Boldon James. Πληροφοριοκεντρική Ασφάλεια – Προστατεύστε την επιχείρηση σας από την περίμετρο μέχρι τον πυρήνα της
Όλοι μας έχουμε δει ταινίες που διαδραματίζονται στον Μεσαίωνα, με μάχες, πολιορκίες και απόρθητα κάστρα να σταματούν λεγεώνες. Σε ένα τέτοιο υποτιθέμενο σενάριο, οι κάτοικοι παραμένουν ασφαλείς, καθώς οι άμυνες του κάστρου αποτρέπουν την είσοδο των εισβολέων στο εσωτερικό του – τέτοιες άμυνες είναι μία βαθιά τάφρος περιμετρικά, τοίχοι που αποτρέπουν το σκαρφάλωμα ή διάφορες σιδεριές σε συγκεκριμένα σημεία. Μέσα στο κάστρο, οι αμυνόμενοι χρησιμοποιώντας φλεγόμενα βέλη, βραστό λάδι ή άλλες τεχνικές καταφέρουν να προστατευτούν ωσότου η πολιορκία σταματήσει.
Από πολλές απόψεις, πολλές υπηρεσίες πληροφοριών και άμυνας ή ακόμα και εμπορικοί οργανισμοί αντιμετωπίζουν τα δίκτυά τους με τον ίδιο τρόπο – προστατεύουν την περίμετρο ώστε οι πληροφορίες στο εσωτερικό να παραμείνουν ασφαλείς.
Δυστυχώς, σήμερα αυτό δεν ισχύει, καθώς η περίμετρος που προστατεύει τις πληροφορίες και τα δεδομένα έχει διευρυνθεί. Με την έκρηξη των υπηρεσιών cloud, με το εργατικό δυναμικό να γίνεται όλο και περισσότερο κινητό (mobile) και τις αυξημένες ανάγκες ανταλλαγής πληροφοριών, η προστασία της περιμέτρου είναι ακόμα πιο δύσκολη υπόθεση όταν δεν είμαστε σίγουροι πού ξεκινάει και που τελειώνει. Παράλληλα, όσες περισσότερες πόρτες ανοίγουμε στην περίμετρό, τόσο δυσκολότερη γίνεται η προστασία της.
Εξακολουθεί να απαιτείται η προστασία της περιμέτρου χρησιμοποιώντας τα υπάρχοντα δικτυοκεντρικά (network-centric) εργαλεία ασφαλείας μας, αλλά παράλληλα πρέπει να προστατεύσουμε και τις πληροφορίες που αποθηκεύουμε στο δίκτυό μας. Μια πληροφοριοκεντρική (information-centric) προσέγγιση χρησιμοποιεί τη διαβάθμιση και την κρυπτογράφηση για να προστατεύει τις πληροφορίες οποτεδήποτε μετακινούνται, δίνοντας λιγότερη σημασία στο χώρο που βρίσκονται οι πληροφορίες.
Η διαβάθμιση των πληροφοριών σας στο σημείο δημιουργίας τους είναι το κλειδί για την επιτυχία της πληροφοριοκεντρικής ασφάλειας σας. Το παραπάνω είναι κάτι παραπάνω από γνωστό στις κοινότητες πληροφοριών και άμυνας αλλά μπορεί να απαιτεί σημαντικές αλλαγές στη νοοτροπία μερικών εμπορικών οργανισμών. Μόλις οι πληροφορίες σας ταξινομηθούν σωστά, τότε αρχίζετε να κατανοείτε πόσο ευαίσθητες είναι οι πληροφορίες σας και μπορείτε να τις διαχειριστείτε/ αντιμετωπίσετε αναλόγως – ένα έγγραφο για παράδειγμα που περιέχει σχέδια διάφορων πρότζεκτ είναι πιο ευαίσθητο από ένα έγγραφο με το μενού του εστιατορίου, για παράδειγμα.
Η συνήθης μέθοδος για την αποθήκευση της ταξινόμησης με τις πληροφορίες σας είναι τα μεταδεδομένα, ωστόσο για λόγους που αφορούν την προστασία τους, η ταξινόμηση πρέπει να είναι δεσμευμένη κρυπτογραφικά με τις πληροφορίες σας (αυτό εμποδίζει ένα ευαίσθητο έγγραφο σας από το να γίνει μη ευαίσθητο). Επίσης, για να διευκολυνθεί η ανταλλαγή πληροφοριών, τα μεταδεδομένα δεν μπορεί να είναι προσαρμοσμένα μόνο στον οργανισμό σας, διαφορετικά η ανταλλαγή πληροφοριών ενδέχεται να καταστεί δύσκολη ή αδύνατη καθώς τα μεταδεδομένα ταξινόμησης δεν θα είναι δυνατόν να διαβαστούν (από άλλους).
Με τις πληροφορίες να ταξινομούνται και να προστατεύονται χρησιμοποιώντας ένα κοινό φορμά, ο οργανισμός σας μπορεί στο εφεξής να εφαρμόζει πολιτικές ελέγχου πρόσβασης για τον έλεγχο της ροής πληροφοριών σε όλο το δίκτυο. Ποιος χρήστης χρειάζεται πρόσβαση στη πληροφορία, η τοποθεσία του ή ο τύπος της συσκευής που χρησιμοποιεί, όλα αυτά, αποτελούν παράγοντες που μπορεί να επηρεάσουν κατά πόσο έχει ο χρήστης πρόσβαση ή όχι στο έγγραφο με το ευαίσθητο σχέδιο του πρότζεκτ (στο οποίο αναφερθήκαμε παραπάνω).
Η ικανότητα ελέγχου της ανταλλαγής πληροφοριών διευκολύνεται με την πληροφοριοκεντρική ασφάλεια. Στη συνέχεια, μπορεί να εφαρμοστεί μία τεχνολογία διαχείρισης δικαιωμάτων (χρησιμοποιώντας ένα ανοικτό πρότυπο) για τον έλεγχο και τη διαχείριση της πρόσβασης στις πληροφορίες αφού κοινοποιηθούν, καθώς ενδέχεται να θέλουμε οι ευαίσθητες πληροφορίες να είναι προσβάσιμες ή διαθέσιμες για περιορισμένο χρονικό διάστημα.
Τα δεδομένα είναι τα δομικά στοιχεία για την πληροφορία, και είναι πληροφορία αυτή που χρησιμοποιούμε στη καθημερινότητά μας. Με την υιοθέτηση μιας πληροφοριοκεντρικής προσέγγισης στην ασφάλεια, μπορούμε να αρχίσουμε να ελέγχουμε, να προστατεύουμε και να παρακολουθούμε τα δεδομένα μας όπου και αν βρίσκονται.