21 Juna, 2026
image
Home Kategorija Security Services (Page 23)

Security Services

Edukativna i organizacijska uloga sigurnosnih odjela

Sve važnija uloga sigurnosnih odjela u organizacijama jeste status organizatora obuke i edukatora. Kako privatni sektor na sebe preuzima sve više odgovornosti za poštivanje reda i zakona u i oko objekata privatnih kompanija i organizacija, tako je sve izraženija potreba za pružanjem edukacije uposlenicima i drugim licima u vezi s potrebama i ciljevima sigurnosti

Piše: Semir Kapetanović
E-mail: redakcija@asadria.com

Jedan od boljih primjera potrebe za sigurnosnom edukacijom za osoblje jeste maloprodajni sektor. Poslovni subjekti u ovom sektoru posjeduju objekte u kojima se prodaju hrana i lijekovi, lance supermarketa, specijalne dućane, nezavisne prodajne objekte i sl. Oni godišnje gube milijarde dolara zbog nedozvoljenog ponašanja uposlenika. Dio gubitaka direktno je povezan s činjenicom da radnici ne poznaju sigurnosnu politiku kompanije i stoga nemaju kapacitet da prepoznaju zabranjene vidove ponašanja.

Nove metode

Svaki dan novi uposlenici „otkrivaju“ sofisticirane metode za preusmjeravanje robe ili sredstava za vlastite potrebe, nesvjesni činjenice da su takvi planovi i ranije isprobavani u velikom broju slučajeva. Pošto nisu prošli kvalitetnu edukaciju, oni u svom neznanju nanose veliku štetu poslodavcu i izlažu se opasnim posljedicama otkrivanja djela, otpuštanja i krivičnog gonjenja – a sve zbog nedostatka sigurnosne edukacije ili programa za nove uposlenike. I u sektoru ugostiteljstva postoji potreba za obukom i edukacijom uposlenika. Programi koji bi im omogućili da prepoznaju znakove teškog pijanstva ili da adekvatno koriste silu danas imaju ključnu ulogu. Nekada su pripadnici osiguranja objekata prosto odstranjivali neželjena lica iz samog objekta. Danas se od ovog osoblja očekuju viši standardi ponašanja jer neprimjereno odstranjivanje osoba iz objekata može izazvati i krivično gonjenje. Zbog toga se javila potreba za posebnim programima obuke u ovoj oblasti, uključujući rad s videomaterijalima, kompjuterskim lekcijama i webinarima kao alatima. Iskustvo je pokazalo da najkvalitetniju obuku sigurnosnom osoblju mogu pružiti samo njihove kolege jer one znaju o čemu govore i njihova stručnost je neupitna. Ista prezentacija nekog iz upravljačkih struktura nema istu snagu ili kredibilitet.

Opći sigurnosni programi

Cilj općih sigurnosnih programa je podizanje nivoa razumijevanja i svijesti o zadacima sigurnosnih odjela koji su povezani s konkretnim sektorom u kojem djeluju. Naprimjer, u sektoru maloprodaje sigurnosni programi mogu obuhvatiti cijeli spektar problema, od krađa i malverzacija s kreditnim karticama, preko provala i krivotvorenja novca do prevara. Sve ove oblasti mogu biti zanimljive, informativne i edukativne za uposlenike kojim ova obuka koristi za stjecanje boljeg uvida u problematiku i utvrđivanje načina na koji mogu spriječiti ovakve pojave u budućnosti.

Obuka za rukovoditelje

Novoimenovani rukovoditelji (izvan oblasti sigurnosti) koji stupaju na svoje pozicije moraju se upoznati sa sigurnosnom problematikom koja je u njihovoj nadležnosti. Pri tome se postavljaju pitanja šta oni trebaju preduzeti u vezi s njom te koja su ograničenja s kojima se suočavaju u svom radu. Istovremeno, potrebno je definirati i šta kompanija očekuje od njih, i to u različitim sigurnosno osjetljivim situacijama, poput detektiranja gubitka ili provale. Kao i u prethodnom slučaju, poželjno je da i ovaj vid obuke vode sigurnosni profesionalci.

Program samozaštite za uposlenike

Jedan od najposjećenijih edukativnih programa koje vode sigurnosni odjeli su programi samozaštite za uposlenike. Oni, između ostalog, uključuju i obuku iz oblasti prevencije silovanja, pri čemu se koriste kvalitetni DVD materijali i drugi alati. Ostali programi samozaštite uključuju i obuku za prevenciju kidnapovanja, zaštitu lične imovine i domova, koji su u prvom redu namijenjeni rukovodećem osoblju kompanije. Tu je i program samoodbrane, a svi navedeni treninzi se, na dobrovoljnoj bazi, moraju učiniti dostupnim svim uposlenicima kompanije. Ovaj vid edukativnih usluga služi i kao pokazatelj da se kompanija brine za svoje uposlenike. Istovremeno, na ovaj način se grade temelji za jačanje podrške i svijesti u vezi s glavnim zaduženjima sigurnosnih odjela koji štite kompanije.

Prezentacije za odjele i jedinice

Još jedna važna edukativna uloga sigurnosnog odjela je organizacija prezentacija iz oblasti sigurnosti za različite odjele ili jedinice unutar kompanije. Ako neka divizija traži prezentaciju sigurnosnog odjela, njegovo osoblje je treba pripremiti u skladu s potrebama navedene radne jedinice, bilo da je riječ o inžinjerskom odjelu, odjelu za prodaju itd. Ponekad postoji potreba da se unutar navedenih odjela razvije interes za sigurnosnu problematiku. U tom kontekstu, zadatak svake prezentacije je dvostruki. Kao prvo, sigurnosni odjel treba educirati polaznike o ulozi i važnosti sigurnosti na nivou cijele organizacije. Drugi segment jeste da se grupi kojoj se obraća objasni njena uloga, doprinos i zaduženje u vezi s mjerama sigurnosti i zaštite koje se implementiraju na nivou kompanije. Sve navedene prezentacije trebaju se organizirati na zabavan i intrigantan način. Opis funkcija i zadataka sigurnosnog odjela može biti ilustriran anegdotama i pričama „s terena“ koje su interesantne osobama koja se inače ne bave sigurnošću.

Edukativne aktivnosti u prvom redu služe za premošćivanje potencijalnog jaza između sigurnosnog odjela i ostatka neke organizacije ili kompanije. Postojanje ovakvog jaza identificirano je mnogo ranije i zbog toga je dovelo do svojevrsne izoliranosti tih odjela u odnosu na ostale radne jedinice. Istovremeno, danas postoji razvijena svijest da oni mogu biti u potpunosti efikasni samo ako imaju razumijevanje, povjerenje i podršku svih uposlenika organizacije.

Organizacijska uloga

Kako bi sigurnosni odjeli mogli dati maksimalni doprinos organizacijskim ciljevima kompanije, sigurnosno osoblje (posebno na rukovoditeljskom nivou) mora osigurati adekvatnu vidljivost svojih predstavnika u upravljačkim strukturama. Oni koji pokažu interes za probleme i poslovanje kompanije i rade u raznim odborima koji ne moraju nužno imati veze sa sigurnošću igraju dodatnu, novu ulogu unutar neke organizacije. Oni kompaniji pružaju upravljačku podršku i obavljaju ulogu koja će naći svoje mjesto u njenoj organizacijskoj strukturi. Ovoj novoj dimenziji uloge sektora sigurnosti treba pristupiti temeljito i posvećeno, jer su ranije ti odjeli bili zadovoljni statusom svojevrsnog „policajca“ unutar kompanije i na taj način su ograničavali svoje aktivnosti. Danas se ovim odjelima rukovoditeljske strukture obraćaju i za rješavanje problema koji i ne moraju imati veze sa sferom sigurnosti.

Prepoznavanje sigurnosnih prijetnji

Da bismo efikasno zaštitili mrežu, potrebno je u obzir uzeti odgovor na pitanje: od koga ili od čega štitimo kompjutersku mrežu, odnosno informacioni sistem? Radi lakšeg odgovaranja, ovo se pitanje može podijeliti na dva dijela: ko su napadači i kakvim se metodama koriste?

Izvor: Goran Milić
E-mail: editorial@asadria.com

Pitanja navedena u uvodnom dijelu teksta čine osnovu tzv. analize prijetnji (threat analysis). Cjelovita analiza prijetnji najčešće je proizvod zajedničkog rada ljudi koji su dobro upućeni u poslovne procese, granu industrije ili privrede u kojoj se organizacija nalazi, sigurnost i informacione tehnologije. Zapravo, najbolje je reći da uopšte nije preporučljivo da analiza prijetnji bude plod isključivo informatičkih stručnjaka, jer takva grupa stručnjaka možda nema cjelovitu sliku rada organizacije, bez obzira na to čime se ona, zapravo, bavi. Kreativno razmišljanje treba da bude ključna osobina svih članova tima koji rade na izradi analize prijetnji.

MOTIVACIJA NAPADAČA

Može se reći da postoji onoliko različitih motiva koliko postoji i napadača, ali se najčešći motivi mogu podijeliti u nekoliko kategorija. Rekreativci su hakeri koji upadaju u tuđe sisteme iz zabave ili kako bi pokazali svoje tehničko znanje. Može se reći da i oni nemaju posebno izražen motiv. Oni to rade jednostavno zato što mogu. Obično je riječ o mlađim ljudima ili društveno neprilagođenim pojedincima. Profiteri su oni hakeri koju napadaju tuđe mreže kako bi ostvarili profit. Primjer takvih hakera su oni koji pokušavaju da novac prebace na svoje bankovne račune ili da obrišu podatke o svojim dugovanjima. Tu su i hakeri koje plaća treća strana kako bi napali i oštetili tuđe informacione sisteme. Industrijska špijunaža također spada u ovu kategoriju. U posljednje vrijeme pojavila se i nova vrsta hakera koja upadom u sistem zaključa neki njegov dio i onda traži otkupninu kako bi vratili funkcionalnost sistemu. Ono što je bitno uočiti jeste to da šteta i obim napada često, mada ne i uvijek, zavise od motivacije napadača.

Rekreativci

Rekreativni hakeri su obično tinejdžeri koji traže izazov. U većini slučajeva oni ne čine veliku štetu. Obično ostavljaju poruke da su bili u sistemu ili se zadovolje plijenom koji je dovoljan kao dokaz da su uspješno izvršili napad. Nažalost, postoje i mnogo zlonamjernije verzije ovakvih napadača. Riječ je o digitalnim ili cyber vandalima, koji uzbuđenje nalaze u uništavanju ili rušenju sistema. Pošto je njihov motiv destrukcija, protiv ovakvih napadača se teško boriti.

Profiteri

Hakeri koji traže neku materijalnu korist su daleko opasniji. Jedan od razloga je to što obično na raspolaganju imaju vrlo sofisticiranu opremu. Pošto se može reći da je riječ o profesionalcima, njihovi napadi su obično i veoma kompleksni. Najopasniji profiteri su oni koji se bave industrijskom špijunažom. S obzirom na to da iza njih stoje druge velike kompanije, njihova sredstva su velika i obično raspolažu čitavim mrežama takozvanih zombi-kompjutera (tzv. Botnet mreže), koje mogu upotrijebiti za izvođenje vrlo kompleksnih napada. Ovakvi hakeri idu tako daleko da se zapošljavaju u kompanijama “žrtava” kako bi lakše došli do potrebnih resursa. Postoje i tzv. freelance industrijski špijuni, koji svoje usluge nude onome ko više plati ili jednostavno nude svoje usluge u vidu napada ili prethodno nelegalno nabavljenih podataka na internetskim aukcijama.

Osvetnici

Napadači koje pokreću osvetnički motivi mogu biti veoma opasni. Ovakvi napadi su motivisani jakim emocijama, što znači da će utrošiti svaki mogući resurs kako bi ostvarili svoje ciljeve. Napadači su obično: bivši zaposlenici, zaposlenici koji nisu zadovoljni svojim statusom ili visinom plate, te oni koji imaju nešto lično protiv same organizacije ili nekih njenih članova. Sretna okolnost je to što ova grupa spada u tehnički slabije obučene napadače te što im emocije ometaju fokusiranost. Zbog toga je njihove napade lako otkriti i spriječiti.

Hibridni napadači

Ove tri kategorije se često preklapaju. Rekreativni haker koji smatra da poslodavac nije bio fer može upotrijebiti svoje inače neagresivno znanje kako bi “zadovoljio” pravdu. Ono što je važno jeste to da se na osnovu motivacije hakera može predvidjeti njegovo ponašanje. Iako je nemoguće predvidjeti koji tip hakera će napasti određeni sistem, moguće je pripremiti određene procedure odbrane za svaki određeni tip hakera. Također, moguće je pripremiti sistem za svaki od eventualnih vrsta napada.

KLASIFIKACIJA TIPOVA SIGURNOSNIH NAPADA

Tip sigurnosnog napada označava način na koji napadač pristupa tuđem kompjuteru, mreži ili informacionom sistemu, te šta radi kada dobije pristup. Glavni tipovi sigurnosnih napada su:

  • Socijalni inženjering,
  • Denial of Service (DOS) napadi,
  • Scanning i spoofing,
  • Iskorištavanje slabosti u mrežnim protokolima,
  • Iskorištavanje slabosti u sistemu ili softveru,
  • Trojanci, virusi i crvi.

Jedan od glavnih ciljeva sigurnosnih stručnjaka jeste što bolje razumijevanje svakog od ovih tipova sigurnosnih napada kako bi organizovali što bolju zaštitu kompjuterskog sistema.

Socijalni inženjering

Slično kao i pojam Social Networks, tako bi i pojam Social Engineering bilo ispravnije prevoditi kao „društveni inženjering“, ali se naziv „socijalni inženjering“ već ustalio u specijalističkoj literaturi. Za razliku od drugih napadačkih metoda, socijalni inženjering ne zahtijeva mnogo tehničkog znanja. Umjesto toga, ova vrsta napada iskorištava ljudske slabosti, a napadač, zapravo, koristi poznavanje psihologije i sociologije, te šarm, slatkorječivost i slične osobine. Socijalni inženjering je najlakše opisati kao vještinu manipulisanja ljudima. Napadač obično dobiva povjerenje legitimnog korisnika informacionog sistema, a onda iz njega izvlači potrebne podatke kao što su korisničko ime i šifra, ime ili adresa servera, verzija softvera, vrste sigurnosnih protokola koji se koriste i slično. Socijalni inženjering je, zapravo, najlakši način dobivanja neautorizovanog pristupa u neki sistem, bio on digitalan ili ne. Defcon, redovna godišnja konferencija hakera, organizuje takmičenja socijalnih inženjera, na kojima vježbaju svoje vještine. Kevin Mitnick, jedan od najpoznatijih hakera u istoriji, bio je vrhunski socijalni inženjer te je u nekoliko navrata priznao da je svoje najveće hakerske podvige ostvarivao upravo socijalnim inženjeringom. Zaštita od ovakve vrste napada, slično kao i sam napad, ne odvija se tehnološkim metodama, stoga je osoblje organizacije potrebno obučiti da se odupru takvim pokušajima. Naprimjer, korisnici sistema moraju znati da im legitimno sigurnosno osoblje nikada neće tražiti šifru sa kojom se prijavljuju na sistem iz jednostavnog razloga – oni već imaju taj podatak. Dakle, ako vam neko zatraži šifru, vrijeme je da obavijestite sigurnosno osoblje. Važno je imati na umu da socijalni inženjering nije tehnička vještina, i da ga na taj način treba tretirati prilikom planiranja sigurnosnog plana.

Digitalni otmičari

Iako je prvi takav napad zabilježen još 1989. godine, takozvani ransomware napadi su postali popularni u nekoliko posljednjih godina. Ovakav napad započinje širenjem virusa ili trojanskog crva koji zarazi kompjuter žrtve. Nakon toga najčešće slijedi enkripcija podataka na hard disku, čime žrtva više ne može pristupiti svojim podacima. Haker nakon toga upućuje zahtjev za plaćanjem otkupnine pod prijetnjom da će korisnikovi podaci ostati zauvijek enkriptovani. Osim enkripcije podataka, hakeri mogu spriječiti korisnike da koriste dijelove svog sistema. Ovakvi napadi mogu pogađati poslovne, ali i kućne korisnike, posebno ako nisu vični u korištenju tehnologije. Zabilježeni su i slučajevi u kojima su sami hakeri prijavljivali žrtve policiji kada su im na kompjuterima otkrivali dječiju pornografiju i druge slične nelegalne sadržaje. Situacije u kojima hakeri pomažu društvenoj zajednici su češće nego što se to može zaključiti iz izvještaja medija, pošto kriminalne aktivnosti privlače više pažnje javnosti, pa ih mediji stavljaju u prvi plan.

Angažovanje i upravljanje informatorima

Adekvatna saradnja s informatorima odvija se u nekoliko faza, uključujući njihovo angažovanje, produktivno upravljanje informatorima i sumiranje slučaja. Ponekad i sami informatori budu uhvaćeni u ilegalnim aktivnostima ili žele pomoći u odvijanju istrage iz sebičnih ili altruističnih razloga. Istražitelj na prvom mjestu mora pokušati otkriti prave razloge koji stoje iza informatorove želje za angažmanom

Piše: Semir Kapetanović
E-mail: redakcija@asadria.com

Informatori su iznimno raznolika skupina ljudi. Neki se za ovaj posao javljaju spontano, dok je druge potrebno angažovati u toku vođenja istrage. Nerijetko se dešava da poslodavci dobiju pismo kolege, bivšeg prijatelja, bračnog partnera ili susjeda koji se povezuje s osobom osumnjičenom za uključenost u vršenje nezakonitih aktivnosti. Ponekad i sami informatori budu uhvaćeni u ilegalnim aktivnostima ili žele pomoći u odvijanju istrage iz sebičnih ili altruističnih razloga. Istražitelj na prvom mjestu mora pokušati otkriti prave razloge koji stoje iza informatorove želje za angažmanom. To će mu biti korisno iz dva razloga. Kao prvo, na taj način može ustvrditi da li je informator u nekom sukobu s osumnjičenikom i procijeniti situaciju. Drugo, razumijevanje motivacije informatora daje jasnu sliku o načinu na koji se on može učiniti produktivnijim u budućem radu. Neki od najčešće identificiranih tipova motivacije za uključivanje informatora u tok istrage su: dugoročni antagonizam prema osumnjičeniku, kratkotrajni sukob s osumnjičenikom ili strah od dovođenja u vezu sa njegovim aktivnostima, moralni razlozi, ljubomora, želja za smanjenjem kazne za vlastita djela, strah od ugrožavanja tjelesnog integriteta, autentična briga za osumnjičenikom, lojalnost prema kompaniji ili zajednici, religijska uvjerenja i dr.

Produktivno upravljanje

Nakon angažmana informatora i utvrđivanja njegovih/njenih motiva, istražitelj može prikupiti sve korisne informacije od informatora. To je ponekad moguće izvesti u okviru jednog sastanka, no iskustva istražitelja su pokazala da je važnije kreirati mogućnost za kontinuirani kontakt s informatorima. Nerijetko se dešava i da istražitelj inicijalno pogrešno protumači informacije koje mu povjerava informator, zbog čega je potrebno tražiti dodatna objašnjenja. Kako bi se ova dodatna pitanja mogla postaviti, potrebno je održavati trajni kontakt, jer na njih odgovore može ponuditi samo informator. Ako pristane na obavezu prikupljanja i prenošenja informacija, on tako postaje kontrolirani informator. Ovaj tip informatora često se plaši otkrivanja svojih aktivnosti. Zbog toga su redovni profesionalni kontakti s istražiteljem važni kao dugoročni način za otklanjanje ove vrste strahova. Isto tako, na ovaj način se informatoru stavlja do znanja da se njegovo učešće u ovakvom vidu saradnje cijeni na duže staze. Jačanje inicijalne motivacije informatora da se uključi u istragu može kod iste osobe ojačati i entuzijazam za nastavak saradnje. Najvažniji prioritet u radu s informatorima jeste njihova zaštita. Konačno, istražitelj snosi i moralnu odgovornost kada traži od informatora da preuzme određene zadatke u okviru njihove saradnje. Istražitelj mora obučiti informatora da bude oprezan u zaštiti povjerljive prirode njihovog saradničkog odnosa. Neki nesmotreni komentar pred supružnikom, prijateljem ili kolegom može lahko dovesti do ugrožavanja tekuće istrage. Istražitelj treba odrediti metod ostvarivanja kontakata između njega i informatora. Nije dovoljno samo da informator ima pristup istražitelju, nego, po potrebi, i potonji mora biti u mogućnosti da sam inicira kontakt.  Za istražitelje jedan od čestih izvora frustracija jeste situacija kada mu je brzo potrebna informacija za koju mora čekati da ga informator kontaktira. Između ovih kontakata mogu proći sati, sedmice i mjeseci, što podrazumijeva gubitak brojnih mogućnosti za unapređivanje toka istrage. Isto tako, istražitelj može doći do informacija da je saradnja između njega i informatora otkrivena. U tom slučaju stupanje u kontakt s informatorom može biti od ključne važnosti, jer se tako može spriječiti njegovo izlaganje opasnosti, kao i osigurati adekvatan nastavak istrage. Među prihvatljivim vidovima kontaktnih informacija su brojevi mobilnog i kućnog telefona, pejdžera ili telefona na radnom mjestu. Pri tome, najvažniji faktor koji treba imati na umu jeste da se istražitelj pobrine da se ne može utvrditi postojanje saradničkog odnosa između ova dva lica. Lažna lična imena ili lažni nazivi kompanija mogu se koristiti kako bi se spriječilo da prijatelji informatora (odnosno osumnjičenici) slučajno dođu do telefonskih i drugih poruka istražitelja.

Protok informacija

Česti kontakti između informatora i istražitelja predstavljaju način da se osigura neometan protok informacija. Istražitelj mora pomno pratiti bilo kakve indikatore o tome da se informator predomišlja u vezi sa nastavkom saradnje. Za istrage su posebno opasne situacije kada informatori počnu osjećati krivicu u pogledu „izdaje“ prijatelja. Ovo se češće dešava u situacijama kada informator inicijalno kontaktira istražitelja zbog nekog događaja koji je poslužio kao povod za sukob s osumnjičenikom. Kako vrijeme prolazi, razlozi za ljutnju postepeno blijede i osumnjičenik i informator mogu ponovo početi uspostavljati prijateljske odnose. Istražitelj tada mora držati situaciju pod kontrolom i osigurati brzu realizaciju istrage kako bi se spriječilo da dođe do ovakvog razvoja događaja. Ovaj vid kontrole se najlakše postiže izgradnjom kvalitetnog saradničkog odnosa s informatorom, kojeg je potrebno uvjeriti da je njegova sigurnost od primarne važnosti za istražitelja. Isto tako, pronalaženje dovoljnog vremena za odlazak na kafu ili druženje s informatorom jača percepciju da je istražitelj ne samo saradnik nego i informatorov prijatelj, te da ga ne tretira kao obično „sredstvo“ za realizaciju istrage. Isti učinak ima i blagovremeno odgovaranje na zahtjeve informatora za sastancima. Nije neobično da tokom prolongiranih istraga informator u sve većoj mjeri od istražitelja traži ohrabrenje i podršku. Osim izgradnje kvalitetnih odnosa, davanje manjih zadataka informatorima pomaže da ih se pripremi za slijeđenje uputa i nošenje sa manjim rizicima koji se javljaju prilikom vođenja istrage. Istražitelj ipak po svaku cijenu mora uvjeriti informatora da samostalno ne smije preduzimati ništa sumnjivo bez njegovog prethodnog pristanka, jer pogrešno promišljena akcija može ugroziti konačni ishod istrage.

Sumiranje slučaja

Ako je istraga uspješno realizirana, pri čemu su prezentirani dokazi o krivičnom djelu uvjerljivi, počinitelji će biti uhapšeni i protiv njih će se pokrenuti krivični postupak. Ako je informator postupao na produktivan, iskren i pošten način, on se mora uzeti u obzir prilikom određivanja smanjene kazne za njegovo učešće u konkretnim djelima. Istražitelj mora pomoći u razumijevanju pravog obima pomoći koju je pružio informator, a da pri tome sačuva svoju objektivnost i ne djeluje kao informatorov advokat. U mnogim slučajevima informatora se formalno suspenduje s posla, nakon čega se naknadno vraća na dužnost i nastavlja svoju karijeru u kompaniji. Ovakva gesta može trajno učvrstiti lojalnost informatora prema njegovoj firmi i pomoći prilikom osiguravanja njegove buduće pomoći u slučaju da dođe do sličnih negativnih scenarija. Za istražitelje je veoma važno da svoje informatore zadrže na pozicijama na kojima može lahko doći do pojave novih potencijalnih problema koji su iste naravi kao i prethodni.

Tretman informatora

Istražitelj koji sa prezirom govori o svojim informatorima zapravo ih i ne posjeduje kao saradnike, ili ih, u konačnici, neće moći zadržati uz sebe. Zato je potrebno izbjegavati žargon sa kvalifikacijama poput „potkazivač“, „doušnik“, jer on ne odražava profesionalni odnos između istražitelja i informatora. Umjesto toga, informatora je najbolje opisivati kao „kontakt-osobu“ ili „povjerljivi izvor“. Konačno, tretman informatora kao osobe sa ljudskim dignitetom na kraju će zasigurno imati svoje beneficije. Isti pristup u odnosu sa ljudima znači da će se istražitelju informatori lakše javljati i samostalno. Neljudski tretman ovih saradnika, uz odnos utemeljen na omalovažavanju, neminovno ima negativne posljedice koje ne mogu dovesti do zadovoljavajućeg okončanja istrage.

Uloga sigurnosnih odjela unutar organizacija

Zaštitna uloga sigurnosnih odjela temelji se na prevenciji. Ona obuhvata prevenciju vršenja krivičnih djela i nastanka gubitaka primjenom strategije i filozofije sprečavanja kriminalca u njegovoj namjeri da uspješno realizira krivično djelo

Piše: Semir Kapetanović
E-mail: redakcija@asadria.com

Sigurnosni odjel unutar organizacije u prvom redu ima ulogu tijela zaduženog za čuvanje imovine kompanije, proizvoda, robe, opreme, ugleda i uposlenika. Ova zadaća nije ograničena samo na imovinu i uposlenike nego se odnosi i na lica koja ne rade u kompaniji, bez obzira jesu li u pitanju gosti, kupci, posjetioci ili druge osobe koje su pozvane u prostorije kompanije. To znači da sigurnosni odjel ima ulogu čuvara cjelokupne imovine i svih lica koja se u određenom trenutku zateknu u prostoru koji pripada organizaciji.

Ova zaštitna uloga obuhvata pružanje usluga određenoj organizaciji. Dakle, uloga sigurnosnog odjela u odnosu na organizaciju može se definirati kao uslužna. Vrijednost navedenih usluga mjeri se u odnosu na to šta se nije desilo, tj. šta je spriječeno, u odnosu na ono šta se, zapravo, desilo. Tu spada, npr., period unutar kojeg nije došlo do provala u prostorije kompanije, u kojem nije bilo velikih krađa inventara, opreme, podataka ili dokumentacije, u kojem nisu zabilježeni slučajevi silovanja, krađe ili napada na pripadajućim parking-prostorima kompanije, stepenicama ili bilo kojoj drugoj lokaciji koja pripada organizaciji. To znači da se zaštitna uloga sigurnosnih odjela temelji na prevenciji. Tu spada prevencija vršenja krivičnih djela i pojave gubitaka primjenom strategije i filozofije sprečavanja kriminalca u njegovoj namjeri da uspješno realizira krivično djelo. U skladu s tim, neke organizacije umjesto sigurnosnih odjela osnivaju odjele za sprečavanje i kontrolu gubitaka. To je usklađeno sa shvatanjem da se sigurnost može lahko identificirati kao zaštitna usluga prevencije i kontrole.

Zaduženja sigurnosnih odjela

Konkretne zadaće koje obavlja neki sigurnosni odjel uveliko zavise od specifičnosti same kompanije, poput objekata koji se osiguravaju, vrste djelatnosti, imovine, sadržaja, osoblja, interakcije na svim nivoima, općeg okruženja i ugleda same organizacije. Ipak, postoje neki općeniti zadaci kojima se bavi svaki sigurnosni odjel u organizacijama. Tu, u prvom redu, spadaju hapšenje i predaja na dalju obradu svih osoba koje čine krivična djela spram imovine, opreme, proizvoda i drugih materijalnih dobara koja pripadaju kompaniji. U tu svrhu sigurnosni odjeli kreiraju i donose planove vršenja fizičke zaštite unutar samog objekta. Ovi odjeli se bave i kontrolom pristupa unutar objekata, provjerom biografije uposlenika prije upošljavanja, kao i praćenjem njihovog ponašanja nakon zapošljavanja. Isto važi i za kontrolu i zaštitu povjerljivih dokumenata i informacija. Sigurnosni odjeli vode i održavanje kontakata sa lokalnim, državnim ili nacionalnim tijelima za provedbu zakona. Njihovo polje odgovornosti uključuje kontrolu i nadzor parkinških prostora, te prevenciju i smanjenje kriminaliteta pomoću održavanja tzv. sigurnosnog prisustva i vidljivosti u vidu patroliranja i korištenja za to posebno obilježenih vozila (ako postoji potreba za vršenjem patrola putem vozila). Osim toga, pripadnici ovih odjela nose posebno obilježene službene odore, koje ne moraju biti bazirane na uniformama vojnog tipa. Ovi odjeli su zaduženi i za provedbu programa kontrole pristupa koji se primjenjuju na nivou kompanija, a organiziraju i obuku iz ove oblasti. Jedan od važnijih zadataka sigurnosnih odjela jeste i vršenje istraga u vezi sa bilo kakvim kriminalnim aktivnostima koje se počine unutar prostorija kompanije, bilo da su one usmjerene na organizaciju ili ne, u šta spadaju i fizički napadi na osobe. U okviru istih zaduženja nalazi se i vođenje izvršnog programa zaštite, koji obuhvata sigurnosne usluge tokom situacija pobune, prirodnih katastrofa, štrajkova, eksplozija i sl. U tom smislu, uposlenici ovih odjela vode i programe zaštite u slučaju prirodnih katastrofa. Izvan sfere vanrednih situacija, vode se i redovne sigurnosne analize rizika na nivou kompanije i, po potrebi, angažiraju zaštitari, agenti, istražitelji i konsultanti u ovoj oblasti. Tu spada i nabavka usluga koje se tiču uništavanja dokumentacije, transporta dragocjenosti i korištenja detektora laži. Konačno, sigurnosni odjel ima ulogu internog savjetnika i konsultanta za rukovodeće strukture u vezi sa svim pitanjima koja se tiču oblasti sigurnosti i zaštite.

Specijalne usluge koje pružaju sigurnosni odjeli

Nabrojane dužnosti i obaveze sigurnosnih odjela ni u kom slučaju ne pokrivaju sva zaduženja za koje navedeni segmenti poslovnih organizacija snose odgovornost u konkretnim situacijama. Navedeno samo potvrđuje ranije iznesenu tezu da je primarni zadatak ovih odjela zaštita kompanije (ljudi i imovine) od napada ili gubitaka. Ova generalna uloga dijeli se na više manjih segmenata koji se u organizacijama nerijetko zanemaruju, odnosno na tri kategorije usluga: a) specijalne, b) edukativne i c) menadžerske usluge.

U segmentu specijalnih usluga zadatak sigurnosnih odjela je doprinošenje ostvarivanju poslovnih ciljeva kompanije. Rukovoditeljske strukture kompanije utvrđuju ove ciljeve, koji najčešće korespondiraju sa njihovim ličnim stremljenjima. Zbog toga pružanje usluga kompaniji podrazumijeva bivanje na usluzi njenom menadžmentu. Voditelji sigurnosnih odjela koji razumiju logiku pružanja najšireg mogućeg spektra specijalnih usluga znaju da to znači i usklađivanje sigurnosne funkcije sa cjelokupnim poslovanjem kompanije i njenim uspjehom. Postoji više vidova ovih specijalnih usluga. Jedna od njih je osiguravanje doma menadžera kompanije. Razlog za to je činjenica da se sami menadžeri nerijetko odlučuju na angažman sigurnosnog osoblja kompanije u ulozi savjetodavca, a nauštrb traženja istih usluga od policije, sigurnosnih konsultanata i sl. Domovi menadžera na ovim nivou su često atraktivne mete za pljačku u odnosu na kuće običnih uposlenika, zbog čega je potrebno preduzeti dodatne mjere. Među posebnim uslugama sigurnosnih odjela spada i pružanje pomoći prilikom vođenja istraga. To uključuje situacije poput praćenja registarskih tablica osoba koje udare automobile u vlasništvu menadžera ili utvrđivanje izvora s kojeg je on dobio prijeteće pismo, a sve uz asistenciju policije. Ove usluge ne moraju biti ograničene na visokopozicionirana lica, odnosno potrebu za aktivnostima ovog tipa može imati i neko na nižem stepenu rukovodne hijerarhije. Ovaj tip usluga može podrazumijevati i pružanje usluga tjelohranitelja ili pratnje.

Kurirske usluge

Uposlenici sigurnosnih odjela mogu, privremeno ili trajno, biti angažirani kao vozači rukovodećeg osoblja. Isto tako, oni mogu biti dio pratnje gostiju kompanije ili pratiti menadžere tokom posjeta rizičnim lokacijama. To važi i za zaštitu članova porodice menadžera i druženje sa gostima u posebnim prilikama. Osim navedenih, tu su još i uloge kurira ili osiguravanja kurirske pratnje, a sigurnosni odjeli mogu biti uključeni i u pružanje usluga u nepredviđenim situacijama. Većina uposlenika ovih struktura svoje redovne zadatke obavlja tokom 24 sata. Zbog mogućnosti cjelodnevnog vršenja komunikacije uposlenici ovih odjela menadžmentu kompanije mogu ponuditi jedinstvenu uslugu ukoliko se dese nepredviđene situacije. Svaki menadžer koji se uključi u odgovarajući sigurnosni plan može dati podatke o svom imenu, prezimenu, spolu, datumu rođenja, adresi i broju telefona i učiniti isto za svoje članove porodice, uz upute kako se do njih može najlakše doći. U slučaju nepredviđenih situacija, uposlenici ovih odjela mogu odmah stupiti u kontakt sa navedenim osobama. Zbog toga u korištene podatke treba uvrstiti i brojeve telefona kućnih ljekara, lokalnih policijskih stanica, spasilačkih i vatrogasnih službi, kao i zdravstvenih ustanova. Među kontakte se mogu uvrstiti i informacije o susjedima ili najboljim prijateljima i kolegama. Na taj način sigurnosni odjeli u nepredviđenim situacijama postaju informativni centri za upućivanje i koordinaciju rada hitnih službi, obavještavanje nadležnih tijela i usmjeravanje toka informacija.

Kako najefikasnije iskoristiti vrijeme planiranja i realizacije?

Da bi planiranje bilo precizno, neophodno je detaljno poznavati vrijeme potrebno za realizaciju svake pojedinačne akcije. Precizno možemo odrediti vrijeme početka neke akcije, ali ne i njeno trajanje i završetak, pa je stoga od velike važnosti da tokom planiranja predvidimo i rezervno vrijeme. Ukoliko se, pak, radi o periodu/stanju kada nema akcija ili prijetnji i kada nismo pod pritiskom, vremensko planiranje se može izvesti i i zabilježiti obrnutim redoslijedom poteza, odnosno od kraja zamišljene akcije

Piše: Džemal Arnautović, instruktor IPSTA-e (International Private Security Training Association)
E-mail: redakcija@asadria.com

Trenutne mjere su u svojoj osnovi skup naredbi i djelatnosti usmjerenih prema timu. One podržavaju vođu operacije i ne ograničavaju ga u slobodi djelovanja, a ostalim članovima tima pomažu kako bi optimalno iskoristili vrijeme za pripremu i kako bi se što prije integrisali u propisanu mjeru. U stvarnosti nove mjere nikada nije lahko provesti, a veoma često ta praksa dovodi i do ograničenja u slobodi našeg djelovanja, čime i sami „nesvjesno“ djelujemo pogrešno na odluku. Trenutne mjere mogu se odnositi na:

  • orijentaciju tima,
  • izviđanje,
  • opservaciju,
  • prikupljanje informacija,
  • utvrđivanje termina (sjednica tima, kratki sastanak itd.),
  • alarmiranje (slanje drugog osoblja, povećanje spremnosti),
  • davanje sredstava na raspolaganje (vozila itd.),
  • nadgledanje,
  • uspostavu kontakta,
  • logističke i administrativne akcije koje prethode.

Vremensko planiranje

Planiranje vremena predstavlja temeljnu okosnicu mjera planiranja aktivnosti, njihovog provođenja, kao i menadžmenta u cjelini. Ono daje osnovne okvire za naš način rada i pomaže nam da pravovremeno postignemo sve definisane ciljeve. Da bismo kao tim koordinirano postigli rezultat ili proveli neku odluku, a to će se najčešće događati u otežanim uslovima, neophodna osnovna pretpostavka je stalno vremensko planiranje. Ono također obuhvata izradu plana i potrebnog vremena, te nam daje spoznaju o neophodnom stepenu priprema. Vrijeme se, nažalost, ne može dobiti, samo se može bolje i efektivnije iskoristiti. Vremenski okviri i postavljeni prioriteti u velikoj mjeri određuju vrstu, formu i obim pojedinačnih akcija, kao i dubinu pribavljanja potrebnih informacija. Da bi planiranje bilo precizno, neophodno je detaljno poznavati vrijeme potrebno za realizaciju svake pojedinačne akcije. Precizno možemo odrediti vrijeme početka neke akcije, ali ne i njeno trajanje i završetak, pa je stoga od velike važnosti da tokom planiranja predvidimo i rezervno vrijeme. Ukoliko se, pak, radi o periodu/stanju kada nema akcija ili prijetnji i kada nismo pod pritiskom, vremensko planiranje se može izvesti i i zabilježiti obrnutim redoslijedom poteza, odnosno od kraja zamišljene akcije, ali također uvrštavajući u plan svaki pojedinačni korak.

Ovisno o složenosti zadatka može biti korisno i da istovremeno postavimo više vremenskih planova za različita pojedinačna područja. Naprimjer, interni vremenski plan za tim za planiranje, drugačiji plan za tim za zaštitnu pratnju, vremenski plan za štićenu osobu itd. Vremenski planovi bi se uvijek trebali prikazati grafički, ukoliko je moguće opisati vremensku crtu. Kao i kod svih ilustracija, preporučuje se format A4, jer se u slučaju potrebe može poslati faksom.

Odluka

Na temelju svih prikupljenih informacija i vlastitih uputa, a uzimajući u obzir naše načine rada i preuzete obaveze, dolazimo do krucijalnog dijela planiranja – odlučivanja. Nakon postavljanja zadataka i ispitivanja vlastitih mogućnosti dolazimo do faze u kojoj odlučujemo koju tačno mjeru želimo provesti i u kojim okvirima. Ovisno o situaciji o tome će odlučiti vođa operacije ili drugi nadređeni, a nerijetko to radi i nalogodavac, odnosno štićena osoba. Odluka je logičan rezultat sveobuhvatne analize. Ona služi vođi operacije kao osnova za izvršenje naloga, a svim sudionicima razjašnjava efektivnu provedbu zadatka. Odluka je prisilan i obavezujući akt. Ipak, od nje se smije odstupiti samo ukoliko nastupi značajna promjena situacije, odnosno ako bi kruto ustrajavanje prijetilo krajnjem cilju. Jasno je da se do cilja ne može dospjeti bez opasnosti, zato ukoliko se ponudi prilika da se zadatak obavi na efikasniji i lakši način i uz manji utrošak materijalnih sredstava, prethodna odluka ne mora biti primijenjena. Ali, o tome odlučuju nadređeni.

Izrada varijanti

Kao i mi, i protivnička strana raspolaže različitim mogućnostima djelovanja. Stoga se neizbježno javlja i mnoštvo mogućnosti i rješenja. A rješenje nikada ne može biti cjelovito i uključiti sve racionalno osmišljene posljedice. Zbog toga moramo razmišljati o varijantama i izraditi različita moguća rješenja. Svaka varijanta ima svoje vlastite prednosti i slabosti. Moramo odvagati sljedeće:

  • protivničku stranu i njenu agresivnost (motivacija, volja za postizanjem cilja)
  • druge opasnosti/prijetnje/rizike
  • standardni postupak za pojedinačne mjere zaštite lica (npr. motorizovana zaštitna pratnja itd.)
  • slabe tačke protivničke strane (ili gdje smo mi posebno jaki)
  • slobodu djelovanja (želja klijenta, budžet itd.)
  • vremenske omjere

Prezentacija varijanti

Da bi odgovorna osoba ili nadređeni mogao donijeti kvalitetnu odluku, neophodno je prezentirati sve pojedinačne varijante. Prezentacija bi trebala biti jedinstvena, a prednosti i nedostaci moraju biti očiti. Preporučuje se da se prvo prezentuju sve varijante prije nego što se one počnu upoređivati, jer će nadležnima inače nedostajati temeljne informacije i postoji opasnost brzopletog donošenja suda. Time se, naravno, može negativno utjecati na krajnju odluku. U stvarnosti se često dešava da, npr., vođa tima za zaštitnu pratnju izradi i prezentira svoje varijante za rute i pomjeranja, dok će vođa tima za zaštitu prezentirati nadgledanje pojedinačnih ciljeva zaštite. Nakon prezentacije sve varijante se moraju detaljnije analizirati, a često će događa da se samo dijelovi iz pojedinačnih varijanti sklope u novu varijantu, koja se opet iznova mora obraditi i prezentirati.

————————

Konačna odluka

Osoba odgovorna za odlučivanje bira jednu varijantu sa svim njenim prednostima i nedostacima. Zatim se iz toga mora formulisati radni nalog, a to se treba učiniti što je moguće jednostavnije i jasnije. Radni nalog čini osnovu za sve članove tima i omogućava im da djeluju i vlastite aktivnosti usmjere prema istom cilju. Sada svi sudionici imaju zajednički cilj i razumiju način na koji ga trebaju postići. Smisao ovakvog radnog naloga često se, nažalost, potcjenjuje. Međutim, upravo u slučajevima nužde ili kada se nalazimo pod agresivnim utjecajem protivničke strane od izuzetne je važnosti da znamo kako trebamo djelovati i da u tim ekstremnim situacijama nemamo potrebu da pitanjima i dozvolama opterećavamo našeg nadređenog. Zato odluka i iz nje izveden radni nalog moraju biti precizni i jasni.

Radni nalog treba obuhvatati sljedeće:

  • put do postizanja cilja
  • konačno stanje
  • mjere zaštite lica, podjelu tima, zadatke i težišta
  • ciljeve zaštite i njihovu važnost
  • faze mobilnosti i njihove detalje
  • vremenski tok

Odluka je logičan rezultat sveobuhvatne analize. Ona je prisilan i obavezujući akt, od koje se smije odstupiti samo ukoliko nastupi značajna promjena situacije i ako bi kruto ustrajavanje prijetilo krajnjem cilju

Najčešći sigurnosni problemi

Što ranije prepoznavanje najčešćih sigurnosnih problema od ključne je važnosti jer ostavlja vrijeme za reagovanje na one rijetke sigurnosne probleme koji nisu poznati i kojima treba posvetiti mnogo više vremena. Zbog toga ćemo se prepoznavanju najčešćih sigurnosnih problema često vraćati u našim tekstovima. Za početak pozabavimo se onim baš osnovnim sigurnosnim problemima, koji ponekad na prvi pogled i ne okarakterišemo kao sigurnosni problem

Izvor: Goran Milić
E-mail: redakcija@asadria.com

Kada govorimo o IT sigurnosti, odnosno zaštiti informacionih sistema, na pamet će nam odmah pasti zli hakeri koji žele da nam ukradu podatke, mada se u posljednje vrijeme toj slici dodaje i neka zla kompanija ili neka druga organizacija koja stoji iza svega. Iako su ovakvi scenariji sasvim mogući i dovoljno česti da o njima treba razmišljati, stvarnost je ipak daleko manje glamurozna. Naime, velika većina obrisanih, promijenjenih ili na drugi način izgubljenih podataka su rezultat akcija zaposlenika ili drugog autorizovanog osoblja. Najveći postotak ovako izgubljenih podataka je rezultat slučajnog, odnosno nenamjernog djelovanja. Slučajne greške prilikom unosa podataka ili prilikom pristupanja mrežnim resursima, te jednostavna nemarnost prilikom korištenja kompjutera, servera ili mrežne opreme najčešći su razlog gubljenja podataka. Zbog toga je vrlo važno da sigurnosni plan uzme u obzir ovakve situacije, jer će se one dešavati gotovo svakodnevno.

Poznavanje korisnika

Da bi spriječili slučajno gubljenje podataka o kojem ovdje govorimo, sigurnosno osoblje mora poznavati svoje korisnike i stepen njihove obučenosti za rad sa informacionim sistemom. Onim korisnicima koji nemaju visok stepen tehničke obučenosti treba dati što je moguće manje pristupa osjetljivim podacima i opremi. Oni trebaju da imaju pristup samo onome što im je potrebno za obavljanje posla. Ovo se ponekad naziva i “princip najnižih privilegija”. Mnogo je mrežnih korisnika nenamjerno uništilo ili promijenilo važne podatke jednostavno pokušavajući da oslobode prostor na hard disku ili pokušavajući da riješe neki drugi problem na kompjuteru.

Edukacija i kontrola korisnika

Edukacija korisnika je najvažniji faktor kada je riječ o sprečavanju ovakvih sigurnosnih incidenata. Ovo ne mora obavezno da znači povećanje tehničkog znanja korisnika, iako i to može biti slučaj. Pretvaranje svih korisnika u napredne korisnike uglavnom nije dobra ideja. Ono što jeste dobra ideja je obuka korisnika da koriste propisane procedure i da strogo poštuju propisana pravila. Svaki korisnik treba da bude svjestan jednostavne činjenice da su te procedure i pravila kreirana kako bi im olakšala rad.

Kreiranje striktnih pravila i obučavanje korisnika samo su ponekad dovoljni. U drugim slučajevima potrebno je nadgledati korisnike. Ovo proizlazi iz jednostavne činjenice da je korisnicima često naporno da koriste propisane procedure, te da najčešće traže način da što prije završe posao. Zbog toga je potrebno nadgledanje rada korisnika, a u slučaju kršenja procedura potrebno je uskraćivanje resursa i primjena drugih metoda koje će na neki način prisiliti korisnike da stvari rade na ispravan i siguran način. Srećom, velika većina korisnika će ipak nastojati da poštuje procedure i pravila.

——————————————–

Interni sigurnosni problemi

Prema velikoj većini istraživanja koja su provedena o temi informatičke sigurnosti, interni sigurnosni problemi uzrokuju više štete od eksternih napada. Interni napadači su opasniji iz više razloga. Prije svega, oni znaju više o organizaciji i njenim internim strukturama, mreži, rasporedu zgrada, uobičajenim operativnim i sigurnosnim procedurama te drugim podacima do kojih im je mnogo lakše doći s obzirom da su uključeni u rad organizacije. Drugi razlog je to što već imaju određeni nivo pristupnih dozvola, pa im je lakše doći do sigurnosnih podataka i informacija o sigurnosnim problemima. Na kraju, interni napadači znaju koje se informacije nalaze u sistemu, kako ih mogu iskoristiti i kako mogu prouzrokovati najviše štete.

Dobra sigurnosna strategija podrazumijeva kombinaciju tehnologija, upravljanje operacijama organizacije i rukovođenje ljudima. U velikom broju slučajeva ljudi predstavljaju najslabiju kariku u lancu. Zbog toga je veoma važno voditi računa o ljudima i to od najranije moguće tačke – trenutka zaposlenja. To jednostavno znači da je prilikom odabira zaposlenika vrlo važno  dobro proučiti karakter zaposlenika. Radna okolina trebala bi njegovati visoke moralne kodekse, jer je u velikom broju slučajeva do sigurnosnih problema dolazilo iz osvete zaposlenika koji su se osjećali premalo plaćeni, necijenjeni ili preskočeni u promociji.

Jedna od najefikasnijih metoda za sprečavanje internih sigurnosnih problema je nadgledanje informacionog sistema i bilježenje svih sigurnosnih događaja, bilo da je riječ o uobičajenim svakodnevnim operacijama ili neuobičajenoj aktivnosti. Na taj način je moguće lako utvrditi kada i kojim objektima je pristupano, koji korisnici su im pristupali, da li su prekoračivali svoja prava, kada se korisnik prijavio i odjavio sa kompjuterske mreže i slično. Jedini problem je pronaći pravu mjeru prilikom određivanja parametara koji će se pratiti. Napredna firewall rješenja mogu djelimično pomoći u sprečavanju internih upada tako što će spriječiti zaposlenike da se spajaju na opasne web-stranice ili da šalju specifične mrežne pakete izvan interne mreže. Međutim, to nije dovoljno, jer zaposlenici mogu iznijeti podatke na druge načine, putem CD ili DVD optičkih diskova, flash memorije ili jednostavnim štampanjem povjerljivih podataka. Zbog toga se u visokosigurnim okolinama zabranjuje korištenje medija za pohranu podataka, te se strogo kontroliše šta, kada i kako se štampa. U sve ovo treba uključiti i metode fizičke zaštite kao što su korištenje identifikacionih kartica za pristup serverskim sobama i drugim osjetljivim resursima. Enkripcija podataka još je jedan od vrlo važnih resursa koji stoji na raspolaganju sigurnosnom osoblju.

Eksterni sigurnosni problemi

Eksterni sigurnosni problemi često se nazivaju i hakerski upadi, a podrazumijevaju neovlašten ulazak u informacioni sistem, odnosno kompjutersku mrežu koja je osnova tog sistema. Ovakvi napadi u posljednje vrijeme dobivaju ogromnu medijsku pažnju, pa se ostali tipovi napada pomalo i zanemaruju. Posebno su eksponirani napadi na velike multinacionalne kompanije i državne organe kao što su to bili napadi na Sony, JP Morgan, Pentagon, iranska industrijska postrojenja te nedavni napad na web-stranicu za preljubnike AshleyMadison, nakon čega su objavljeni sigurnosni podaci o nekoliko miliona korisnika.

Jedna od bitnijih razlika između internih i eksternih napada je ta što se eksterni napadi tretiraju kao kršenja zakona, pa se protiv “vanjskih hakera” obično podižu i kriminalne optužnice. Druga važna osobina eksternih sigurnosnih problema je fokusiranost na tek nekoliko važnih komponenti informacionog sistema. Obično postoji samo nekoliko tačaka koje su pogodne za hakerske upade, pa je sigurnosnim stručnjacima lakše da se brane. Bitna potvrda ove tvrdnje je to što napadači mnogo češće pokreću napade koji se nazivaju socijalni inženjering – povjerljive informacije pokušavaju dobiti od zaposlenika i drugih osoba koje imaju veze sa metom napada, te često uopšte i ne koriste tehnička sredstva jer je njihova upotreba skupa i vremenski neefikasna.

Vrlo je važno napomenuti da prilikom planiranja odbrane od eksternih upada nikada ne treba zavisiti samo od firewall sistema, što je prilično čest slučaj. Da bi bio efikasan, sigurnosni plan mora se sastojati od više komponenti, pa tako tehnička sredstva predstavljaju samo dio zaštite. Naprimjer, šta se dešava ako napadači ipak nekako uspiju da savladaju firewall zaštitu? Da li postoje sredstva kojima im se može otežati ili potpuno onemogućiti stvaranje štete na informacionom sistemu, odnosno iznošenje povjerljivih informacija?

Posebno su opasni eksterni napadi kada napadač dobije interni pristup informacionom sistemu. Obično se radi o fizičkoj provali u prostor organizacije, ali se takav pristup može ostvariti i čisto digitalnim putem. Ovakve upade je izuzetno teško otkriti dok već nije prekasno. Taktičko planiranje je ključna osobina dobrog sigurnosnog stručnjaka, koji mora stalno razmišljati u formatu “ako/onda”. Ako dođe do takvog i takvog napada, onda je potrebno da uradimo to i to. Ovako postavljeno razmišljanje će dovesti do stvaranja efikasnog sigurnosnog plana. Dobar sigurnosni plan je veoma detaljan zbog jednostavne činjenice da u stanju uzbune nema mnogo vremena za razmišljanje. Na kraju, za dobar sigurnosni plan potrebno je detaljno poznavanje tehnologije koja se koristi, zbog čega se preporučuje da sigurnosni plan kreiraju dvije ili više osoba kako bi se u njega ugradilo što više tehničkih detalja.

 

Organizacijska struktura sigurnosnih odjela

Sigurnosni menadžer mora biti svjestan postojanja neformalnih struktura na najnižem nivou organizacije kako bi sačuvao integritet i harmoniju poslovnih odnosa unutar svog odjela. Stoga je važno zapitati se koliko puta se desilo da je neki novoimenovani menadžer, posebno onaj koji nije detaljno upoznat s organizacijom i osobljem, došao na teren i počeo mijenjati osoblje i način rada, a da se pri tome nije susreo sa velikim otporom. S administrativne tačke gledišta, to je isto kao i zamijeniti kapetana poručnikom

Piše: Semir Kapetanović
E-mail: redakcija@asadria.com

Organizacijska struktura sigurnosnog odjela unutar neke kompanije temelji se na logičkoj podjeli zadataka i odgovornosti i jasno definisanim ovlastima, posebno na krovnom nivou. Na horizontalnoj ravni, podjela se vrši prema odgovornostima, a na vertikalnoj prema hijerarhiji ovlasti. Naprimjer, odgovornost na planu sigurnosti kojom upravlja odgovarajući menadžer pokriva dva polja, u čemu mu pomažu pomoćni menadžeri za prevenciju gubitaka i vođenje istraga. Za svakog pomoćnog menadžera sigurnosti horizontalno se definiše polje odgovornosti, dok su svi u vertikalnom smislu podređeni sigurnosnom menadžeru.

Organizacijska struktura sigurnosnog odjela može se razlikovati od kompanije do kompanije, čak i unutar istog sektora. Jedan od razloga za to je činjenica da svaka organizacijska struktura oslikava način na koji sigurnosni menadžer i uprava tretiraju svoje poslovne prioritete. Na ovo utječe i odabir osoblja. Zato je potrebno izgraditi strukturu koja je fluidna i lahko izmjenjiva kako bi bila u toku sa kontinuirano promjenjivim poslovnim trendovima.

Neformalna organizacija

Razlika između formalnog i neformalnog pristupa organizaciji odjela može proizlaziti iz više razloga. Neki pomoćni menadžeri mogu ne posjedovati dovoljno talenta za određene oblasti (npr. zaštita objekata) ili preferiraju rad u nekim drugim sferama rada. Isto tako, neki menadžeri mogu imati problema sa prepuštanjem ovlasti u sigurnosno osjetljivim poslovima, zbog čega preferiraju da ih obavljaju samostalno. Pri tome je, također, potrebno uzeti u obzir i personalne odnose među samim uposlenicima. Drugi važan faktor promjenjive dinamike organizacijske strukture jeste i razvoj kompanije. Određena kompanija može početi poslovati sa jednom zgradom, da bi se kasnije proširila na brojne podružnice i predstavništva. To se mora reflektirati i u organizacijskoj strukturi sigurnosnih odjela. Oni se po tome značajno razlikuju od, npr., policijskih struktura, jer potonje pokrivaju organizacijske cjeline koje se manje dinamično mijenjaju (npr. broj stanovnika u gradovima).

Budžetska ograničenja

Prilikom razrade organizacijske strukture neophodno je imati na umu još jednu važnu stavku – budžet. U slučaju da, naprimjer, dostupna sredstva omogućavaju angažman ograničenog broja pomoćnih sigurnosnih menadžera, to će se reflektirati i na horizontalnu organizacijsku strukturu, pri čemu će doći do kombiniranja ili spajanja različitih pododjela. Ove promjene ne moraju nužno odgovarati potrebama kompanije, no budžetska ograničenja ih čine neizbježnim. Bez obzira na to da li su promjene rezultat rasta ili budžetiranja, ciljevi organizacije moraju ostati isti, a to je da se zadaci povjereni odjelu realiziraju preko inteligentne podjele zadataka i jasnog definisanja nadležnosti i ovlasti. Ovo se podjednako odnosi na manje i veće kompanije. U manjim odjelima postoji i manje vertikalnih nivoa ovlasti i podjela obaveza je jednostavnija, no ciljevi organizacije i pristup organizacijskoj strukturi su identični.

Održiva struktura

U idealnoj situaciji uspostava održive organizacijske strukture uključuje tri koraka: a) identifikaciju ciljeva odjela, 2) identifikaciju različitih zadataka i njihovu podjelu u logičke radne cjeline, i 3) identifikaciju nivoa liderstva potrebnog za realizaciju određenog zadatka. Ovdje je, ipak, riječ o idealu, a uvjeti na terenu obično nisu takvi. Za početak, osoblje uključeno u ova tri koraka već je raspoređeno na svojim radnim mjestima. Zbog toga je dvodimenzionalno planiranje ograničavajuće upravo zbog postojanja treće dimenzije – raspoloživih uposlenika. Drugim riječima, prisutna je tendencija da se organizacija temelji na ljudima, umjesto da se potrebni talent rasporedi u skladu sa planom organizacije. Međutim, sigurnosni menadžer koji vodi svoj odjel obično nije u prilici da bira saradnike, nego se snalazi sa postojećim osobljem. Realnost vođenja organizacijske strukture je da ono neminovno postaje potraga za kompromisom između planiranja prema najboljim kriterijima horizontalne i vertikalne organizacije i dostupnih uposlenika unutar sigurnosnog odjela. Organizacijska struktura također pomaže u utvrđivanju „lanca komandovanja“, iako i tu mogu postojati brojne neformalne poveznice. Ovaj segment organizacije omogućava da se određene ovlasti dodjeljuju i oduzimaju među uposlenicima.

Podjela na pododjele

Osim organizacijske strukture svog odjela, sigurnosni menadžer mora biti upoznat i sa radom pododjela i nižih radnih jedinica. Broj uposlenih u ovim strukturama i njihova veličina zavise od samog sigurnosnog odjela. Ove strukture uglavnom imaju iste karakteristike kao i formalna organizacija, odnosno poznaju horizontalnu i vertikalnu podjelu obaveza i ovlasti. Organizacijska struktura, npr., podrazumijeva raspoređivanje osoblja prema smjenama, pri čemu nižerangirano osoblje dobija najmanje poželjne smjene, što je najčešće prva. U odsustvu šefa smjene ili narednika, komandu može preuzeti i uposlenik zadužen za patrolu, dok zaštitar nadležan za glavni ulaz, kao i onaj za predvorje mogu preuzeti odgovornost za sve interne sigurnosne aktivnosti. U slučaju eksterne zaštite, organizacijska shema dolazi više do izražaja jer je osoblje angažovano na osiguranju unutrašnjosti objekta uglavnom slično rangirano. To može dovesti do borbe za poziciju unutar hijerarhije, na što je potrebno obratiti pažnju. Ove mini strukture i vidovi organizacije postoje na terenu, iako ih menadžment ne mora prethodno službeno odobriti, niti su iste prikazane na organizacijskim shemama. Sigurnosni menadžer, stoga, mora biti svjestan postojanja ovih neformalnih struktura na najnižem nivou organizacije kako bi sačuvao integritet i harmoniju poslovnih odnosa unutar svog odjela.

Stoga je važno zapitati se koliko puta se desilo da je neki novoimenovani menadžer, posebno onaj koji nije detaljno upoznat s organizacijom i osobljem, došao na teren i počeo mijenjati osoblje i način rada, a da se pri tome nije susreo sa velikim otporom. S administrativne tačke gledišta, to je isto kao i zamijeniti kapetana poručnikom, jer uposlenici na ovom nivou organizacijske strukture imaju svoje neformalne „kapetane“ i „poručnike“, iako oni nikada nisu formalno postavljeni na te pozicije. Obraćanje pažnje na ove organizacijske faktore pomaže ne samo u izbjegavanju pojave nesklada u radnim odnosima nego i unapređuje organizacijske performanse u pogledu produktivnosti. Ako osoblje na višim pozicijama ili sigurnosni menadžer, npr., žele osigurati da se neki zadatak obavi u odsustvu šefa smjene, oni se mogu obratiti osobi zaduženoj za nadzor patrola. Ako pri tome zaobiđu potonjeg i obrate se, npr., licu zaduženom za glavno predvorje, moguće je da taj zadatak neće biti obavljen. Zbog toga je jasno da ključ uspješnog obavljanja posla menadžera ili nadzornika leži u sposobnosti identifikacije neformalnih rukovodećih struktura i njihovog korištenja za dobrobit samog sigurnosnog odjela.

Korporativna kultura

Korporativna kultura također predstavlja dodatni aspekt neformalne organizacije. Ona je, međutim, više „filozofska“ nego strukturalna kategorija, no i kao takva može značajno utjecati na obavljanje zadataka. U ovom slučaju potrebno je obratiti pažnju na različite stavke, poput potrebe da svaki plaćeni uposlenik, uključujući sigurnosno osoblje, bude na radnom mjestu dva sata prije linijskih rukovodilaca. Također, od menadžera i rukovodećeg osoblja očekuje se da se pojave na poslu subotom ujutro, iako niko drugi ne radi, ukoliko u kompaniji vlada takva korporativna kultura. Osim toga, neke kategorije uposlenika kompanija u kojima postoji sigurnosni odjel mogu biti zaštićene od određenih organizacijskih pravila, npr. u pogledu parkiranja ili korištenja određenih ulaza ili izlaza. Tu je potrebno obratiti pažnju i na činjenicu da neki od tih uposlenika ne mogu biti osumnjičenici ili da ih niže rangirano sigurnosno osoblje ne smije ispitivati, što se, u tom slučaju, prepušta sigurnosnom menadžeru ili šefu odjela. Tu su i neki manje važni faktori korporativne kulture poput nošenja istovjetnih uniformi ili korištenja istih vozila. Sve navedeno navodi na zaključak da zbir formalne i neformalne organizacijske strukture i korporativne kulture predstavlja preduvjet za kreiranje dinamične i funkcionalne poslovne jedinice.

Rad sa informatorima

Izvori informacija u javnom i privatnom sektoru mogu biti različiti, od korištenja podataka službenih institucija do onih koji se nalaze u rukama privatnih lica. Ovi potonji su u podjednakoj mjeri korisni za istražitelje, s tim da njihovo korištenje podrazumijeva zaštitu kako privatnosti tako i povjerljivosti

Piše: Semir Kapetanović
E-mail: redakcija@asadria.com

Osobe koje daju informacije istražiteljima nazivaju se kontakti, odnosno informatori. Stručnjaci ih definišu kao osobe koje su spremne dati informacije kojima istražitelj u normalnim uvjetima obično nema pristup. I u tom kontekstu postoje važne razlike. Klasični istražiteljski izvori informacija mogu ponuditi podatke koji će dovesti do lociranja osumnjičenog, dok privatni izvori, odnosno kontakti, mogu reći istražitelju gdje se osumnjičenik tačno nalazi. Informacije dobivene od nekih izvora mogu upućivati i na motive za određeni zločin, ali to je moguće saznati tek od odgovarajućih kontakt-osoba. Dokumentacija može poslužiti kao izvor informacija ili čak i dokaz da se određeni incident desio prije ili nakon nekog datuma, dok kontakt-osoba može ponuditi i tačno vrijeme njegovog odvijanja. Također, generalni izvor informacija istražitelju može dati uvid u obrazac na temelju kojeg se budući zločin može predvidjeti, dok informator može dati konkretne podatke o planovima kriminalaca.

„Privatni izvori“

Iz navedenog je jasno da angažman i održavanje veza sa kvalitetnim informatorima ima veliki značaj za istražitelja, kao i za osoblje organa reda. Prema službenim podacima, samo na području američkog grada San Francisca godišnje se zahvaljujući informatorima uhapsi više od 2.000 osoba, posebno onih koje se bave trgovinom narkoticima. Pri tome, istražitelji i policija koriste saradnju sa različitim kategorijama informatora. U prvu grupu spadaju profesionalni kontakti. U većini slučajeva, riječ je o drugim istražiteljima ili sigurnosnom osoblju, kao i drugim osobama iz sektora sigurnosti. Oni nude povjerljive informacije nakon što im se istražitelj direktno obrati, pri čemu ih se može sasvim legitimno tretirati kao „privatne izvore“.

U drugu kategoriju privatnih izvora spadaju informatori. Struka prepoznaje osam vrsta informatora: jednokratni informatori, povremeni informatori, informatori uposlenici, anonimni informatori, informatori iz kriminalnog miljea, lični informatori, osobe sa psihičkim poteškoćama kao informatori i kontrolisani informatori. Bez pretjerivanja je moguće ustvrditi da su neke od najznačajnijih istraga korporativnih istražitelja vođene uz pomoć informatora. Njihovo adekvatno korištenje predstavlja ključnu vještinu za profesionalnog istražitelja, ali se ova oblast nerijetko zanemaruje u okviru formalne edukacije.

Jednokratni informatori

Jednokratni informator obično posjeduje konkretne informacije i želi da se na osnovu njih nešto preduzme. Motiv za otkrivanje informacije uglavnom je moralne prirode. Informatori ovog profila obično dobro razmisle prije nego što se odluče na ovaj potez. U radu s njima treba imati na umu da je kod njih često prisutna nervoza zbog insistiranja na garancijama da njihov identitet neće biti razotkriven. Jednokratni informatori mogu biti uposlenici koji razotkrivanje kriminalnih djela smatraju činom za dobrobit kompanije. Drugi čest motiv može biti želja za osvetom, odnosno izravnavanje računa za navodno počinjeno djelo. U većini slučajeva je, nakon inicijalnog kontakta, teško izvući dodatne informacije od ovakvih informanata, a razlog za to je njihovo kontinuirano predomišljanje.

Povremeni informatori

Povremeni informator je najčešće oportunist koji sporadično prenosi informacije i to najčešće u slučajevima kada to zadovoljava njegove potrebe. To mogu biti lica koja daju informacije o, naprimjer, svojim nadređenim u slučaju da im to nudi mogućnost za napredovanje u karijeri ili ako smatraju da će im to donijeti pohvale menadžera sigurnosti unutar kompanije.  Bez obzira na motiv, koji najčešće nije finansijske prirode, ove informatore istražitelj treba ohrabrivati i hvaliti, odnosno stvoriti dojam kod njih da su dio istražiteljskog tima, što se dugoročno najčešće isplati.

Informator uposlenik

Iako je tačno da uposlenici mogu biti povremeni ili jednokratni informatori, ovoj populaciji treba posvetiti posebnu pažnju kao izvorima obavještajnih podataka. Razlog za to je činjenica da ih se može koristiti u okviru strukturiranog programa. U svakoj radnoj organizaciji postoje uposlenici koji su upoznati s određenim nečasnim radnjama ili, barem, sumnjaju na njih. Neki od njih su nezadovoljni načinom na koji uprava rješava konkretan problem. To dovodi do frustracije i pada elana među uposlenicima, a šalje se i opasna poruka svim zaposlenicima u kompaniji. Postoje dva razloga zašto korektni uposlenici ne prijavljuju interne nečasne radnje. Kao prvo, oni često nisu sigurni kome da ih prijave, odnosno je li to neposredno nadređeni ili neka druga osoba, koja također može biti uključena u vršenje krivičnih djela. Drugi važan razlog je odsustvo želje da se navedenog informatora identificira kao takvog. U većini slučajeva to bi imalo negativan utjecaj na njihovo radno okruženje. Zbog toga je važno da menadžment kompanije uspostavi legitimni i strukturirani program za distribuciju informacija unutar kompanije, u okviru kojeg se njihova razmjena vrši na siguran i anoniman način.

Anonimni informator

Ovaj tip informatora uvijek insistira na zaštiti identiteta i ne želi biti na bilo koji način doveden u vezu s određenim krivičnim djelom. Kod rada s njima treba obratiti pažnju na mogućnost da su ponuđene informacije lažne i usmjerene ka diskreditaciji ili prevari. Zbog nemogućnosti identifikacije informatora, ovi izvori informacija moraju biti niže rangirani u odnosu na ostale.

Informator iz kriminalnog miljea

S ovom vrstom informatora češće radi policija, a ne privatni istražitelji. U ovu skupinu spadaju prostitutke, sitni kriminalci, narkomani i drugi „ljudi s ulice“ koji razmjenjuju informacije sa policijom u zamjenu za novac ili smanjene kazne. Iako ih se smatra ključnim za rad policije i drugih organa reda, ovakvi informatori nisu primarni izvor informacija za privatnog istražitelja. Takve osobe, naprimjer, mogu dati informacije gdje određeni počinitelj želi prodati ukradenu robu i sl.

Lični informator

U ovom slučaju riječ je o osobi koja sarađuje isključivo sa jednim istražiteljem. To mogu biti osobe koje je istražitelj nečim zadužio ili im izašao u susret, a da su one, pri tome, znale čime se on bavi. Kao takve, one mogu biti značajan izvor informacija.

Osobe sa psihičkim poteškoćama kao informatori

U pitanju je jedinstvena kategorija osoba koje se ne mogu tretirati kao autentični informatori. One najčešće nisu svjesne svojih psihičkih problema i istražitelji često imaju problema u pogledu pristupa njima nakon što ih se dovede u vezu sa nekim događajem. Njihove informacije su najčešće neupotrebljive i istražitelji im trebaju pristupati s oprezom.

Kontrolisani informatori

Kao i ostali tipovi informatora, ova lica su pojedinci koji posjeduju informacije o određenim istražiteljski zanimljivim situacijama ili osobama. Obično je riječ o pojedincima koji su „insajderi“ ili su direktno povezani sa počinjenim kriminalnim djelima. Kontrolisani informatori su slični prikrivenim agentima, iako im za njihov rad na planu stjecanja povjerenja kod određenih osoba treba mnogo manje vremena. U njihovom slučaju, za istražitelja je jako važno da sa njima uspostavi odnos koji je mnogo kvalitetniji od pukog poznavanja. Riječ je o ljudima koji obično žele zadržati svoj društveni status kod pripadnika grupe u vezi s kojom pružaju informacije. Ako istražitelj, barem u percepciji informatora, s njim ne uspostavi kvalitetan i na empatiji utemeljen odnos, nemoguće je očekivati da će ovi informatori u svakoj situaciji davati pouzdane informacije. Zato je na ovom segmentu najbolje početi raditi od samog početka građenja odnosa s informatorom.

Uloga menadžmenta i organizacije u zaštiti

Samo u rijetkim slučajevima bit ćemo u prilici da prije početka izvršavanja naloga dobijemo sve neophodne informacije i resurse od nalogodavca kako bismo napravili opsežnu analizu opasnosti. Zato su prve ponude i tzv. grubi koncept izuzetno važni dokumenti našeg menadžmenta i često će njihov kvalitet odlučivati jesmo li uopće u igri ili ne.

Piše: Džemal Arnautović, instruktor IPSTA-e (International Private Security Training Association)

E-mail: redakcija@asadria.com

Menadžment naše kompanije mora analizirati svaki nalog ili naloge, izraditi različite dokumente i, shodno situaciji, iste sa nalogodavcem, saradnicima i drugim organima uskladiti, provjeriti, prilagoditi i konačno usvojiti. Sve naše dalje aktivnosti temeljit će se na ovim dokumentima. Pri tome mislimo na, između ostalog, one koji tretiraju: koncept zaštite lica, koncept sigurnosti, koncept operacije, koncept za slučaj nužde, sigurnosne upute i upute za ponašanje, naredbe i ponude, razne koncepte i varijante, izvještaj o položaju, vremenske planove (interne i eksterne), stručno ocjenjivanje upita, pregled kontakata, pregled trenutnih mjera, liste za sastanke i dogovore itd.

U privatnom sektoru, kao i u mnogim drugim, često se, nažalost, događa da agencije klijentima prvo moraju izraditi grubi koncept osiguranja sa opsežnom ponudom bez poznavanja osnovnih detalja o štićenoj osobi ili potencijalnoj prijetnji. I tek kada se izda nalog, dobija se pristup potrebnim informacijama za provođenje opsežne analize opasnosti. Također, može se dogoditi da su drugi savjetnici ili institucije već postavili svoju analizu opasnosti, a da smo mi ubačeni u projekat samo kao zaštita prema već propisanim specifikacijama. Dakle, samo ćemo u rijetkim slučajevima biti u prilici da prije početka izvršavanja naloga dobijemo sve neophodne informacije i resurse od nalogodavca kako bismo napravili opsežnu analizu opasnosti. Zato su prve ponude i tzv. grubi koncept izuzetno važni dokumenti našeg menadžmenta i često će njihov kvalitet odlučivati jesmo li uopće u igri ili ne.

Djelatnosti menadžmenta

Kako bi se u djelatnosti menadžmenta moglo uključiti više osoba, one bi trebale biti postavljene sistematski i prema jednostavnom i jasnom obrascu razmišljanja. Time je također zagarantovano da druge osobe mogu jednostavno preuzeti nalog ili upravljanje, odnosno da efektivno mogu sarađivati u poslovima menadžmenta, a olakšana je i pojednostavljena saradnja sa drugim organizacijama. Ovaj postupak odaje sigurnost da su svi faktori uzeti u obzir i može biti od velike pomoći ako se neka odluka kasnije mora objasniti ili detaljnije obrazložiti, kao što je, naprimjer, situacija u kojoj imamo povrijeđene osobe. Potrebno vrijeme te organizacijski, ljudski i materijalni utrošak zavise od složenosti izazova, raspoloživog vremena te osoba koje su uključene i njihovog iskustva u menadžmentu. Taj proces možemo sažeti kroz sljedeće faze ili aktivnosti:

  • Shvatanje (započinjanje)
  • Analiziranje (orijentacija)
  • Odlučivanje (razvoj koncepta)
  • Razvijanje (razvojni plan)
  • Upućivanje/revizija (naredba/revizija)
  • Paralelno: vremenski plan/trenutne mjere

Shvatanje

Kada dobijemo novi nalog ili se situacija temeljno promijeni, prvo što moramo uraditi jeste da shvatimo suštinu tog problema i podijelimo ga u nekoliko kategorija. Počinjemo sa analizom onoga o čemu je riječ i definisanjem u kojem okviru i vremenskom omjeru se mora djelovati. Nakon toga se moraju prikupiti dodatne informacije kako bismo nakon iscrpne inspekcije mogli imati pregled situacije i definisati pojedinačne probleme. Zatim se rješavanje pojedinačnih zadataka/problema dodjeljuje odgovornim osobama, koje će prvenstveno utvrditi važnost i hitnost svakog problema. U većini slučajeva mi ne raspolažemo sa dovoljno vremena i kapaciteta da bismo mogli samostalno i optimalno riješiti svaki pojedinačni problem/zadatak. Zbog toga vođa operacije mora utvrditi prioritete. Nakon temeljnog shvatanja naloga trebali bismo imati sljedeće dokumente:

  • Opis zadatka sa definisanim konačnim stanjem
  • Cilj i svrhu
  • Djelomične naloge sa prioritetima
  • Formativne okvirne uslove
  • Prve pristupe za rješenje
  • Dodjeljivanje odgovornosti

Analiziranje

Analizirati, odnosno ocijeniti situaciju ili nalog znači prepoznati faktore koji su relevantni za odlučivanje i iz toga izvesti moguće rješenje situacije, uzimajući u obzir sve uslove. Najjednostavnije je da se analiziraju činjenice (izjave), da se svrstaju u saznanja i iz toga izvedu posljedice.

Zadatak

Zadatak formira osnovu za vlastito djelovanje tokom cjelokupnog trajanja mjere zaštite osoba. Moguća područja evaluacije su formativni okvirni uslovi, očekivanja (logistika, sigurnost i zaštita) te podrška.

Vremenski omjeri

Faktor vremena nije ništa drugo do vremensko ograničenje svih naših djelovanja. Tačna analiza o njemu daje zaključak o tome kada i gdje moramo biti, fazama mobilnosti (izbor sredstava, dionice itd.), fiksnim vremenima i terminima, potrebnom vremenu za pojedinačne akcije i organizacijskim mjerama kako bi se vrijeme efektivno iskoristilo i pridržavalo vremenskih omjera.

Ciljevi zaštite

Ciljevi zaštite su svi elementi koji se uključuju u koncept zaštite i predstavljaju definiciju stanja kojem težimo. Drugim riječima, oni nam daju spoznaje o posljedicama upotrebe naših resursa, ali i svih mogućnosti protivničke strane. Jedan od direktnih ciljeva je klijent i njegova cjelokupna okolina, kao i mjesta koja posjećuje te faze mobilnosti koje se nalaze između njih. Ciljevi zaštite moraju se prethodno definisati i propisati. Nakon toga slijedi sveobuhvatna analiza (check-liste). Naravno, izviđanje će nam pomoći kako bismo se snabdjeli neophodnim informacijama prije donošenja odluke.

Sastavni dijelovi analize su:

  • Područje stanovanja i okruženje
  • Područje rada i okruženje
  • Javni objekti i okruženje
  • Slobodne aktivnosti i okruženje
  • Faze mobilnosti
  • Oblasti
  • Ključna mjesta
  • Štićena osoba i druge uključene osobe (tokovi dana, navike, redovitosti, aktivnosti itd.)
  • Faze komunikacije

Vlastiti resursi

Analiza vlastitih resursa i mogućnosti je neophodna da bi se mogle sagledati realne procjene mogućnosti i dijapazon našeg djelovanja. Faktori koji nam daju oslonac su postojeće tehničke, građevinske i organizacijske mjere, osobe koje će djelovati, oprema, zakonske osnove, budžet i formativni uslovi.

Protivnička strana

Moraju nam biti jasne postojeće i moguće opasnosti i prijetnje. One postavljaju osnovu za mjere zaštite lica koje će se primijeniti i taktike koje će se provoditi. Tako ocjenjujemo područja opće opasnosti, opasnosti vezane za sami nalog, nepersonificirani kriminalitet i personificirani kriminalitet. Pokušavamo napraviti razliku između najopasnije aktivnosti protivničke strane i najvjerovatnije mogućnosti, ali i označiti sve druge moguće opasnosti. Također, važan kamen temeljac je pitanje zbog čega i s kakvom motivacijom bi protivnička strana mogla biti zainteresovana za moguće aktivnosti protiv naše štićene osobe i/ili protiv nas. Iz toga proizlaze i neka osnovna pitanja:

  • Izvor opasnosti
  • Motivi djelovanja (politički, privatni, osveta itd.)
  • Vremensko ograničenje (politički nastup, za vrijeme posjete/manifestacije itd.)
  • Efektivni cilj (štićena osoba, okolina, saradnici ili porodica i dr.)
  • Regularnosti (gdje smo tačno ranjivi)

Djelatnosti menadžmenta trebale bi biti postavljene sistematski i prema jednostavnom i jasnom obrascu razmišljanja kako bi se u njih moglo uključiti više osoba. Time je omogućeno da i druge osobe mogu jednostavno preuzeti nalog ili upravljanje, odnosno da efektivno mogu sarađivati u poslovima menadžmenta

Kako zaštititi bežične, mobilne i prijenosne uređaje

Ako je cilj zaštite informacionog sistema kompletna kontrola svih podataka koji ulaze i izlaze iz kompjuterske mreže, potrebno je definisati sve objekte u tom sistemu koje treba zaštititi. Danas se informacioni sistemi sastoje iz mnoštva vrlo različitih komponenti, pa je definicija svih objekata u njemu veoma složen posao. Međutim, postoje osnovne smjernice kojima se treba voditi kada se definiše plan zaštite IT sistema

Izvor: Goran Milić
E-mail: editorial@asadria.com

U prošlome tekstu objasnili smo šta je to fizička kontrola informacionog sistema i zašto je ona tako važna. Ovaj aspekt sigurnosti informacionog sistema je veoma važan, a najčešće je i zanemaren, pa ćemo mu posvetiti još malo pažnje. Već smo govorili o zaštiti nekih osnovnih komponenti informacionog sistema – servera, radnih stanica, mrežnih uređaja i mrežne infrastrukture. Pogledajmo i ostale bitne komponente.

Zaštita bežičnih mrežnih uređaja

Iako smo mrežne uređaje i mrežnu infrastrukturu već spominjali, bežične mrežne uređaje moramo izdvojiti budući da su oni podložniji sigurnosnim napadima u poređenju sa žičanim mrežnim uređajima. Razlog njihove velike ranjivosti je jednostavan – za komunikaciju koriste elektromagnetni spektar kojem može pristupiti svako, bez mogućnosti fizičke izolacije, koju, naprimjer, ima mrežna infrastruktura koja koristi bakarne ili optičke kablove.

Druga važna karakteristika bežičnih mrežnih uređaja, odnosno bežičnih mreža u cjelini, jeste ogroman rast popularnosti ove vrste uređaja, odnosno tog tipa mrežne konekcije. U urbanim sredinama gotovo da svaki stanovnik posjeduje bar jedan bežični mrežni uređaj. Što se, pak, ruralnih područja tiče, bežične mreže predstavljaju odličnu alternativu u slučaju da je kablove teško ili nemoguće provesti. Na kraju, osim elektromagnetnog ili radiospektra, za bežičnu komunikaciju se može koristiti i laserska i infracrvena tehnologija.

Moglo bi se reći da bežične mreže “koriste vazduh za komunikaciju”, što nije tačno, ali jako dobro oslikava problem koji ove mreže imaju. Naime, kao što je i vazduh dostupan svima, tako je i komunikacija koja se obavlja bežičnim mrežama dostupna svima. I onima koji tu komunikaciju koriste u legitimne svrhe i onima koji imaju loše namjere.

Jedina zaštita od prisluškivanja bežičnog mrežnog saobraćaja je korištenje enkripcije, kojom se mrežni saobraćaj čini nečitljivim za sve osim za legitimne učesnike u komunikaciji. Postoji nekoliko enkripcijskih standarda koje je moguće koristiti, ali se trenutno preporučuje upotreba WPS2 standarda u kombinaciji sa AES enkripcijom. U slučaju da je sigurnost mrežnog saobraćaja apsolutni prioritet, ne preporučuje se korištenje javno dostupnih standarda 802.11x (danas su najpopularnije mreže 802.11g i 802.11n, a najnoviji i najbrži standard je 802.11ac). Umjesto njih, preporučuje se upotreba vlasničkih standarda čija dokumentacija nije javno dostupna. Na kraju, moguće je i potpuno zabraniti bežičnu komunikaciju te koristiti samo žičane komunikacione kanale koje je mnogo lakše kontrolisati.

Svemu ovome treba dodati i korištenje telekom-operatera kao posrednika za ostvarivanje konekcije, bilo da je riječ o glasovnoj komunikaciji ili o prijenosu podataka. Ovaj način komunikacije je donekle sigurniji jer se uvijek tačno zna ko učestvuje u komunikaciji, ali i dalje predstavlja potencijalni sigurnosni problem. Kao i uvijek kada u sistemu postoji i treća strana, nikada ne možete biti sigurni da li neko na strani telekom-operatera prisluškuje vašu komunikaciju, pa i na taj aspekt sigurnosti treba obratiti pažnju.

Zaštita mobilnih uređaja

Poput zaštite bežičnih mrežnih uređaja, i zaštita mobilnih uređaja sve je potrebnija zbog velikog porasta njihove popularnosti. Tradicionalno su laptopi bili glavni predstavnici ove kategorije uređaja, ali pametni telefoni i tableti praktično su preuzeli glavnu riječ kada je mobilni tip uređaja u pitanju.

Fizička zaštita mobilnih uređaja trenutno predstavlja veliki problem za IT stručnjake jer još ne postoji idealno rješenje za udaljeno upravljanje njima. Dio problema je veliki broj različitih proizvođača ovih uređaja, a drugi dio je jako velika brzina kojom se tehničke karakteristike ovih uređaja unapređuju, pa je sigurnosnim stručnjacima veoma teško da razviju odgovarajuće procedure, specifikacije i standarde.

S obzirom da se na mobilnim uređajima često nalaze povjerljivi podaci, zaštita od krađe jedan je od glavnih problema njihove fizičke zaštite. Jedino praktično rješenje je udaljeno upravljanje uređajima i brisanje podataka u slučaju prijavljivanja krađe. Kao što smo već rekli, jedinstveno i sveobuhvatno rješenje za ove probleme trenutno ne postoji, mada velike svjetske kompanije kao što su Microsoft, Apple, Google, Samsung, Blackberry i druge aktivno rade na njemu.

Ovde svakako treba spomenuti i koncept poznat kao BYOD (Bring Your Own Device), koji označava korištenje privatnih uređaja zaposlenika u poslovne svrhe, čime se problem zaštite poslovnih podataka dodatno usložnjava.

Za sada se preporučuje korištenje enkripcije za sve podatke na uređajima, korištenje jakih šifri te drugih biometrijskih podataka za autentifikaciju i autorizaciju korisnika (otisci prsta i slično). Postoje i specijalizovani servisi koji prate fizičku lokaciju uređaja i koji mogu pomoći prilikom gubljenja uređaja.

————————

Zaštita papirne dokumentacije

Stručnjaci za mrežnu sigurnost i sistem-administratori obično se koncentrišu na zaštitu podataka u elektronskoj formi, ali treba biti svjestan jednostavne činjenice da zlonamjerni korisnici mogu doći do važnih podataka štampanjem povjerljivih digitalnih informacija ili pronalaženjem već odštampanog materijala. Slaba je korist od implementacije sigurnosnih pravila o složenosti šifri i detaljne kontrole pristupa ako zaposlenici mogu jednostavno odštampati povjerljive podatke i ostaviti ih na svom stolu. Ili, još gore, baciti te papire u obližnji kontejner za smeće, koji je dostupan svima. Postoji čak i poseban termin “ronjenje po kontejnerima” (engl. dumpster diving), koji označava dolazak do povjerljivih informacija na ovaj način. Sve ovo možda zvuči smiješno, ali je, zapravo, jedan od najčešćih načina na koje zlonamjerni korisnici dolaze do povjerljivih podataka.

Ako povjerljivi podaci već moraju biti odštampani, što treba izbjegavati u najvećem mogućem broju slučajeva, potrebno je voditi računa o njihovom smještaju. Ne treba zaboraviti ni uništavanje takve dokumentacije zato što danas više nije dovoljno korištenje rezača papira, već se preporučuje miješanje isječenog papira sa vodom kako bi se spriječilo njegovo ponovno sastavljanje.

——————————-

 Zaštita prijenosnih medija za prijenos podataka

Još jedan način zaobilaženja složenih i dobro provjerenih sigurnosnih IT planova je snimanje podataka na prijenosne medije. Nekada diskete, CD i DVD mediji, a danas prijenosni hard diskovi i flash memorije predstavljaju ozbiljnu sigurnosnu prijetnju, kako zbog namjernog iznošenja povjerljivih informacija tako i zbog eventualne krađe tih medija. I ovdje se kao najbolje rješenje pokazuje enkripcija i korištenje složenih šifri za pristup podacima.

Treba obratiti pažnju i na činjenicu da jednostavno brisanje podataka, pa čak i formatiranje ovih medija nije dovoljno. Postoje specijalizovani softveri, a za ozbiljnije namjene i specijalizovani hardverski uređaji koji mogu vratiti upisane podatke čak i nakon nekoliko brisanja. Zato se preporučuje korištenje posebno dizajniranog softvera koji obrisane podatke prepisuje slučajnim podacima više desetaka puta. Na kraju, sigurnosna praksa nalaže da se čak i u slučaju rashodovanih uređaja povede računa o hard diskovima i drugim uređajima za pohranu podataka, jer i oni mogu biti iskorišteni za ostvarivanje pristupa povjerljivim podacima.

Kao što možete zaključiti iz onoga što je napisano u ovom i prethodnom tekstu, fizička zaštita informacionih sistema je veoma složen proces koji zahtijeva mnogo planiranja i terenskog testiranja. S obzirom na multidisciplinarnost koju zaštita IT sistema zahtijeva, kreiranje dobrog sigurnosnog plana obavezno treba prepustiti stručnom i iskusnom sigurnosnom timu.

IZDANJA

Global Security d.o.o.

Hasiba Brankovića 3, 71000 Sarajevo, Bosna i Hercegovina
Tel: +387 (0)33/788-985
Fax: +387 (0)33/788-986
Web site: www.asadria.com
Marketing: marketing@asadria.com
Pretplata: pretplata@asadria.com
PDV broj: 201142740001
Identifikacioni broj: 4201142740001
ISSN 1986-5

Magazin a&s Adria – stručni magazin za kompletna sigurnosna rješenja – mjesečna je publikacija licencirana od strane kompanije Messe Frankfurt New Era Business Media za Adriatic regiju: Bosnu i Hercegovinu, Crnu Goru, Hrvatsku, Kosovo, Makedoniju, Sloveniju i Srbiju.