Revista si suplimente
MarketWatch
Inapoi Inainte

Reducerea Conștientă a Riscurilor

28 Iunie 2004



Motivele pentru care o organizație decide să dezvolte propriul sistem de protecție IT sunt diverse. Fie că este o decizie a managementului la nivel central (cazul filialelor companiilor multinaționale), fie că se constată necesitatea protecției resurselor, teama de atacuri, de pierderi financiare sau reacția la incident etc. Într-o măsură sau alta, toate aceste motive derivă din conștientizarea riscului.


Riscul este cel care sugerează întotdeauna neprevăzutul. Prețul neglijenței se traduce deseori prin pierderea unor avantaje, nerespectarea termenelor, sau ajungerea în situații nedorite. Întrebarea care se pune este: „până la ce nivel poate fi conștientizat acest risc?“. De obicei, conștientizarea se realizează întâi la nivel general, superficial. Va exista mereu o discrepanță între riscurile cunoscute (conștientizate) și cele neconștientizate (care rezultă în urma unei analize de detaliu). Dacă depășim nivelul general al riscurilor induse de amenințările prezente în Internet sau al riscurilor previzibile din interiorul organizației, trebuie să avem în vedere că riscul la care sunt expuse sistemele informatice provine din utilizarea incorectă a tehnologiei, din partea vendorilor (aplicații cu un nivel scăzut de securitate), a administratorilor (configurări defectuoase), a utilizatorilor (greșeli de utilizare) sau din modul de circulație a informației în sistem, modul de colectare a datelor pe servere sau în bazele de date etc. Experiența ne spune că nu ne putem proteja împotriva tuturor riscurilor existente. Logica ne spune că trebuie să cunoaștem propriile riscuri și prin urmare avem nevoie să le măsurăm și să aplicăm contramăsuri în consecință. O astfel de activitate se numește în orice domeniu-analiză. Domeniul securității IT oferă câteva instrumente de analiză și măsurare a riscurilor: standarde și practici de securitate, analiza și identificarea vulnerabilităților și analiza de penetrabilitate (ethical hacking).


Security Standards & Best Practices


Este un instrument comun de măsurare a gradului de protecție într-o organizație. BS 7799, ISO 17799, ISO 13569, Orange Book etc. și-au dovedit în timp valabilitatea. Principiile enunțate în aceste standarde sunt universal valabile, diferența între ele făcând-o numai nivelul de detaliere a aspectelor de securitate avute în vedere. Gradul de conformitate cu ISO 17799 trebuie verificat încă de la început, pentru a putea urmări, pe parcursul implementării și mai ales pe parcursul întreținerii și îmbunătățirii sistemului de protecție, niște obiective măsurabile și universal valabile. Analiza trebuie realizată de specialiști cu experiență, care cunosc atât standadele, cât și cele mai bune practici și care dispun de metode de măsurare a conformității.


Vulnerability Assessment (VA)


Identificarea și Analiza Vulnerabilităților se realizează utilizând instrumente automate specializate, denumite scanere. Rolul acestor instrumente este de a descoperi toate vulnerabilitățile prezente la nivel de rețea, sistem de operare sau aplicație, de a evidenția toate configurările greșite și de a aprecia gradul de criticitate al fiecărei vulnerabilități identificate. Unele dintre aceste instrumente oferă rapoarte foarte detaliate privind atât vulnerabilitățile descoperite, cât și metodele de eliminare a acestora. Diferența între aceste instrumente o face baza de cunoștințe încorporate, gradul de actualizare și posibilitatea de corelare cu analizele similare anterioare. Un bun instrument de analiză a vulnerabilităților trebuie să dispună de o bază de cunoștințe cât mai cuprinzătoare și actuală, atât privind numărul și tipurile de vulnerabilități, cât și metodele de atac ce pot exploata fiecare vulnerabilitate în parte. De asemenea, e necesară realizarea unei analize cât mai detaliate, la nivel de rețea, server și mai ales la nivelul securității bazelor de date. Analiza realizată cu astfel de scanere oferă acces la date măsurabile cuprinse în rapoartele de scanare. Gradul de detaliere a datelor cuprinse în raport este și el foarte important, la fel coerența, inteligibilitatea și calitatea indicațiilor și remediilor oferite.


Ethical Hacking


Presupune utilizarea metodelor și intrumentelor de atac folosite de hackeri, în scopul descoperirii breșelor de securitate ce pot fi exploatate pentru a încerca și eventual reuși preluarea controlului asupra cât mai multor componente cheie ale sistemului analizat. Disponibiltatea tuturor acestor instrumente în mod public pe Internet, oferă imaginea crudă a actualității subiectelor privind securitatea IT, prin prisma accesului mai mult sau mai puțin facil la utilizarea resurselor sistemului de către un atacator. Astfel de teste sunt realizate de specialiști cu competențe avansate sau de echipe dedicate și oferă acces la rapoarte ce evidențiază situația reală a protecției datelor din sistem, alături de o cuantificare privind gradul de penetrabilitate al sistemului analizat.
Evaluarea riscurilor va defini nivelul inițial de securitate al sistemului analizat (Security Baseline). În baza regulilor cuprinse în politica de securitate putem defini gradul de protecție necesar a fi atins. Nu putem uita că noi riscuri apar din ce în ce mai des. Pe măsură ce sistemul de protecție este dezvoltat, analiza trebuie repetată, în mod periodic, asigurându-ne că securitatea organizației atinge parametrii stabiliți și că este adaptată mediului înconjurător.



Parerea ta conteaza:

(0/5, 0 voturi)

Lasa un comentariu



trimite