Profilul angajatului: o protecţie proactivă împotriva ameninţărilor insiderilor
Specialiştii în securitatea informaţiei revin alarmant (şi insistent) cu aceleaşi date ca şi în anii precedenţi, atunci când estimează ponderea incidentelor de securitate ce au ca sursă pe cineva din interiorul organizaţiilor: peste 70% (potrivit unui studiu realizat de Gartner). De fapt, ei încearcă să atragă atenţia (şi să schimbe mentalităţi) asupra faptului că numai tehnologia, oricât de avansată ar fi, nu ne mai poate ajuta în această „luptă“ imposibilă cu băieţii răi. Insiderii pot semăna (ba chiar sunt la fel!) cu angajaţii normali, lucrând la fel de liniştiţi, fără a atrage atenţia prin ceva ieşit din comun. Însă nu este chiar aşa. Ei sunt mai mult decât nişte angajaţi pasivi; sunt aceia care îşi folosesc poziţiile privilegiate din interiorul organizaţiilor pentru a accesa şi transmite date confidenţiale ori pentru a provoca daune reţelelor IT ale acestora.
Se poate face ceva?
În ciuda creşterii continue a ameninţărilor malware şi de altă natură, insiderii reprezintă încă o ameninţare semnificativă pentru organizaţii.Cum pot organizaţiile să se protejeze împotriva acestor criminali? Una dintre cele mai noi şi mai complexe metode ar fi realizarea unui profil al acestor „cameleoni“. Odată angajaţi, aceştia ar putea fi „supravegheaţi“ mult mai atent decât ceilalţi angajaţi. Chiar şi aşa, înainte de a se începe procesul de realizare a unui astfel de profil, trebuie să vă răspundeţi la trei întrebări importante: Ce este profilul unui insider? Este legal sau adecvat să „semnalezi“suspecţii? Există o soluţie tehnică inteligentă – cum ar fi managementul de identitate şi acces – de stopare a sabotării din interior?
Realizarea unui model de profil al angajatului
Un profil al unui insider nu există. Computer Emergency Readiness Team (CERT) a realizat primul astfel de studiu Insider Threat Study în anul 2002. De atunci, CERT şi-a updatat anual studiul, în colaborare cu U.S. Secret Service. Munca lor a devenit „baza“ de realizare a profilului potenţialilor insideri din interiorul organizaţiilor. Studiul CERT îşi îndreaptă atenţia asupra a trei tipuri de incidente cauzate de către insideri: fraudă, furt de informaţii şi sabotaj. Studiul sugerează că profilul unui insider tipic este diferit, pentru fiecare dintre aceste incidente. Aceia care comit fraude au tendinţa de a fi angajaţi comuni şi, de cele mai multe ori, nu se află în poziţii tehnice sau de management. Aceia care fură informaţii, pe de altă parte, sunt în marea lor majoritate angajaţi de sex masculin aflaţi în poziţii tehnice.
Cei mai periculoşi sunt sabotorii. În mare parte sunt tot bărbaţi, de cele mai multe ori foşti angajaţi ce nu mai au acces la reţeaua organizaţiei. Mulţi dintre aceştia au ocupat poziţii tehnice, deseori fiind foarte bine pregătiţi (şi plătiţi!). Se pare că au avut cel puţin o problemă foarte serioasă, fie personală, fie cu organizaţia, în acel interval de timp în care au lucrat în organizaţie. Având acest profil în minte, înseamnă că orice angajat de sex masculin care are o pregătire tehnică şi este nemulţumit – sau ar putea deveni într-o zi – trebuie supravegheat cu atenţie? Răspunsul este nu. Înainte de a începe realizarea profilului angajatului, o companie trebuie întotdeauna să se consulte cu avocaţii săi sau cu o terţă parte cu privire la ce anume ar putea viola drepturile angajatului. Realizarea profilului angajatului poate crea probleme legale unei organizaţii, în cazul în care în aceasta s-ar aplica măsuri discriminatorii la adresa angajaţilor, pe baza caracteristicilor lor personale.
Un profil „preventiv“al angajatului
Potrivit consultantului independent în securitatea informaţiei Joel Dubin, CISSP, există cinci paşi pe care o organizaţie trebuie să-i urmeze pentru a se proteja de atacurile din interior, utilizând profilul realizat de CERT. Aceşti paşi nu trebuie să se transforme în politici formale sau scrise, ci mai degrabă în „best practices“. Cei cinci paşi sunt:
- Să fie realizat un filtru foarte riguros de control al „background“-ului viitorului angajat;
- Să nu fie ignorat comportamentul suspicios;
- Politicile de securitate să fie aplicate întotdeauna în egală măsură pentru tot personalul;
- Să fie anulat accesul la sistem pentru acţiuni de rutină din cadrul anumitor proceduri;
-Să fie utilizate controale stricte de management al accesului.
Fiecare potenţial nou angajat trebuie să treacă printr-un control riguros al „background“-ului. Aceste verificări trebuie să includă verificarea locului anterior de muncă şi a pregătirii sale educaţionale şi profesionale. De asemenea, trebuie avută în vedere verificarea
cazierului judiciar. Dacă este posibil, atunci când faceţi verificarea la locul anterior de muncă, întrebaţi şi cât de bine s-a înţeles potenţialul viitor angajat cu foştii săi colegi şi cu managementul şi dacă au existat probleme de tip comportamental. Procesul de angajare trebuie să includă, de asemenea, teste de verificare împotriva abuzului de alcool şi droguri. Unii dintre insideri au fost depistaţi ca având probleme de această natură.
Semnalmentele insiderului
Presupunând că angajatul a trecut cu bine de toate aceste verificări de pre-angajare, nu ignoraţi semnele de avertizare de la locul său de muncă. Unele semne se referă la un comportament beligerant, ameninţător sau de intimidare la adresa colegilor săi, la aroganţă sau nemulţumire. Aceste comportamente se potrivesc profilului CERT pentru sabotori şi pentru cei care subtilizează date. Prea des, companiile ignoră comportamentul bizar sau neobişnuit al angajaţilor. Potrivit studiului CERT, uneori un singur eveniment nefavorabil, întâmplat fie la locul de muncă, fie în viaţa personală, poate transforma un astfel de om într-un sabotor. Procedurile şi politicile de securitate trebuie să fie urmate cu stricteţe de către toţi angajaţii. O tactică obişnuită a unui insider, în special a acelora angajaţi pe termen lung şi presupuşi a fi de încredere, este să intimideze angajaţii pentru a-i fi acordat accesul neautorizat sau să încalce procedurile. Asiguraţi-vă că folosiţi controale stricte de management al accesului pentru absolut toţi angajaţii. Datele trebuie să fie clasificate în funcţie de nivelul de risc, iar grupurilor de utilizatori trebuie să li se permită numai acel acces de care au nevoie (acesta este faimosul principiu de „least privilege“). ªi, desigur, imediat cum un angajat a părăsit organizaţia, trebuie să i se întrerupă accesul la orice resursă internă.
Cele mai importante ameninţări ale insiderilor
Să vedem care sunt, în opinia lui Kevin Beaver – un consultant independent în securitatea informaţiei, cu o experienţă de peste 18 ani –, cele cinci ameninţări din interior care pun în pericol informaţiile sensibile ale unei organizaţii, împreună cu tacticile de luptă împotriva lor.
Exploatarea informaţiilor de la distanţă
O mare parte din atacurile insiderilor se realizează din afara organizaţiei, prin aplicaţii specializate de acces de la distanţă, cum ar fi Terminal Services, Citrix şi GoToMyPC.
Ce puteţi face: sharingul fişierelor şi permisiunile acordate anumitor fişiere, precum şi politicile de acces al sistemelor de operare şi a aplicaţiilor, sunt critice în acest caz. Cu mai multe soluţii de acces de la distanţă puteţi instaura controale mai stricte de securitate, puteţi monitoriza folosirea computerelor de către utilizatori în timp real, puteţi avea rapoarte de utilizare şi altele. De obicei, incidentele au loc în orele când nu se desfăşoară procese de business, prin urmare limitaţi timpul în care utilizatorii pot accesa de la distanţă sistemele.
Trimiterea informaţiilor prin e-mail şi mesagerie instant
Informaţiile sensibile pot fi incluse simplu în e-mail sau IM ori ataşate acestora. Deşi reprezintă o ameninţare serioasă, există o cale uşoară de a o elimina.
Ce puteţi face: o cale eficientă pentru a reţine informaţiile sensibile ce părăsesc reţeaua este să puneţi în funcţiune o aplicaţie care să analizeze traficul din reţea şi un filtru bazat pe cuvinte cheie, ataşamente specifice, etc. De asemenea, puteţi utiliza filtrarea de conţinut, dând astfel de urma informaţiilor sensibile care ies şi blocându-le. Reţineţi că nici una dintre aceste metode nu funcţionează cum trebuie în cazul în care traficul de mesagerie este encriptat.
Share-uirea informaţiilor critice pe reţele P2P
Indiferent dacă permiteţi sau nu aplicaţii de share-uire peer-to-peer în reţeaua dvs., cum ar fi DC++, Kazaa sau IM, există o foarte mare tentaţie de a folosi aceste aplicaţii pentru a downloada informaţii. Aceste aplicaţii nu reprezintă o problemă; doar folosirea improprie a lor cauzează problemele.
Ce puteţi face: în cazul în care organizaţia dvs. permite software P2P, este de datoria dvs. să vă asiguraţi că utilizatorii sunt conştienţi de eventualele pericole. Există chiar şi anumite soluţii de monitorizare a conţinutului P2P pe bază de perimetru, ce vă pot ajuta să vă păstraţi sigure datele sensibile. În cazul în care nu doriţi software P2P în reţeaua dvs., puteţi încerca să-l blocaţi la nivelul firewall-ului; cu toate acestea, software-ul este suficient de inteligent pentru a găsi porturi deschise.
Parerea ta conteaza:
(0/5, 0 voturi)