Czytając tytuł, zastanawiasz się na zapewne co to wszystko ma ze sobą wspólnego? Wbrew pierwszemu wrażeniu ma więcej niż może się wydawać. Poświęć proszę 2 minuty na przeczytanie tego tekstu, a wszystko stanie się jasne. A jeśli planujesz wdrożenie lub już używasz rozwiązań GRC to powinna być to lektura obowiązkowa. 😉

Na początek coś zdradzimy. Ten artykuł jest wprowadzeniem do wykładu, jaki przeprowadzimy na konferencji Security Case Study 2019. Prelegentem będzie Paweł Kulpa z SimplySec – 13 września o godzinie 13.10, ścieżka tematyczna SCS PRO. Jeśli więc wybierasz się na SCS, to nie zapomnij go wysłuchać.

Mechanika kwantowa

Przejdźmy jednak do sedna i zacznijmy od początku, czyli od mechaniki kwantowej. Zapewne część czytelników kojarzy tak zwany paradoks Schrödingera. W dużym stopniu ogólności chodziło o teoretyczny problem kopenhaskiej mechaniki kwantowej dotyczący obiektów makroskopowych.

Kot

Erwin Schrödinger zaprezentował go na przykładzie kota zamkniętego w pudełku. Oprócz niego był w nim również nietrwały atom oraz trucizna. Abstrahując od scenariusza „eksperymentu” dla nas najważniejsze będą płynące z niego wnioski – to znaczy, że dopóki nie zajrzymy do pudełka nie będziemy wiedzieć, czy kot jest żywy, czy martwy. Ciekawi szczegółów znajdą je w Internecie.

Pracownik

Jaki jednak ma to związek z ryzykiem czy pracownikami, spytacie? Prawie 20 lat aktywności w obszarze GRC, nauczyło zespół SimplySec, że z pracownikami jest podobnie, jak ze wspominanym wcześniej kotem Schrödingera. Nie możemy ocenić, czy pracownik jest kluczowy, czy też nie, czy stanowi zagrożenie lub nie dopóki tego nie sprawdzimy. Niestety wiedzę tę zdobędziemy dopiero wtedy, kiedy będzie za późno. Dowiemy się tego dopiero w momencie zakończenia z nim współpracy…

Im więcej pracownik ma uprawnień tym w większym zakresie może wspierać nasz biznes. Jednak z drugiej strony im więcej ma uprawnień tym bardziej nam może zaszkodzić jeśli użyje ich w sposób niewłaściwy. Wszystko zatem sprowadza się do starego paradygmatu, czyli do przekazywania pracownikowi uprawnień minimalnych względem delegowanych dla niego obowiązków. Jeśli przychodzi Ci w tym momencie zasada „need-to-know” to bardzo dobrze, bo właśnie o niej jest teraz mowa. Ma ona również zastosowanie w zakresie zarządzania uprawnieniami.

Z drugiej strony chcemy jednak wykorzystywać umiejętności pracowników w jak najszerszym zakresie, chcemy bardziej angażować ich w działania firmy, a co za tym idzie dajemy więcej uprawnień, żeby mogli to robić. I tu pojawia się pytanie: ile uprawnień to jest wystarczająco w kontekście bieżących i przyszłych potrzeb. Kolejne pytanie brzmi: które uprawnienia niosą ze sobą ryzyko dla organizacji, a które nie.

Ryzyko

Instynktownie w takim przypadku będziemy chcieli podeprzeć się jakimś rozwiązaniem informatycznym. I rzeczywiście jest na rynku sporo systemów promujących się hasłem, że są w stanie wyliczyć ryzyko w kontekście pracowników i ich uprawnień. Niektóre z nich wskazują to nawet punktowo. Tylko co to znaczy? Co znaczy, że dany pracownik ze swoimi uprawnieniami ma ryzyko na poziomie 30. Co nam daje ta wiedza? Nic. Dopóki nie porównamy go z innym pracownikiem nie będziemy w stanie określić, czy jest to dużo czy mało.

Co więcej, możemy to sobie wyliczać tylko skąd wiadomo, czy dane uprawnienie jest obarczone wysokim ryzykiem czy niskim? Dość często stosuje się tutaj tak zwaną metodę sufitową. To znaczy patrzę w sufit i stwierdzam – to jest wysokie ryzyko, a tamto niskie. Uznaniowy sposób określania ryzyka wynika z faktu, że nie mamy nic co mogłoby nam pomóc w obiektywnej ocenie na przykład ważności określonego systemu dla organizacji. Możemy opierać się jedynie na własnych domysłach, chociażby w następujący sposób: „to jest baza danych, korzysta z niej wielu pracowników, więc chyba musi być istotna”. Trudno jednak nazwać to metodą wiarygodną i precyzyjną. Jest to raczej zgadywanie.

GRC

I tu pojawia się zagadnienie narzędzi, które w sposób metodyczny, wiarygodny i zorganizowany zarządzają ryzykiem. Potrafią zbudować schemat rozpoczynający się od procesu biznesowego w organizacji. To o tyle ważne, że firma w zasadzie w każdym przypadku potrafi wskazać, które z procesów są dla niej istotne. Potrafi je wycenić, określić ich wartość, często nawet w formie kwot pieniężnych. Dzięki temu możemy pójść dalej wskazując, które aplikacje wspierają dany proces. Następnie możemy wskazać systemy z nimi powiązane. W efekcie zdobywamy prawdziwą i rzetelną wiedzę pozwalającą ocenić nam, które uprawnienia związane z dostępem do danych systemów niosą ze sobą wysokie ryzyko.

###

W tym momencie celowo kończymy artykuł, żeby zachęcić Cię do wysłuchania wykładu Pawła na konferencji Security Case Study. Jeśli jednak z jakichś względów nie będziesz mógł wziąć w nim udziału jesteśmy pewni, że Paweł dopowie resztę na indywidualnym spotkaniu. Wystarczy, że się z nami skontaktujesz, a wspólnie ustalimy dogodny dla obu stron termin oraz miejsce.