Cum abordam incidentele de securitate? - Securitatea Informatica

Cum abordam incidentele de securitate?

Securitatea sistemelor informatice şi a reţelelor de comunicaţii este un subiect care intervine din ce în ce mai des în problemele cu care se confruntă organizaţiile. Infracţiunile semnalate atât din cadrul instituţiilor statului, cât şi din domeniul privat, sunt în continuă creştere:

  • acces neautorizat şi transfer de date cu grade diferite de confidenţialitate;
  • modificarea, ştergerea sau deteriorarea datelor;
  • perturbarea sistemelor informatice;
  • producerea, vânzarea, procurarea pentru utilizare şi distribuţie fără drept a dispozitivelor care pot perturba grav sistemele informatice;
  • interceptarea parolelor şi a codurilor de acces în scopul sabotării sistemelor şi reţelelor de calculatoare;
  • falsificarea datelor cu intenţia de a fi folosite ulterior ca date autentice;
  • înşelătorii sau fraude comise prin intermediul computerelor;
  • utilizarea neautorizată a programelor protejate prin dreptul de autor;

De aceea, astăzi mediile de afaceri dependente de tehnologia informaţiei cer ca angajaţii să cunoască importanţa protejării resurselor companiei. Şi totuşi, când vorbim despre securitatea TI, în multe organizaţii există un decalaj între conştientizarea nevoilor de securitate şi respectarea masurilor de securitate. Acest fapt se explica prin însuşi concepţiile greşite asupra procesului de asigurare a securităţii informaţionale, care pot rezulta în implementarea unor soluţii ineficiente.

Cele mai răspândite „mituri” legate de securitatea informaţionala sunt:

Mit: Hackerii cauzează cele mai grave incidente de securitate

In realitate, statisticile demonstrează ca in 75% din cazuri, incidentele sunt produse din interiorul organizaţiilor.

Mit: Criptarea va permite păstrarea confidenţialităţii şi integrităţii datelor

In realitate, criptarea este doar o tehnică în protejarea datelor. Securitatea informaţionala presupune un şir de mijloace complexe combinate: mijloace organizatorice combinate cu cele tehnice.„Mit: Firewall-ul este un mijloc sigur in protecţia datelor si infrastructurii informaţionale ale organizaţiei.”

In realitate, 40% din atacurile efectuate din reţeaua Internet, au fost efectuate chiar si in pofida faptului ca firewall-ul era prezent. Pentru a implementa o soluţie efectiva care sa protejeze datele cu adevărat, va fi necesara întâi de toate sa fie efectuata o procedura efectiva de management al riscurilor.

De cele mai multe ori însă organizaţiile neglijează necesitatea de a determina nivelul riscurilor, de a crea proceduri formale pentru prevenirea, detectarea şi înlăturarea incidentelor de securitate. În plus, persoanele cu putere de decizie interpretează adesea absenţa unei breşe mari in sistemul de asigurare a securităţii ca o confirmare a faptului ca securitatea TI este adecvată – aceasta este însă o ipoteza periculoasă. Din aceste considerente, acest articol îşi propune să analizeze cele mai frecvente abordări asupra soluţionării incidentelor de securitate.

Abordarea nr. 1: Eram aproape siguri ca sistemul nostru se poate auto-proteja

Experienţa a demonstrat că majoritatea organizaţiilor nu ştiu cum să răspundă unui incident legat de securitatea informaţională până când nu au fost afectate semnificativ de un asemenea incident. Multe dintre ele nu au evaluat aprioric riscul de afaceri asociat lipsei unui sistem bine reglat de detecţie şi de răspuns la incidentele de securitate. De cele mai multe ori, organizaţiile primesc rapoarte prin care sunt informate de implicarea acestora în incidente de securitate care au originea de obicei din altă parte, fără a fi implicate în identificarea în sine a incidentului. Această abordare poate fi denumită la fel de bine şi abordarea prin „încercarea fatală”.

Problema îşi are originea în lipsa recunoaşterii de către multe organizaţii a unei nevoi stringente pentru o infrastructură cuprinzătoare a sistemului de securitate. De obicei impactul şi riscul de afaceri a lipsei unui asemenea sistem este constatat doar după un incident grav. Managementul poate avea deseori opinia precum reţeaua şi securitatea sistemului informaţional este o preocupare a administratorilor de reţea şi sistem ca parte integrantă a activităţii lor zilnice. Deasemenea, ei pot gândi că securitatea este asigurată de firewall-ul organizaţiei.

De obicei însă, această percepţie este de multe ori incorectă din toate privinţele. Priorităţile administratorilor sistemului informaţional sunt în mare parte concentrate asupra menţinerii şi administrării echipamentului de calcul existent. Firewall-urile pot preveni unele atacuri, dar cu siguranţă nu toate tipurile de atac; şi dacă nu sunt configurate şi monitorizate corect atunci ele pot lăsa organizaţia vulnerabilă la un şir de multe alte atacuri. Această abordare poate rezulta în probleme serioase precum:

  • Necunoaşterea dacă sistemul a fost compromis, sau daca a fost – de cât timp.
  • Lipsa informaţiei cu privire la ce sisteme sunt expuse riscului, sau cu privire la ce informaţie a fost luată, sau modificată de intruşi.
  • Necunoaşterea metodelor folosite de atacatori pentru a obţine acces la sisteme.
  • Necunoaşterea măsurilor ce trebuie întreprinse pentru a stopa atacurile şi securizarea sistemelor şi a reţelelor.
  • Neidentificarea din timp a efectelor adverse provocate de un incident asupra capacităţii companiei de a desfăşura activitatea în condiţii normale.
  • Lipsa unei persoane responsabile de luarea unor decizii privind stoparea activităţii, contactarea organelor competente, etc.
  • Amânările privitor la identificarea şi contactarea persoanelor corespunzătoare asupra evenimentului produs (atât intern cât şi extern).
  • Lipsa unor contacte de raportare în organizaţie cunoscute de către părţi externe sau interne.

Abordarea nr. 2: „Voluntarii” ne vor salva

Unele organizaţii au administratori de sisteme şi reţea care sunt interesaţi sau bine instruiţi în domeniul securităţii informaţionale. Asemenea persoane sunt pregătite mai bine pentru a face faţă unor probleme de securitate în cadrul domeniului lor de răspundere, precum echipamentele din cadrul unui departament sau unitate de operare, ori echipamentul pe un segment dat de reţea.

În cadrul unor organizaţii, diferite persoane pot conlucra împreună pentru a rezolva într-un mod neformal problemele legate de securitate. Această abordare îşi are originea de la existenţa unui grup de persoane în organizaţie care recunosc necesitatea de a aborda problema securităţii chiar dacă ea este nerecunoscută de către managementul superior.

Oricum chiar dacă organizaţia are la dispoziţie persoane capabile pentru asigurarea securităţii informaţionale, acest lucru nu înseamnă că ea este gata şi să poarte răspunderea. În dependenţă de mărimea efortului voluntar depus, este foarte probabil că chiar cu un software de detecţie bine pus la punct, unele incidente serioase legate de securitate pot trece nedetectate. Cu toate că această abordare este vizibil mai bună decât metoda erorii fatale, unele probleme mai persistă, precum:

  • Unele atacuri pot trece nedetectate.
  • Voluntarii pot aborda detaliile tehnice, dar s-ar putea să nu înţeleagă, sau să nu aibă informaţia disponibilă pentru a evalua corect consecinţele măsurilor luate de ei asupra afacerii.
  • Voluntarii nu pot avea autoritatea pentru aplicarea metodelor tehnice (ca deconectarea organizaţiei de la Internet) sau alte acţiuni pe care ei le cred necesare (raportarea evenimentului către organele competente sau apelarea la consultanţă juridică).
  • Voluntarii pot amâna căutarea şi obţinerea aprobării din partea managementului pentru a răspunde.
  • Voluntarii nu au o abordare de ansamblu asupra procesului de asigurare a securităţii informaţionale.
  • Alte persoane în cadrul companiei care identifică o problemă posibilă de securitate pot fi inconştienţi de grupul neformal existent şi respectiv să nu raporteze.
  • Un grup neformal este puţin probabil de a fi recunoscut şi susţinut din exterior.

Abordarea nr. 3: Rezultate eficiente prin sustinerea Companiei

Necătând la bunele intenţii a experţilor tehnici sau ale altor membri ai organizaţiilor, unica abordare eficientă pentru detectarea incidentelor şi un răspuns prompt în soluţionarea lor este de a implică conducerea şi managementul superior al organizaţiei în crearea şi implementarea unor proceduri de gestionare a riscurilor, în crearea unui grup responsabil de identificarea şi soluţionarea incidentelor de securitate, toate acestea bazate pe un management de cel mai înalt nivel. Modul de realizare, fie printr-o echipă distribuită geografic sau una centralizată a angajaţilor săi, sau recurgând la servicii specializate, nu este atât de important cât efortul în sine. Pe lângă suportul acordat de management, grupul împuternicit cu asemenea sarcini trebuie să fie recunoscut pe plan intern şi extern, să-şi dovedească eficacitatea şi credibilitatea.

Autoritatea şi recunoaşterea managementului sunt baza succesului. Dar un serviciu eficient de detecţie şi răspuns va avea nevoie de încrederea şi credibilitatea managementului precum şi altor părţi cu care va interacţiona.

Echipele create pentru detecţia şi răspunsul la incidentele de securitate în cadrul unei organizaţii sunt cunoscute ca Echipele de Răspuns al Incidentelor legate de Securitatea Calculatoarelor(CSIRT). Crearea, operarea şi găsirea persoanelor potrivite pentru aceste echipe nu este un lucru uşor. Oricum, dacă o asemenea echipă este construită şi împuternicită corespunzător într-o organizaţie, ea poate aborda asemenea probleme într-un mod foarte constructiv şi poate câştiga respect şi credibilitate pentru funcţionarea sa normală.

CSIRT-urile variază în ceea ce priveşte structura, personalul implicat şi spectrul de servicii pe care le pot oferi în dependenţă de situaţia sau nevoia pe care vor s-o satisfacă la momentul dat. Astfel, trebuie de luat în consideraţie foarte atent necesităţile pentru o asemenea echipă în cadrul organizaţiei, fie că este pentru întreaga companie sau doar pentru un singur departament.

Efectuarea tranziţiei de la abordarea „încercarea fatală” sau cea „voluntară” la abordarea care presupune susţinerea companiei nu este deloc uşoară. Provocarea cea mai importantă şi cea mai dificilă este convingerea managementului pentru un CSIRT efectiv şi împuternicit ca parte a unei abordări integre ale riscului de gestionare a companiei.

Aşteptând momentul când se va produce un incident serios de securitate în organizaţia dvs. pentru a convinge managementul de necesitatea acestei echipe nu este o abordare eficientă, sau nu neapărat va avea succes. Chiar după ce un asemenea incident va avea loc, compromiţând funcţionarea sistemelor informaţionale, unele organizaţii încă nu recunosc necesitatea pentru o structură de detecţie şi răspuns la incidentele de securitate.

Unul dintre factorii cei mai importanţi de reţinut este riscul de afacere asociat sau pierderea cauzată de orice incident de securitate. Această informaţie trebuie prezentată managementului într-o manieră care va ajuta managementul să înţeleagă că problema este nu una tehnică ci ţine chiar de afacere în sine. Spre exemplu într-una din organizaţii personalul tehnic avea probleme în atragerea atenţiei managementului asupra pătrunderilor neautorizate. Acest lucru a fost dus la capăt doar după prezentarea datelor de pătrundere, prin descrierea scopului fiecărui sistem în discuţie şi nu atât de mult prezentarea informaţiei cu privire la numele serverului şi a sistemului de operare folosit, care a atras atenţia managementului. Voluntarii trebuie să încerce să documenteze şi să prezinte managementului impactul pătrunderilor atestate şi pierderile înregistrate.

Ce ne spun statisticile?

Pentru a confirma cele menţionate mai sus aducem la cunoştinţă câteva date statistice extrase din cadrul unui studiu privind securitatea informaţiei realizat de Earnst & Young care oferă, în urma chestionării unor companii implicate în domeniul TI, informaţii utile privind problemele de securitate în tehnologia informaţiei, după cum urmează:

  • 74% din cei chestionaţi cred că au o strategie privind securitatea informaţiei;
  • 51% cred că securitatea informaţiei este o prioritate constantă în comparaţie cu alte proiecte TI;
  • 70% din organizaţii planifică îmbunătăţirea planurilor de continuitate a afacerii şi de recuperare în caz de dezastre;

În acelaşi timp:

  • 53% văd disponibilitatea internă a performanţelor specialiştilor ca o ameninţare a securităţii efective;
  • mai mult de 34% din organizaţii nu sunt încrezute că vor detecta un atac asupra sistemului;
  • mai mult de 40% din organizaţii nu investighează incidentele de securitate a informaţiei;
  • sistemele importante pentru afacere sunt afectate din ce în ce mai mult – peste 75% din organizaţii se confruntă cu o neaşteptată lipsă a disponibilităţii serviciului;
  • mai puţin de 50% din organizaţii au programe de instruire şi conştientizare privind securitatea informaţiei;
  • planuri de continuitate a afacerii există doar la 53% din organizaţii;
  • doar 41% din organizaţii sunt îngrijorate de atacurile interne asupra sistemelor, în ciuda dovezilor covârşitoare a numărului mare de atacuri provenind din interiorul organizaţiilor;
  • 60% din organizaţii se aşteaptă să aibă o vulnerabilitate mărită odată cu creşterea conectivităţii;

Concluzii

Pe măsură ce organizaţiile devin din ce în ce mai dependente de buna funcţionare a sistemelor informaţionale, problema securităţii acestor sisteme devine din ce în ce mai importantă. Doar investind în securitate „cap-coadă” vom putea avea sisteme TI mai sigure. De multe ori vom constata că beneficiile vor fi mai mari, iar investiţiile şi eforturile făcute vor fi mai mici dacă vom avea o abordare pe ansamblu, decât dacă am trata problema punctual, sau, mai rău, vom acţiona pentru a înlătura efectele abia după producerea unui incident de securitate.

Twitter Digg Delicious Stumbleupon Technorati Facebook


Nici un comentariu inca... Fii primul care lasa un comentariu!

Lasa un raspuns

This site is protected by Comment SPAM Wiper. This site is protected by WP-CopyRightPro