Continutul procesului de management al securitatii IT

Continutul procesului de management al securitatii IT

Managementul securitatii este un proces sistematic, continuu si riguros cuprinzand procese de identificare, analiza, planificare, control si solutionare a riscurilor sistemului. Obiectivele de securitate pot fi sintetizate astfel:

Informatia sa fie disponibila si utilizabila atunci cand este solicitata si sistemele care ofera respectiva informatie sa prezinte mecanisme adecvate de protectie la atacuri si de refacere in caz de esec (disponibilitate).

Informatia sa fie accesibila doar utilizatorilor autorizati (confidentialitate)

Informatia este protejata impotriva modificarilor neautorizate (integritate)

Tranzactiile ca si informatia transferata in mod electronic intre
partenerii de afaceri sa fie nealterata (autenticitate si non-
repudiere).

Principalele activitati implicate de securitatea informatiilor sunt:

Politica de dezvoltare - folosind obiectivele de securitate si principiile de baza drept cadru pentru dezvoltarea politicii de securitate.

Roluri si responsabilitati - asigurarea faptului ca rolurile individuale, responsabilitatile si autoritatile sunt clar communicate si intelese de toata lumea.

Proiectarea - dezvoltarea cadrului de securitate si control care consta din standarde, masuri, practici si proceduri.

Monitorizarea - stabilirea mijloacelor de monitorizare pentru detectarea si corectarea breselor de securitate si asigurarea conformitatii cu politica, standardele si practicile minimale de securitate acceptabile.

Constientizarea, formarea si educarea - constientizarea necesitatii protejarii informatiei si pregatirea utilizatorilor in domeniul practicilor de securitate.

Este necesara o monitorizare si testare permanenta a infrastructurii si a mediului cu privire la vulnerabilitati si luarea masurilor adecvate si actualizarea politicilor asa cum arata figura 3.2:

Figura 3.2. Actualizarea politicilor de securitate⁴

Estimarile la un anumit moment de timp, pot indica existenta unei politici de securitate corespunzatoare, corect implementata precum si existenta unui control permanent al securitatii sistemului. În timp insa, pe masura dezvoltarii sistemului prin implementarea noilor tehnologii, se produc inevitabil mutatii ale mediului de lucru IT, modificari ale aplicatiilor si procedurilor utilizate ceea ce inseamna noi amenintari la care politica de securitate trebuie sa raspunda.

Managementul riscurilor reprezinta procesul de implementare si mentinere a contramasurilor de reducere a efectelor riscurilor la un nivel considerat acceptabil de catre managementul organizatiei. Managementul securitatii impune deci⁵:

⁴ IT Governance Institute: Guidance for Boards of Directors and Executive Management

⁵ Birjovanu R.A. - Conceptul de management al securitatii. Pe Magazine Romania, martie 2003

Analize de risc (vulnerabilitati)

Politici de securitate

Schema de securitate TI

Audit tehnic si financiar

Testarea vulnerabilitatilor si accesului neautorizat

Monitorizare (detectarea accesului neautorizat, dispozitive de identificare etc)

Instalarea si administrarea serviciilor de incredere.

Analiza riscurilor, componenta importanta a managementului riscurilor, este un proces de evaluare a vulnerabilitatilor sistemului si a ameneintarilor la care acesta este expus. Procesul de analiza identifica consecintele probabile ale riscurilor, asociate cu vulnerabilitatile, si ofera bazele intocmirii unui plan de securitate care sa raspunda unui raport corespunzator eficienta-cost.

Prin aceasta procedura se identifica controalele de securitate existente, se calculeaza vulnerabilitatile si se evalueaza efectul amenintarilor pe fiecare zona de vulnerabilitate.

Relatia existenta intre elementele definitorii ale analizei riscurilor este
prezentata in figura 3.3.

Analiza riscurilor reprezinta un proces complex care impune:

1. Acceptarea si intelegerea conceptului de risc informational precum si a faptului ca orice solutie de securitate, oricat de complexa ar fi, nu poate elimina total riscurile la care sistemul este expus. in egala masura trebuie inteles faptul ca, pe masura cresterii complexitatii solutiei de securitate creste si costul acesteia, dar si restrictiile impuse la nivelul sistemului informatic.
2. Analiza vulnerabilitatilor sistemului informatic si a masurilor de
   protectie existente.
3. Cuantificarea diferitelor niveluri ale riscurilor, vulnerabilitatilor
   sistemului si masurilor de protectie.
4. Estimarea efectelor in plan financiar a riscurilor prezentate de sistem.
   Este vorba de cuantificarea pierderilor posibile ca urmare a riscurilor
   identificate. Pe de alta parte este necesara determinarea costurilor
   impuse de conceperea si implementarea unei solutii de securitate.
5. Realizarea unei politici integrate de securitate. Aceasta presupune
   alegerea solutiilor tehnice si a software-ului adecvate business-ului
   organizatiei si particularitatilor sistemului informatic.

Figura 3.3

Accentuam asupra necesitatii elaborarii unei politici de securitate integrate. Elementele de securitate neintegrate conduc la politici de securitate fragmentate care inevitabil permit existenta unor brese care pot fi utilizate de potentialii atacatori ai sistemului.

Figura 3.4 Managementul securitatii

În procesul de analiza a riscurilor se recomanda ca specialistii din cadrul organizatiei sa colaboreze cu profesionisti in domeniul securitatii TI din afara organizatiei.

Procesul de management al riscurilor informationale presupune parcurgerea urmatorilor pasi:

1. Stabilirea politicii generale de securitate a sistemului informational. Politica generala de securitate va cuprinde reguli, norme, obligatii si responsabilitati aplicabile tuturor categoriilor de informatii, procese de prelucrare si angajati din cadrul organizatiei.
2. Monitorizarea sistemului.
3. Managementul evenimentelor.
4. Definirea arhitecturii de securitate care raspunde cel mai bine
   cerintelor organizatiei.
5. Control si feed-back.