Загрузка не удалась. Возможно, проблемы с правами доступа?

Человеческий фактор в информационной безопасности

Автор: Цухникиди П.Ю.


Введение

Эта статья представляет собой обзор исследования анализа человеческого фактора и его влияние на эффективную систему управления информационной безопасностью. Только лишь технические элементы управления просто не смогут обеспечить достаточную информационную безопасность на практике, и создать наиболее экономически-эффективную форму контроля безопасности.

Недостатки технических решений

Некоторые организации рассматривают «технические решения» как прямой ответ на их информацию о проблемах безопасности. Такое отношение способствует нескольких поставщиков - как вы уже догадались - те самые же «технические решения». Не поймите меня неправильно: Информационные технологии на основе продуктов безопасности такие как брандмауэры, антивирусное программное обеспечение, VPN и SIEM являются ценным оружием в безопасности, но существуют серьезные недостатки в технологическом подходе:

  • Во-первых, технологии ошибаются. Несмотря на все усилия качественной разработки программного обеспечения движения, хакеров, тестеры и пользователи продолжают находить непроверенные буферы, неожиданные исключения, бэкдоры и другие грубые уязвимости в коммерческих и в собственных разработках программного обеспечения. Во всяком случае, они в настоящее время обнаружены и эксплуатируются более быстрыми темпами, несмотря на огромный объем инвестиций в практику кодирования и тестирования безопасности системы. Эта проблема усугубляется сложностью ИТ-систем. Организации, которые используют многослойную безопасность имеют верное представление, но наивно было бы предположить, что каждый слой безопасности является идеальным. Что еще хуже, еще со средних веков, злоумышленники, как известно, обходят очевидные замки, принимая альтернативные решения - туннелирование или подрыв стены или окружающие блокады замка например, в войну на истощение. Поэтому, альтернативная атака, векторы или модели сейчас в моде.
  • Во-вторых, очень немногие организации действительно могут понять проблемы информационной безопасности в достаточной мере, чтобы даже указать на соответствующие технические решения. Как правило, они признают нужное для стандартных пакетов информационной безопасности (например, антивирусное программное обеспечение) по сути отдельные проблемы, но полное представление о своих требованиях в целом чаще всего отсутствует. Они покупают «Plug and play» брандмауэры, которые не касаются мониторинга охранной сигнализации, обновления сигнатур и новых форм сетевого трафика. Они сканируют письма на наличие вирусов, но в тоже время игнорируют карты памяти USB, JavaScript, DNS и другие более экзотические атаки.
  • В-третьих, сам термин «техническое решение» почти всегда подразумевает значительные расходы. Сделанные на заказ технологии безопасности обходятся особенно дорого, в то время как стандартные выходные готовые пакеты предлагают небольшое конкурентное преимущество.
  • Наконец, кто-то неизменно должен заниматься внедрением, эксплуатацией, управлением и обслуживанием всего, что касается безопасности технологий …

Оптимизация инвестиций управления

Организации с ограниченными или неэффективными мерами безопасности страдают гораздо больше и терпят большие потери, чем их конкуренты с лучшими системами управления. Однако приобретение и запуск дополнительных элементов управления становится более дорогостоящим, чем нарушения в безопасности, которых вы стремитесь избежать. Это показано схематически ниже, на рисунке 1.

Рисунок 1. Приобретение и запуск дополнительных элементов управления более дорогостоящее, чем нарушения в безопасности.

Хотя задача нахождения оптимального уровня инвестиций управления непосредственно не решена этот график показывает, что не стоит инвестировать в дополнительные элементы управления если мы не убеждены в том, что они действительно рентабельны, т.е. новые элементы управления стоят меньше, чем последствия, которые они затрагивают. С этим напрашивается вопрос: какие же элементы управления являются экономически эффективными?

Экономически эффективные средства управления

Реализация дополнительных мер контроля имеет несколько связанных с этим расходов, некоторые из которых являются очевидными и их легко измерить, но многие остаются скрытыми или безмерными:

  1. Существует, как правило, приходится платить авансом, когда мы покупаем что-то, будь то продукт (например, брандмауэр) или услуги (например, управление безопасностью). Цена покупки может быть одноразовой (выставляется плата) или периодических (например, лицензионные сборы, техническое обслуживание). Однако, есть и скрытые расходы на закупки, в том числе усилия, необходимые для идентификации требований, выбор подходящих товаров и услуг и завершение сделок по покупке. Внутренние затраты, как правило, поглощаются в процессе закупок в качестве накладных расходов во всех покупках.
  2. Органы управления должны быть реализованы и управляемы. В этом случае время и расходы на управление изменения могут быть более значительными. Сложные технические элементы управления, такие как обнаружение вторжений и системы предотвращения, например, являются относительно дорогими в плане реализации должным образом и бывают упакованы в проекте внедрения, требующие конкретных финансовых инвестиций. Даже услуги имеют реализации и управленческие расходы. Есть некоторая степень разрушения и изменения в качестве внутренних процессов, приспособленных для поглощения нового обслуживания, и в обоих случаях есть постоянное участие поставщика в вопросах создания и управления.
  3. Есть расходы, связанные с настройкой или использованием элементов управления. Простой пример работы - это защищенные паролем заставки: пользователи больше не могут вернуться к рабочему столу и просто работать, пока они разблокируют заставку с паролем, который вызывает небольшие задержки и неудобства.

Кто-то, возможно, сделал оценочное суждение о том, что аккумулирующие задержки и неудобства являются менее дорогостоящими, чем нарушения, которые могли бы происходить путем несанкционированного доступа к сети в незащищенных паролем спящих ПК. Однако в большинстве случаев, эксплуатационные расходы, связанные с контролем безопасности не рассчитываются и не отслеживаются. Как правило, относительно небольшие воздействия, широко разошлись среди пользователей, и довольно незначительны для каждого из них, но могут быть финансово значимыми в совокупности.

Передовые средства управления высоких технологий безопасности существенно более дорогие во всех трех категориях, чем высокие технологии обслуживания или процедурного контроля.

Все затраты и эффективности варьируются в зависимости от видов контроля, это показано на рисунке 2.:

Рисунок 2. Этот рисунок демонстрирует старую пословицу «Лучше предупредить, чем лечить».

Как правило, элементы управления, предназначенные для предотвращения или избегания нарушений будут более экономически эффективными, чем те, которые предназначены для определения или исправления нарушений после. Профилактическим и сдерживающим фактором управления является уменьшение или устранение затрат на воздействие от другого контроля. Не любой контроль достаточно эффективен, так что все еще существует необходимость инвестировать в корректирующие средства управления, содержащие общие затраты на нарушения, которые неизбежно будут происходить.

Вопрос в том, если рассматривать улучшение процессов управления в информационной безопасности, нужно ли инвестировать в технологии процессов? Я думаю, что организации нужны оба. Возможно кто-то считает, что они могут просто установить технический контроль out-of-the-box и игнорировать инструкцию и процессы настройки, а потом недоумевать почему же ничего не работает? На самом деле люди и технологии дополняют друг друга.

Человеческий фактор

Думаю, все когда-нибудь вводили значение в неправильном поле формы, или делали простую ошибка в вычислениях, удаляли не тот файл по ошибке, вытаскивали неправильную вилку из розетки. Все допускают ошибки, и по большей части просто принимаем их как неизбежное, а потом делаем все возможное, чтобы обнаружить и устранить проблемы, пока еще не слишком поздно. В отношении контроля технической безопасности, простые ошибки конфигурации могут оставить сетевые порты открытыми, брандмауэры уязвимыми и системы полностью незащищенными. На самом деле человеческая ошибка, куда более вероятно может привести к серьезным нарушениям безопасности, чем технические уязвимости.

Можно даже утверждать, что технические недостатки сами продукт человеческих ошибок: в медицине был случай, когда машина, сдала десять раз заявленную дозу. Это произошло из-за неясной ошибки в важных файлах безопасности программы, которая так или иначе избежала строгого тестирования. Люди были виноваты в неисправности этой машины.

Существует область науки, которая называется «Human Factors Engineering», она стремится решить эту проблему. В некоторых случаях (например, электростанция системы управления), нажатие «не той кнопки» может иметь катастрофические последствия для безопасности. Есть система блокировки, двойное управление и автоматические программируемые отклики. Целые группы мониторов следят и постоянно проверяют систему, ее операторов, и динамичное реагирование на состоянии тревоги. Безопасность критически важных систем (то, как они спроектированы, разработаны, испытаны, эксплуатируются и обслуживаются человеком) очень важна и довольно надежна … И все же, ошибки все еще имеют место. Операторы электростанций иногда нажимают на неправильные кнопки, тем самым выключая системы, из-за чего и происходят нарушения в системах безопасности. Водители спорткаров иногда выключать свои сложные системы контроля сцепления, чтобы «повеселиться», а иногда и превышают возможности противоскользящего торможения или систем контролирующих сцепление.

Пользователи выбирают слабые пароли, и вместо того, чтобы изменить их, они повторно используют их в нескольких системах. Они теряют свои маркеры безопасности и смарт-карты. В то время как система контроля безопасности иногда может помочь (например, соблюдения длинных буквенно-цифровых паролей), пользователи по-прежнему делают все по-своему (например, используют простые шаблоны с клавиатуры и выбирают пароли из слов словаря).

Подводя итоги можно сказать, что информационная безопасность является одновременно человеческой и технологической проблемой.

Оценка проблемы

Допустим, что ваша организация идет в ногу с передовой практикой безопасности. Возможно вы менеджер по информационной безопасности или руководитель отдела Информационной безопасности или небольшая группа обеспечивающая безопасность. Администрация одобрила набор политик и стандартов в области информационной безопасности. Ваши системы требуют длинных паролей, и вы установили приличные брандмауэры и антивирусное программное обеспечение. В вашей организации возможно даже есть система управления информационной безопасностью, возможно, заверенная и соответствующая ISO / IEC 27001. Остается вопрос: насколько вы защищены?

Давайте разберем это немного подробнее:

  • Насколько компетентна ваша команда по управлению информационной безопасностью? Являются ли они технически квалифицированными и управляли ли информационной безопасностью? Есть ли у них уважение технического персонала, руководство и персонала в целом? Являются ли они достаточно мотивированными, чтобы сделать свою работу хорошо?
  • В какой степени происходит поддержка управления политики информационной безопасности организации, цели и управления? Сообщают ли о нарушениях правил безопасности регулярно, тенденции и мониторинг и о серьезных инцидентах ? Когда в последний раз старший менеджер явно подчеркнул важность информационной безопасности в заседании коллегии?
  • Все ли ваши сотрудники понимают и выполняют информационную политику и стандарты строго? Охватывают ли политика и стандарты все требования информационной безопасности организации? Новые стажеры и временные работники следуют ли тем же правилам? Знают ли она каковы правила и последствия несоблюдения?
  • Понимают ли пользователи необходимость выбора надежных паролей, что нужно держать их в секрете, и часто менять? Кто-нибудь на самом деле проверяет, что они следуют указаниям? А как насчет всех ваших других политики, стандартов и правил управления?
  • Специалисты, которые настраивают и обслуживают сервера, брандмауэры, антивирусное программное обеспечение и т.д. держат в курсе последних угроз, уязвимостей и воздействий на все системах (в том числе настольные компьютеры, портативные и сетевые устройства)? Они регулярно проверяют выпущен ли патч безопасности? Проверяли ли они безопасность новых релизов до осуществления их на производственной сети? Кто-нибудь сможет самостоятельно и грамотно проверить ваши системы и сети, что они находятся в безопасности, и если да, насколько тщательно и как часто?

Эти вопросы в основном касаются людей, а не технологии. Конечно, это важно принять решительные брандмауэры, но, учитывая, что большинство имеющихся в продаже брандмауэров разумно функциональны, это не более важно быть уверенным, что они настроены правильно и поддерживается людьми. Тот же аргумент относится к антивирусной защите, IDS / IPS и все другие зрелым технологиям безопасности. Несмотря на то, что производители могут сказать и как разрекламировать, все они достаточно функциональны, но они должны быть правильно настроены и идти в ногу с в непрерывно меняющимися угрозами. Одни компьютеры не могут осуществлять политику и стандарты информационной безопасности, люди должны приобретать и настраивать системы, включать функций управления, мониторинг тревоги и использовать их. Исходя из всего этого, можно сделать вывод, что ничуть не менее важно инвестировать в ваших людей, как в ваши технологии.

Активное управление рисками

Большинство организаций могут оценить свои технологии для рисков информационной безопасности, как правило, путем оценки новых продуктов и периодических тестирований системы (например, тестирование pre-релизов и регулярные сканы сетей уязвимости).

С точки зрения управления рисками, люди представляют угрозы:

  • Персонал или аутсайдеры компании, которые намеренно пытаются нарушить безопасность системы управления путем явной угрозы – типичными примерами являются мошенники, хакеры и вирусописатели. Небрежный и некомпетентный персонал это еще одна форма угрозы, они вводят неверные данные в вашу систему, что может привести к повреждению, но даже добросовестный и заботливый персонал иногда допускает ошибки.
  • Сотрудники, которые выбирают слабые пароли, идентификаторы для пользователей, раскрывают конфиденциальную информацию, игнорируют опечатки, ошибки в конфигурации безопасности и т.д. открытые уязвимости, которые могут быть использованы другими. Менеджеры и руководители, которые не потрудились проверить информацию, прежде чем разрешать системе запрашивать доступ к каким-либо важным файлам или которые как-то создают другую форму систематической уязвимости. Есть еще много примеров из реальной жизни.
  • Зачастую нарушения информационной безопасности вызваны человеком, в результате организационных последствий. Персонал, порой, склонен не доверять системам, даже если ошибки данных являются результатом ошибок ввода данных пользователями. Порой им сложно придумать и запомнить хороший пароль и они пользуются шаблонами. Менеджеры по информационной безопасности могут потерять уважение, и даже потерять свои рабочие места, если организация страдает серьезными нарушениями правил безопасности.

Заключение.

Если вы серьезно относитесь к информационной безопасности, необходимо решать человеческие факторы, так же как и технические, думать о том, как улучшить эти оба фактора. Они одинаково важны, не нужно выбирать. Активное управление рисками включает в себя оценку и переоценку всех угроз, уязвимостей, воздействий и последовательного улучшения мер контроля. Это же все делается не только для того, чтобы получить сертификат 7799 или любой другой. Информационная безопасность является постоянным процессом управления. Да и когда ваша система в безопасности, а сотрудники надежны и внимательны вам нечего бояться!

Список используемых источников:

  1. Евгений И. Гаврюшин - В мире права. 2002. № 2.
  2. Д'Арси J, Hovav & Galletta DF (2009). Осведомленность. Пользовательская Безопасность. Контрмеры и их последствия для информационных систем злоупотребления. Сдерживание. Информация Systems Research 20 (1): 79-98.
  3. Херцог, П. (2010). Безопасность, доверие, и как мы разбиты. ISECOM.
  4. Лейси, Д. (2009). Managing the Human Factor in Information Security, How to win over staff and influence business managers, Chichester, John Wiley & Sons Ltd.
  5. Лим, JS, Ахмад А., Чанг, С., и Мейнард, С. (2010). «Вложение информационной безопасности Культура возникающие проблемы и вызовы». PACIS 2010 года.
  6. Ли С.М., Ли S & Ю S (2004) интегративная модель компьютерной зависимости на основе социального контроля и общих теорий сдерживания. Информация управления и 41 (6): 707-718.
  7. Kankanhalli, Тео HH, Тан BCY & Вэй К.К. (2003). Интегративный изучение эффективности безопасности информационных систем. Международный журнал Information Management 23 (2): 139-154.