SECURITY REPORT 111

62 IT SECURITY Data Centers | Φεβρουάριος 2021 ανταγωνιστές σας. Ενισχύοντας την αξιοπιστία και την εμπι- στοσύνη στην ικανότητά σας να διαχειρίζεστε αποτελεσματικά τις υπηρεσίες πληροφορικής που προσφέρετε, αυξάνετε τις πιθανότητες για νέες επιχειρηματικές ευκαιρίες. HIPAA: Οι πάροχοι υπηρεσιών υγείας στις ΗΠΑ χρειάστηκε να λάβουν αυστηρά μέτρα για να προστατεύσουν τα ευαίσθητα προσωπικά δεδομένα που επεξεργάζονται με στόχο να ικανο- ποιήσουν τις απαιτήσεις συμμόρφωσης με τoν Health Insurance Portability and Accountability Act ή αλλιώς HIPAA. O HIPAA αποτελεί έναν αμερικανικό νόμο που αποσκοπεί στην διαμόρ- φωση προτύπων ιδιωτικότητας αναφορικά με την προστασία των ιατρικών αρχείων και άλλων πληροφοριών των ασθενών, τα οποία παρέχονται στους γιατρούς, τα νοσοκομεία και άλλους παρόχους υπηρεσιών υγείας. PCI DSS: Το διεθνές πρότυπο ασφαλείας Payment Card Industry Data Security Standard (PCI DSS) έχει δημιουργηθεί από τους Διεθνείς Οργανισμούς Πληρωμών (Visa, MasterCard κ.ά.). Ορίζει συγκεκριμένες προδιαγραφές ασφαλείας με τις οποίες πρέπει να συμμορφώνονται οι εμπορικές επιχειρήσεις που δέχονται, επεξεργάζονται, αποθηκεύουν ή μεταδίδουν δεδομένα καρτών πληρωμής. Οι προδιαγραφές του PCI DSS αφορούν: n Τις διαδικασίες πληρωμής. n Τα συστήματα πληροφορικής και λογισμικού. n Οτιδήποτε άλλο αξιοποιείται στην επεξεργασία, αποθήκευση ή μετάδοση δεδομένων. Επιχειρήσεις και φυσική ασφάλεια Το Α και το Ω μίας επιχείρησης είναι η φυσική ασφάλεια στο χώρο που βρίσκονται οι server της εταιρίας. Για την ακρίβεια πριν ακόμα ενεργοποιήσουμε τον server, θα πρέπει να βεβαι- ωθούμε πως στον χώρο που είναι τοποθετημένος υπάρχουν καλές κλειδαριές. Ωστόσο ακόμα και η καλύτερη κλειδαριά στον κόσμο δεν είναι αρκετή, καθώς θα πρέπει να χρησιμο- ποιηθούν και «πολιτικές», οι οποίες θα καθορίζουν ποιος έχει το κλειδί-κωδικό πρόσβασης για να εισέλθει. Ένα server room είναι η καρδιά του δικτύου και κάποιος με φυσική πρόσβαση στο δωμάτιο του διακομιστή, μπορεί διαχειριστεί τους διακόπτες, τους δρομολογητές, τα καλώδια και άλλες συσκευές, κάνοντας τεράστια ζημιά. Το κλείδωμα της πόρτας είναι ένα καλό πρώτο βήμα, ωστόσο κάποιος που έχει εξουσιοδοτημένη πρόσβαση μπορεί να δη- μιουργήσει προβλήματα. Επίσης, είναι επιτακτική ανάγκη να γνωρίζουμε ποιος εισέρχεται και ποιος εξέρχεται από τον προ- στατευόμενο χώρο και για να επιτευχθεί αυτό, δεν αρκεί απλά ένα ημερολόγιο, καθώς υπάρχουν πολλά μειονεκτήματα. Η καλύτερη λύση είναι ένα σύστημα ελέγχου πρόσβασης/ταυ- τότητας μέσω καρτών προσέγγισης ή βιομετρικών χαρακτηρι- στικών (δακτυλικό αποτύπωμα, σάρωση προσώπου, κ.ά.) το οποίο θα επιτρέπει την πρόσβαση μόνο σε εξουσιοδοτημένα άτομα και θα καταγράφει την ακριβή ώρα και ημερομηνία που έχουν εισέλθει στον προστατευόμενο χώρο. Επιπρόσθετα, η τοποθέτηση μίας κάμερας σε συνδυασμό με τα συστήματα ελέγχου πρόσβασης μόνο οφέλη μπορούν να δώσουν στους αρμόδιους ασφαλείας, καθώς οι νέες τεχνολογικές προσθήκες και καινοτομίες που φέρνουν, δυσχεραίνουν την πρόσβαση σε ένα προστατευόμενο δωμάτιο, ακόμα και σε ένα ολόκληρο κτήριο. Ειδικότερα, μία κάμερα μπορεί να ξεκινήσει την εγγραφή όταν ανιχνεύσει ένα άτομο και να αποστείλει φωτογραφικό υλικό, βίντεο, ακόμα και ειδοποιήσεις στο smartphone ή μέσω ηλεκτρονικού ταχυδρομείου. Ακόμα η κάμερα μπορεί να πραγ- ματοποιήσει και λειτουργία καταμέτρησης ατόμων, καθώς και αναγνώρισης προσώπου, για να ειδοποιηθούν οι αρμόδιοι ασφαλείας σε περίπτωση που ένα ανεπιθύμητο άτομο προ- σπαθήσει να παραβιάσει ένα χώρο/δωμάτιο. Ιδιαίτερη μνεία θα πρέπει να γίνει και στα συστήματα συναγερμού και πυρα- σφάλειας. Τα εν λόγω συστήματα είναι υπεύθυνα για την προ- στασία κατά της πυρκαγιάς και της εισβολής και μπορούν επίσης να συνδυαστούν με συστήματα παρακολούθησης και συστήματα access control, για την αυτόματη καταγραφή της δραστηριότητας ενός ατόμου. Επίσης τα συστήματα συναγερμού περιλαμβάνουν και αμφίδρομη επικοινωνία, η οποία επιτρέπει την ανταλλαγή πληροφοριών μεταξύ του πίνακα και του σταθμού παρακολούθησης. Η βέλτιστη πρακτική για την διασφάλιση των δεδομένων στα Data Centers, είναι ο συνδυασμός φυσικών μέτρων και μέτρων προστασίας στον κυβερνοχώρο. Η συμμόρφωση με τα πρότυπα ασφαλείας, η τεχνογνωσία και η σε βάθος γνώση των πραγμα- τικών απειλών, είναι εξίσου απαραίτητα στοιχεία για την δια- σφάλιση αυτών των πληροφοριών. n Μερικά από τα βασικά πρότυπα συμμόρφωσης ενός κέντρου δεδομένων είναι το ISO/IEC 27001 και το ISO 20000. 3 Για να γνωρίζουμε ποιος εισέρχεται και ποιος εξέρχεται από ένα προστατευόμενο χώρο θα πρέπει να τοποθετήσουμε ένα σύστημα ελέγχου πρόσβασης/ταυτότητας μέσω καρτών προσέγγισης ή βιομετρικών χαρακτηριστικών. 4