3 Viktige verktøy og tiltak for å kontrollere sikkerhetsproblemet for IT-ressurser

Noen av de viktige verktøyene og tiltakene for å kontrollere sikkerheten til IT-ressurser er gitt nedenfor:

Skadets natur er forskjellig på ulike nivåer av IT-infrastruktur. Skade på informasjon kan være når det gjelder endring eller sletting i verdier eller tap av personvern. Tjenestene og nettverket er generelt skadet ved et uhell forårsaket av maskinvare eller programvarebrudd eller begge deler.

Image Courtesy: ipa.go.jp/files/000013242.png

Siden informasjonen genereres og lagres ved hjelp av tjenester og nettverk, kommer eksponeringen for informasjon ut av maskinvare- eller programvarefeil. Da de tre elementene er sammenhenger, ødelegger eventuelle skader på tjenester eller nettverk systemets funksjon, og skade på informasjon gjør tjenestene og nettverket mindre nyttige. Derfor er en integrert tilnærming til sikkerheten til IT-infrastruktur berettiget.

Det er mulig å kontrollere sårbarheten til IT-ressurser ved hjelp av ulike kontrollverktøy og tiltak. Disse er klassifisert som:

(a) Grunnleggende kontrollverktøy

(b) Generelle kontrolltiltak

(c) Programkontrolltiltak

1. Grunnleggende kontrollverktøy:

Følgende er noen av de grunnleggende kontrollverktøyene som ofte brukes til å kontrollere sikkerhetsproblemet til IT-ressurser:

(a) Sikkerhetskopiering:

Et grunnleggende verktøy for informasjonssikkerhet er å holde sikkerhetskopi av alle dataene. Den tjener det dobbelte formålet med katastrofeoppretting og gjenkjenning av misbruk. Systemet med å lagre sikkerhetskopier av data og programfiler kan variere fra søknad til applikasjon, men et systematisk og vanlig system for filbackup anses absolutt avgjørende for alle IT-infrastrukturer.

Sikkerhetskopieringsrutinene må følges religiøst, slik at systemet for sikkerhetskopiering mislykkes når det kreves mest. De fleste databasebehandlingssystemer inneholder nå funksjoner for automatisk sikkerhetskopiering av data. Videre må programfiler ha sikkerhetskopiering etter hver endring. De kritiske dataene og programmene må kontrolleres jevnlig for nøyaktighet.

(b) Del og regel:

Denne tidsbestemte regelen for sikkerhet kan også brukes til datasikkerhet. Å gi begrenset tilgang til hver bruker er viktig for å sikre at ingen spiller kaos med hele systemet. Misbruket på ett sted blir oppdaget på et annet sted under normal drift av informasjonssystemet.

Tilgangen til IT-ressurser må defineres på en slik måte at de er i samsvar med databehandlingsbehov for ansvarsfraskrivelse til brukeren. ikke mindre og ikke mer enn det som er viktig. Dermed kan tilgangstillatelsen være begrenset til noen av operasjonene som lese, skrive, endre og utføre.

Tilgangstillatelsen kan defineres for hvert dataelement i databasene. Tilsvarende må tilgangstillatelser defineres for hver modul i applikasjonsprogramvaren og hver del av maskinvare. Brukeridentifikasjon og validering gjennom passord og andre teknikker er avgjørende for å regulere tilgangen til IT-infrastruktur.

(c) Tilgangstillatelse:

Tilgang til informasjon kan begrenses ved hjelp av autorisasjonsverktøy. Disse verktøyene tillater kun tilgang til informasjon etter korrekt identifisering av brukerne. Hver bruker har begrenset tilgang til informasjonen. Verifiseringen av brukerens identitet kan gjøres med passord. Moderne datamaskininstallasjoner har mer avanserte identifikasjonsverifikasjonsverktøy som er basert på stemme eller andre fysiske attributter som fingeravtrykk av brukerne.

(d) Kryptering:

Kryptering er en prosess for å transformere informasjonen til en stor del av kryptert og meningsløs kombinasjon av symboler, som kan dekrypteres for å konvertere dataene til den opprinnelige form. Denne transformasjonen for data finner sted ved bruk av spesiell maskinvare og programvare.

Kryptering og dekryptering er basert på koden spesifisert av brukeren. Denne koden er bevart av den autoriserte brukeren av data, og bruk av annen kode ville ikke forandre informasjonen. Krypteringsverktøyene er ganske vanlige når informasjonen skal overføres til fjerntliggende steder ved bruk av vanlige bærere av data som telefonlinjer.

(e) Sammenligninger:

Sammenligning er et av de viktigste verktøyene for å oppdage misbruk. Regelmessig sammenligning av data med kildedokumenter, nåværende programfiler med masterkopier av programfiler, tidligere termverdier med nåværende termverdier, fungerer som et nyttig verktøy for rettidig gjenkjenning av misbruk. Disse sammenligningene må gjøres av personer som ikke er direkte involvert i å skape og bruke IT-ressursene.

(f) Ansvarlighet:

For å sikre at sikkerhetsprosedyren overholdes, er det ganske vanskelig fordi manglende oppdagelse av et stort misbruk begynner å krype inn. Det er derfor nødvendig å fastsette ansvar for overholdelse av sikkerhetsprosedyrene.

(g) Brukerlogg:

Sporing av aktivitetene til brukere av IT-infrastruktur tjener som en viktig avskrekkende i datautbrudd. Vedlikehold og periodisk gransking av detaljert oppføring av operasjoner utført av hver bruker setter store press på brukerne for å følge sikkerhetsnormer og sikrer også tidlig påvisning av misbruk. Revisjonsløyper er nødvendige for å rekonstruere behandlingen og fikse ansvaret for misbruk.

(h) Veiledning:

Mange ganger er misbruk mulig på grunn av utilstrekkelig opplæring i håndtering av sikkerhetsforanstaltninger. Et system med elektronisk hjelp til alle brukere i form av veiledning og assistanse for å forstå sikkerhetsrisikoen bør utvikles. Et slikt system går langt i å utvikle brukerne tillit i styrken av sikkerhetssystemet, og hjelper til tidlig påvisning av trusler og misbruk.

(i) Revisjon:

Informasjonssystemrevisjon er et annet viktig verktøy for å sikre at informasjonssystemet utfører sine utpekte funksjoner på riktig måte. Informasjonssystemets revisjons- og kontrollforening (ISACA) er en amerikansk organisasjon som har som mål å utvikle standarder for informasjonssystemrevisjon for å trene og akkreditere fagfolk for dette formålet.

Mindre bedrifter som ikke har råd til å sette opp interne revisjonsprosedyrer, kan ansette tjenester i praksis, informasjon, systemrevisorer for dette formålet. En slik revisjon oppdager og motvirker tilsyn og opprettholder sikkerhetsvarsel.

Den spesifikke bruken av disse verktøyene og den eksakte karakteren av kontrollprosedyrer vil avhenge av ressursens art og alvorlighetsgraden av trusselen.

2. Generelle kontrolltiltak:

Disse kontrolltiltakene gjelder for alle applikasjons- og dataressurser. De består av fysiske og programvarekontroller som kan utøves på IT-infrastruktur.

(a) Organisatoriske kontroller:

Det viktigste kjøretøyet for kontroll over informasjonssystemer er organisasjonsstruktur og ansvar for mennesker i organisasjonen. To grunnleggende organisasjonsstyringsmetoder er knyttet til oppdeling av arbeidsoppgaver i en enkelt jobb.

For eksempel kan opptak av en transaksjon være adskilt fra godkjenning av transaksjoner. Programvareutvikling og programvare testing kan skilles for å sikre at kollisjon er nødvendig for misbruk. Jobbrotasjon og obligatorisk permisjon er andre organisatoriske kontroller av generell karakter som har blitt funnet ganske nyttige for å oppdage misbruk.

(b) Systemutvikling og implementeringskontroller:

Disse omfatter kontroller som riktig godkjenning av systemspesifikasjon (signering av spesifikasjoner), testing og godkjenning av endringer i det eksisterende systemet etc. Kontroller over masterkopier av programvare inkludert kildekode, dokumentasjon og andre relaterte ressurser er viktige deler av systemutviklingen og implementeringskontroller. Fastsetting av standarder for informasjonssystem og implementering er viktig fra sikkerhetssynspunktet.

(c) Fysiske kontroller:

Disse kontrollene inkluderer sikring av maskinvare og programvare mot brann, flom, tyveri, opptøyer, etc. ved hjelp av ulike sikkerhetsverktøy som røykvarslere, sikkerhetsvakter, individuelle låser, lukkekretser, identifikasjonssystemer etc. Disse kontrollene er ment for avværge trusselen mot IT-infrastrukturens fysiske liv. Disse kontrollene løper parallelt med kontrollen over andre fysiske eiendeler som kontanter, aksjer, etc.

(d) Kontroller for katastrofegjenoppretting:

Bekjempelsestiltak for katastrofeutvinning blir svært viktig i tilfelle kritiske applikasjoner og storskala skade på informasjonssystemer. Det er nødvendig å bygge et alternativt oppsett for å sikre at gjenoppretting fra katastrofe er mulig til minimal kostnad og innenfor minimum tap av tid og mulighet.

Dette oppnås i noen tilfeller ved å opprettholde parallell IT-infrastruktur som skal brukes i tilfelle katastrofe. Ved svikt i børshandelssystemet eller reisebestillingssystemet kan kostnadene ved forsinkelse i utvinning eller svikt ved å gjøre det, være ekstremt høy.

I slike tilfeller anses parallell IT-infrastruktur for å være helt avgjørende. Imidlertid er alternative katastrofeutvinningssystemer også tilgjengelige. Noen leverandører spesialiserer seg på datagjenoppretting i tilfelle ulykker som harddiskkrasj, virusangrep osv.

(e) Programvarebaserte kontroller:

Programbaserte kontrolltiltak relaterer seg normalt til kontroll over datatilgang og datavalidering ved datainngang. Det kan bemerkes at det meste av datamaskinen misbruk er i form av fiddling med datainngangen. Tilgangsstier i programvare kan bli laget med flere lag og sensitive funksjoner, og dataene kan være ordentlig sikret gjennom programvarekontroller.

Disse kontrollene gjelder generelt brukergodkjenning, funksjonsdefinisjon for hver bruker og opprettelse av uforanderlig rekord av operasjonssekvens utført på en gitt terminal (revisjonsspor).

Dette er gjort for å finne ut av sekvensen av hendelser som fører til et bestemt overgrep. Uautorisert tilgang bør resultere i advarsel, og gjentatte forsøk på uautorisert tilgang bør tas som et seriøst forsøk på å bryte gjennom sikkerhetssystemet. Dermed kan gjentatte forsøk på uautorisert tilgang være bestemt til å resultere i avslutning av behandling, nedleggelse av terminal og registrering av revisjonsspor for videre analyse.

(f) Datakommunikasjonskontroller:

Disse kontrollene blir stadig viktigere fordi datatrafikken øker i geometriske proporsjoner sammen med økt avstand mellom avsenderen og mottakeren. Begge disse resulterer i økt eksponering av data for risiko for tapping. Det er mange metoder som brukes til å beskytte data på vei til destinasjonsterminalen.

I stor grad kan truslene mot data i overføring være av tre slag, (a) trussel om uautorisert tilgang, (b) trussel mot datakontrollens nøyaktighet og fullstendighet, og (c) trussel mot rettidig nedlasting av data.

(i) Uautorisert tilgang til data:

Sterke kablede nettverk (ved hjelp av koaksiale ledninger eller fiberoptikkmedier) er mindre tilbøyelige til å tappe på vei enn de elektroniske kanalene. Sikkerhetsmodemene blir også stadig mer populært i nettverk som bruker telefonlinjer. En annen metode som kalles automatisk tilbakekallingssystem brukes til å kontrollere autentisiteten til brukeren. I dette systemet ringer og venter.

Avsenderen kontrollerer ektheten, registrerer passordet som er brukt av den som ringer informasjon og ringer tilbake til den som ringer. Denne typen dobbeltsjekk på identiteten og plasseringen til den som ringer er svært nyttig når det gjelder å oppdage wiretapping. Automatisk utloggingssystem er også et veldig populært kontrollsystem.

Med det økende presset av lederens ansvar er det all mulig mulighet for at executive glemmer å logge ut ordentlig eller logge i det hele tatt. Slike systemer sikrer at hvis terminalen ikke brukes i en bestemt tidsperiode, logger terminalen automatisk ut av serveren. Ytterligere tilgang til informasjon er bare mulig når prosedyren for innlogging gjentas. Denne typen kontroll minimerer muligheten for etterligning.

(ii) Dataintegritetskontroller:

Data nøyaktighet og fullstendighet kontroller er avgjørende for å sikre integriteten til de overførte dataene. Feil i dataoverføring kan skyldes forstyrrelser i dataoverføringskanalen eller en feil i datautvekslingsmaskinen.

For å kontrollere om data har nådd målet nøyaktig og fullstendig, kan paritetsbiter bli brukt. En annen populær metode er å dele meldingen i pakker med overskrifter og bunntekst (tilhengere), og kontrollere at de eksisterer ved mottakerens slutt.

(g) Driftsoperasjonskontroller:

Kontrollen over driften av datasystemer og terminaler kan spille en viktig rolle i å unngå datautbrudd. Det lønner seg å planlegge datamaskinens driftsplan for vanlige brukere, nærmere bestemt på de lavere nivåene av lederhierarkiet, der driftskravene er forutsigbare og kan ordnes riktig. Eventuelle avvik fra den planlagte operasjonen kan granskes for å motvirke driften av datasystemet for andre funksjoner enn spesifisert for dagen.

Kontrollen over driften av datasystemer blir vanskeligere ved delte terminaler og de som involverer interaktiv kommunikasjon. Men hvis identifikasjon og passord ikke deles, kan de fleste problemene med kontroll over delte terminaler passe på.

(h) Maskinvarekontroll:

Datamaskinvarekontroller er kontrollene som er innarbeidet av maskinvareprodusenter for å sjekke at systemet ikke fungerer, og utstede advarsler ved feil. Disse inkluderer de berømte paritetskontrollene i lagringsenheter, validitetskontrollene og dobbeltlesekontrollene for bekreftelse. Disse kontrollene er svært nyttige i lagring og gjenfinning av data og utførelse av aritmetiske funksjoner på data.

De generelle kontrollene må vurderes for effektivitet. Disse kontrollene utgjør kjernen i sikkerhetsforanstaltningen for informasjonssystemet som helhet.

3. Programkontroller:

For spesifikke applikasjoner er det viktig å utøve spesielle kontroller i lys av deres spesielle krav og risikooppfattelser. Slike kontroller tar sikte på å sikre nøyaktighet, gyldighet og fullstendighet av innspill og vedlikehold av informasjonslagre. De inkluderer både automatiske og manuelle kontroller.

(a) Inngangskontroller:

Inngangskontrollene sikrer at inngangen er riktig godkjent og registrert i henhold til kildedokumentet. Kildedokumenterne er serienummerert og inntastingen er verifisert i grupper før de påvirker databasen. Batch kontroll totals og redigere rutiner brukes til å sikre at inngangsdataene er nøyaktige og komplette, og duplikatinnganger elimineres.

Skjerminngangspåmeldinger og skjermmenyer brukes til å sikre nøyaktighet og fullstendighet av datainngang. Kontroller for dataverifisering brukes til å sikre gyldige datatyper, feltlengde, identifikasjon av transaksjon, og kontrollere rimelighet av numeriske verdier i inngang.

(b) Behandlingskontroller:

Disse kontrollene tar sikte på å sikre riktig gjennomføring av prosedyrene som skal utføres på inngangen. Kjør kontroll totals, datamatching av hovedoppføringer med utvalgte dataelementer i transaksjoner, rimelighetskontroller, formatkontroller, avhengighetskontroller, visuell kontroll osv. Er noen av de vanlige kontrollene som brukes til å sikre at behandling av inngang er gjort riktig .

(c) Output Controls:

Disse kontrollene er ment for å sikre at utgangen av en applikasjonsrute er nøyaktig og fullstendig. Disse kontrollene inkluderer balansering av utgangstotaler med inntaks- og behandlingstotaler, revisjon av utgangsrapporter og prosedyre for levering av utgangsrapporter til autoriserte mottakere.