako však rozoznať, kto je naozaj odborníkom a kto na to proste nemá? To, že pre tento problém (ktorý sa neobmedzuje len na informačnú bezpečnosť) neexistuje spoľahlivý algoritmus ešte neznamená, že nie je možné sa pokúsiť objaviť a odfiltrovať aspoň zrejmé prípady. Niekedy na to postačí naozaj málo... Pred časom som sa rozprával s pedagógom z fakulty/univerzity, ktorá je považovaná za poprednú na Slovensku. Patrí k novej generácii, matematik, videl kus sveta. V rozhovore sme sa dostali aj k téme bezpečnosti a pri tej príležitosti spomenul, že na fakulte majú pána docenta X, odborníka na informačnú bezpečnosť. Zvedavosť na to, ako sa na - v slovenských podmienkach poprednom - akademickom pracovisku dá získať povesť odborníka, ma viedla k položeniu otázky: “Z čoho usudzujete, že pán X je odborník na informačnú bezpečnosť?” Zarazil sa, a po chvíli premýšľania úprimne priznal "Pretože to X o sebe tvrdí". Dosť trápne odôvodnenie, pre akademické prostredie obzvlášť. Zdá sa, že nezaškodí aspoň občas (si) položiť podobnú otázku.

Problém je však oveľa zložitejší – niekedy si uvažovaná pozícia vyžaduje popri know-how z IT či informačnej bezpečnosti aj ďalšie zručnosti. Technická zručnosť je fajn, ale je to to najdôležitejšie čo by mal mať napríklad dobrý bezpečnostný manažér? Na IDC IT Security Roadshow 2008 v Bratislave som využil možnosť rozhovoru s Rogerom Halbheerom, Chief Security Advisor-om Microsoftu pre región EMEA a nadhodil som tému „aké vlastnosti by mal mať ideálny bezpečnostný manažér?“ Stručne možno zhrnúť že sme sa zhodli, že pre bezpečnostného manažéra sú dôležitejšie komunikačné zručnosti ako technické znalosti (pána Halbheera táto téma zaujala do takej miery, že sa k nej následne vrátil na svojom blogu). A to nemusí byť všetko, nakoľko požiadavky na to, čo má mať bezpečnostný manažér na starosti, pribúdajú – niekde napríklad už aj ochranu dobrého mena organizácie, prinajmenšom na Internete.

Asi by bolo vhodné, aby sa pojem ľudský faktor v informačnej bezpečnosti neobmedzoval len a len na používateľov, ale aby obsiahol všetkých „ľudí okolo“, ktorí môžu, či už vedome alebo nevedome, ovplyvniť úroveň zabezpečenia systému. A neuškodilo by častejšie sa zamyslieť, či každý, kto patrí do toho širšieho okruhu „ľudí okolo“ je náležite pripravený a vedomý si toho, že jeho činnosť či nečinnosť môže mať nezanedbateľný vplyv na úroveň bezpečnosti IS.

Páčil sa Vám tento článok? Pridajte si blogera medzi obľúbených a my Vám pošleme email keď napíše ďalší článok
Pridaj k obľúbeným

Hlavné správy

DOMOV

Cítila každý vpich ihly. Lekárov so slzami v očiach prosila, aby už prestali

Denník SME oslovil všetky univerzitné a fakultné nemocnice. Ani jedna nedostala podnet na násilie či neetické správanie personálu počas pôrodu.

KOMENTÁRE

O čom Babiš sníva?

Českej demokracii nehrozí rozklad, ten sa už dávno deje.


Už ste čítali?