Zníženie rizika ohrozenia

Pre integráciu fyzického a počítačového zabezpečenia

Podľa nedávneho prieskumu spoločnosti Pinkerton Consulting and Investigations, len v 36 % sledovaných spoločností sú zavedené formálne procedúry pre spoluprácu medzi oddeleniami fyzického a počítačového zabezpečenia. Tento nedostatok v správe zabezpečenia má za následok väčšie riziko ohrozenia, obmedzenú situačnú informovanosť, nízku mieru zodpovednosti a vyššie prevádzkové náklady.

Zmyslom spolupráce spoločností CA, Gemplus, HID a Tyco, ktoré vytvorili skupinu Open Security Exchange, je vymedzenie najlepších postupov pre integráciu správy bezpečnostných zariadení a propagácia platformovo nezávislých špecifikácií. Cieľom propagácie efektívnejšej výmeny zabezpečených dát v rámci celého podniku je obmedziť riziko najrôznejších útokov. Skupina sa spočiatku zameria na integráciu fyzických a počítačových bezpečnostných technológií. Nedostatočná integrácia týchto dvoch primárnych oblastí podnikového zabezpečenia možno predstavuje ten najnápadnejší príklad fragmentácie správy bezpečnosti vo väčšine podnikov.

Prvé špecifikácie skupiny sa týkajú konvergencie správy fyzického a počítačového zabezpečenia. Tieto špecifikácie zaisťujú technickú integráciu na troch úrovniach: - spoločná evidencia a správa používateľov, používateľských oprávnení a privilégií; - spoločná autentizácia pre prístup do fyzických priestorov a počítačových systémov, ktoré využíva používateľské oprávnenie na oba účely; - spoločné uskutočňovanie správy zabezpečenia a kontroly udalostí. Táto konvergencia odstráni mnoho rizík, ktoré vznikajú v dôsledku oddelenej správy fyzického a počítačového zabezpečenia. Bez integrácie fyzického a počítačového zabezpečení totiž bezpečnostné tímy nemôžu rýchle zistiť, či sa niekto nesnaží použiť počítačový systém v čase fyzickej neprítomnosti oprávnených používateľov. V dôsledku toho existuje značné riziko zneužitia systému v rámci organizácie, čo sa týka aj krádeži hesiel.

(jz)