perjantai 29. lokakuuta 2010

Miksi lukot eivät riitä

Monen organisaation turvallisuustasoa tarkastellessa huomaa, että vaikka paloturvallisuuteen, kulunvalvontaan ja rikosilmoitinjärjestelmiin satsaukset ovat kohdallaan, on tietoturvan taso kuitenkin hyvin alhainen.

Yleensä tietoturvan alhainen taso tulee myös yllätykenä. Saman ilmiön on todennut varmaan jokainen, joka on ottanut käyttöön tai soveltaa oman organisaationsa toiminnassa jotain laajempaa johtamis- tai hallintakehystä. Myös erilaisissa auditoinneissa (KATAKRI, ISO27000, jne.) samaan ilmiöön törmää melko nopeasti. Fyysinen turvallisuus on ihan sitä, mitä sen oletettinkin olevan, edes kohtalaista tasoa. Tietoturvallisuus vaikuttaa olevan täysin toivoton tehtävä saattaa edes vähimmäistasolleen.

Tähän on tietenkin hyvä selitys, joka on pääteltävissä uusimmista haavoittuvuuksistakin. Esimerkiksi Firesheep , joka käyttää hyväkseen salatusta tunnistautumisesta huolimatta salaamattomaksi jääviä cookie-tiedostoja ja sallii pääsyn kenen tahansa tietoihin samassa verkossa. Eli pääsy yritysverkkoon voi olla pääsy yritysverkossa kaikkialle. Kun taas saavun jonkin organisaation pihaan, en voi automaattisesti etsiä, käyttää hyväkseni tai väärentää organisaation toimistotyöntekijöiden tietoja. Kulunvalvonta pitää huolen siitä, että paperit ovat turvassa. Tietoturvallisuuden vaatimustaso on juuri tästä syystä korkeampi.

Tämä kannattaa huomioida etenkin fyysisten turvallisuusauditointien yhteydessä. Esimerkiksi KATAKRI asettaa lisävaatimuksia fyysiselle turvallisuudelle silloin, kun auditoitavat alueet pitävät sisällään tietojräestelmiä tai osia loogisesta ympäristöstä. Juurisiitä syystä, että pääsy yhdelle laitteelle on sama kuin pääsy koko organisaation ytimeen.

Kun organisaatiosi fyysinen turvallisuus auditoidaan tai kartoitetaan, on syytä ottaa huomioon samalla myös erilaiset tietoturvalle asetettavat vaatimukset, joita kiinteistöpuoli tai lukkoliike ei tunne. Mutta tämä pätee myös toisinpäin. Pelkkä IT-osaston kartoitus tietoturvallisuudesta ei riitä, sillä IT-henkilöstö harvoin tuntee fyysiselle turvallisuudelle asetettavia luokituksia ja vaatimuksia.

Ei kommentteja:

Lähetä kommentti