.jpg)
Academia Română a fost creată în 1866 pentru a cristaliza cele mai înalte valori intelectuale din provinciile românești într-o societate erudită menită să consolideze identitatea națională pe baza a patru componente esențiale: limbă și literatură, istorie, etnografie și cultură. La...
Protecţie şi Conformitate
A vorbi despre securitate IT în zona organizaţiilor financiar-bancare poate părea deja puţin desuet. Băncile sunt printre cele mai avansate instituţii în implementarea unor soluţii.
Concepte precum “protecţie în adâncime” (indepth protection) sau “securitate proactivă” au fost expuse de nenumărate ori, însă e greu de spus dacă au fost şi înţelese în sensul în care aplicarea lor să confere o reală protecţie şi nu doar o acceptabilă conformitate.
În zona conformităţii, băncile au fost confruntate, în timp, cu o seamă de cerinţe, începând de la Ordine ale MCSI şi BNR, trecând prin solicitările BASEL II, ISO 27001 sau PCI DSS. Impunerea, însă, a unor reglementări solide nu a fost încă realizată. Alinierea la normele BASEL II a beneficiat de multiple amânări, alinierea la normele PCI DSS a suportat deja o amânare, amenzile par să fie după colţ, însă nimeni nu pare îngrijorat, mulţi nici nu ştiu dacă în contractele lor cu Visa şi Master Card sunt stipulate măsuri de acest tip.Într-un astfel de mediu, presupun că este dificil pentru orice CISO sau LSO să obţină finanţarea unui sistem de protecţie integrat, care să ofere şi vizibilitate asupra celor petrecute în reţea şi să asigure conformitatea.
Protecţia în adâncime presupune aşezarea mai multor straturi de protecţie în faţa atacatorului, încercând în acelaşi timp să obţii controlul şi să înceci să identifici sursa atacului. O arhitectură de securitate de acest tip este obligatorie, dar nu neapărat suficientă. Deşi realizează protecţia network-server-desktop, de la perimetru către core systems, nu poate proteja clienţii unei bănci decât în măsura în care aceştia sunt introduşi în sistem. Iar clienţii nu sunt întotdeauna binevoitori. În cazul în care nu sunteţi CISO, v-aţi pus vreodată întrebarea -“ce informaţii poate reuşi să acceseze un client autentificat?”- şi dacă da, aveţi un răspuns? Ce soluţii sau tehnologii acoperă un asemenea concept?; pot fi: IPS, Firewall, VPN, Anti Virus, VA, Content Filtering etc. Puteţi spune cum faceţi diferenţa între o soluţie sau alta pe baza nevoii concrete a organizaţiei şi cum aplicarea uneia sau alteia reduce riscul? Spre exemplificare, de curând, un important furnizor de utilităţi şi-a bazat o achiziţie pe “Gartner magic quadrant”, fără a şti că în aceeaşi perioadă soluţia respectivă era testată de NSS Labs, cu rezultate lamentabile (sub 38% rata de detecţie şi blocare); preţul a fost bun, dar nu atât de bun şi doar de dragul conformităţii, iată cum poţi să “arunci cu banii” în timp de criză.
Plaja soluţiilor de securitate s-a îmbogăţit recent cu noi concepte, sau tehnologii, precum: DLP (data loss prevention), SIM/SEM asu SIEM (security incident and event management), WAF (web application firewall), Database IPS, NAD (network annomaly detection, Flow Analyzer, etc. Cum sper că suntem de acord cu toţii deja, toate aceste tehnologii sunt complementare, în principiu, cel puţin, avem nevoie de toate.
Subliniez importanţa realizării unei analize de securitate (network, web applications, databases), considerarea instalării unui Web Application Firewall şi protecţia dedicată a bazelor de date ce stau în spatele aplicaţiilor web.
Criza a blocat bugete, securitatea IT, care nu era oricum o prioritate, rămâne cumva “în vedere”.
Atacatorii nu sunt interesaţi precum auditorii de nivelul de conformitate al cuiva, nici de câte tipuri de tehnologii şi soluţii a implementat cutare sau cutare banca, ci doar de accesul cât mai facil la informaţie. Ei ţintesc astăzi direct user-ul (clientul băncii în cazul phishing-ului) sau angajatul care poate face o greşeală în timp ce navigheaza pe Internet, fie în timpul programului, fie de acasă pe laptop-ul pus la dispoziţie de angajator. Metodele moderne de injectare a website-urilor legitime, accesarea intensivă a platformelor Web 2.0, deschid căi nebănuite atacatorilor în căutare de date confidenţiale care să-i ducă în apropierea premiului în bani dorit.
Cum pot fi cuprinse astfel de aspecte în condiţiile actuale, în ce ordine ar trebui abordate? Nu este foarte complicat; audit de securitate, analiză de risc, legislaţie, identificarea gradului de protecţie necesar, planificare, tehnologii disponibile, în funcţie şi de capacitatea de administrare, integrare, training şi monitorizare.
Chiar cu resurse interne foarte bine documentate, necesitatea apelării la un consultant sau partener specializat, atent şi răbdător în condiţii de criză apare ca evidentă.
Parerea ta conteaza: 
Cum abordam securitatea IT?
