Securitatea apare tot mai pregnant ca un ingredient necesar in orice domeniu de activitate si a evoluat in ultimii 10 ani ca un raspuns la problemele globalizarii (via Big Brother).
Schimbarile de paradigma si evolutia ulterioara a tehnologiilor au adus concepte noi precum: securitatea fara frontiere, cloud computing, big data, mobilitate, etc.
Informatia este perisabila, volatila si de cele mai multe ori necertificata de mai multe surse, motiv pentru care puterea de procesare pentru filtrarea si analiza volumelor mari de date este in permanenta crestere. Orice sistem de securitate trebuie sa asigure confidentialitate, integritate si disponibilitate informatiei.
Se estimeaza ca peste 80% din informatiile relevante provin din surse deschise (mass-media, Internet) si peste 80% din incidente provin din interiorul organizatiei.
Astazi exista doua abordari privind securitatea afacerii:
• Prima legata de zona publica si/sau guvernamentala (gestionata de functionarul / structura de securitate si reglementata prin Legea 182/2002, HG 585/2002, HG 781/2002, ordine, directive si instructiuni ORNISS ca ANS),
• Cea de-a doua legata de zona privata (gestionata de responsabilul SMSI si reglementata de codul penal, legea dreptului de autor, arhivarea electronica etc.).
Din punct de vedere formal aceste doua abordari vizeaza aceleasi cerinte si masuri de securitate si are ca obiectiv optimizarea folosirii resurselor (oameni, procese, tehnologii).
Este bine de precizat faptul ca un sistem de managementul securitatii informatiei (SMSI) vizeaza sistemul informational (fluxurile de informatii).
Sistemul informatic si de comunicatii (SIC) este doar o parte a SMSI.
Sunt folosite doua strategii de baza privind securitatea:
• tot ceea ce nu este interzis este permis;
• tot ceea ce nu este permis este interzis.
Pentru protejarea informatiilor deosebite se apeleaza la doua tactici de implementare:
• controlul discretionar al accesului;
• controlul legal al accesului.
Organizarea securitatii
Cultura de securitate in interiorul unei organizatii este un proces de durata ce poate fi dezvoltat prin impunerea unor masuri si/sau mecanisme de securitate care sa minimizeze riscurile ce pot sa apara in procesul de business. Fiecare activitate este guvernata de amenintari, vulnerabilitati si riscuri. In momentul in care un risc depaseste un anumit nivel acceptat avem de-a face cu un incident de securitate care trebuie rezolvat (tratarea riscului pana cand se incadreaza sub nivelul acceptat).
Organizarea securitatii rezolva cel putin doua aspecte de baza:
Clasifica informatiile / resursele critice;
Stabileste responsabilitati de securitate si implicarea top managementului pentru gestionarea incidentelor de securitate si planificarea continuitatii afacerii in caz de dezastre.
Functie de marimea, procesele de business si specificul activitatii desfasurate, organizarea interna a securitatii este o activitate continua si complexa.
Managementul riscurilor
Toate entitatile din lumea reala sunt guvernate de 2 stari:
• starea de baza – incertitudinea si
• starea tranzitorie – certitudinea.
Din acest punct de vedere putem spune ca riscul se poate defini ca o certitudine cu o ambiguitate mai ridicata.
In procesul de cerificare ISO 27001:2013, prima procedura de securitate interna documenteaza managementul riscului (ISO 31000:2009) cat si resursele (umane, materiale) care au fost analizate in procesul de implementare a mecanismelor de securitate impuse (maxim 114 fata de 133 din ISO 27001:2006).
Securitatea fizica
Este un domeniu important al securitatii care poate fi dotat cu sisteme specifice de supraveghere (CATV, sisteme de control acces, sisteme perimetrale, alarmare la efractie, incendiu, cutremur etc.) care pot fi integrate intr-un sistem integrat de securitate (SIS).
Securitatea documentelor
Vizeaza securitatea documentelor atat in format electronic cat si in format tiparit. In majoritatea organizatiilor documentele care intra sau ies din organizatie sunt marcate si luate in evidenta la registratura / secretariat de catre asistent manager.
Pentru automatizarea procesului de clasificare a informatiilor in format electronic (documente, mesaje, arhive etc) este recomandata utilizarea unor aplicatii specifice (de ex. Titus).
Securitatea SIC
Pentru SIC / retelele private ale organizatiei se pot indica o multitudine de solutii profesionale de securitate: solutii AV/AS/AM, solutii de recuperare in caz de dezastru, DLP, SIEM, IAM, forensic.
Aceste solutii rezolva o mare parte din schimbul de informatii cu exteriorul (mail, mesagerie, retele sociale).
O problema acuta pentru administratorii de retea este aceea a integrarii securizate a dispozitivelor personale in retea, cerinta care nu era permisa in urma cu 5-7 ani.
Convorbirile telefonice si discutiile ambientale sunt directii in care monitorizarile sunt insuficiente (respectarea dreptului la intimitate) si care devin principalele canale de scurgere a informatiilor confidentiale.
Securitatea personalului
Personalul este resursa cea mai importanta dintr-o organizatie care poate genera peste 80% din totalul evenimentelor de securitate.
Recrutarea, intervievarea, testarea, angajarea si asigurarea resurselor conform cerintelor specifice fisei postului sunt aspecte esentiale pentru orice organizatie. Nemultumirile aparute in randul angajatilor sunt de cele mai multe ori greu de gestionat si poate produce pagube insemnate.
Aspectele legate de personal sunt urmarite la angajare, pe perioada indeplinirii functiei si ulterior la plecare (lichidare).
Securitatea juridica
Este un domeniu care trebuie sa gaseasca modalitatile legale prin care inregistrarile de securitate sa poata fi folosite in proces. In ultimii ani legislatia nationala se alinie la cea europeana motiv pentru care infractiunile informatice sunt pedepsite.
In contextul amenintarii teroriste monitorizarea spatiului cibernetic devine o necesitate. Sunt discutii referitoare la gasirea unor mecanisme, tehnici si procedee de supraveghere care sa nu incalce drepturile persoanei.
Securitatea industriala
Se refera la modul de gestionare a informatiilor si documentelor in cazul derularii unor contracte clasificate national, NATO, UE si/sau echivalent.
Inspectiile pentru completarea anexei de securitate cat si verificarile pentru obtinerea accesului la informatii clasificate sunt efectuate de autoritatile desemnate de securitate (ADS) cu sprijinul si coordonarea ORNISS ca autoritate nationala de securitate (ANS)
Lectii invatate
• nu exista securitate totala, este nevoie de a stabili un nivel de securitatea acceptabil functie de specificul activitatii desfasurate
• peste 80% din evenimentele / incidentele de securitate sunt generate din interiorul organizatiei
• analiza, proiectarea, vanzarea si configurarea unei solutii de securitate trebuie abordata intotdeauna cu Top Managementul
• gestionarea cu succes a unui SMSI intr-o organizatie este dependenta de implicarea si participarea tuturor angajatilor in rezolvarea evenimentelor / oncidentelor de securitate si in asigurarea continuitatii afacerii
• tranzitia la noul standard ISO 27001:2013 aduce urmatoarele noutati:
– securitatea informatiilor in managementul de proiecte pe baza obiectivelor bine definite (SMART) ale organiztiei
– restrictii de instalare a software-ului
– politici de dezvoltare in conditii de siguranta
– principii de inginerie sigura de sistem
– mediul de dezvoltare si testarea sistemelor in conditii de siguranta
– politici in relatiile cu furnizorii, comunicarea cu tertii
– evaluarea deciziilor, raspunsul la incidentele de securitate
– disponibilitatea facilitatilor de prelucrare a informatiilor
de Constantin Caliman, Product Manager & Chief Security Officer, IT Infrastructure Solutions Business Unit, CRESCENDO
Experienta ne recomanda!
Echipa CRESCENDO, prin expertiza si certificarile obtinute in decursul a 20 de ani de activitate, detine capabilitatile necesare pentru a va oferi un audit de securitate al infrastructuri IT&C din cadrul companiei Dvs., in vederea identificarii solutiei/solutiilor de securitate (si nu numai) care se potrivesc cel mai bine cerintelelor Dvs. de afaceri, precum si mediului informational existent.
Specialistii nostri va stau la dispozitie prin consultanta de business si suport ce vizeaza:
• Analiza de procese – faza de audit;
• Servicii de suport postimplementare 24/7;
• Servicii de audit postimplementare.
Ne puteti contacta la email securitate@crescendo.ro sau la telefon 021 211 18 58/60.
Pentru informatii utile, vizitati si site-ul nostru: www.crescendo.ro