Revista si suplimente
MarketWatch
Inapoi Inainte

Metrici pentru securitatea informaţiei – calea cea mai uşoară pentru a obţine bugetele necesare ca să dormiţi liniştiţi

29 Iunie 2008



Amateurs study Cryptography; professionals study Economics.”
(Allan Schiffman, CTO of Usable Security Systems)


Butada de mai sus, pomenită cu scopul evident de a şoca, este unul din primele lucruri care îmi vin în minte în următoarele situaţii:
a. Un CSO îmi spune că nu are buget pentru securitate sau că acest buget tocmai i-a fost tăiat în favoarea extinderii ERP-ului organizaţiei;
b. Un ofertant de tehnologie (integrator, reseller sau chiar distribuitor) se plânge de numărul mic de proiecte din domeniul securităţii;
c. Un manager de business mărturiseşte că îi este greu să estimeze cât îl costă o oră de întrerupere a procesului de business de care răspunde;
d. Persoana responsabilă cu un proiect de securitate amână începutul proiectului pentru că nu are încă viză de la financiar;
…şi lista poate continua.

De ce se ajunge aici în multe dintre proiectele din România (şi nu numai la noi, boala manifestându-se la nivel mondial)? Cel mai la îndemână răspuns este că orice investiţie în securitate nu sporeşte profitul unei organizaţii ci, cel mult, ajută la securizarea acestuia, diminuând sau prevenind pierderile. Este o observaţie de bun simţ, însă personal o consider ca şi un răspuns superficial în acelaşi timp.
Pentru a cuantifica beneficiile unei cheltuieli cu securitatea s-a introdus termenul de ROSI (Return on Security Investment) care se poate calcula în felul următor:
ROSI = R – ALE
unde R - reprezintă costurile de Recovery de-a lungul unui an şi ALE (Annual Loss Expectancy) – reprezintă previziunea de pierderi de-a lungul unui an. Cu alte cuvinte, ROSI ne arată dacă o investiţie în securitate a condus la economisirea unor costuri de recuperare în urma unor incidente pe care această investiţie le-a eliminat.
Cu toate acestea – şi vedeţi acum şi de ce am considerat răspunsul superficial – introducerea de calcule de tip ROSI nu a condus la creşterea asteptată a bugetelor alocate securităţii. S-au facut chiar glume cum că singura chestie cuantificabilă din ALE este A (annual), restul fiind chestiuni relative (L-loss, E-expectancy). Şi asta pentru că ROSI singur nu răspunde la următoarele întrebări pe care un Financial Officer le-ar pune în mod natural:
• Chestia asta îmi va face business-ul mai sigur? Cât de sigur este el în momentul de faţă?
• Stau mai bine anul acesta faţă de anul trecut din perspectiva securităţii informaţiei?
• Oare cheltuiesc cât trebuie pentru securitate? (E mult, e puţin?)
• Cum stau dacă mă compar cu competitorii mei?
• Ce alte opţiuni am (transferarea riscului, acceptarea lui)?
Răspunsurile la aceste întrebări trebuie să fie formulate în limbajul cu care operează finanţiştii, adică în cifre. Şi practic, de aici începe provocarea majoră: cum măsurăm securitatea?
Lăsând la o parte tabăra celor care consideră asta un mit, s-au desprins deja două curente: The Thinkers şi The Feelers. Primii consideră că orice poate fi măsurat, important fiind să ţii permanent scorul; ceilalţi preferă să se exprime prin sentimente, senzaţii şi culori atunci când vorbesc despre securitate: hot, warm, critical, high, low, red, yellow, green ş.a.m.d.
Mărturisesc că nu sunt adeptul nici unuia dintre aceste curente şi nu l-aş recomanda aprioric pe nici unul. Ştiu că pe lângă noianul de activităţi zilnice e o crimă să îl pui pe un Security Manager să calculeze tot felul de dispersii, probabilităţi şi medii pentru a îşi menţine un balanced scorecard la zi; similar, ştiu că sentimentele şi senzaţiile pot descrie aproape orice, însă nu vor furniza niciodată cifrele de care are nevoie financiarul. Aşa că nu îmi rămâne decât să vă sugerez o abordare “mai umană”, bazată pe câţiva indicatori realişti şi măsurabili, dintr-un set mai larg care poate fi găsit în cartea lui Andrew Jaquith – Security Metrics: Replacing Fear, Uncertainty, Doubt.


Metrici de securitate ce pot fi urmărite pentru început


1. Raportarea la un nivel de bază
Prin aceasta înţeleg urmărirea unor aspecte de bază, cum ar fi numărul de sisteme informatice protejate de un layer de bază de tehnologii de securitate. Cu alte cuvinte, câte sisteme am în organizaţie protejate de Firewall, Antivirus, Antispam, AntiSpyware. Se poate măsura pe zone din organizaţie şi pe tipuri de tehnologii şi sugerez măsurarea sub forma procentuală (astfel veţi putea spune unui CFO că 85% din sisteme sunt protejate de toate aceste tehnologii sau că vă trebuie un produs antispyware care va proteja de spyware 95% din computerele care operează cu date financiare).


2. Latenţa aplicării Patch-urilor
Asa cum aţi intuit din nume, măsoară timpul scurs între momentul în care a fost disponibil un patch de securitate şi momentul în care acesta a fost efectiv aplicat pe sistemele vulnerabile. Se poate măsura din consola oricărei soluţii de Patch Management. Vă recomand să folosiţi medii lunare, trimestriale şi anuale şi, dacă este posibil, evoluţia să arate o tendinţă de reducere către zero a acestor timpi.


3. Complexitatea Parolelor (“tăria” parolelor)
Se măsoară foarte simplu, reprezentând durata de timp necesară pentru spargerea unei parole folosind un produs care e conceput să spargă parole. Probabil deja ştiţi cel puţin un asemenea produs comercial sau gratuit. Este de datoria mea să vă previn că, în mod normal, este interzisă folosirea lor de către personal neautorizat, deci ar trebui fie să intre în atribuţiile Dvs. să le folosiţi sau să cereţi aprobare pentru un asemenea proiect. Puteţi să iniţiaţi aceste măsurători “în joacă”, începând cu utilizatorii obişnuiţi (cei de la marketing şi sales sunt de obicei ţinte sigure) şi mergând apoi către servere şi aplicaţii; trofeul cel mai de preţ poate fi parola de administrator de domeniu (dacă v-aţi gândit la parola şefului aţi gândit greşit). Măsurarea acestui indicator va duce şi la sporirea security awareness-ului în organizaţie şi puteţi chiar premia utilizatorii cu parole “greu de spart”.


4. Scorurile de Platform Compliance
Măsoară felul în care sunt configurate şi protejate sistemele Dvs. informatice faţă de standardele comune la nivel mondial. Aceste scoruri se obţin rulând benchmark-urile stabilite de Center for Internet Security (CIS), care sunt disponibile public şi gratuit la următoarea adresă: www.cisecurity.org. Arată grija pe care o purtaţi utilizatorilor Dvs., ferindu-i de bug-uri şi vulnerabilităţi de securitate. Folosirea tool-urilor de benchmark poate fi înlocuită de scanări repetate de vulnerabilităţi care vă pot da şi descrierile acestora şi remedii; această practică a scanărilor repetate poate fi folosită şi ca să demonstraţi că sunteţi aliniaţi la standardele recunoscute din domeniu, monitorizând permanent starea sistemelor informatice din organizaţie – un tool de excepţie care îmi vine în minte în acest moment este McAfee Foundstone, care vă permite şi prioritizarea vulnerabilităţilor în funcţie de importanţa pentru business a sistemelor vulnerabile, însă dacă nu aveţi bugete pentru aşa ceva ajută şi clasicul Nessus.


5. Analiza traficului legitim de tip e-mail
Nu recomand inspectarea conţinutului mesajelor e-mail ale utilizatorilor Dvs.; este o practică ce poate încălca intimitatea acestora, deşi unele companii îşi rezervă acest drept prin AUP (Acceptable Usage Policy). Puteţi în schimb să măsuraţi câţiva indicatori pentru traficul incoming şi outgoing precum: volumul, mărimea mesajului, dimensiunea ataşamentelor, tipul acestora, flow-urile cu alte companii (de exemplu volumul de mailuri schimbate cu competitorul Dvs. principal de un angajat al firmei). Un alt indicator care îl va încânta pe CFO va fi gradul în care aţi redus numărul de Junk mailuri în companie folosind o soluţie antispam, economisind banda şi sporind productivitatea angajaţilor.
Lista de metrici poate continua; o privire în cartea lui Jaquith poate furniza seturi întregi de lucruri care pot fi măsurate şi pot furniza cifrele de care aveţi nevoie. M-am gândit că este bine să mă opresc aici, sperând că v-am sugerat câţiva indicatori care să vă ajute să răspundeţi la acel set de întrebări pe care vi le pune orice CFO. Cât despre ROSI, va trebui să îl folosiţi când construiţi business case-uri pentru noi achiziţii, nu aveţi ce face.


Provision Security este linia de business dedicată distribuţiei cu valoare adăugată de tehnologii de securitate din cadrul Provision IT Group. Provision Security reuneşte diviziile Provision Security Distribution (distribuitor în România pentru Check Point, McAfee, Juniper, Nokia, Arcsight, Aladdin, Websense, BlueCoat, Imperva, PGP, Qualys etc.) şi Provision Professional Services (centru de excelenţă în domeniul securităţii informaţiei care oferă servicii de consultanţă şi audit, servicii de
security assessment şi penetration testing, precum şi servicii de infrastructură şi servicii de training autorizat.


Horaţiu Băndoiu
ISO 27001 Lead Auditor



Parerea ta conteaza:

(0/5, 0 voturi)

Lasa un comentariu



trimite