Świadomość ryzyka w IT
W trakcie konferencji Advanced Threat Summit 2018 miałem okazję prowadzić roundtable na temat Polityka zarządzania hasłami i dostępami, różne podejścia i ryzyka. Na dyskusję zaplanowane były następujące zagadnienia:
Dyskusja okazała się być na tyle ożywiona, że nie zdążyliśmy dokładnie omówić wszystkich kwestii, w zasadzie dogłębnie poruszyliśmy jedynie pierwsze zagadnienie. Poniżej przedstawiam najważniejsze wnioski z dyskusji oraz tezy jakie przygotowałem przed rozpoczęciem dyskusji.
Czy warto mieć restrykcyjną politykę haseł oraz politykę dostępów?
Dyskusję rozpoczęliśmy od kwestii sposobów ograniczenia stosowania hasła lub co najmniej ograniczenia ryzyka związanego z wykorzystywaniem przez użytkowników tego samego hasła wielokrotnie oraz zapisywanie hasła w pobliżu miejsca pracy. Wartościowym sposobem ograniczenia tego ryzyka jest:
W tym zakresie padło również stwierdzenie, że możliwe jest wykazanie ekonomicznych podstaw takiego podejścia (w tym zysków z wdrożenia).
Zastanawialiśmy się także, jakie są sposoby skutecznego wdrożenia polityki ochrony haseł (tj. np. jak zapewnić, że użytkownicy nie trzymają hasła na żółtej karteczce pod klawiaturą). Proponowane pomysły w tym zakresie obejmowały:
Kolejnym obszarem rozmowy były kwestie podejścia do zarządzania dostępami, szczególnie w systemach, które oferują bardzo granularne zarządzanie uprawnieniami. Kluczową kwestią w tym zakresie jest:
Koniecznym elementem poprawnego funkcjonowania polityki dostępów jest wprowadzenie procesu okresowego przeglądu (certyfikacji) uprawnień.
Techniczne rozwiązania wdrożenia polityki dostępu obejmują wykorzystanie narzędzi klasy:
Podsumowując ZA i PRZECIW restrykcyjnej polityki haseł i dostępów:
ZA:
PRZECIW
Wprowadzenie restrykcyjnej polityki haseł oraz polityki dostępów zależy od celu zastosowania polityki, która powinna być dostosowana do sposobów postępowania z informacjami odpowiednio sklasyfikowanymi.
Jak w praktyce szacować ryzyka związane z polityką haseł i polityką dostępów?
W zakresie tego zagadnienia powstało podstawowe pytanie – czy w praktyce są już organizacje, które odważyły się przeprowadzić analizę ryzyka i zmienić polityki haseł w taki sposób, by nie spełniały minimalnych wymogów określonych w Ustawie o ochronie danych osobowych obowiązującej przed RODO. Żaden z uczestników dyskusji nie potwierdził przeprowadzenia takich zmian.
Jednym z możliwych sposobów podejścia do analizy ryzyka haseł jest wpis Szacowanie ryzyka okresu ważności hasła.
Jakie można zastosować wskaźniki ryzyka (KRI) oraz metody udokumentowania wyników?
Zagadnienie nie było omówione podczas sesji roundtable, moją propozycją są KRI określone we wpisie Szacowanie ryzyka okresu ważności hasła.