Aspecte generale ale securitatii sistemelor informatice - Securitatea Informatica

Aspecte generale ale securitatii sistemelor informatice

Introducere

Noţiuni (conform Legii nr.161/2003):

sistem informatic – orice dispozitiv sau ansamblu de dispozitive interconectate sau aflate în relaţie funcţională, dintre care unul sau mai multe asigură prelucrarea automată a datelor, cu ajutorul unui program informatic;

prelucrare automată a datelor - se înţelege procesul prin care datele dintr-un sistem informatic sunt prelucrate prin intermediul unui program informatic;

program informatic – se înţelege un ansamblu de instrucţiuni care pot fi executate de un sistem informatic în vederea obţinerii unui rezultat determinat;

date informatice – se înţelege orice reprezentare a unor fapte, informaţii sau concepte într-o formă care poate fi prelucrată printr-un sistem informatic. În această categorie se include şi orice program informatic care poate determina realizarea unei funcţii de către un sistem informatic;

Prin furnizor de servicii se înţelege:

  • orice persoană fizică sau juridică ce oferă utilizatorilor posibilitatea de a comunica prin intermediul sistemelor informatice;
  • orice altă persoană fizică sau juridică ce prelucrează sau stochează date informatice pentru persoanele prevăzute la pct.1 şi pentru utilizatorii serviciilor oferite de acestea;

Prin date referitoare la traficul informaţional se înţelege orice date informatice referitoare la o comunicare realizată printr-un sistem informatic şi produse de acesta, care reprezintă o parte din lanţul de comunicare, indicând originea, destinaţia, ruta, ora, data, mărimea, volumul şi durata comunicării, precum şi tipul serviciului utilizat pentru comunicare;

Prin date referitoare la utilizatori se înţelege orice informaţie care poate conduce la identificarea unui utilizator, incluzând tipul de comunicaţie şi serviciul folosit, adresa poştală, adresa geografică, adresa de IP, numere de telefon sau alte numere de acces şi modalitatea de plată a serviciului respectiv, precum şi orice alte date care pot conduce la identificarea utilizatorului;

Prin măsuri de securitate se înţelege folosirea unor proceduri, dispozitive sau programe informatice specializate cu ajutorul cărora accesul la un sistem informatic este restricţionat sau interzis pentru anumite categorii de utilizatori.

Aşadar, sistemul informatic primeşte, prelucrează şi comunică date, fiind o componentă a unui ansamblu de dispozitive interconectate; datele existente la nivelul sistemului informatic trebuie protejate folosind diverse proceduri – software şi/sau hardware – împotriva atacurilor interne sau externe sistemului.

Asigurarea securităţii în sistemele de calcul presupune concentrarea în principal pe asigurarea fizică împotriva dezastrelor naturale şi pe lupta împotriva atacurilor care vin din partea oamenilor. Atacurile asupra sistemelor de calcul sunt de fapt o extrapolare a atacurilor în general. Şi de o parte şi de alta a baricadei – atacat şi atacator – se află oameni.

Construit din interconectarea mai multor reţele, Internetul s-a construit şi dezvoltat rapid într-un mediu care conferea iniţial siguranţă. Ulterior s-a dovedit că Internetul este nesigur şi este folosit ca suport pentru iniţierea de atacuri la distanţă. Dezvoltarea rapidă a acestuia a făcut ca anumite standarde necesare bunei funcţionări a Internetului să fie rapid proiectate, testate şi implementate. Ingeniozitatea atacatorilor avea să fie pusă la încercare o dată cu implementarea primelor măsuri de securitate la nivel local şi la nivel reţea. Succesele contorizate de cele două tabere aflate de o parte şi de alta a imaginarei şi fragilei linii de demarcaţie între bine şi rău au fost folosite pentru atingerea scopului propus. De partea binelui, succesele au dus la crearea unor politici de securitate mai eficiente, la implementarea de noi tehnologii de securitate şi metode de apărare, contraatac şi pedepsire a atacatorilor.

De partea cealaltă, s-au căutat noi metode de penetrare în sistemele informatice. Atacatorii au şi ei propria filozofie şi conduită. Unii atacă sistemele de calcul din amuzament. Alţii atacă numai ca să facă rău. Categoria cea mai periculoasă este aceea care lansează atacuri pentru a obţine profit. Furtul de informaţie, în special proprietate intelectuală, ridică pierderile anuale ale firmelor la cifre de zeci de milioane de dolari. Fraudele financiare, deşi au avut cote alarmante în ultimii ani, cunosc o scădere vertiginoasă datorită implementării noilor tehnologii de securitate. Marile firme, în special cele de vânzări, se confruntă cu atacuri care le blochează site-urile comerciale, lucru care produce mari pagube financiare datorită stopării vânzărilor. Atunci când atacatorii sunt formaţi din organizaţii teroriste sau, şi mai grav, din state care au o astfel de conduită, comunitatea internaţională trebuie să se mobilizeze pentru a contracara ameninţarea.

Ce poate să facă o firmă pentru a fi la adăpost de atacuri informatice?

O glumă des vehiculată printre personalul IT&C sau cel care se ocupă cu asigurarea securităţii spune că „cel mai sigur calculator este cel care este scos din priză“. Deci o firmă are de ales între a închide porţile şi a fi în siguranţă, iar afacerile să aibă serios de suferit, sau să deschidă larg porţile şi să fie vulnerabilă, iar afacerile să prospere. Cu alte cuvinte, „cine nu riscă nu câştigă“. Rolul cel mai important în asigurarea securităţii datelor într-o firmă îl are persoana însărcinată cu managementul firmei. Numai aceasta ştie care este politica firmei în raport cu piaţa şi care sunt informaţiile care nu trebuie făcute public. Dacă nu este conştientă de aplicarea unor măsuri de securitate în general şi de securitate a datelor în special, atunci afacerile pot să aibă de suferit. Mulţi conducători de firme invocă preţul crescut al asigurării securităţii. Sunt însă măsuri care necesită cheltuieli minime. Una dintre ele este conştientizarea angajatului cu privire la politica de securitate a firmei. Oamenii sunt mult mai importanţi decât tehnologiile în crearea unei securităţi adecvate şi efective în cadrul firmei. De asemenea, o politică de securitate minimă, dar efectivă este de preferat în locul uneia complicate şi greu de înţeles sau implementat. O securitate efectivă presupune protecţia bunurilor firmei (implicit a datelor), detectarea intruziunilor şi răspunsul la acestea. Personalul însărcinat cu asigurarea securităţii trebuie să fie tot timpul în alertă. Niciodată securitatea nu va fi efectivă. Va exista întotdeauna o portiţă care să fie folosită pentru lansarea unui atac. Important este ca acel atac să fie descoperit cât mai repede şi să fie contracarat. Ideal ar fi ca aceste măsuri să ducă la descoperirea şi pedepsirea vinovatului. Unele firme preferă însă, de teama pierderii încrederii clienţilor, să nu raporteze atacurile şi pierderile suferite. Sunt cazuri în care, descoperit făptaşul, firma a căzut la înţelegere cu făptaşul că nu va divulga penetrarea şi va păstra în schimb o parte din suma sustrasă.

O securitate efectivă la nivelul firmei va putea fi asigurată printr-un program care să pună împreună politicile, procesele şi tehnologiile necesare asigurării securităţii. Standardele arhitecturale pentru implementarea securităţii trebuie riguros respectate. Desemnarea unui personal responsabil cu asigurarea securităţii la nivel de firmă este imperios necesară. Atunci când acest lucru nu este posibil, în cadrul firmelor mici, se impune apelarea la serviciile unei firme specializate. Securitatea este vitală în condiţiile actuale. Nu trebuie stopate nicicum eforturile pentru asigurarea securităţii.
Securitatea nu este o destinaţie, securitatea este un proces continuu.

Cele şapte mituri ale securităţii informaţiei

Trăim într-o lume care nu mai poate supravieţui fără interconexiunile digitale. Pe măsură ce Internetul este folosit aproape în fiecare business şi intră în tot mai multe case, actualele şi viitoarele atacuri la adresa sistemelor informatice pot prolifera aproape instantaneu. Securitatea informaţiei se referă de cele mai multe ori la managerizarea riscurilor. Nici un sistem nu va fi vreodată infailibil sau lipsit de pericole, acesta este un lucru cert, dar, prin înţelegerea ameninţărilor cu care se confruntă în fiecare zi o organizaţie, vulnerabilităţile sistemelor informatice existente şi procesele acesteia, asset-urile cu grad mare de risc şi resursele de securitate pot fi administrate mult mai eficace. De-a lungul istoriei Internetului au apărut mai multe concepte şi idei, unele chiar preconcepute cu privire la necesitatea securităţii informaţiei odată cu folosirea acestei interconexiuni la nivel global, care mai apoi au evoluat şi s-au transformat în adevărate mituri ce au luat forma dezvoltării industriei de securitate a informaţiei. În acest moment înţelegerea acestor mituri este critică, pentru orice organizaţie care vrea să dezvolte o strategie de securitate coerentă şi eficientă din punct de vedere al rezultatelor şi mai ales al costurilor.

Mitul 1: Firewallul si software-ul antivirus ne va proteja.

Ameninţările la adresa sistemelor informatice ale organizaţiilor venite via Internet sunt în continuă dezvoltare îmbrăcând forme mult mai sofisticate decât acum câţiva ani. Atacuri de tipul “denial of service”, “trojans”, “worms”, cu operare rapidă precum SQL Slammer şi Nachi, tehnicile de “spyware”, “phishing” şi spam pot de acuma trece de firewall-uri şi pot evita mult mai uşor un antivirus. În acelaşi timp, metodele de atac ale hackerilor se schimbă în mod constant, tocmai pentru a evita detectarea atacurilor de către sistemele de securitate a informaţiei. În prezent, hackerii au învăţat să speculeze frecvent vulnerabilităţile mai mici şi mai puţin serioase ale sistemelor informatice, pentru a lansa un potenţial atac. Ţintesc, de asemenea, fisurile existente în formatele obişnuite ale fişierelor de tipul JPEG, PDF, Word şi Excel. În septembrie 2004, compania Microsoft a lansat un avertisment referitor la vulnerabilitatea existentă în Windows XP care ar putea permite crearea de imagini purtătoare de coduri maliţioase – aşa numitele “JPEG-uri ale morţii”. Întotdeauna vor exista vulnerabilităţi în software care vor putea fi exploatate de către “băieţii răi”. Este momentul ca organizaţiile să înţeleagă că securitatea informaţiei este ceva mult mai complex.

Mitul 2: Costul securitatii informatiei va creste in mod inevitabil.

Conform analiştilor în domeniu, costurile securităţii informaţiei aproape s-au dublat în ultimii trei ani, în timp ce bugetele IT au rămas la fel. Proporţia cea mai mare din această creştere este atribuită resurselor umane. Însă ceea ce este cel mai evident, este faptul că abordarea securităţii informaţiei în mod reactiv, adică mai întâi apare problema după care vine şi soluţia nu va putea genera o menţinere a costurilor la un nivel rezonabil. Atâta timp cât viruşii şi pseudo-viruşii proliferează extrem de rapid, rămane din ce în ce mai puţin timp pentru a-i combate într-un mod cât mai eficace. Din păcate, din ce în ce mai multe organizaţii eşuează în a implementa la timp soluţiile de securitate necesare. De aceea este necesară trecerea spre o abordare preventivă a securităţii informaţiei, bazată mai mult pe studiul vulnerabilităţilor sistemelor informatice şi pe comportamentele pe care aceste ameninţări le au. Dacă puteţi identifica vulnerabilităţile din sistemul informatic înainte ca acestea să fie exploatate de către hackeri, atunci există posibilitatea să le puteţi elimina în timp util, nefiind necesar să găsiţi mijloace specifice de apărare pentru fiecare ameninţare. Acest nou mod de abordare poate transforma natura şi costurile securităţii informaţiei crescând eficacitatea şi reducând costul securităţii Internetului.

Mitul 3: Cu cat stim mai multe despre activititatea din propria retea, cu atat suntem mai protejati.

Directorii IT şi personalul responsabil cu securitatea informaţiei au nevoie de informaţii relevante care să le permită identificarea ameninţărilor ce reprezintă riscuri pentru organizaţie. Securitatea informaţiei trebuie să se bazeze pe o evaluare clară a riscurilor pe care le prezintă business-ul. Aceste riscuri şi potenţialul impact pe care îl au asupra aplicaţiilor şi proceselor critice de business le permit organizaţiilor să îşi identifice priorităţile de securitate. Prin focalizarea asupra priorităţilor de securitate, mai degrabă decât asupra examinării tuturor incidentelor de securitate a informaţiei, se va optimiza eficacitatea propriilor resurse de securitate.

Mitul 4: Nu suntem o ţintă pentru spionajul industrial.

Spionajul industrial este o afacere de proporţii, şi asta nu de puţin timp. Toate organizaţiile, dar mai ales acelea care se bazează pe inovaţii, proiectează şi crează produse noi sunt expuse la riscuri serioase. Pot fi date numeroase exemple în care s-a dovedit posesia unor informaţii strict confidenţiale sustrase de la concurenţă de către diferite organizaţii. În prezent spionajul industrial nu se limitează doar la marile corporaţii multinaţionale. În anul 2004, Institute of Directors raporta faptul că 60 % dintre membrii săi (inclusiv organizaţii mici, medii sau globale) au fost victime ale furtului de informaţii. Este clar că organizaţiile trebuie să îşi protejeze resursele informatice de valoare în primul rând printr-o evaluare detaliată a riscului şi o politică clară de securitate a informaţiei care să se adreseze ameninţărilor privind penetrarea din exterior şi scurgerile de informaţii din interior.

Mitul 5: Furnizorii de produse şi servicii IT oferă o securitate “independentă”.

În prezent, există o tendinţă clară ca furnizorii de produse şi servicii IT să achiziţioneze sau să fuzioneze cu companiile de securitate a informaţiei. Raţiunea acestor concentrări se poate explica prin faptul că securitatea informaţiei ar trebui să fie creată odată cu produsele şi serviciile IT, lucru care este, desigur, oarecum adevărat. Totuşi, toate software-urile şi hardware-urile au şi vor avea vulnerabilităţi. Şi aici intervin companiile independente de securitate, al căror rol este să identifce aceste vulnerabilităţi, şi să ofere o cale de reducere a pagubelor care ar putea fi provocate de către acestea. Mai mult, putem spune că preocuparea principală a furnizorilor de produse şi servicii IT o constituie performanţa, care este primul etalon al propriilor produse şi servicii. Securitatea informaţiei joacă un rol secundar, mai ales atunci când ea poate afecta performanţa produsului, ceea ce duce în mod evident la un potenţial conflict de interese. Relaţia ideală dintre companiile de securitate a informaţiei şi furnizorii de produse şi servicii IT nu poate fi decât una de cooperare foarte apropiată, deoarece în momentul în care furnizorii de soluţii şi servicii de securitate a informaţiei nu mai sunt independenţi, sunt în pericol de a-şi pierde credibilitatea. Legislaţia recentă (Sarbanes & Oxley) întăreşte importanţa recomandărilor de securitate independente, recunoscând faptul că o securitate a informaţiei eficace depinde de implementarea unor controale de securitate pe care te poţi baza.

Mitul 6: Toate software-urile antivirus lucreaza in acelasi mod.

Majoritatea software-lor antivirus lucrează prin căutarea unei amprente digitale unice sau a unei “semnături digitale” în codul unui virus. Pericolul unui astfel de algoritm provine din faptul că dacă virusul este transformat şi relansat cu unele schimbari subtile, software-ul antivirus nu îl va mai putea identifica. Un mijloc de identificare alternativ la căutarea amprentei digitale a unui virus constă în examinarea “comportamentului” prin care virusul se va propaga şi va putea infecta un sistem informatic. Dacă algoritmul s-ar focaliza asupra tehnicilor comune diferiţilor viruşi, ar fi posibil să se elimine familii întregi de viruşi dintr-un singur foc. Mai mult, orice cod viitor care foloseşte aceeaşi tehnică ar putea fi detectat cu ajutorul acestui sistem antivirus bazat pe acest studiu de comportament. Totuşi, cel mai eficace mod de a ne proteja de viruşi este de a folosi o combinaţie între recunoaşterea semnăturii şi analiza comportamentului acestora.

Mitul 7: Securitatea informaţiei este o condiţie care face business-ul posibil.

“Securitatea este o condiţie sine qua non a business-ului” a fost, ani de zile, mantia companiilor de securitate a informaţiei. Acestea au încercat să îşi convingă clienţii de faptul că securitatea informaţiei constituie o investiţie şi nu un cost în plus. În realitate, Internetul şi aplicaţiile care fac posibile conexiunile via Internet sunt condiţiile care fac business-ul posibil. Securitatea informaţiei se referă în primul rând la managerizarea riscurilor acestor interconexiuni, riscuri ce sunt foarte reale. O singură eroare poate afecta în mod direct o organizaţie compromiţând informaţiile confidenţiale ale acesteia. Noile reglementări în domeniu, precum Sarbanes – Oxley şi Basel II, au ca scop reducerea riscurilor operaţionale şi de securitate ale organizaţiilor.

Dincolo de mituri din tot ceea ce s-a prezentat se desprinde o singură concluzie, şi anume: cea mai eficientă cale de a ne opune ameninţărilor ce se adresează securităţii informaţiei unui sistem informatic ar fi combinarea soluţiilor de securitate a informaţiei ce implică software şi hardware cu implementarea unui Sistem de Management al Informaţiei adecvat care să reglementeze întregul sistem de securitate al unei organizaţii.

Cum abordăm problema incidentelor de securitate ?

Securitatea sistemelor informatice şi a reţelelor de comunicaţii este un subiect care intervine din ce în ce mai des în problemele cu care se confruntă organizaţiile. Infracţiunile semnalate atât din cadrul instituţiilor statului, cât şi din domeniul privat, sunt în continuă creştere:

  • acces neautorizat şi transfer de date cu grade diferite de confidenţialitate;
  • modificarea, ştergerea sau deteriorarea datelor;
  • perturbarea sistemelor informatice;
  • producerea, vânzarea, procurarea pentru utilizare şi distribuţie fără drept a dispozitivelor care pot perturba grav sistemele informatice;
  • interceptarea parolelor şi a codurilor de acces în scopul sabotării sistemelor şi reţelelor de calculatoare;
  • falsificarea datelor cu intenţia de a fi folosite ulterior ca date autentice;
  • înşelătorii sau fraude comise prin intermediul computerelor;
  • utilizarea neautorizată a programelor protejate prin dreptul de autor;

De aceea, astăzi mediile de afaceri dependente de tehnologia informaţiei cer ca angajaţii să cunoască importanţa protejării resurselor companiei. Şi totuşi, când vorbim despre securitatea IT, în multe organizaţii există un decalaj între conştientizarea nevoilor de securitate şi respectarea măsurilor de securitate. Acest fapt se explică prin însuşi concepţiile greşite asupra procesului de asigurare a securităţii informaţionale, care pot rezulta în implementarea unor soluţii ineficiente.

Aşa cum s-a văzut, există o serie de „mituri” legate de securitatea informaţională, dintre care cele mai răspândite sunt:

  • „Mit: Hackerii cauzează cele mai grave incidente de securitate”
    In realitate, statisticile demonstrează ca in 75% din cazuri, incidentele sunt produse din interiorul organizaţiilor.
  • „Mit: Criptarea va permite păstrarea confidenţialităţii şi integrităţii datelor”
    In realitate, criptarea este doar o tehnică în protejarea datelor. Securitatea informaţională presupune un şir de mijloace complexe combinate: mijloace organizatorice combinate cu cele tehnice.
  • „Mit: Firewall-ul este un mijloc sigur in protecţia datelor si infrastructurii
    informaţionale ale organizaţiei.”
    In realitate, 40% din atacurile efectuate din reţeaua Internet, au fost efectuate chiar si în pofida faptului că firewall-ul era prezent. Pentru a implementa o soluţie efectivă care să protejeze datele cu adevărat, va fi necesară întâi de toate să fie efectuată o procedură efectivă de management al riscurilor.

De cele mai multe ori însă organizaţiile neglijează necesitatea de a determina nivelul riscurilor, de a crea proceduri formale pentru prevenirea, detectarea şi înlăturarea incidentelor de securitate. În plus, persoanele cu putere de decizie interpretează adesea absenţa unei breşe mari in sistemul de asigurare a securităţii ca o confirmare a faptului ca securitatea TI este adecvată – aceasta este însă o ipoteza periculoasă. Din aceste considerente, acest articol îşi propune să analizeze cele mai frecvente abordări asupra soluţionării incidentelor de securitate.

ABORDAREA NR.1: Eram aproape siguri că sistemul nostru se poate auto-proteja

Experienţa a demonstrat că majoritatea organizaţiilor nu ştiu cum să răspundă unui incident legat de securitatea informaţională până când nu au fost afectate semnificativ de un asemenea incident. Multe dintre ele nu au evaluat aprioric riscul de afaceri asociat lipsei unui sistem bine reglat de detecţie şi de răspuns la incidentele de securitate. De cele mai multe ori, organizaţiile primesc rapoarte prin care sunt informate de implicarea acestora în incidente de securitate care au originea de obicei din altă parte, fără a fi implicate în identificarea în sine a incidentului. Această abordare poate fi denumită la fel de bine şi abordarea prin „încercarea fatală”. Problema îşi are originea în lipsa recunoaşterii de către multe organizaţii a unei nevoi stringente pentru o infrastructură cuprinzătoare a sistemului de securitate. De obicei impactul şi riscul de afaceri a lipsei unui asemenea sistem este constatat doar după un incident grav. Managementul poate avea deseori opinia precum reţeaua şi securitatea sistemului informaţional este o preocupare a administratorilor de reţea şi sistem ca parte integrantă a activităţii lor zilnice. Deasemenea, ei pot gândi că securitatea este asigurată de firewall-ul organizaţiei.

De obicei însă, această percepţie este de multe ori incorectă din toate privinţele. Priorităţile administratorilor sistemului informaţional sunt în mare parte concentrate asupra menţinerii şi administrării echipamentului de calcul existent. Firewall-urile pot preveni unele atacuri, dar cu siguranţă nu toate tipurile de atac; şi dacă nu sunt configurate şi monitorizate corect atunci ele pot lăsa organizaţia vulnerabilă la un şir de multe alte atacuri. Această abordare poate rezulta în probleme serioase precum:

  • Necunoaşterea dacă sistemul a fost compromis, sau daca a fost – de cât timp.
  • Lipsa informaţiei cu privire la ce sisteme sunt expuse riscului, sau cu privire la ce informaţie a fost luată, sau modificată de intruşi.
  • Necunoaşterea metodelor folosite de atacatori pentru a obţine acces la sisteme.
  • Necunoaşterea măsurilor ce trebuie întreprinse pentru a stopa atacurile şi
    securizarea sistemelor şi a reţelelor.
  • Neidentificarea din timp a efectelor adverse provocate de un incident asupra
    capacităţii companiei de a desfăşura activitatea în condiţii normale.
  • Lipsa unei persoane responsabile de luarea unor decizii privind stoparea activităţii, contactarea organelor competente, etc.
  • Amânările privitor la identificarea şi contactarea persoanelor corespunzătoare asupra evenimentului produs (atât intern cât şi extern).
  • Lipsa unor contacte de raportare în organizaţie cunoscute de către părţi externe sau interne.

ABORDAREA NR.2: „Voluntarii” ne vor salva

Unele organizaţii au administratori de sisteme şi reţea care sunt interesaţi sau bine instruiţi în domeniul securităţii informaţionale. Asemenea persoane sunt pregătite mai bine pentru a face faţă unor probleme de securitate în cadrul domeniului lor de răspundere, precum echipamentele din cadrul unui departament sau unitate de operare, ori echipamentul pe un segment dat de reţea.

În cadrul unor organizaţii, diferite persoane pot conlucra împreună pentru a rezolva într-un mod neformal problemele legate de securitate. Această abordare îşi are originea de la existenţa unui grup de persoane în organizaţie care recunosc necesitatea de a aborda problema securităţii chiar dacă ea este nerecunoscută de către managementul superior.

Oricum chiar dacă organizaţia are la dispoziţie persoane capabile pentru asigurarea securităţii informaţionale, acest lucru nu înseamnă că ea este gata şi să poarte răspunderea. În dependenţă de mărimea efortului voluntar depus, este foarte probabil că chiar cu un software de detecţie bine pus la punct, unele incidente serioase legate de securitate pot trece nedetectate. Cu toate că această abordare este vizibil mai bună decât metoda erorii fatale, unele probleme mai persistă, precum:

  • Unele atacuri pot trece nedetectate.
  • Voluntarii pot aborda detaliile tehnice, dar s-ar putea să nu înţeleagă, sau să nu aibă informaţia disponibilă pentru a evalua corect consecinţele măsurilor luate de ei asupra afacerii.
  • Voluntarii nu pot avea autoritatea pentru aplicarea metodelor tehnice (ca deconectarea organizaţiei de la Internet) sau alte acţiuni pe care ei le cred necesare (raportarea evenimentului către organele competente sau apelarea la consultanţă juridică).
  • Voluntarii pot amâna căutarea şi obţinerea aprobării din partea managementului pentru a răspunde.
  • Voluntarii nu au o abordare de ansamblu asupra procesului de asigurare a securităţii informaţionale.
  • Alte persoane în cadrul companiei care identifică o problemă posibilă de securitate pot fi inconştienţi de grupul neformal existent şi respectiv să nu raporteze.
  • Un grup neformal este puţin probabil de a fi recunoscut şi susţinut din exterior.

ABORDAREA NR. 3: Rezultate eficiente prin susţinerea Companiei

Fără a căuta la bunele intenţii a experţilor tehnici sau ale altor membri ai organizaţiilor, unica abordare eficientă pentru detectarea incidentelor şi un răspuns prompt în soluţionarea lor este de a implică conducerea şi managementul superior al organizaţiei în crearea şi implementarea unor proceduri de gestionare a riscurilor, în crearea unui grup responsabil de identificarea şi soluţionarea incidentelor de securitate, toate acestea bazate pe un management de cel mai înalt nivel. Modul de realizare, fie printr-o echipă distribuită geografic sau una centralizată a angajaţilor săi, sau recurgând la servicii specializate, nu este atât de important cât efortul în sine. Pe lângă suportul acordat de management, grupul împuternicit cu asemenea sarcini trebuie să fie recunoscut pe plan intern şi extern, să-şi dovedească eficacitatea şi credibilitatea.

Autoritatea şi recunoaşterea managementului sunt baza succesului. Dar un serviciu eficient de detecţie şi răspuns va avea nevoie de încrederea şi credibilitatea managementului precum şi altor părţi cu care va interacţiona.

Echipele create pentru detecţia şi răspunsul la incidentele de securitate în cadrul unei organizaţii sunt cunoscute ca Echipele de Răspuns al Incidentelor legate de Securitatea Calculatoarelor (CSIRT). Crearea, operarea şi găsirea persoanelor potrivite pentru aceste echipe nu este un lucru uşor. Oricum, dacă o asemenea echipă este construită şi împuternicită corespunzător într-o organizaţie, ea poate aborda asemenea probleme într-un mod foarte constructiv şi poate câştiga respect şi credibilitate pentru funcţionarea sa normală.

CSIRT-urile variază în ceea ce priveşte structura, personalul implicat şi spectrul de servicii pe care le pot oferi în dependenţă de situaţia sau nevoia pe care vor s-o satisfacă la momentul dat. Astfel, trebuie de luat în consideraţie foarte atent necesităţile pentru o asemenea echipă în cadrul organizaţiei, fie că este pentru întreaga companie sau doar pentru un singur departament.

Efectuarea tranziţiei de la abordarea „încercarea fatală” sau cea„voluntară” la abordarea care presupune susţinerea companiei nu este deloc uşoară. Provocarea cea mai importantă şi cea mai dificilă este convingerea managementului pentru un CSIRT efectiv şi împuternicit ca parte a unei abordări integre ale riscului de gestionare a companiei.

Aşteptând momentul când se va produce un incident serios de securitate în organizaţia dvs. pentru a convinge managementul de necesitatea acestei echipe nu este o abordare eficientă, sau nu neapărat va avea succes. Chiar după ce un asemenea incident va avea loc, compromiţând funcţionarea sistemelor informaţionale, unele organizaţii încă nu recunosc necesitatea pentru o structură de detecţie şi răspuns la incidentele de securitate.

Unul dintre factorii cei mai importanţi de reţinut este riscul de afacere asociat sau pierderea cauzată de orice incident de securitate. Această informaţie trebuie prezentată managementului într-o manieră care va ajuta managementul să înţeleagă că problema este nu una tehnică ci ţine chiar de afacere în sine. Spre exemplu într-una din organizaţii personalul tehnic avea probleme în atragerea atenţiei managementului asupra pătrunderilor neautorizate. Acest lucru a fost dus la capăt doar după prezentarea datelor de pătrundere, prin descrierea scopului fiecărui sistem în discuţie şi nu atât de mult prezentarea informaţiei cu privire la numele serverului şi a sistemului de operare folosit, care a atras atenţia managementului. Voluntarii trebuie să încerce să documenteze şi să prezinte managementului impactul pătrunderilor atestate şi pierderile înregistrate.

Ce ne zic statisticile?

Pentru a confirma cele menţionate mai sus aducem la cunoştinţă câteva date statistice extrase din cadrul unui studiu privind securitatea informaţiei realizat de Earnst & Young care oferă, în urma chestionării unor companii implicate în domeniul TI, informaţii utile privind problemele de securitate în tehnologia informaţiei, după cum urmează:

  • 74% din cei chestionaţi cred că au o strategie privind securitatea informaţiei;
  • 51% cred că securitatea informaţiei este o prioritate constantă în comparaţie cu alte proiecte TI;
  • 70% din organizaţii planifică îmbunătăţirea planurilor de continuitate a afacerii şi de recuperare în caz de dezastre;

În acelaşi timp:

  • 53% văd disponibilitatea internă a performanţelor specialiştilor ca o ameninţare a securităţii efective;
  • mai mult de 34% din organizaţii nu sunt încrezute că vor detecta un atac asupra sistemului;
  • mai mult de 40% din organizaţii nu investighează incidentele de securitate a informaţiei;
  • sistemele importante pentru afacere sunt afectate din ce în ce mai mult – peste 75% din organizaţii se confruntă cu o neaşteptată lipsă a disponibilităţii serviciului;
  • mai puţin de 50% din organizaţii au programe de instruire şi conştientizare privind securitatea informaţiei;
  • planuri de continuitate a afacerii există doar la 53% din organizaţii;
  • doar 41% din organizaţii sunt îngrijorate de atacurile interne asupra sistemelor, în ciuda dovezilor covârşitoare a numărului mare de atacuri provenind din interiorul organizaţiilor;
  • 60% din organizaţii se aşteaptă să aibă o vulnerabilitate mărită odată cu creşterea conectivităţii;

Concluzii

Pe măsură ce organizaţiile devin din ce în ce mai dependente de buna funcţionare a sistemelor informaţionale, problema securităţii acestor sisteme devine din ce în ce mai importantă. Doar investind în securitate „cap-coadă” vom putea avea sisteme IT mai sigure. De multe ori vom constata că beneficiile vor fi mai mari, iar investiţiile şi eforturile făcute vor fi mai mici dacă vom avea o abordare pe ansamblu, decât dacă am trata problema punctual, sau, mai rău, vom acţiona pentru a înlătura efectele abia după producerea unui incident de securitate.

Twitter Digg Delicious Stumbleupon Technorati Facebook


Un raspuns la “Aspecte generale ale securitatii sistemelor informatice”

  1. As avea nevoie numele unei firme specializate in securitate informatica.

Lasa un raspuns

This site is protected by Comment SPAM Wiper. This site is protected by WP-CopyRightPro