3 Belangrijke hulpmiddelen en maatregelen om de kwetsbaarheid van IT-bronnen te beheersen
Enkele van de belangrijke hulpmiddelen en maatregelen om de kwetsbaarheid van IT-middelen te beheersen, worden hieronder weergegeven:
De aard van schade verschilt op verschillende niveaus van de IT-infrastructuur. De schade aan informatie kan zijn in termen van wijziging of verwijdering in waarden, of verlies van de privacy. De services en het netwerk worden meestal per ongeluk beschadigd door falen van hardware of software of beide.
Afbeelding met dank aan: ipa.go.jp/files/000013242.png
Aangezien de informatie wordt gegenereerd en opgeslagen met behulp van diensten en netwerken, komt de blootstelling aan informatie voort uit hardware- of softwarefouten. Omdat de drie elementen met elkaar samenhangen, belemmeren eventuele schade aan diensten of netwerken het functioneren van het systeem en schade aan informatie maakt de services en het netwerk minder bruikbaar. Daarom is een geïntegreerde aanpak van de beveiliging van de IT-infrastructuur geboden.
Het is mogelijk om de kwetsbaarheid van IT-middelen te beheersen door verschillende controletools en -maatregelen te gebruiken. Deze zijn geclassificeerd als:
(a) Basisbeheersinstrumenten
(b) Algemene beheersmaatregelen
(c) Toepassingscontrolemaatregelen
1. Basisbeheersinstrumenten:
Hieronder volgen enkele standaardbesturingshulpprogramma's die vaak worden gebruikt om de kwetsbaarheid van IT-bronnen te beheersen:
(een back-up:
Een fundamenteel instrument voor informatiebeveiliging is het bewaren van een kopie van alle gegevens. Het dient het tweeledige doel van disaster recovery en detectie van misbruik. Het systeem van back-up van gegevens en programmabestanden kan verschillen van toepassing tot toepassing, maar een systematisch en regelmatig systeem voor bestandsback-up wordt absoluut essentieel geacht in alle IT-infrastructuren.
De back-uproutines moeten religieus worden gevolgd om te voorkomen dat het systeem van back-up mislukt wanneer dit het meest nodig is. De meeste databasebeheersystemen bevatten nu functies voor automatische back-up van gegevens. Bovendien moeten programmabestanden na elke wijziging worden geback-upt. De kritieke gegevens en programma's moeten regelmatig op nauwkeurigheid worden gecontroleerd.
(b) Verdelen en heersen:
Deze beproefde regel voor beveiliging kan ook worden toegepast op gegevensbeveiliging. Het is essentieel om beperkte toegang te bieden aan elke gebruiker om ervoor te zorgen dat niemand het hele systeem kan beschadigen. Het misbruik op één plaats wordt op een andere plaats gedetecteerd tijdens de normale werking van het informatiesysteem.
De toegang tot IT-middelen moet zodanig worden gedefinieerd dat ze in verhouding staan tot de computerbehoeften voor het uitvoeren van de verantwoordelijkheden van de gebruiker; niet minder en niet meer dan wat essentieel is. De toegangsmachtiging kan dus worden beperkt tot alle bewerkingen zoals lezen, schrijven, wijzigen en uitvoeren.
De toegangsmachtiging kan worden gedefinieerd voor elk gegevenselement in de databases. Evenzo moeten toegangsrechten worden gedefinieerd voor elke module in de toepassingssoftware en elk onderdeel van de computerhardware. Gebruikersidentificatie en -validatie via wachtwoord en andere technieken zijn essentieel voor het reguleren van de toegang tot de IT-infrastructuur.
(c) Toegangsbevoegdheid:
De toegang tot informatie kan worden beperkt met behulp van autorisatiehulpmiddelen. Deze tools geven toegang tot informatie pas na de juiste identificatie van de gebruikers. Elke gebruiker heeft beperkte toegang tot de informatie. De verificatie van de identiteit van de gebruiker kan gebeuren met wachtwoorden. Moderne computerinstallaties hebben geavanceerdere hulpmiddelen voor identiteitsverificatie die zijn gebaseerd op spraak of andere fysieke kenmerken, zoals vingerafdrukken van de gebruikers.
(d) Codering:
Versleuteling is een proces waarbij de informatie wordt omgezet in een grote hoeveelheid gecodeerde en betekenisloze combinatie van symbolen, die kan worden gedecodeerd om de gegevens in de oorspronkelijke vorm om te zetten. Deze transformatie voor gegevens vindt plaats op het gebruik van speciale hardware en software.
De codering en decodering zijn gebaseerd op de code die door de gebruiker is opgegeven. Deze code is voorbehouden aan de geautoriseerde gebruiker van gegevens en het gebruik van een andere code zou de informatie niet veranderen. De versleutelingshulpprogramma's zijn vrij gebruikelijk wanneer de informatie moet worden verzonden naar verre locaties met behulp van gemeenschappelijke gegevensdragers, zoals telefoonlijnen.
(e) Vergelijkingen:
Vergelijking is een van de belangrijke instrumenten om misstanden op te sporen. Regelmatige vergelijking van gegevens met brondocumenten, huidige programmabestanden met hoofdkopieën van programmabestanden, vorige termwaarden met huidige termwaarden fungeren als een nuttig hulpmiddel voor het tijdig detecteren van misbruik. Deze vergelijkingen moeten worden uitgevoerd door mensen die niet direct betrokken zijn bij het maken en gebruiken van de IT-bronnen.
(f) Verantwoordelijkheid:
Het is vrij moeilijk om ervoor te zorgen dat de beveiligingsprocedure wordt nageleefd, omdat bij gebrek aan detectie van grootschalig misbruik de zelfgenoegzaamheid inzakt. Het is daarom noodzakelijk om de verantwoordelijkheid voor de naleving van de beveiligingsprocedures vast te leggen.
(g) Gebruikerslog:
Het volgen van de activiteiten van gebruikers van IT-infrastructuur dient als een belangrijk middel tegen computermisbruik. Onderhoud en periodieke controle van een gedetailleerde lijst van bewerkingen die door elke gebruiker worden uitgevoerd, legt grote druk op gebruikers om beveiligingsnormen te volgen en zorgt ook voor een vroege detectie van misbruik. Audit trails zijn nodig om de verwerking te reconstrueren en de verantwoordelijkheid voor misbruik op te lossen.
(h) Richtlijn:
Vaak zijn misstanden mogelijk vanwege onvoldoende training in het omgaan met beveiligingsmaatregelen. Een systeem van online hulp aan alle gebruikers in de vorm van begeleiding en hulp bij het begrijpen van de veiligheidsdreiging moet worden ontwikkeld. Een dergelijk systeem gaat een lange weg in het ontwikkelen van het vertrouwen van gebruikers in de kracht van het beveiligingssysteem en helpt bij vroege detectie van bedreigingen en misbruiken.
(i) Audit:
Audit van het informatiesysteem is een ander belangrijk hulpmiddel om ervoor te zorgen dat het informatiesysteem de aangewezen functies correct uitvoert. Information System Audit and Control Association (ISACA) is een in de VS gevestigde organisatie die zich richt op het ontwikkelen van standaarden voor audits van informatiesystemen om zowel trainingen als accrediteerders voor dit doel te ontwikkelen.
Kleinere ondernemingen die het zich niet kunnen veroorloven interne auditprocedures voor het informatiesysteem op te zetten, kunnen hiervoor de diensten van in-practice informatie, systeemauditors, inhuren. Een dergelijke audit detecteert en ontmoedigt toezicht en houdt een beveiligingswaarschuwing in stand.
Het specifieke gebruik van deze hulpmiddelen en de exacte aard van controleprocedures zouden afhangen van de aard van de hulpbron en de ernst van de dreiging.
2. Algemene beheersmaatregelen:
Deze controlemaatregelen zijn van toepassing op alle applicatie- en gegevensbronnen. Ze bestaan uit fysieke en softwarematige controles die kunnen worden uitgeoefend op de IT-infrastructuur.
(a) Organisatorische controles:
Het belangrijkste voertuig voor controle over informatiesystemen is de organisatiestructuur en verantwoordelijkheden van mensen in de organisatie. Twee basismanieren voor organisatiebeheersing hebben betrekking op functiescheiding in een enkele taak.
Het vastleggen van een transactie kan bijvoorbeeld gescheiden zijn van autorisatie van transacties. Softwareontwikkeling en softwaretests kunnen worden gescheiden om ervoor te zorgen dat een botsing noodzakelijk is voor misbruik. Functieroulatie en verplicht verlof zijn andere organisatorische controles van algemene aard die tamelijk nuttig zijn gebleken bij het opsporen van misbruik.
(b) Systeemontwikkelings- en implementatiecontroles:
Deze omvatten besturingselementen zoals de juiste autorisatie van de systeemspecificatie (afmelden van specificaties), testen en goedkeuren van wijzigingen in het bestaande systeem, enz. Besturingselementen over de hoofdkopieën van software inclusief broncode, documentatie en andere gerelateerde items zijn essentiële onderdelen van systeemontwikkeling en implementatiecontroles. De vaststelling van standaarden voor het informatiesysteem en de implementatie ervan zijn belangrijk vanuit veiligheidsoogpunt.
(c) Fysieke controles:
Deze controles omvatten het beveiligen van de locaties van hardware en software tegen brand, overstromingen, diefstal, rellen, enz. Met behulp van verschillende beveiligingshulpmiddelen zoals rookmelders, bewakers, individuele sloten, camera's met een gesloten circuit, identificatiesystemen, enz. Deze bedieningselementen zijn bedoeld voor afweren van de bedreiging van het fysieke leven van de IT-infrastructuur. Deze besturingselementen lopen parallel met de controle over andere fysieke activa zoals contanten, aandelen, enz.
(d) Besturingsmaatregelen voor herstel na rampen:
Noodherstelbestrijdingsmaatregelen worden erg belangrijk in het geval van kritieke toepassingen en grootschalige schade aan informatiesystemen. Het is noodzakelijk om een alternatieve set-up te bouwen om ervoor te zorgen dat het herstel van een ramp mogelijk is met minimale kosten en binnen een minimaal tijdsverlies en tijdsverlies.
Dit wordt in sommige gevallen bereikt door het onderhouden van parallelle IT-infrastructuur voor gebruik in geval van een ramp. In het geval van falen van het beurshandelingssysteem, of reisreserveringssysteem, zouden de kosten van vertraging bij herstel of falen daarbij extreem hoog kunnen zijn.
In dergelijke gevallen wordt parallelle IT-infrastructuur absoluut noodzakelijk geacht. Er zijn echter ook alternatieve noodherstelsystemen beschikbaar. Sommige leveranciers zijn gespecialiseerd in gegevensherstel in geval van ongevallen zoals crashes van de harde schijf, virusaanvallen, enz.
(e) Op software gebaseerde bedieningselementen:
Op software gebaseerde beheersmaatregelen hebben normaal gesproken betrekking op controle over gegevenstoegang en gegevensvalidatie op het moment van gegevensinvoer. Opgemerkt kan worden dat het merendeel van computermisbruik door de gegevensinvoer wordt gehasht. Toegangspaden in software kunnen meerlagige en gevoelige hulpprogramma's worden gemaakt en gegevens kunnen correct worden beveiligd via softwarebesturingen.
Deze besturingselementen hebben over het algemeen betrekking op gebruikersauthenticatie, functiedefinitie voor elke gebruiker en het creëren van onveranderlijke records met opeenvolgende bewerkingen die op een gegeven terminal zijn uitgevoerd (audit trail).
Dit wordt gedaan om de volgorde te achterhalen van gebeurtenissen die leiden tot een bepaald misbruik. Ongeautoriseerde toegang moet leiden tot waarschuwing en herhaalde pogingen om ongeoorloofde toegang te verkrijgen moeten worden genomen als een serieuze poging om het beveiligingssysteem te doorbreken. Herhaalde pogingen tot ongeoorloofde toegang kunnen dus bestemd zijn om te resulteren in beëindiging van verwerking, afsluiten van terminal en vastleggen van audittrail voor verdere analyse.
(f) Besturing voor gegevenscommunicatie:
Deze bedieningselementen worden belangrijker omdat het gegevensverkeer in geometrische verhoudingen toeneemt, samen met de toename van de afstand tussen de afzender en de ontvanger. Beide resulteren in een verhoogde blootstelling van gegevens aan het risico van tikken. Er zijn veel methoden gebruikt om gegevens te beveiligen op weg naar de bestemmingsterminal.
In grote lijnen kunnen de bedreigingen van gegevens bij de overdracht van drie soorten zijn, (a) bedreiging van ongeoorloofde toegang, (b) bedreiging van de nauwkeurigheid en volledigheid van gegevens, en (c) bedreiging van tijdige download van gegevens.
(i) Ongeautoriseerde toegang tot gegevens:
Hard wired netwerken (met behulp van coaxiale draden of glasvezelkabels) zijn minder gevoelig voor tikken op de weg dan de elektronische kanalen. Beveiligingsmodems winnen ook aan populariteit in netwerken via telefoonlijnen. Een andere methode genaamd automatisch terugbelsysteem wordt gebruikt om de authenticiteit van de gebruiker te controleren. In dit systeem draait de beller van informatie en wacht.
De afzender controleert de authenticiteit, registreert het wachtwoord dat wordt gebruikt door de beller van informatie en belt terug naar de beller. Dit type dubbele controle op de identiteit en locatie van de beller is erg handig bij het detecteren van aftapping. Automatisch uitlogsysteem is ook een zeer populair besturingssysteem.
Met de toenemende druk van de verantwoordelijkheden van de uitvoerende macht, is er elke mogelijkheid dat executive vergeet om uit te loggen of helemaal af te melden. Dergelijke systemen zorgen ervoor dat als de terminal een bepaalde periode niet wordt gebruikt, de terminal automatisch uitlogt bij de server. Verdere toegang tot informatie is alleen mogelijk als de procedure voor het inloggen wordt herhaald. Dit type controle minimaliseert de mogelijkheid van nabootsing.
(ii) Controle van gegevensintegriteit:
Gegevensnauwkeurigheid en volledigheidscontroles zijn essentieel om de integriteit van de verzonden gegevens te waarborgen. Fouten in de gegevensoverdracht kunnen worden veroorzaakt door storing in het gegevensoverdrachtskanaal of door een fout in de hardware voor gegevensomschakeling.
Om te controleren of gegevens de bestemming nauwkeurig en volledig hebben bereikt, kunnen pariteitsbits worden gebruikt. Een andere populaire methode is die van het verdelen van het bericht in pakketten met headers en footers (trailers) en het controleren van hun bestaan aan het einde van de ontvanger.
(g) Besturingselementen voor de bediening van de computer:
De controle over de werking van computersystemen en terminals kan een belangrijke rol spelen bij het voorkomen van computermisbruik. Het loont de moeite om het werkschema van de computer voor reguliere gebruikers te plannen, meer bepaald op de lagere niveaus van de managementhiërarchie, waar de operationele vereisten voorspelbaar zijn en correct kunnen worden gepland. Elke afwijking van de geplande operaties kan worden onderzocht om de werking van het computersysteem voor andere dan de voor de dag gespecificeerde functies te ontmoedigen.
De controle over de werking van computersystemen wordt moeilijker in het geval van gedeelde terminals en die met interactieve communicatie. Als identificatie en wachtwoorden echter niet worden gedeeld, kunnen de meeste problemen met de besturing van gedeelde terminals worden aangepakt.
(h) Hardware-bedieningselementen:
Computerhardware-besturingselementen zijn de controles die door computerhardwarefabrikanten zijn opgenomen om te controleren op het slecht functioneren van het systeem en om waarschuwingen te geven in geval van storingen. Deze omvatten de beroemde pariteitscontroles in opslagapparaten, de geldigheidscontroles en de dubbele leescontroles voor verificatie. Deze besturingselementen zijn erg handig bij het opslaan en ophalen van gegevens en het uitvoeren van rekenkundige functies op gegevens.
De algemene controles moeten worden beoordeeld op hun effectiviteit. Deze controles vormen de kern van de beveiligingsmaatregel voor het informatiesysteem als geheel.
3. Applicatiebesturing:
Voor specifieke toepassingen is het noodzakelijk om speciale controles uit te voeren met het oog op hun bijzondere vereisten en risicopercepties. Dergelijke controles zijn gericht op het waarborgen van de juistheid, validiteit en volledigheid van de invoer en het onderhoud van informatievoorraden. Ze omvatten automatische en handmatige bedieningselementen.
(a) Invoerbesturing:
De invoerbesturingselementen zorgen ervoor dat de invoer naar behoren wordt geautoriseerd en geregistreerd volgens het brondocument. De brondocumenten zijn serieel genummerd en de invoer wordt in batches gecontroleerd voordat ze de database beïnvloeden. Batchstuurtotalen en bewerkingsroutines worden gebruikt om ervoor te zorgen dat de invoerdata nauwkeurig en volledig zijn en dubbele invoer is geëlimineerd.
Scherminvoerprompts en schermmenu's worden gebruikt om de nauwkeurigheid en volledigheid van de gegevensinvoer te waarborgen. Besturingselementen voor gegevensverificatie worden gebruikt om geldige gegevenstypen, veldlengte, identificatie van transacties te garanderen en de redelijkheid van numerieke waarden in de invoer te controleren.
(b) Verwerkingselementen:
Deze controles zijn gericht op het waarborgen van een correcte uitvoering van de procedures die op de invoer moeten worden uitgevoerd. Controletotalen uitvoeren, computerafstemming van stamrecords met geselecteerde gegevenselementen in transacties, redelijkheidscontroles, opmaakcontroles, afhankelijkheidscontroles, visuele controle, enz. Zijn enkele van de gemeenschappelijke controles die worden gebruikt om te zorgen dat de verwerking van invoer correct is uitgevoerd .
(c) Uitgangsbedieningen:
Deze besturingselementen zijn bedoeld om ervoor te zorgen dat de uitvoer van een toepassing juist en volledig is. Deze controles omvatten het in evenwicht brengen van outputtotalen met invoer- en verwerkingstotalen, audit van outputrapporten en procedure voor het leveren van outputrapporten aan geautoriseerde ontvangers.
