ABONAMENTE VIDEO REDACȚIA
RO
EN
NOU
Numărul 144
Numărul 143 Numărul 142 Numărul 141 Numărul 140 Numărul 139 Numărul 138 Numărul 137 Numărul 136 Numărul 135 Numărul 134 Numărul 133 Numărul 132 Numărul 131 Numărul 130 Numărul 129 Numărul 128 Numărul 127 Numărul 126 Numărul 125 Numărul 124 Numărul 123 Numărul 122 Numărul 121 Numărul 120 Numărul 119 Numărul 118 Numărul 117 Numărul 116 Numărul 115 Numărul 114 Numărul 113 Numărul 112 Numărul 111 Numărul 110 Numărul 109 Numărul 108 Numărul 107 Numărul 106 Numărul 105 Numărul 104 Numărul 103 Numărul 102 Numărul 101 Numărul 100 Numărul 99 Numărul 98 Numărul 97 Numărul 96 Numărul 95 Numărul 94 Numărul 93 Numărul 92 Numărul 91 Numărul 90 Numărul 89 Numărul 88 Numărul 87 Numărul 86 Numărul 85 Numărul 84 Numărul 83 Numărul 82 Numărul 81 Numărul 80 Numărul 79 Numărul 78 Numărul 77 Numărul 76 Numărul 75 Numărul 74 Numărul 73 Numărul 72 Numărul 71 Numărul 70 Numărul 69 Numărul 68 Numărul 67 Numărul 66 Numărul 65 Numărul 64 Numărul 63 Numărul 62 Numărul 61 Numărul 60 Numărul 59 Numărul 58 Numărul 57 Numărul 56 Numărul 55 Numărul 54 Numărul 53 Numărul 52 Numărul 51 Numărul 50 Numărul 49 Numărul 48 Numărul 47 Numărul 46 Numărul 45 Numărul 44 Numărul 43 Numărul 42 Numărul 41 Numărul 40 Numărul 39 Numărul 38 Numărul 37 Numărul 36 Numărul 35 Numărul 34 Numărul 33 Numărul 32 Numărul 31 Numărul 30 Numărul 29 Numărul 28 Numărul 27 Numărul 26 Numărul 25 Numărul 24 Numărul 23 Numărul 22 Numărul 21 Numărul 20 Numărul 19 Numărul 18 Numărul 17 Numărul 16 Numărul 15 Numărul 14 Numărul 13 Numărul 12 Numărul 11 Numărul 10 Numărul 9 Numărul 8 Numărul 7 Numărul 6 Numărul 5 Numărul 4 Numărul 3 Numărul 2 Numărul 1
×
▼ LISTĂ EDIȚII ▼
Numărul 60
Abonament PDF

Managementul vulnerabilităţilor și evaluarea riscurilor în domeniul securității informatice

Cristian Filip
Application Management & Support @ NTT DATA Romania



PROGRAMARE

Datorită dezvoltării tehnologice din domeniului IT, informaţiile circulă cu o viteză foarte mare, accesul utilizatorului fiind aproape instantaneu, via internet sau intranet. Informațiile unei companii se pot regăsi: în format tipărit , stocate în sistemele informatice și bineînțeles în mintea utilizatorului prin parole, username etc. . 

Ce reprezintă securitatea informaţiilor ?

Securitatea informațiilor poate fi descrisă de caracteristicile de prelucrare şi stocare ale informaţiilor de orice tip şi provenienţă, având ca scop confidenţialitatea, disponibilitatea și integritatea datelor.

Securitatea informațiilor nu este amenințată doar de acte intenționate (interceptarea comunicațiilor, viruși sau furt), ci și de elemente precum:

Vulnerabilităţile

Vulnerabilitățile în domeniul securității informatice pot fi împărțite în mai multe categorii: tehnice, legate de procedurile de acces ale angajaților în sistemele IT, organizatorice sau erori umane.

De aceea, este bine ca într-o companie politicile de acces să fie implementate după analiza de risc, ea făcând parte din metodologia conceptului de securitate şi este aplicată în toate etapele de dezvoltare a acesteia.

Analiza de risc are ca scop evaluarea vulnerabilităților și găsirea de soluții în faţa amenințărilor potențiale urmărind diminuarea posibilelor pierderi. 

Cum ne protejăm folosind Managementul sistemului de Securitate informatică ?

Este recomandat ca în toate organizaţiile să fie definit şi implementat un document cu politici, norme şi standarde de securitate. Acest document trebuie să conțină toate politicile organizatorice ale companiei referitoare la permisiuni, restricții, nivel de acces, etc. . El trebuie respectat de către angajaţi, administratori de reţea, experţi în securitate şi echipa de management.

Politica de securitate trebuie să cuprindă cel puțin următoarele capitole:

Ce trebuie să urmărim pentru a avea un Management Informatic sănătos ?

De-a lungul timpului au fost create mai multe standarde și norme de securitate, dintre care cele mai importante în domeniul securității informatice sunt:

ISO 17799 

Specifică cele mai bune practici pentru managementul securității informației. Acest standard împarte managementul securității informațiilor în diferite categorii, după cum urmează:

Health Insurance Portability and Accountability Act (HIPAA) 

A fost creat în 1996 și se ocupă cu confidențialitatea datelor medicale.

Personally identifiable information (PII) 

Se ocupă cu protejarea datelor personale de identitate.

ISO 27001 

Conţine modelul de "plan-do-check-act" şi anume planificare definire, implementare folosire, monitorizare evaluare şi în ultimă fază menţinerea şi îmbunătăţirea performanţelor.

Figura 1: Modelul "PLAN-DO-CHECK-ACT"(ehs.unc.edu)

ITIL

Constă în orientări şi în cele mai bune practici care descriu modul în care un "IT Service Management (ITSM)" poate fi pus în aplicare printr-un ciclu de viaţă.

Figura 2: Ciclul de viaţă ITIL (ITIL® v3 Foundation Study Guide, taruu LLC, 2009)

Atacuri, ameninţări şi protecţie

Atacuri

Figura 3: Destributed Denial of Service

Ameninţări :

Protecţie 

Pentru a ne proteja împotriva atacurilor şi a ameninţărilor trebuie să ne întărim securitatea dispozitivelor de reţea, să utilizăm filtre MAC, să utilizăm standarde de control al accesului la reţea precum 802 lx şi politici de grup. Sistemele trebuie monitorizate şi updatate continuu şi erorile apărute ca urmare a monitorizării trebuie reparate.

Managementul Vulnerabilităţilor prin analiza de risc

Managementul Vulnerabilităţilor este un proces prin care, pe baza riscului și costurilor asociate determinăm dacă vulnerabilitățile cu care ne putem confrunta trebuie îndepărtate, atenuate sau chiar tolerate. După stabilirea vulnerabilităților începe procesul de prevenție prin folosirea unei analize de risc care aparţine de Managementul Vulnerabilităţilor.

De asemenea, există mai multe tipuri de analiză.

Risk = Probabilitate x Pierdere

Aşteptarea de pierdere unică (APU) = valoarea bunului ($) x factorul de expunere (%) 

După calcularea aşteptării de pierdere unică putem calcula:

Aşteptarea de pierdere anuală = APU x rata anuală de apariţie

În concluzie, de îndată ce au fost identificate și ierarhizate amenințările, se va decide ce trebuie făcut pentru gestionarea acestor riscuri.

Managementul riscurilor include reducerea riscului printr-un control de securitate cu scopul de a accepta, a transfera sau a ignora.

Minimizarea riscurilor se poate face prin audituri interne de securitate periodice şi prin asigurarea respectării politicilor și procedurilor de securitate.

În ziua de azi, vedem din ce în ce mai multe ştiri despre atacuri informatice, adevărate războaie cibernetice cu efecte dezastruoase.

Managementul vulnerabilităților și evaluarea riscurilor în domeniul securității informatice reprezintă acțiuni vitale care trebuie tratate cu prioritate maximă în orice companie împotriva "black hat hackers".

Figura 4 Cyber Attacks

Bibliografie

  1. Lucrare de dizertație - "Schwachstellen-Management und Risikobewertung im Bereich Informationssicherheit" Cristian A. Filip 2. Glen E. Clarke, CompTIA Security+ Certification Study Guide, Second Edition (Exam SYO-401 ) , 2014, McGraw-Hill Education
  2. [27001] ISO/IEC 27001:2013"Information technology - Security techniques - Information security management systems requirements specification", ISO/IEC JTC1/SC27
  3. [17799] ISO/IEC 17799:2005" Information technology -- Security techniques -- Code of practice for information security management"
  4. [HIPPA]
  5. [PII]
  6. [ITIL] ITIL® v3 Foundation Study Guide, taruu LLC, 2009

NUMĂRUL 143 - Software Craftsmanship

Sponsori

  • Accenture
  • BT Code Crafters
  • Accesa
  • Bosch
  • Betfair
  • MHP
  • BoatyardX
  • .msg systems
  • P3 group
  • Ing Hubs
  • Colors in projects