Analiza riscului intr-un mediu informatizat

Marketing

http://www.scritube.com/management/marketing/Analiza-riscului-intrun-mediu-1517181916.php

Analiza riscului într-un mediu informatizat

þÿ

Submit

Elementele prezentate în paragraful anterior conduc la ideea ca mediul informatizat genereaza noi riscuri si orice organizatie, în vederea asigurarii unei protectii eficiente a informatiilor, este necesar sa dezvolte un proces complex de studiu si analiza a riscurilor. Realitatea practica impune abordarea riscului informatic prin prisma a 3 factori: amenintarile privite ca evenimente sau activitati (în general, din exteriorul sistemului auditat) care pot sa afecteze vulnerabilitatile existente în orice sistem cauzând astfel impactul, apreciat a fi o pierdere sau o consecinta pe termen scurt, mediu sau lung suportata de organizatie. Riscul la nivelul unei organizatii nu poate fi eliminat, el va exista întotdeaua, managmentul societatii fiind responsabil de reducerea lui la un nivel acceptabil. În acest sens, figura 3.1 17517s1819r pune în corespondenta diferite elemente ce necesita a fi luate în calcul pentru reducerea riscului.

Figura nr.3.1 Componentele riscului IT1[1] În acest context, riscul informatic se poate caracteriza prin urmatoarele elemente :

 Amenintarile si vulnerabilitatile proceselor sau/si activelor  Impactul asupra activelor bazat pe vulnerabilitati si amenintari  Frecventa de aparitie a amenintarilor. Odata identificate, riscurile trebuie evaluate în functie de gravitatea efectelor pe care le produc.
1

d. pe care orice auditor trebuie sa le analizeze si evalueze (tehnica frecvent utilizata în acest caz este chestionarul). protectia împotriva catastrofelor naturale (inundatii. protectia fizica a suportilor de memorare. vizeaza:  Riscul securitatii fizice ce va fi evaluat în functie de informatiile culese. Intrebari PREVENIREA INCIDENTELOR.exista sisteme de stingere automata a incendiilor? . în vederea aprecierii sistemului în sine. . . riscurile asociate unui sistem informational. cutremure. . sistemelor de protectie împotriva caderilor de tensiune. crt. este protejat în mod corespunzator împotriva incendiilor : . Este controlat accesul fizic în departamentele IT? 7 Exista un loc de protejare a suportilor de memorare aflat în afara sediului firmei ? 8 Exista proceduri privind modul de stocare a informatiilor confidentiale? 9.. detectie si alarma a incendiilor.locul de depozitare a suportilor de memorare este rezistent la foc? . pastrarea copiilor de siguranta într-o alta locatie decât cea în care îsi desfasoara activitatea organizatia.exista stingatoare de incendii ?. sistemului sînt depozitate la loc sigur cu restrictionarea accesului persoanelor neautorizate ? 10.În general. a.).exista sisteme de detectie si de alarma împotriva incendiilor? . INUNDAŢIILOR sI CĂDERILOR DE TENSIUNE Da Nu Comentarii Mediul în care se desfasoara activitatea de p. Documentatiile programelor. Copiile de siguranta ale documentatiilor se afla 6 . cu privire la: existenta sistemelor de paza. 1. protectia echipamentelor împotriva furturilor.a fost instruit personalul privind situatiile in care trebuie sa alerteze echipa de prevenire a incidentelor? Rapoartele privind aparitia incidentelor sunt furnizate managementului? Echipamentele sînt protejate împotriva inundatiilor? Exista sisteme de protectie împotriva caderilor de tensiune ? Sistemele si dotarea tehnica sunt securizate impotriva furturilor? FACTORI FIZICI sI DE DOTARE 2 3 4 5. Model de chestionar utilizat pentru aprecierea riscului securitatii fizice Nr. .

.  Riscul de acces se refera la riscul asociat accesului inadecvat la sistem. actiunile auditorului presupun o analiza a managementului parolelor la nivelul organizatiei (altfel spus atribuirea si schimbarea parolelor de acces fac obiectul unei aprobari formale?). situatie în care auditorul e necesar sa analizeze masurile de securitate adoptate: existenta unui firewall.  Riscul privind integritatea datelor si tranzactiilor vizeaza toate riscurile asociate cu autorizarea. utilizarea lor la nivel de server si statii de lucru. Acest risc se poate manifesta si la nivelul unei retele locale. Implicatiile acestui risc sunt majore. Confidentialitatea informatiilor nu vizeaza doar memorarea acestora pe statiile de lucru sau servere. completitudinea si acuratetea acestora. traficul acesteia poate fi compromis. În ciuda numarului mare de programe antivirus existente este necesara o analiza a caracteristicilor programului privind: scanarea în timp real a sistemului sau monitorizarea continua a acestuia. Documentatia generala a unui sistem informatic vizeaza pe de o parte documentatia sistemului de operare sau retelei si. ci si liniile de comunicatie. Lupta cu virusii este esentiala. analiza modului de transmitere a datelor prin reteaua publica (utilizarea tehnicilor de criptare. el vizând confidentialitatea informatiilor. date sau informatii. upgrade-ul acestor programe (manual sau automat).la loc sigur ? 11. dar nu usor de realizat.VPN). În acest sens. scanarea mesajelor e-mail. existenta unei retele virtuale private . integritatea datelor sau bazelor de date si disponibilitatea acestora.  Riscul legat de documentatia sistemului informatic. în functie de disponibilitatea sistemului la reteaua publica.  Riscul privind protectia antivirus ce impune o analiza a existentei programelor antivirus în entitate. o analiza a protectiei statiilor de lucru (sunt acestea dotate cu soft care sa blocheze accesul la retea. Echipamentele de comunicatie sînt protejate în mod corespunzator ? CONTROLUL ACTIVITĂŢILOR DE DUPĂ PROGRAMUL DE LUCRU 13 14 15 16 17 Exista un nivel mai ridicat de control dupa terminarea programului? Sunt securizate calculatoarele dupa terminarea programului de lucru? Sunt securizate cheile si cardurile de acces? Sunt monitorizate echipele de curatenie si mentenanta? Exista un jurnal pentru identificarea persoanelor care au avut acces la sistemul informatic în afara orelor de program?  Riscul de comunicatie poate lua valente diferite. pe de alta parte. o investigare a încercarilor de accesare neautorizata a sistemului (exista o jurnalizare a acestora ?). modul de configurare a acestuia. Serverele se afla într-o încapere separata ? 12. atunci când configurarea acesteia lasa de dorit si prin “ascultarea” liniilor de comunicatie. atunci când utilizatorul nu se afla la statia sa ?). scanarea manuala.

aplicatiilor. Analiza controalelor existente la nivelul sistemului informatic. nu este inteligibila. administrarea si utilizarea produsului. utilizatori si operatori astfel încât sa ajute la instalarea. Alocarea unui numar prea mare de responsabilitati la nivelul unei singure persoane sau unui grup de persoane este semnul unei organizari interne defectuoase. a planurilor de refacere în caz de dezastre. în absenta unor proceduri de monitorizare a activitatii. este accesibila persoanelor neautorizate. Identificarea vulnerabilitatilor. Identificarea amenintarilor.documentatia aplicatiilor instalate. Caracterizarea sistemului informational. La baza unui mediu de control adecvat stau competenta si integritatea personalului. software.3 Managementul riscurilor IT Literatura de specialitate defineste managementul riscului ca fiind „procesul de identificare a vulnerabilitatilor si amenintarilor din cadrul unei organizatii. 3. nu este actualizata. Riscurile asociate documentatiei se pot referi la faptul ca. dezastrelor. 7.  Riscul de personal poate fi analizat prin prisma urmatoarelor criterii:  Structura organizationala la nivelul departamentului IT ce va avea în vedere modul în care sunt distribuite sarcinile si responsabilitatile în cadrul acestuia. specializarea. Determinarea probabilitatii de realizare a amenintarilor. oameni si procese) pentru a sustine nevoile acesteia. 4. 2. caderilor de sistem care pot conduce la pierderi definitive ale datelor. retele. Aceasta documentatie poate fi diferita pentru administratori. precum si de elaborare a unor masuri de minimizare a impactului acestora asupra resurselor informationale”. evaluarea performantelor si promovarea angajatilor. 2 .  Practica de selectie a angajatilor. ceea ce implica din partea auditorilor o analiza a politicilor si procedurilor organizatiei privind angajarea. disponibilitate) este riscul asociat pericolelor naturale. operarea. Determinarea riscului. 6. 5.  Riscul de infrastructura se concretizeaza în faptul ca organizatia nu detine o infrastructura efectiva a tehnologiei informatiei (hardware. 3. Analiza impactului. aceasta nu reflecta realitatea în ceea ce priveste sistemul. Demersul metodologic al acestui proces2[2] include urmatoarele etape:  Riscul de management al situatiilor neprevazute (risc de 1.

element ce trebuie analizat în functie de: . informatii care vor viza echipamentele hardware. documentatia sistemului. intruziuni ale sistemului. interfetele sistemului. utilizatorii sistemului informatic.8. atacuri de tip „hacking”. foc. Etapa 1. Recomandari asupra unor controale adecvate. auditorul va desfasura în primul rând o activitate de colectare a informatiilor despre sistemul informational.  naturala (cutremure. cauzând pierderi semnificative.1 releva diferite surse de amenintari umane cu actiunile generatoare: Sursa amenintarii Hackeri. acces neautorizat la date confidentiale)  de mediu (caderi de tensiune pe termen lung. datele si aplicatiile importante. crackeri Criminalitate informatica Actiunea amenintarilor Intruziuni în sistem. Cu titlu exemplificativ. poluare.Caracterizarea sistemului. utilizarea unor instrumente de scanare automata a sistemului informatic (SATAN este doar un exemplu de astfel de instrument ce permite detectarea vulnerabilitatilor unei retele de calculatoare). Amenintarile sunt acele evenimente sau activitati. care pot afecta la un moment dat punctele slabe ale acestuia. Documentarea rezultatelor. Etapa 2 – Identificarea amenintarilor.controalele existente. în general externe unui sistem. senzitivitatea datelor si sistemului în vederea aprecierii nivelului de protectie ce este necesar a fi realizat pentru asigurarea integritatii. Un element esential în cadrul acestei etape îl reprezinta determinarea probabilitatii de realizare a acestei amenintari. 1.vulnerabilitatea potentiala . tornade. tabelul 3. Cele mai utilizate tehnici de investigare pentru colectarea acestor informatii sunt: chestionarele. confidentialitatii si disponibilitatii datelor. În general o amenintare este o forta potentiala care poate degrada confidentialitatea si integritatea sistemului. . interviurile. actiuni de tip spoofing. etc)  umana (atacuri într-o retea. 9. generând adeseori întreruperi de servicii ale acestuia. software.sursa amenintarii. a limitelor sistemului informatic analizat. La nivelul acesteie etape. acces neautorizat la sistem Acte frauduloase. Rezultatele acestei etape vor furniza o imagine a mediului informatizat. umiditate) .

caii troieni. Scopul acestei etape este de a dezvolta o lista a vulnerabilitatilor sistemului (lipsuri sau slabiciuni) care pot fi exploatate de surse de amenintare potentiale. teroristi. angajati concediati) Utilizatori Obtinerea accesului neautorizati neautorizat la fisierele sensibile ale sistemului. etc. În acest context este necesara o analiza a vulnerabilitatilor – amenintarilor pereche exemplificata. persoane Declansarea automata a automata a datelor neglijente stingatoarelor de foloseste pentru stingerea incendii. coruperea datelor. interferarea sistemului în mod distructiv. bazat pe vulnerabilitati cunoscute. permite accesul (hackeri. într-o maniera limitata. incendiilor „împrastietoare” de apa (încastrate în tavan) fapt ce poate afecta în mod negativ echipamentele hardware. introducerea unor date false. sistemul în sine furnizându-i diferite metode de remediere a acestora (este si exeplul sistemului de operare Windows – Internet Explorer. acces neautorizat. Tabelul 3.1 – Surse de amenintari umane la nivelul unui sistem informational Etapa 3 – Identificarea vulnerabilitatilor. care în momentul detectarii unor slabiciuni în proiectarea securitatii sistemului face disponibile pentru utilizatori „patch-uri” pentru remedierea slabiciunilor date). Firewall-ul companiei permite un acces la sistem prin serviciul Telnet Unul din partenerii societatii a identificat slabiciuni în proiectarea securitatii sistemului. . Utilizatori Utizarea serviciului neautorizati Telnet.Terorism Spionaj industrial Atacuri angajatior Penetrarea sistemului.2. ale Fraude si erori. Vulnerabilitate Sursa amenintarii Identificatorul (ID) Salariati concediati angajatilor concediati nu este eliminat din sistem Actiunea amenintarii Conectare la reateaua organizatiei si acceseaza datele acesteia. la fisierele din sistem. în cadrul tabelului 3. Centrul de prelucrare Foc. Penetrarea sistemului. captarea datelor dintr-o linie de comunicatie neprotejata. introducerea virusilor. acces neautorizat la sistem.

. descrie efectul amenintarii si se poate manifesta ca o pierdere financiara directa.mecanisme de identificare si autentificare. „Mediu” – sursa amenintarii este foarte motivata si suficient de capabila. Etapa 5 – Determinarea probabilitatii de realizare a amenintarilor. impactul este specific fiecarei organizatii. dar controalele existente pot împiedica declansarea vulnerabilitatii. este necesar ca auditorul sa analizeze urmatorii factori:  capacitatea si motivatia sursei de amenintare  natura vulnerabilitatii  existenta si eficienta controalelor curente. de masurile de prevenire existente. depinde de activele acesteia.Tabelul 3. Pentru determinarea unei rate de probabilitate generala. . de tipul organizatiei. Acest element poate fi apreciat prin calificativele „Înalt”. cu o ulterioara consecinta financiara (figura 3. În esenta. Acest impact poate avea doua componente: un impact pe termen scurt si un impact pe termen lung. În vederea minimizarii sau eliminarii riscurilor fiecare organizatie dispune implementarea unor metode de control tehnice sau nontehnice ce pot viza: .politici de securitate .mecanisme de control al accesului. „Mediu” si „Scazut”. sau controalele exista pentru a preveni sau cel putin a împiedica semnificativ vulnerabilitatea de a se manifesta. care indica probabilitatea ca o vulnerabilitate potentiala sa fie exercitata în modelul de amenintari asociate. ca o consecinta asupra reputatiei entitatii sau ca o sanctiune temporara.metode de criptare a datelor . . în urmatoarele conditii: „Înalt” – sursa amenintarii este foarte motivata si suficient de capabila.proceduri operationale si de personal.3).2 – Exemple de amenintari – vulnerabilitati pereche Etapa 4 – Analiza controalelor. „Scazut” – sursa amenintarii este lipsita de motivatie. iar controalele de prevenire a acestor vulnerabilitati sunt ineficiente. Impactul financiar este definit ca estimarea valorica a pierderilor entitatii ca urmare a exploatarii slabiciunilor sistemului de catre amenintari.software de detectare a intruziunilor . Etapa 6 – Analiza impactului.

Modelele de risc. rezulta din impactul pe care îl au amenintarile asupra resurselor organizatiei. iar acest risc al pierderilor. amenintari.3.Figura nr. reprezinta instrumente deosebit de utile auditorilor IT pentru identificarea diferitelor tipuri de risc.Spre exemplu. impact si masuri de prevenire Impactul poate fi exprimat si el prin calificativele „Înalt”. Determinarea riscului pentru fiecare pereche vulnerabilitate amenintare particulara poate fi exprimat ca o functie ce depinde de:  probabilitatea de realizare a unei amenintari. oferind în acelasi timp informatii pentru a le determina si controla. daca : – . acestea pornesc de la premisa ca orice organizatie se poate astepta la aparitia unor pierderi cauzate de ineficienta unui sistem informatic.3 Relatia dintre vulnerabilitati.3) – derivata din multiplicarea probabilitatii de realizare a amenintarii si impactul acesteia. fie ele cantitative sau calitative. În acest sens poate fi dezvoltata o matrice a nivelului de risc (conform tabelului 3. Literatura de specialitate abordeaza doua modele de analiza a valorii riscului: modelul cantitativ si modelul calitativ .  masurile de control existente pentru reducerea sau eliminarea riscului.  marimea impactului. Etapa 7 – Determinarea riscului. „Mediu” si „Scazut”.

valoarea asociata pentru fiecare nivel de impact : 100 – Înalt 50 – Mediu 10 – Scazut. Mediu. Foarte Înalt” si nu în valori absolute .23[3]).2 Evaluarea riscurilor În acest caz. 3.3 . complexitatea si încrederea (model reprezentat în figura 3. formula de determinare a valorii riscului este urmatoarea : VR= VF * [( Cv*Wv )+( Cc*Wc )+( Ct*Wt )] 3 . valoarea riscului va fi exprimata prin calificativele “Foarte Scazut . vulnerabilitatea.. Înalt.5) Scazut (0. Figura nr.1) Scazut (10) Scazut (10) Scazut (5) Scazut (1) Impact Mediu (50) Înalt (100) Mediu (50) Înalt (100) Mediu (25) Mediu (50) Scazut (5) Scazut (10) Tabelul 3. Probabilit atea amenintar ii Înalt (1) Mediu (0.probabilitatea asociata pentru fiecare nivel de realizare a amenintarii este : 1 .Înalt 2 – Mediu 3 – Scazut . conform caruia sunt luati în calcul 4 factori de baza în aprecierea valorii riscului: impactul financiar.Matricea nivelului de risc Specialistul Alan Oliphant propune un model calitativ de determinare a nivelului de risc. «Scazut.

acesta reprezinta un cost potential al organizatiei în eventualitatea aparitiei unei erori.are în vedere riscul asociat tehnologiei informationale în sine.reprezinta factori de greutate (importanta) care pot fi aplicati la discretia auditorului.Recomandari asupra unor controale adecvate. Etapa 8. . Cc . reflecta comportamentul uman din organizatie si vizeaza doua aspecte: integritatea personalului si gradul de implicare al managerilor. indicându-se nivelul de risc. fraude sau alte evenimente negative. Scopul acestei etape se rezuma la recomandarile auditorului asupra controalelor necesare a fi implementate pentru reducerea nivelului de risc la un nivel acceptabil.încrederea. aceasta valoare nu este fixa si atunci când se considera ca unul dintre elemente are un impact mai mare decât celelalte.complexitatea . se refera pe de o parte la modul în care utilizatorii autorizati au acces în sistem si pe de alta parte la accesibilitatea sistemului si a activelor organizatiei de catre utilizatori neautorizati. auditorii au în vedere urmatoarele reguli: valoarea cea mai scazuta de risc = 0 si valoarea cea mai ridicata se apreciaza ca fiind valoarea totala (financiara) a organizatiei multiplicata cu 3. în functie de conditiile specifice. Accesibilitatea unui sistem informational se poate evalua în functie de restrictiile fizice implementate în cadrul organizatiei si de modalitatile de acces prin intermediul retelei de comunicatie. în proiectarea acestui tabel. se pot folosi valori diferite. Wc.unde: VR . Ci . Wv. Valoarea de risc calculata va fi transpusa într-un „tabel de traducere”. caderi de sistem.valoarea de risc VF . Wi . Valoarea materiala va fi data de valoarea financiara sau valoarea activelor.impactul financiar asupra organizatiei. Initial. Riscul rezidual ia forma unei concluzii la care s-a ajuns în urma unui proces de analiza a lui si trebuie sa contina: . Cv . Impactul asupra organizatiei poate fi sporit prin intermediul unui multiplicator non financiar: [(Cv*Wv)+(Cc*Wc)+(Ci*Wi)] Acest model de calcul poate fi privit ca un punct culminant al analizei factorilor de risc: vulnerabilitate. auditorul va determina nivelul riscului rezidual definit ca acel nivel de risc ce ramâne dupa analiza si evaluarea tuturor masurilor de combatere a riscurilor. numarul utilizatorilor din cadrul compartimentelor sau în termeni mai generici complexitatea organizationala.33 în vederea determinarii unui multiplicator mediu general al riscului . acesti factori pot fi stabiliti la o valoare de 0. complexitate si încredere. În mod implicit.vulnerabilitatea.

dar apariţia evenimentului este nesigură. Riscul apare atunci când: • • • un eveniment se produce sigur. nevralgice ale sistemului asociate cu amenintarile corespunzatoare si probabilitatea lor de a avea loc. semnalarea punctelor slabe. Reacţia la risc cuprinde măsuri şi acţiuni pentru diminuarea. utilizarea experienţei personalului prin invitarea acestora la o şedinţă formala de identificare a riscurilor. Riscul poate fi identificat folosind diferite metode: • • • • întocmirea unor liste de control care cuprind surse potenţiale de risc. identificarea riscurilor impuse din exterior (prin legislaţie. Nesiguranţa se poate referi la probabilitatea de apariţie a unui eveniment sau la influenţa.datasecurity.  toate masurile (recomandarile) ce se impun a fi aplicate daca riscul rezidual nu se încadreaza la un nivel acceptabil. schimbări în economie. O comunicare eficientă este una dintre cele mai bune surse de identificare şi diminuare a riscurilor.5 Reprezentarea riscului rezidual4[4] 4 Managementul riscurilor în IT http://www. analiza riscului şi reacţia la risc. tehnologie) prin desemnarea unei persoane care să participe la întrunirile asociaţiilor . pentru identificarea problemelor care au apărut în situaţii similare celor curente. De multe ori oamenii de specialitate sunt conştienţi de riscuri şi probleme pe care ceilalţi nu le sesizează. Figura nr. organizarea unor şedinţe de identificare a riscurilor şi analiza documentelor arhivate. la efectul unui eveniment în cazul în care acesta se produce. efectul unui eveniment este cunoscut. dar rezultatul acestuia e nesigur. Numim risc nesiguranţa asociată oricărui rezultat.ro/?p=33 Realizarea obiectivelor firmei presupune cunoaşterea şi asumarea unor riscuri multiple. Identificarea riscului se realizează prin întocmirea unor liste de control.3. Procesul de management al riscului cuprinde trei faze: identificarea riscului. simularea Monte Carlo şi arborii decizionali. eliminarea sau repartizarea riscului. atât evenimentul cât şi efectul acestuia sunt incerte. analiza documentelor disponibile în arhiva firmei. Analiza riscului utilizează metode cum sunt: determinarea valorii aşteptate.

mergând de la analiza probabilistică la analiza Monte Carlo. Prin programe de instruire şi conştientizare în domeniul securităţii informaţiilor se poate reduce probabilitatea producerii incidentelor şi efectul acestora. Repartizarea riscurilor este de asemenea un instrument performant de management al riscului. Aceasta se referă la părţile care vor accepta o parte sau întreaga responsabilitate pentru consecinţele riscului. Pentru analiza riscului se foloseşte un instrumentar matematic divers.ro/content/view/516/36/ Riscul este un element definitoriu in exploatarea sistemelor informatice. la conferinţe şi care să parcurgă publicaţiile de specialitate. Nu se poate spune ca s-a gasit un panaceu universal.Documentarea rezultatelor este ultima etapa a acestui proces ce se materializeaza sub forma unui raport scris ce va include identificarea vulnerabilitatilor. În acest sens regula generală de alocare a riscului este să se aloce riscul părţii care poate să îl suporte şi să îl controleze cel mai bine.securizare. Repartizarea riscului trebuie să se facă ţinându-se seama de comportamentul faţă de risc al diferitelor organizaţii implicate. Riscurile pot fi de multe ori diminuate printr-o reproiectare judicioasă a controalelor de securitate. Eliminarea riscurilor are scopul de a îndepărta riscurile. respectarea unor reguli de baza in ceea ce priveste securitatea va conduce la diminuarea riscurilor si . Multe riscuri în IT sunt legate de personalul neinstruit în problematica securităţii informaţiilor. Instruirea. Faza de analiză a riscului ia în considerare riscurile identificate în prima fază şi realizează o cuantificare aprofundată a acestora.Etapa 9. Totusi. însă cele mai multe dintre opţiunile care elimină riscul tind să scoată organizaţia din afaceri. Reproiectarea controalelor de securitate. Dacă riscurile sunt legate de termenul de execuţie programarea ştiinţifică a activităţilor cu ajutorul graficelor reţea poate diminua riscurile în limite rezonabile. O organizaţie cu aversiune prea mare faţă de risc nu va supravieţui mult timp şi ar trebui să-şi investească capitalul în altă parte. Aceasta influenţează productivitatea şi calitatea lucrărilor. profesionale. evaluarea riscurilor si recomandarile de controale adecvate. Diminuarea riscurilor se poate realiza printr-o serie de instrumente cum sunt: • • • Programarea activităţilor. capabil sa elimine in totalitate riscul de utilizare al solutiilor IT&C. Riscuri in exploatarea aplicatiilor informatice http://www. . Alegerea instrumentarului matematic trebuie să fie adaptată necesităţilor analizei şi să ţină seama de acurateţea datelor disponibile. amenintarilor sursa.

canapele sau paturi. Sfaturi pentru o infrastructura IT sigura Computerworld USA a publicat recent 65 de sfaturi pentru a va imbunatati securitatea IT. ceea ce inseamna ca angajatii vor putea obtine accesul numai la informatiile strict necesare pentru derularea activitatii. va veti intreba? Specificam ca este vorba de raniri care implica deplasarea la camera de urgenta a spitalelor. Iata o selectie a celor mai importante: • GESTIONATI nivelul maxim de acces la informatii. Este totusi un numar de 10 ori mai mare decat cel al persoanelor ranite de pe urma utilizarii skateboard-urilor sau foarfecelor. Cum reusesc. In zona securitatii IT amenintarile includ angajati nemultumiti. precum si instrumente de hacking din ce in ce mai puternice si accesibile pe scara larga tinerilor teribilisti. Daca nu reusiti sa le identificati. • SOLICITATI ca administratorii de retea sa ia doua saptamani consecutive de concediu pentru ca eventualele activitati frauduloase sau alte iregularitati sa iasa la suprafata in perioada cand . Simplul fapt ca iesiti pe usa locuintei implica un risc.folosirea optima a sistemelor informatice. Desigur. Nu este nevoie ca toti membrii companiei sa aiba acces la toate datele existente.000 de americani sunt raniti anual de catre obiecte de mobilier precum scaune. luati in consideratie posibilitatea de a apela la un consultant extern (varianta de multe ori recomandata pentru cei care nu au experienta suficienta in domeniu). parole lasate aiurea pe postituri. pentru ca un studiu arata ca 400. impreuna cu mobila existenta. Riscul este prezent la tot pasul. In aceeasi masura riscul este prezent atunci cand stati in apartament. • SCHIMBATI parolele pentru administratorul de sistem atunci cand persoane-cheie din echipa IT parasesc compania. fosti angajati concediati. nu reprezinta o surpriza faptul ca riscul capata diferite forme. Fiti siguri ca va indreptati atentia intai catre acestea inainte de a cauta si identifica alte probleme exotice. Nu fiti sceptici. aplicatii de instant messaging folosite si lasate deschise.

acestia lipsesc. din aceste motive administratorii si managerii IT este necesar sa acorde o atentie deosebita principalelor greseli care le pot face in aceste operatiuni. transportarea benzilor de backup de la un sediu local la sediul central sau catre locul de depozitare). • ANGAJATI persoane cu experienta pentru a investiga cazuri de frauda pe computer. consultant la MPC Solutions. Shaurette. 12 greseli facute de managerii IT in securizarea sistemelor informatice Greseala este fara indoiala un element strans legat de natura umana. • STABILITI conditii stricte de colaborare cu furnizorul extern de solutii de securitate astfel incat sa limitati pe cat se poate pierderile. • CORELATI datele legate de accesul in biroul companiei (oferite de cartelele de acces. Securitatea infrastructurii IT a sistemelor este un domeniu in care greselile pot determina prejudicii importante pentru companii. Nu lasati o singura persoana nemonitorizata sa se afle in posesia datelor private ale companiei. acolo unde este cazul) cu cele referitoare la accesul in retea. a realizat un top al principalelor 12 greseli ale managerilor IT in implementarea politicilor de securitate. Chiar si cei mai experimentati administratori de sistem din companie pot trece cu vederea peste unele probe ce pot ajuta la deslusirea • STUDIATI permanent noile cai de atac pe care le folosesc persoanele rau intentionate din afara companiei pentru a intra in posesia datelor private ale companiei. . • ANTICIPATI amenintarile de securitate venite din partea angajatilor nemultumiti. • BLOCATI transferul fisierelor prin intermediul programelor de instant messaging utilizate de catre utilizatorii de asemenea aplicatii din interiorul retelei. pentru a preveni cazuri precum cele in care persoane intra in cladire la ore tarzii si in aceeasi perioada de timp au loc violari ale securitatii retelei. Acordati o atentie sporita persoanelor care pot parasi compania impreuna cu informatii ce au caracter secret. • ASIGURATI gestionarea datelor senzitive de catre doua persoane (de exemplu. Ken M.

3. Lipsa unei politici centralizate de management si monitorizare a securitatii la nivelul companiei. 9. . Acordati mare atentie alegerii firmei de consultanta in securitate daca intentionati sa folositi serviciile unei asemenea companii.1. 2. Configurarea inadecvata a sistemelor de securitate (firewall. Lipsa unei planificari a operatiunilor legate de securizarea infrastructurii IT a companiei. Convingerea eronata a managerilor IT ca instalarea unei solutii firewall si a unui program antivirus asigura securitatea deplina la nivelul companiei. 6. 10. care este necesar sa fie respectate de catre utilizatori. 4. Lipsa unor reguli de baza legate securitatea sistemelor informatice. Utilizatorii nu sunt familiarizati cu politicile si regulile de baza de securitate. 12. 5. Neglijarea operatiunilor de actualizare periodica a sistemelor de operare. antivirus. 11. fara a tine cont de implicarea utilizatorilor. 8. 7. Incercarea de a rezolva toate problemele de securitate prin prisma tehnologiilor. Aplicarea cerintelor minime de securitate in utilizarea solutiilor informatice nu este suficienta in asigurarea unui nivel optim de siguranta in exploatare. Implementarea partiala sau folosirea unor solutii care nu acopera toate cerintele de securitate ale companiilor. detectia de intrusi). Lipsa unei arhitecturi de distributie a pacth-urilor si a actualizarilor de securitate.