Semakin lama, isu-isu mengenai keamanan informasi mulai muncul di dunia TI. Memang, World Wide Web telah menjadi platform global untuk pertukaran dan penyimpanan informasi, dan kata Internet sudah dikenal semua orang. Di dunia modern, sulit untuk menemukan perusahaan yang tidak akan menggunakan teknologi Internet: semua jenis aplikasi, gadget, perangkat IOT - semua ini beresiko. Oleh karena itu, kita akan berbicara tentang dasar-dasar keamanan informasi, yaitu, kontrol akses.
Saya ingin membahas beberapa aspek keamanan informasi yang tampak jelas. Ironisnya, banyak yang meremehkan pentingnya keamanan atau menganggap tindakan mereka cukup. Perlu diingat
efek Dunning-Krueger, yang intinya adalah bahwa orang-orang dengan kualifikasi rendah di beberapa bidang membuat kesimpulan yang salah. Oleh karena itu keputusan yang gagal dalam bisnis yang tidak dapat mereka sadari.
Keamanan informasi - ini adalah area di mana tidak diperbolehkan untuk melakukan apa pun dan bertindak berdasarkan prinsip "jika hanya dilakukan untuk spesies." Keamanan informasi harus menjadi tujuan akhir, pengungkit dalam bisnis yang meminimalkan kerugian dan pengeluaran, dan melindungi data Anda. Bahaya terbesar bagi perusahaan adalah faktor manusia. Memang, berkat manipulasi cerdas seorang karyawan, penyerang dapat membahayakan sistem Anda. Sayangnya, ada kesalahpahaman bahwa jika Anda memiliki perlindungan teknis yang kuat (semua jenis IDS, sistem anti-penipuan, antivirus, DLP, firewall), maka bisnis Anda aman, tetapi tidak demikian halnya. Psikologi kita dapat diprediksi, dan dalam kebanyakan kasus, impuls kita dipicu oleh rasa takut dan tindakan terburu-buru. Ambil, misalnya, serangan dangkal melalui surat: karyawan menerima surat yang menyatakan bahwa beberapa sistem di mana dia terdaftar dikompromikan. Berita ini tentu akan membuatnya takut, dan dengan kemungkinan yang lebih besar ia akan mengikuti tautan tersebut, memberikan datanya kepada penyerang. Oleh karena itu, penting untuk mengkonfigurasi akses dengan benar dan meningkatkan keterampilan karyawan dalam keamanan informasi. Seluruh "sains" dikhususkan untuk topik ini - rekayasa sosial, tetapi tentang hal ini lain kali, dan hari ini kita akan berbicara tentang mengatur kontrol akses.
Tugas apa pun terbaik dilihat dari sudut yang berbeda, ini juga berlaku untuk kontrol akses: menginstal antivirus dan cara perlindungan lainnya tidak cukup. Dari penalaran logis, sebagai opsi, rumus berikut muncul:
Sistem kontrol akses yang baik = tindakan administratif + tindakan teknis + perlindungan fisik.Apa yang termasuk dalam tindakan administratif? Ya, semuanya sangat sederhana! Ini adalah organisasi dokumentasi yang benar dalam sistem manajemen keamanan informasi. Kebijakan keamanan yang baik, metodologi penilaian risiko, audit internal, prosedur, pelatihan staf - semua ini berkontribusi pada organisasi keamanan yang tepat dalam bisnis.
Dalam Kebijakan Keamanan, yang paling penting adalah mencerminkan tujuan perusahaan dan ruang lingkup (unit mana yang dicakup oleh kebijakan ini), dan juga memperhitungkan persyaratan bisnis, mitra, dan pelanggan. Perusahaan harus mengidentifikasi aset informasi, dan aset yang memerlukan penanganan lebih hati-hati harus diklasifikasikan berdasarkan signifikansi dan nilainya. Untuk menentukan siapa yang memiliki akses ke aset dan bertanggung jawab atas penerapan langkah-langkah keamanan informasi, Anda dapat menggunakan tabel peran (tabel menunjukkan peran dan siapa yang bertanggung jawab atas apa yang dialokasikan). Tahap penting lainnya adalah pelatihan: mengundang spesialis atau merekrut orang-orang yang akan memberi tahu karyawan Anda tentang aturan keamanan jaringan (misalnya: apa itu phishing, bagaimana mengenalinya, cara memecahkan insinyur sosial dan situs mana yang aman). Ini adalah aspek yang sangat penting, karena itu adalah faktor manusia yang merupakan mata rantai yang paling rentan. Audit internal akan membantu Anda mengidentifikasi kekurangan sistem manajemen keamanan informasi Anda, menentukan departemen mana yang rentan dan departemen mana yang membutuhkan pelatihan lanjutan, dan memahami apakah persyaratan yang ditentukan dalam Kebijakan ini diikuti. Penting untuk memilih auditor yang kompeten yang akan dengan cermat memeriksa kondisi sistem Anda untuk kepatuhan terhadap peraturan. Berkat metodologi penilaian risiko, Anda dapat menghitung probabilitas ancaman tertentu, serta mendeteksi yang ada dan memilih tindakan lebih lanjut yang berkaitan dengan risiko.
Dengan perangkat keras, kami menghubungkan berbagai perangkat lunak dan perangkat keras, layanan keamanan informasi. Ini bisa berupa sistem kata sandi, firewall, pemindai keamanan, protokol aman, sistem operasi, dan sebagainya. Sangat hati-hati Anda harus menggunakan sistem kata sandi. Karena mereka selalu di bawah pengawasan penyerang, mereka paling berisiko. Berkomunikasi dengan sejumlah besar orang, saya perhatikan betapa mudah dan lalainya mereka untuk perlindungan kata sandi (mereka datang dengan kata sandi sederhana, menyimpannya di tempat-tempat yang dapat diakses), tidak menyadari bahwa seorang penyerang dapat dengan mudah memecahkannya. Misalnya, ambil jenis serangan seperti brute force (yang berarti kata sandi brute force). Misalkan Anda tidak benar-benar berfantasi tentang kata sandi dan mengambil peretas yang umum, sementara itu, mengetahui surat-surat Anda, menggunakan berbagai kamus akan menemukan kecocokan dan membahayakan sistem Anda. Semuanya sederhana! Perlu diingat dan diingatkan karyawan tentang email phising: jangan buka tautan dan masukkan kata sandi, tarik napas panjang dan cari tahu.
Ya, yang ketiga adalah perlindungan fisik: kunci, perlindungan khusus, kamera video, sistem akses, dan sebagainya.
Saya juga ingin fokus pada tiga metode kontrol akses. Jika pekerjaan Anda terhubung dengan data sensitif dan informasi sensitif, rahasia negara, maka Anda harus memperhatikan metode kontrol akses wajib. Keunikan metode ini terletak pada hierarki, karena karyawan dan objek (file, dokumen, dll.) Diberikan tingkat keamanan hierarki tertentu. Level keamanan suatu objek mengkarakterisasi nilainya dan, sesuai dengan levelnya, objek tersebut diberi label keamanan.
Tingkat keamanan mencirikan tingkat kepercayaan pada karyawan, serta tanggung jawabnya atas informasi ini. Sistem operasi memberikan atribut-atribut tertentu kepada karyawan, berkat itu karyawan diberi akses dalam kerangka kekuasaan resminya. Pertimbangkan contoh berikut, katakanlah kita memiliki beberapa tingkat akses:
- Informasi rahasia top (akses ditolak);
- Informasi rahasia;
- Informasi akses terbatas;
- Informasi akses gratis.
Kami juga memiliki pengguna yang memiliki berbagai tingkat akses ke informasi di atas:
- Pengguna 1 - bekerja dengan informasi rahasia;
- Pengguna 2 - bekerja dengan informasi akses terbatas;
- Pengguna 3 - bekerja dengan informasi akses gratis.
Mari kita bayangkan struktur sistem kita dalam bentuk diagram berikut, di mana RW - membaca dan menulis izin, izin baca - R, izin menulis - W:
Dari diagram berikut ini:
Pengguna 1 memiliki hak untuk membaca dan menulis objek yang dimaksudkan untuk bekerja dengan informasi rahasia, serta hak untuk membaca objek dengan informasi terbatas dan gratis.
Pengguna 2 memiliki hak untuk membaca dan menulis objek yang termasuk informasi akses terbatas, dan juga memiliki hak untuk membaca objek dengan informasi akses gratis dan hak untuk menulis objek dengan informasi rahasia.
Pengguna 3: memiliki hak untuk membaca dan menulis objek dengan informasi akses gratis, serta hak untuk menulis objek dengan akses terbatas dan informasi rahasia.
Tetapi semua pengguna tidak diberi akses ke objek dengan informasi rahasia.
Metode paling sederhana dianggap diskresioner, yang dianggap cukup umum. Inti dari akses itu sederhana: pemilik objek memutuskan kepada siapa untuk memberikan akses dan dalam bentuk apa (membaca, menulis, dll.). Metode ini dapat diimplementasikan menggunakan daftar akses atau matriks akses, tetapi Anda perlu mempertimbangkan bahwa karyawan dengan hak tertentu dapat mentransfer objek Anda ke orang lain untuk digunakan tanpa memberi tahu Anda. Karena itu, jika Anda bekerja dengan informasi penting, Anda harus waspada terhadap metode ini.
Selanjutnya, mari kita bicara tentang metode kontrol akses berbasis peran. Inti dari metode ini sederhana: antara pengguna sistem dan entitas perantara hak istimewa mereka muncul, yang disebut peran. Metode ini mengasumsikan bahwa untuk setiap pengguna beberapa peran dapat ditetapkan, memberikan akses ke informasi yang diperlukan. Metode ini menghilangkan penyalahgunaan hak, karena menerapkan prinsip privilege paling tidak.
Ini hanya menyediakan tingkat akses ke seorang karyawan yang termasuk dalam wilayah tanggung jawabnya. Juga, metode ini menerapkan prinsip pemisahan tugas, yang menyederhanakan pengelolaan aset informasi. Kerugian dari metode ini adalah sulit untuk diimplementasikan ketika ada sejumlah besar pengguna dan peran, karena mahal.
Ada metode lain, tetapi berbicara tentang yang paling utama. Semua metode pengorganisasian akses di atas adalah langkah penting dalam keamanan perusahaan Anda dan oleh karena itu perlu diperhatikan dengan cermat.