A nyílt biztonságkezelés érdekében indított kezdeményezés

A munkacsoport célja a biztonsági eszközök hatékony integrációja nagyvállalati környezetben, illetve szállítófüggetlen specifikációk fejlesztése. A nagyvállalati szintű biztonsági adatcsere fejlesztésével a szervezetek jelentősen csökkenthetik a rájuk leselkedő veszélyeket és működési költségüket is.

Az Open Security Exchange először a fizikai és a hálózati biztonságtechnológia integrációjára fog koncentrálni. A nagyvállalati biztonság e két legfontosabb részének hiányzó összekapcsolódása talán a legszembetűnőbb példa arra, hogy a biztonságkezelés még mindig mennyire szétforgácsolt napjaink legtöbb szervezeténél.

Az Open Security Exchange tagjai a hálózati és a fizikai biztonság vezetői: a Computer Associates (CA), a biztonságkezelő programok vezető szállítója; a Gemplus, az intelligens (smart) kártyamegoldások világvezető szállítója; a HID Corporation, az érintés nélküli olvasók és kártyák legnagyobb gyártója; és a Tyco Fire & Security Szoftverház, az integrált fizikai biztonságkezelő rendszerek vezető szállítója.

“A legtöbb biztonsági vezető fejében meg sem fordul, hogy Windows-os, illetve UNIX-os szervereik biztonsági rendszerei elkülönüljenek. Mégis, az épület- és a hálózat biztonsági rendszerek között a legtöbbször semmilyen kapcsolat sincs” – mondja Russell M. Artzt, a CA eTrust biztonsági márkájának ügyvezető alelnöke. “Az Open Security Exchange célja az, hogy az együttműködő képességre vonatkozó specifikációk kiadásával támogassa a heterogén területek biztonságkezelését.”

A Pinkerton Consulting and Investigations legfrissebb kutatása szerint az összes megkérdezett vállalat közül csak 36%-nál vezettek be hivatalos szabályokat a fizikai és a hálózatbiztonsági osztályok együttműködésére. A biztonságkezelés hiányának eredménye a fokozott veszélyeztetettség, korlátozott helyzetfelismerés, gyenge beszámoltatás és a magasabb működési költség.

Az Open Security Exchange, a fizikai és a hálózati biztonságkezelés összekapcsolására vonatkozó első specifikációja a technikai integrációt három szinten biztosítja:
– felhasználók, jogosultságok és hitelesítő adatok közös adminisztrációja
– kettősrendeltetésű hitelesítő adatok alkalmazása révén a fizikai létesítmények, és a hálózati rendszerek hozzáférésének szigorú, közös hitelesítése
– biztonságkezelés és esemény auditálás egy közös helyről

Az összekapcsolódás számos kockázatot szüntet meg, melyek a különálló fizikai és hálózati biztonságkezelésből erednek. Integrált fizikai/hálózati biztonság nélkül a biztonsági csoportok nem tudják rögtön megállapítani, hogy nem próbálkozik-e a valaki belépni a számítógépes rendszerbe, amikor annak jogosult felhasználója fizikailag nem tartózkodik az épületben. Így a szervezetek kiszolgáltatottá válnak a belső visszaélésekkel szemben, beleértve a jelszavak eltulajdonítását.

Az amerikai Védelmi Minisztérium 10 legnagyobb szállítója közé tartozó észak amerikai BAE SYSTEMS közreműködő tagként csatlakozott a Nyílt Biztonsági Fórumhoz.