W jaki sposób myśleć o bezpieczeństwie?
cia podstawy
Analizując bezpieczeństwo informacji warto rozważyć więcej aspektów niż wyłącznie to co klasycznie kojarzy się nam z bezpieczeństwem - takie jak np. zabezpieczenia jakie aplikacja oferuje przed możliwą kradzieżą informacji. Jednym z podstawowych modeli w bezpieczeństwie informatycznym jest triada CIA:
- Confidentiality (poufność)
-
Posiadając informację, której bezpieczeństwo chcemy zapewnić, zazwyczaj zaczynamy od zapewnienia jej poufności - ograniczenia dostępu wyłącznie do osób, które mają taki dostęp uprawniony. Podstawowymi metodami może być ograniczenie dostępu poprzez zabezpieczenia fizyczne (np. zamknięta szafka) lub szyfrowanie (zabezpieczenie pliku przy użyciu hasła, czyniąc go niemożliwym do odczytania bez hasła).
- Integrity (spójność)
-
Spójność jest rzadziej poruszanym aspektem bezpieczeństwa w środowiskach nie-informatycznych. Jest jednak szczególnie ważna, zwłaszcza w przypadku zasobów współdzielonych. Integralność pozwala na zbudowanie pewności o tym, że współdzielone dane rzeczywiście są poprawne (i nie zostały zmienione w sposób nieautoryzowany) - poprzez np. wprowadzenie mechanizmów śledzenia zmian lub weryfikacji wystąpienia zmian na podstawie sum kontrolnych.
- Availability (dostępność)
-
Informacja do której nie mamy dostępu nie może być przez nas wykorzystana! Podstawową metodą zabezpieczania się przed utratą danych jest wprowadzanie mechanizmów kopii zapasowych - zarówno automatycznych jak i manualnych.
Jak zapewnić poufność informacji?
cia
Poufność informacji pozwala na zabezpieczenie dostępu do informacji przed nieupoważnionym odczytem lub modyfikacją (w tym zniszczeniem). Najprostszą metodą zapewnienia poufności jest zadbanie o odpowiednie bezpieczeństwo fizyczne:
- stosujmy tzw. politykę czystego biurka - nie pozostawiajmy dokumentów na biurku (w otwartych szafkach) odchodząc od stanowiska
- odchodząc od komputera pamiętajmy by zawsze go blokować (Win+L na Windowsie i Linuxach, Control+Command+Q na macOS)
- nie wyrzucajmy dokumentów z danymi osobowymi bez użycia niszczarki
Następnie ważna jest podstawowa higiena cyfrowa:
- łączmy się wyłącznie z zaufanymi urządzeniami - zarówno przewodowo (pendrive’y, klawiatury, myszki, stacje dokujące, telewizory), jak i bezprzewodowo (poprzez Wi-Fi i Bluetooth)
- wykorzystujmy wyłącznie zaufane oprogramowanie
Po zapewnieniu odpowiedniego bezpieczeństwa fizycznego i podstawowej higieny cyfrowej można wdrożyć kolejne zabezpieczenia, takie jak:
- szyfrowanie plików, zabezpieczanie plików hasłami
- szyfrowanie dysków i urządzeń
- kontrola dostępu do plików i świadome udostępnianie - szczególnie ważna w ramach chmury!
- wykorzystywanie bezpiecznych metod komunikacji - szyfrowanych komunikatorów (np. Signal czy szyfrowana poczta), osobista wymiana informacji, weryfikacja tożsamości rozmówcy
Jak zapewnić spójność informacji?
cia
Spójność informacji ma na celu zapewnienie braku sprzeczności wewnątrz informacji - innymi słowy chcemy zapewnić jej przydatność!
Przykładowymi sprzecznościami wprowadzonymi do systemu może być:
- zmiana hasła trzymanego w menadżerze haseł bez zmiany hasła w systemie do którego hasło jest wykorzystywane (sprzeczność pomiędzy bazą, a światem zewnętrznym)
- przypadkowe usunięcie rekordów w skoroszycie Excel
- wypożyczenie klucza do sali bez wpisu u osoby portierskiej
Rozwiązaniami zapewniającymi spójność jest:
- śledzenie zmian i utrzymywanie ich dziennika,
- utrzymywanie dodatkowych kopii pozwalających na weryfikację czy nie zostały wprowadzone zmiany,
- mechanizm sum kontrolnych,
- podpisy elektroniczne,
- stosowanie bezpiecznych protokołów komunikacji (HTTPS znane jako „kłódka” w przeglądarkach; szyfrowane maile),
- datowanie dokumentów.
Jak zapewnić dostępność informacji?
cia
Dostępność informacji dopełnia podstawowy model CIA - tracąc możliwość odczytu informacji tracimy jej przydatność, tym samym czyniąc cały proces zapewniania bezpiecznego odczytu i modyfikacji bezużytecznym.
Zapewnienie dostępności rozwiązywane jest poprzez liczne (co najmniej 2) i aktualne kopie zapasowe. W przypadku kont i usług sieciowych, menadżery haseł ułatwiają zapewnienie dostępności przez zmniejszenie liczby sekretów i danych logowania jakie musimy pamiętać. Należy zwrócić szczególną uwagę na rodzaj nośników i usług jakie przechowują nasze dane!