Analiza Riscului IT
Analiza Riscului IT
Analiza Riscului IT
Marketing
http://www.scritube.com/management/marketing/Analiza-riscului-intrun-mediu-1517181916.php
Submit
Elementele prezentate n paragraful anterior conduc la ideea ca mediul informatizat genereaza noi riscuri si orice organizatie, n vederea asigurarii unei protectii eficiente a informatiilor, este necesar sa dezvolte un proces complex de studiu si analiza a riscurilor. Realitatea practica impune abordarea riscului informatic prin prisma a 3 factori: amenintarile privite ca evenimente sau activitati (n general, din exteriorul sistemului auditat) care pot sa afecteze vulnerabilitatile existente n orice sistem cauznd astfel impactul, apreciat a fi o pierdere sau o consecinta pe termen scurt, mediu sau lung suportata de organizatie. Riscul la nivelul unei organizatii nu poate fi eliminat, el va exista ntotdeaua, managmentul societatii fiind responsabil de reducerea lui la un nivel acceptabil. n acest sens, figura 3.1 17517s1819r pune n corespondenta diferite elemente ce necesita a fi luate n calcul pentru reducerea riscului.
Figura nr.3.1 Componentele riscului IT1[1] n acest context, riscul informatic se poate caracteriza prin urmatoarele elemente :
Amenintarile si vulnerabilitatile proceselor sau/si activelor Impactul asupra activelor bazat pe vulnerabilitati si amenintari Frecventa de aparitie a amenintarilor. Odata identificate, riscurile trebuie evaluate n functie de gravitatea efectelor pe care le produc.
1
n general, riscurile asociate unui sistem informational, pe care orice auditor trebuie sa le analizeze si evalueze (tehnica frecvent utilizata n acest caz este chestionarul), n vederea aprecierii sistemului n sine, vizeaza: Riscul securitatii fizice ce va fi evaluat n functie de informatiile culese, cu privire la: existenta sistemelor de paza, detectie si alarma a incendiilor, sistemelor de protectie mpotriva caderilor de tensiune, protectia echipamentelor mpotriva furturilor, protectia mpotriva catastrofelor naturale (inundatii, cutremure..), protectia fizica a suportilor de memorare, pastrarea copiilor de siguranta ntr-o alta locatie dect cea n care si desfasoara activitatea organizatia.
Model de chestionar utilizat pentru aprecierea riscului securitatii fizice Nr. crt. 1. Intrebari
PREVENIREA INCIDENTELOR, INUNDAIILOR sI CDERILOR DE TENSIUNE
Da
Nu
Comentarii
Mediul n care se desfasoara activitatea de p. a. d. este protejat n mod corespunzator mpotriva incendiilor : - exista sisteme de detectie si de alarma mpotriva incendiilor? ; - exista sisteme de stingere automata a incendiilor? ; - locul de depozitare a suportilor de memorare este rezistent la foc? ; - exista stingatoare de incendii ?; - a fost instruit personalul privind situatiile in care trebuie sa alerteze echipa de prevenire a incidentelor? Rapoartele privind aparitia incidentelor sunt furnizate managementului? Echipamentele snt protejate mpotriva inundatiilor? Exista sisteme de protectie mpotriva caderilor de tensiune ? Sistemele si dotarea tehnica sunt securizate impotriva furturilor?
FACTORI FIZICI sI DE DOTARE
2 3 4 5.
Este controlat accesul fizic n departamentele IT? 7 Exista un loc de protejare a suportilor de memorare aflat n afara sediului firmei ? 8 Exista proceduri privind modul de stocare a informatiilor confidentiale? 9. Documentatiile programelor, sistemului snt depozitate la loc sigur cu restrictionarea accesului persoanelor neautorizate ? 10. Copiile de siguranta ale documentatiilor se afla
la loc sigur ? 11. Serverele se afla ntr-o ncapere separata ? 12. Echipamentele de comunicatie snt protejate n mod corespunzator ?
CONTROLUL ACTIVITILOR DE DUP PROGRAMUL DE LUCRU
13 14 15 16 17
Exista un nivel mai ridicat de control dupa terminarea programului? Sunt securizate calculatoarele dupa terminarea programului de lucru? Sunt securizate cheile si cardurile de acces? Sunt monitorizate echipele de curatenie si mentenanta? Exista un jurnal pentru identificarea persoanelor care au avut acces la sistemul informatic n afara orelor de program?
Riscul de comunicatie poate lua valente diferite, n functie de disponibilitatea sistemului la reteaua publica, situatie n care auditorul e necesar sa analizeze masurile de securitate adoptate: existenta unui firewall, modul de configurare a acestuia, analiza modului de transmitere a datelor prin reteaua publica (utilizarea tehnicilor de criptare, existenta unei retele virtuale private - VPN). Acest risc se poate manifesta si la nivelul unei retele locale, atunci cnd configurarea acesteia lasa de dorit si prin ascultarea liniilor de comunicatie, traficul acesteia poate fi compromis. Confidentialitatea informatiilor nu vizeaza doar memorarea acestora pe statiile de lucru sau servere, ci si liniile de comunicatie. Riscul privind integritatea datelor si tranzactiilor vizeaza toate riscurile asociate cu autorizarea, completitudinea si acuratetea acestora. Riscul de acces se refera la riscul asociat accesului inadecvat la sistem, date sau informatii. Implicatiile acestui risc sunt majore, el viznd confidentialitatea informatiilor, integritatea datelor sau bazelor de date si disponibilitatea acestora. n acest sens, actiunile auditorului presupun o analiza a managementului parolelor la nivelul organizatiei (altfel spus atribuirea si schimbarea parolelor de acces fac obiectul unei aprobari formale?), o investigare a ncercarilor de accesare neautorizata a sistemului (exista o jurnalizare a acestora ?), o analiza a protectiei statiilor de lucru (sunt acestea dotate cu soft care sa blocheze accesul la retea, atunci cnd utilizatorul nu se afla la statia sa ?). Riscul privind protectia antivirus ce impune o analiza a existentei programelor antivirus n entitate, utilizarea lor la nivel de server si statii de lucru, upgrade-ul acestor programe (manual sau automat). Lupta cu virusii este esentiala, dar nu usor de realizat. n ciuda numarului mare de programe antivirus existente este necesara o analiza a caracteristicilor programului privind: scanarea n timp real a sistemului sau monitorizarea continua a acestuia, scanarea mesajelor e-mail, scanarea manuala. Riscul legat de documentatia sistemului informatic. Documentatia generala a unui sistem informatic vizeaza pe de o parte documentatia sistemului de operare sau retelei si, pe de alta parte,
documentatia aplicatiilor instalate. Aceasta documentatie poate fi diferita pentru administratori, utilizatori si operatori astfel nct sa ajute la instalarea, operarea, administrarea si utilizarea produsului. Riscurile asociate documentatiei se pot referi la faptul ca, aceasta nu reflecta realitatea n ceea ce priveste sistemul, nu este inteligibila, este accesibila persoanelor neautorizate, nu este actualizata. Riscul de personal poate fi analizat prin prisma urmatoarelor criterii: Structura organizationala la nivelul departamentului IT ce va avea n vedere modul n care sunt distribuite sarcinile si responsabilitatile n cadrul acestuia. Alocarea unui numar prea mare de responsabilitati la nivelul unei singure persoane sau unui grup de persoane este semnul unei organizari interne defectuoase. Practica de selectie a angajatilor. La baza unui mediu de control adecvat stau competenta si integritatea personalului, ceea ce implica din partea auditorilor o analiza a politicilor si procedurilor organizatiei privind angajarea, specializarea, evaluarea performantelor si promovarea angajatilor. Riscul de infrastructura se concretizeaza n faptul ca organizatia nu detine o infrastructura efectiva a tehnologiei informatiei (hardware, retele, software, oameni si procese) pentru a sustine nevoile acesteia. disponibilitate) este riscul asociat pericolelor naturale, dezastrelor, caderilor de sistem care pot conduce la pierderi definitive ale datelor, aplicatiilor, n absenta unor proceduri de monitorizare a activitatii, a planurilor de refacere n caz de dezastre.
3.3 Managementul riscurilor IT Literatura de specialitate defineste managementul riscului ca fiind procesul de identificare a vulnerabilitatilor si amenintarilor din cadrul unei organizatii, precum si de elaborare a unor masuri de minimizare a impactului acestora asupra resurselor informationale. Demersul metodologic al acestui proces2[2] include urmatoarele etape:
1. Caracterizarea sistemului informational. 2. Identificarea amenintarilor. 3. Identificarea vulnerabilitatilor. 4. Analiza controalelor existente la nivelul sistemului informatic. 5. Determinarea probabilitatii de realizare a amenintarilor. 6. Analiza impactului. 7. Determinarea riscului.
2
8. Recomandari asupra unor controale adecvate. 9. Documentarea rezultatelor. 1. Etapa 1- Caracterizarea sistemului. La nivelul acesteie etape, auditorul va desfasura n primul rnd o activitate de colectare a informatiilor despre sistemul informational, informatii care vor viza echipamentele hardware, software, interfetele sistemului, utilizatorii sistemului informatic, datele si aplicatiile importante, senzitivitatea datelor si sistemului n vederea aprecierii nivelului de protectie ce este necesar a fi realizat pentru asigurarea integritatii, confidentialitatii si disponibilitatii datelor. Cele mai utilizate tehnici de investigare pentru colectarea acestor informatii sunt: chestionarele, interviurile, documentatia sistemului, utilizarea unor instrumente de scanare automata a sistemului informatic (SATAN este doar un exemplu de astfel de instrument ce permite detectarea vulnerabilitatilor unei retele de calculatoare). Rezultatele acestei etape vor furniza o imagine a mediului informatizat, a limitelor sistemului informatic analizat. Etapa 2 Identificarea amenintarilor. Amenintarile sunt acele evenimente sau activitati, n general externe unui sistem, care pot afecta la un moment dat punctele slabe ale acestuia, cauznd pierderi semnificative. n general o amenintare este o forta potentiala care poate degrada confidentialitatea si integritatea sistemului, genernd adeseori ntreruperi de servicii ale acestuia. Un element esential n cadrul acestei etape l reprezinta determinarea probabilitatii de realizare a acestei amenintari, element ce trebuie analizat n functie de: - sursa amenintarii. naturala (cutremure, foc, tornade, etc) umana (atacuri ntr-o retea, acces neautorizat la date confidentiale) de mediu (caderi de tensiune pe termen lung, poluare, umiditate) - vulnerabilitatea potentiala - controalele existente. Cu titlu exemplificativ, tabelul 3.1 releva diferite surse de amenintari umane cu actiunile generatoare: Sursa amenintarii Hackeri, crackeri Criminalitate informatica Actiunea amenintarilor Intruziuni n sistem, atacuri de tip hacking, acces neautorizat la sistem Acte frauduloase, actiuni de tip spoofing, intruziuni ale sistemului.
Penetrarea sistemului, interferarea sistemului n mod distructiv. Penetrarea sistemului, acces neautorizat, captarea datelor dintr-o linie de comunicatie neprotejata. ale Fraude si erori, coruperea datelor, introducerea unor date false, acces neautorizat la sistem, introducerea virusilor, caii troieni, etc.
Etapa 3 Identificarea vulnerabilitatilor. Scopul acestei etape este de a dezvolta o lista a vulnerabilitatilor sistemului (lipsuri sau slabiciuni) care pot fi exploatate de surse de amenintare potentiale. n acest context este necesara o analiza a vulnerabilitatilor amenintarilor pereche exemplificata, ntr-o maniera limitata, n cadrul tabelului 3.2.
Vulnerabilitate Sursa amenintarii Identificatorul (ID) Salariati concediati angajatilor concediati nu este eliminat din sistem Actiunea amenintarii Conectare la reateaua organizatiei si acceseaza datele acesteia. Utilizatori Utizarea serviciului neautorizati Telnet, permite accesul (hackeri, teroristi, la fisierele din sistem. angajati concediati) Utilizatori Obtinerea accesului neautorizati neautorizat la fisierele sensibile ale sistemului, bazat pe vulnerabilitati cunoscute.
Firewall-ul companiei permite un acces la sistem prin serviciul Telnet Unul din partenerii societatii a identificat slabiciuni n proiectarea securitatii sistemului, sistemul n sine furnizndu-i diferite metode de remediere a acestora (este si exeplul sistemului de operare Windows Internet Explorer, care n momentul detectarii unor slabiciuni n proiectarea securitatii sistemului face disponibile pentru utilizatori patch-uri pentru remedierea slabiciunilor date). Centrul de prelucrare Foc, persoane Declansarea automata a automata a datelor neglijente stingatoarelor de foloseste pentru stingerea incendii. incendiilor mprastietoare de apa (ncastrate n tavan) fapt ce poate afecta n mod negativ echipamentele hardware.
Etapa 4 Analiza controalelor. n vederea minimizarii sau eliminarii riscurilor fiecare organizatie dispune implementarea unor metode de control tehnice sau nontehnice ce pot viza: - mecanisme de control al accesului, - mecanisme de identificare si autentificare, - metode de criptare a datelor - software de detectare a intruziunilor - politici de securitate - proceduri operationale si de personal. Etapa 5 Determinarea probabilitatii de realizare a amenintarilor. Pentru determinarea unei rate de probabilitate generala, care indica probabilitatea ca o vulnerabilitate potentiala sa fie exercitata n modelul de amenintari asociate, este necesar ca auditorul sa analizeze urmatorii factori: capacitatea si motivatia sursei de amenintare natura vulnerabilitatii existenta si eficienta controalelor curente. Acest element poate fi apreciat prin calificativele nalt, Mediu si Scazut, n urmatoarele conditii: nalt sursa amenintarii este foarte motivata si suficient de capabila, iar controalele de prevenire a acestor vulnerabilitati sunt ineficiente. Mediu sursa amenintarii este foarte motivata si suficient de capabila, dar controalele existente pot mpiedica declansarea vulnerabilitatii. Scazut sursa amenintarii este lipsita de motivatie, sau controalele exista pentru a preveni sau cel putin a mpiedica semnificativ vulnerabilitatea de a se manifesta. Etapa 6 Analiza impactului. Impactul financiar este definit ca estimarea valorica a pierderilor entitatii ca urmare a exploatarii slabiciunilor sistemului de catre amenintari. Acest impact poate avea doua componente: un impact pe termen scurt si un impact pe termen lung. n esenta, impactul este specific fiecarei organizatii, depinde de activele acesteia, de tipul organizatiei, de masurile de prevenire existente, descrie efectul amenintarii si se poate manifesta ca o pierdere financiara directa, ca o consecinta asupra reputatiei entitatii sau ca o sanctiune temporara, cu o ulterioara consecinta financiara (figura 3.3).
Figura nr.3.3 Relatia dintre vulnerabilitati, amenintari, impact si masuri de prevenire Impactul poate fi exprimat si el prin calificativele nalt, Mediu si Scazut.
Etapa 7 Determinarea riscului. Modelele de risc, fie ele cantitative sau calitative, reprezinta instrumente deosebit de utile auditorilor IT pentru identificarea diferitelor tipuri de risc, oferind n acelasi timp informatii pentru a le determina si controla. Literatura de specialitate abordeaza doua modele de analiza a valorii riscului: modelul cantitativ si modelul calitativ ; acestea pornesc de la premisa ca orice organizatie se poate astepta la aparitia unor pierderi cauzate de ineficienta unui sistem informatic, iar acest risc al pierderilor, rezulta din impactul pe care l au amenintarile asupra resurselor organizatiei. Determinarea riscului pentru fiecare pereche vulnerabilitate amenintare particulara poate fi exprimat ca o functie ce depinde de: probabilitatea de realizare a unei amenintari, marimea impactului, masurile de control existente pentru reducerea sau eliminarea riscului. n acest sens poate fi dezvoltata o matrice a nivelului de risc (conform tabelului 3.3) derivata din multiplicarea probabilitatii de realizare a amenintarii si impactul acesteia.Spre exemplu, daca :
- probabilitatea asociata pentru fiecare nivel de realizare a amenintarii este : 1 - nalt 2 Mediu 3 Scazut - valoarea asociata pentru fiecare nivel de impact : 100 nalt 50 Mediu 10 Scazut. Probabilit atea amenintar ii nalt (1) Mediu (0.5) Scazut (0.1) Scazut (10) Scazut (10) Scazut (5) Scazut (1) Impact Mediu (50) nalt (100)
Mediu (50) nalt (100) Mediu (25) Mediu (50) Scazut (5) Scazut (10)
Tabelul 3.3 - Matricea nivelului de risc Specialistul Alan Oliphant propune un model calitativ de determinare a nivelului de risc, conform caruia sunt luati n calcul 4 factori de baza n aprecierea valorii riscului: impactul financiar, vulnerabilitatea, complexitatea si ncrederea (model reprezentat n figura 3.23[3]).
Figura nr. 3.2 Evaluarea riscurilor n acest caz, valoarea riscului va fi exprimata prin calificativele Foarte Scazut , Scazut, Mediu, nalt, Foarte nalt si nu n valori absolute ; formula de determinare a valorii riscului este urmatoarea :
unde: VR - valoarea de risc VF - impactul financiar asupra organizatiei; acesta reprezinta un cost potential al organizatiei n eventualitatea aparitiei unei erori, caderi de sistem, fraude sau alte evenimente negative. Valoarea materiala va fi data de valoarea financiara sau valoarea activelor. Impactul asupra organizatiei poate fi sporit prin intermediul unui multiplicator non financiar: [(Cv*Wv)+(Cc*Wc)+(Ci*Wi)] Acest model de calcul poate fi privit ca un punct culminant al analizei factorilor de risc: vulnerabilitate, complexitate si ncredere. Cv - vulnerabilitatea, se refera pe de o parte la modul n care utilizatorii autorizati au acces n sistem si pe de alta parte la accesibilitatea sistemului si a activelor organizatiei de catre utilizatori neautorizati. Accesibilitatea unui sistem informational se poate evalua n functie de restrictiile fizice implementate n cadrul organizatiei si de modalitatile de acces prin intermediul retelei de comunicatie. Cc - complexitatea - are n vedere riscul asociat tehnologiei informationale n sine, numarul utilizatorilor din cadrul compartimentelor sau n termeni mai generici complexitatea organizationala. Ci - ncrederea, reflecta comportamentul uman din organizatie si vizeaza doua aspecte: integritatea personalului si gradul de implicare al managerilor. Wv, Wc, Wi - reprezinta factori de greutate (importanta) care pot fi aplicati la discretia auditorului, n functie de conditiile specifice. Initial, acesti factori pot fi stabiliti la o valoare de 0.33 n vederea determinarii unui multiplicator mediu general al riscului ; aceasta valoare nu este fixa si atunci cnd se considera ca unul dintre elemente are un impact mai mare dect celelalte, se pot folosi valori diferite. Valoarea de risc calculata va fi transpusa ntr-un tabel de traducere, indicndu-se nivelul de risc; n proiectarea acestui tabel, auditorii au n vedere urmatoarele reguli: valoarea cea mai scazuta de risc = 0 si valoarea cea mai ridicata se apreciaza ca fiind valoarea totala (financiara) a organizatiei multiplicata cu 3. Etapa 8. - Recomandari asupra unor controale adecvate. Scopul acestei etape se rezuma la recomandarile auditorului asupra controalelor necesare a fi implementate pentru reducerea nivelului de risc la un nivel acceptabil. n mod implicit, auditorul va determina nivelul riscului rezidual definit ca acel nivel de risc ce ramne dupa analiza si evaluarea tuturor masurilor de combatere a riscurilor. Riscul rezidual ia forma unei concluzii la care s-a ajuns n urma unui proces de analiza a lui si trebuie sa contina:
semnalarea punctelor slabe, nevralgice ale sistemului asociate cu amenintarile corespunzatoare si probabilitatea lor de a avea loc; toate masurile (recomandarile) ce se impun a fi aplicate daca riscul rezidual nu se ncadreaza la un nivel acceptabil.
Numim risc nesigurana asociat oricrui rezultat. Nesigurana se poate referi la probabilitatea de apariie a unui eveniment sau la influena, la efectul unui eveniment n cazul n care acesta se produce. Riscul apare atunci cnd:
un eveniment se produce sigur, dar rezultatul acestuia e nesigur; efectul unui eveniment este cunoscut, dar apariia evenimentului este nesigur; att evenimentul ct i efectul acestuia sunt incerte.
ntocmirea unor liste de control care cuprind surse poteniale de risc; analiza documentelor disponibile n arhiva firmei, pentru identificarea problemelor care au aprut n situaii similare celor curente; utilizarea experienei personalului prin invitarea acestora la o edin formala de identificare a riscurilor. De multe ori oamenii de specialitate sunt contieni de riscuri i probleme pe care ceilali nu le sesizeaz. O comunicare eficient este una dintre cele mai bune surse de identificare i diminuare a riscurilor; identificarea riscurilor impuse din exterior (prin legislaie, schimbri n economie, tehnologie) prin desemnarea unei persoane care s participe la ntrunirile asociaiilor
Etapa 9. - Documentarea rezultatelor este ultima etapa a acestui proces ce se materializeaza sub forma unui raport scris ce va include identificarea vulnerabilitatilor, amenintarilor sursa, evaluarea riscurilor si recomandarile de controale adecvate.
profesionale, la conferine i care s parcurg publicaiile de specialitate. Faza de analiz a riscului ia n considerare riscurile identificate n prima faz i realizeaz o cuantificare aprofundat a acestora. Pentru analiza riscului se folosete un instrumentar matematic divers, mergnd de la analiza probabilistic la analiza Monte Carlo. Alegerea instrumentarului matematic trebuie s fie adaptat necesitilor analizei i s in seama de acurateea datelor disponibile. Eliminarea riscurilor are scopul de a ndeprta riscurile, ns cele mai multe dintre opiunile care elimin riscul tind s scoat organizaia din afaceri. O organizaie cu aversiune prea mare fa de risc nu va supravieui mult timp i ar trebui s-i investeasc capitalul n alt parte. Diminuarea riscurilor se poate realiza printr-o serie de instrumente cum sunt:
Programarea activitilor. Dac riscurile sunt legate de termenul de execuie programarea tiinific a activitilor cu ajutorul graficelor reea poate diminua riscurile n limite rezonabile. Instruirea. Multe riscuri n IT sunt legate de personalul neinstruit n problematica securitii informaiilor. Aceasta influeneaz productivitatea i calitatea lucrrilor. Prin programe de instruire i contientizare n domeniul securitii informaiilor se poate reduce probabilitatea producerii incidentelor i efectul acestora. Reproiectarea controalelor de securitate. Riscurile pot fi de multe ori diminuate printr-o reproiectare judicioas a controalelor de securitate.
Repartizarea riscurilor este de asemenea un instrument performant de management al riscului. Aceasta se refer la prile care vor accepta o parte sau ntreaga responsabilitate pentru consecinele riscului. Repartizarea riscului trebuie s se fac inndu-se seama de comportamentul fa de risc al diferitelor organizaii implicate. n acest sens regula general de alocare a riscului este s se aloce riscul prii care poate s l suporte i s l controleze cel mai bine.
Riscul este prezent la tot pasul. Simplul fapt ca iesiti pe usa locuintei implica un risc. In aceeasi masura riscul este prezent atunci cand stati in apartament, impreuna cu mobila existenta. Nu fiti sceptici, pentru ca un studiu arata ca 400.000 de americani sunt raniti anual de catre obiecte de mobilier precum scaune, canapele sau paturi. Cum reusesc, va veti intreba? Specificam ca este vorba de raniri care implica deplasarea la camera de urgenta a spitalelor. Este totusi un numar de 10 ori mai mare decat cel al persoanelor ranite de pe urma utilizarii skateboard-urilor sau foarfecelor. Desigur, nu reprezinta o surpriza faptul ca riscul capata diferite forme. In zona securitatii IT amenintarile includ angajati nemultumiti, fosti angajati concediati, parole lasate aiurea pe postituri, aplicatii de instant messaging folosite si lasate deschise, precum si instrumente de hacking din ce in ce mai puternice si accesibile pe scara larga tinerilor teribilisti. Fiti siguri ca va indreptati atentia intai catre acestea inainte de a cauta si identifica alte probleme exotice. Daca nu reusiti sa le identificati, luati in consideratie posibilitatea de a apela la un consultant extern (varianta de multe ori recomandata pentru cei care nu au experienta suficienta in domeniu). Sfaturi pentru o infrastructura IT sigura Computerworld USA a publicat recent 65 de sfaturi pentru a va imbunatati securitatea IT. Iata o selectie a celor mai importante:
GESTIONATI nivelul maxim de acces la informatii, ceea ce inseamna ca angajatii vor putea obtine accesul numai la informatiile strict necesare pentru derularea activitatii. Nu este nevoie ca toti membrii companiei sa aiba acces la toate datele existente.
SCHIMBATI parolele pentru administratorul de sistem atunci cand persoane-cheie din echipa IT parasesc compania.
SOLICITATI ca administratorii de retea sa ia doua saptamani consecutive de concediu pentru ca eventualele activitati frauduloase sau alte iregularitati sa iasa la suprafata in perioada cand
acestia lipsesc.
STABILITI conditii stricte de colaborare cu furnizorul extern de solutii de securitate astfel incat sa limitati pe cat se poate pierderile.
ANTICIPATI amenintarile de securitate venite din partea angajatilor nemultumiti. Acordati o atentie sporita persoanelor care pot parasi compania impreuna cu informatii ce au caracter secret.
CORELATI datele legate de accesul in biroul companiei (oferite de cartelele de acces, acolo unde este cazul) cu cele referitoare la accesul in retea, pentru a preveni cazuri precum cele in care persoane intra in cladire la ore tarzii si in aceeasi perioada de timp au loc violari ale securitatii retelei.
ASIGURATI gestionarea datelor senzitive de catre doua persoane (de exemplu, transportarea benzilor de backup de la un sediu local la sediul central sau catre locul de depozitare). Nu lasati o singura persoana nemonitorizata sa se afle in posesia datelor private ale companiei.
BLOCATI transferul fisierelor prin intermediul programelor de instant messaging utilizate de catre utilizatorii de asemenea aplicatii din interiorul retelei.
ANGAJATI persoane cu experienta pentru a investiga cazuri de frauda pe computer. Chiar si cei mai experimentati administratori de sistem din companie pot trece cu vederea peste unele probe ce pot ajuta la deslusirea
STUDIATI permanent noile cai de atac pe care le folosesc persoanele rau intentionate din afara companiei pentru a intra in posesia datelor private ale companiei.
12 greseli facute de managerii IT in securizarea sistemelor informatice Greseala este fara indoiala un element strans legat de natura umana. Securitatea infrastructurii IT a sistemelor este un domeniu in care greselile pot determina prejudicii importante pentru companii, din aceste motive administratorii si managerii IT este necesar sa acorde o atentie deosebita principalelor greseli care le pot face in aceste operatiuni. Ken M. Shaurette, consultant la MPC Solutions, a realizat un top al principalelor 12 greseli ale managerilor IT in implementarea politicilor de securitate.
1. Configurarea inadecvata a sistemelor de securitate (firewall, antivirus, detectia de intrusi). 2. Incercarea de a rezolva toate problemele de securitate prin prisma tehnologiilor, fara a tine cont de implicarea utilizatorilor. 3. Utilizatorii nu sunt familiarizati cu politicile si regulile de baza de securitate. 4. Lipsa unei arhitecturi de distributie a pacth-urilor si a actualizarilor de securitate. 5. Acordati mare atentie alegerii firmei de consultanta in securitate daca intentionati sa folositi serviciile unei asemenea companii. 6. Aplicarea cerintelor minime de securitate in utilizarea solutiilor informatice nu este suficienta in asigurarea unui nivel optim de siguranta in exploatare. 7. Neglijarea operatiunilor de actualizare periodica a sistemelor de operare. 8. Lipsa unei planificari a operatiunilor legate de securizarea infrastructurii IT a companiei. 9. Convingerea eronata a managerilor IT ca instalarea unei solutii firewall si a unui program antivirus asigura securitatea deplina la nivelul companiei. 10. Lipsa unei politici centralizate de management si monitorizare a securitatii la nivelul companiei. 11. Lipsa unor reguli de baza legate securitatea sistemelor informatice, care este necesar sa fie respectate de catre utilizatori. 12. Implementarea partiala sau folosirea unor solutii care nu acopera toate cerintele de securitate ale companiilor.