10 Pasi pentru un Audit IT

 

Utilizarea internetului de-a lungul ultimilor 10 ani a asigurat, de la cele mai mari 500 companii Fortune până la întreprinderi (start-up-uri) cu un singur angajat, faptul că aproape fiecare companie din prezent deține o componentă IT vitală (fie că sunt conștienți sau nu de lucrul acesta).

Fiecare afacere, incluzând-o pe a ta, deține bunuri IT valoroase (computere, rețele și date specifice). Protejarea acestor bunuri necesită o atenție specială, și anume, companiile, fie ele mari sau mici trebuie să își organizeze propriile audituri de securitate IT pentru a putea avea o imagine mai clară asupra riscurilor cărora se expun, dar, în același timp pentru a putea găsi cele mai bune soluții pentru a contracara amenințările.

Următoarele puncte vor defini cei 10 pași necesari pentru organizarea unui audit minimal de securitate. Totuși, acești pași nu vor fi la fel de minuțioși ca cei propuși de consultanții avizați. Această versiune DIY (Do it yourself – Fă-o tu însuți) te va învăța pașii principali pentru a-ți proteja propria companie.

1. Definirea domeniului audit-ului dumneavoastră: Crearea unei liste de bunuri și perimetrul de securitate

Primul pas în organizarea unui audit este de a crea o listă de referință a bunurilor pe care le deține compania, pentru a putea decide mai târziu asupra a ceea ce trebuie să fie protejat prin control. În timp ce realizarea unei liste cu bunuri tangibile (computere, servere și fișiere), pare o floare la ureche, devine mult mai dificil să listezi bunurile intangibile. Pentru a asigura consistență în deciziile luate, este necesar să adăugăm un perimetru de securitate pentru audit-ul dumneavoastră.

Ce este perimetrul de securitate?

Perimetrul de securitate este atât o limită conceptuală, cât și una fizică prin care se realizează controlul securității (tot ceea ce depășește limita impusă de perimetru, este ignorată de către audit). Dumneavoastră decideți care este perimetrul de securitate, dar o regulă de căpătâi este că perimetrul de securitate ar trebui să fie cea mai mică limită care să conțină bunurile deținute și/sau pe care dorești să le controlezi pentru siguranța companiei.

Bunuri de luat în seamă

Odată ce ați schițat perimetrul de securitate, este timpul pentru a vă completa lista de bunuri. Aceasta implică evident luarea în considerare a tuturor posibilelor bunuri pe care le poate avea compania, și totodată, trierea acestora (luarea deciziei asupra bunurilor care se potrivesc, sau nu în interiorul perimetrului de securitate). Pentru început, avem mai jos o listă cu bunuri comune senzitive:

  1. Computere și laptop-uri

  2. Routere și echipament de rețea

  3. Imprimante

  4. Camere, digitale sau analog, cu

  5. Date - vânzări, informații pentru clienți, informații pentru/despre angajați

  6. Telefoane smartphone pentru companie/ PDA-uri

  7. Telefoane VoIP , IP PBXs (versiuni digitale), servere de legătură

  8. VoIP sau înregistrări de apeluri telefonice

  9. Email

  10. Activitatea zilnică a angajaților și activitățile acestora

  11. Pagini web, în special cele care cer informații despre client, și cele care sunt acoperite de script-uri web care interoghează o bază de date.

  12. Computer-ul pe care rulează server-ul

  13. Camere de securitate

  14. Cardurile de acces pentru angajați

  15. Punctele de acces (ex. orice scanner care controlează intrarea într-o încăpere)

Aceasta este însă o listă exhaustivă, deci va trebui să petreceți ceva timp pentru a putea elabora o listă completă. Cu cât mai multe detalii folosiți în listarea bunurilor (ex. 25 de laptop-uri Dell model D420 versiunea 2006, în loc de 25 de laptop-uri) cu atât mai bine, deoarece astfel veți putea recunoaște mult mai repede specificul amenințărilor pentru fiecare bun în parte.

2. Crearea unei “liste de amenințări”

 

Nu puteți proteja bunurile doar prin simplul fapt că recunoașteți ce sunt acestea, trebuie de asemenea să înțelegeți cum fiecare bun în parte poate fi amenințat. Astfel, în această etapă veți elabora o listă cu amenințări curente cu care vă confruntați.

 

Ce amenințări să includeți?

Dacă lista de amenințări este prea largă, audit-ul de securitate va sfârși prin a se focusa pe amenințările care sunt extrem de mici sau îndepărtate. Când decideți dacă vreți sau nu să inserați o amenințare particulară pe lista de amenințări”, trebuie să păstrați în minte faptul că testarea va trebui să urmeze o scală descendentă. De exemplu, dacă considerați că sunteți expus unui risc de inundație a serverelor cauzată de un uragan, ar trebui să țineți cont atât de magnitudinea evenimentului cât și de gravitatea acestuia. Chiar și amenințările moderate pot fi incluse pe listă, atât timp cât daunele produse pe care le-ar produce ar fi destul de mari pentru compania dumneavoastră.

 

Câteva amenințări commune

Pentru a putea să vă ajutăm mai bine, vă propunem o listă de amenințări comune:

  1. Computer și parole de securitate. Există o bază de date de logare a tuturor persoanelor cu parole incluse (și de ce tip). Cât de securizată este lista ACL, și cât de bune sunt parolele curente?

  2. Bunuri fizice. Computerele sau laptop-urile pot fi sustrase din incintă de către vizitatori, sau chiar angajați?

  3. Înregistrări ale bunurilor fizice. Există? Sunt acoperite?

  4. Rezerve de date. Ce rezerve există, cum pot fi acoperite, unde sunt ținute și cine coordonează procedurile?

  5. Înregistrarea datelor de acces. De fiecare dată când cineva accesează anumite informații, se loghează, alături de cine, ce, când, unde, etc.?

  6. Accesul la datele clienților (informații despre cardul de credit). Cine are acces? Cum putem controla accesul? Se poate ca această informație să fie accesată din afara companiei?

  7. Accesul la listele cu clienți. Website-ul permite acces prin alte surse în baza de date cu clienți? Poate fi spartă?

  8. Apeluri la mare distanță. Sunt restricționate, sau sunt gratuite pentru toți? Ar trebui să fie restricționate?

  9. Email-uri. Există filtre pentru spam amplasate? Angajații au nevoie să fie educați asupra detectării unor potențiale spam-uri sau email-uri cu caracter înșelător? Există o politică a firmei prin care email-urile de ieșire către clienți să nu conțină anumite tipuri de hyperlink-uri ?

3. Trecerea peste situația financiară a firmei & Viitorul firmei

Din acest moment, ați alcătuit o listă cu amenințări curente, dar cum rămâne cu amenințările de securitate care nu au apărut încă pe radar, sau nu s-au dezvoltat? Un bun audit de securitate ar trebui să ia în considerare nu numai problemele curente, ci și cele care vor putea apărea în viitor.

 

Examinarea istoricului de amenințări

Primul pas înspre a prezice viitoare amenințări este de a examina înregistrările firmei și eventualele discuții cu angajații „veterani” despre problemele din trecut pe care le-a avut firma în materie de securitate. Majoritatea amenințărilor se repetă, așa că prin catalogarea trecutului firmei și prin includerea amenințărilor relevante pe lista amenințărilor, veți putea să aveți o imagine de ansamblu asupra vulnerabilităților companiei dumneavoastră.

Verificarea tendințelor în materie de securitate

Pe lângă verificarea amenințărilor specific pentru industria dumneavoastră, ghidul ITSecurity.com acoperă trend-uri din anul 2007, oferind un blog actualizat care vă va ține la current cu cele mai noi metode de dezvoltare al domeniului de securitate. Petrece-ți ceva timp prin aceste materiale și gândiți-vă cum ar putea aceste trend-uri să vă afecteze afacerea. Dacă vă blocați, puteți întreba direct experții IT în securitate.

Verificarea competiției

Când vine vorba de amenințări exterioare, companiile care sunt adeseori rivale, se dovedesc a fi cei mai buni prieteni. Prin dezvoltarea unei relații cu competiția, puteți dezvolta o imagine mai clară asupra viitoarelor amenințări pe care le-ar putea înfrunta firma dumneavoastră prin împărtășirea informației referitoare la problemele de securitate.

4. Prioritizarea bunurilor & Vulnerabilități

Acum ați dezvoltat o listă completă a tuturor bunurilor și amenințărilor de securitate la care este expusă firma. Dar nu fiecare bun sau amenințare are același nivel de prioritate. În acest pas, vă veți prioritiza bunurile și vulnerabilitățile pentru a descoperi care sunt cele mai mari riscuri de securitate, astfel putând aloca resursele companiei în mod corespunzător.

 

Calculi de risc/Calcul de probabilitate

Cu cât este mai mare riscul, cu atât mai mare este prioritatea pe care trebuie să o acordați pentru a descoperi cauza amenințării. Formula pentru a calcula riscul este:

 

Riscul = Probabilitatea X Răul provocat (Daunele)

 

Formula de risc semnifică faptul că multiplicați șansa ca o amenințare de securitate să se întâmple (probabilitatea) înmulțită cu daunele care ar putea surveni dacă amenințarea s-ar întâmpla (Răul provocat). Numărul care rezultă din ecuație, este riscul pe care amenințarea îl prezintă pentru compania dumneavoastră.

Calcularea probabilității

Probabilitatea este pur și simplu șansa ca o amenințare anume să se întâmple. Din păcate, nu există o carte care să listeze probabilitatea ca website-ul dumneavoastră să fie spart, așa că va trebui să veniți cu aceste presupuneri de unul singur.

Primul pas în calcularea probabilității ar trebui să rezide în căutarea informațiilor referitoare la istoricul firmei cu o anumită amenințare, istoricul competitorului și câteva studii empirice despre cum tratează această situație majoritatea firmelor. Toate rezultatele vor fi denumite estimări, dar cu cât mai veridică estimarea, cu atât mai bun va fi calculul de risc.

Calcularea Râului provocat (Daunele)

Cât de multe daune poate provoca o amenințare anume dacă s-ar petrece? Calcularea daunelor potențiale ale unei amenințări poate fi făcută în nenumărate moduri. Puteți număra costul în dolari al înlocuirii bunurilor sau al veniturilor care vor fi effectuate de firmă. Sau ați putea calcula daunele în număr de ore de lucru care ar fi pierdute în încercarea remedierii unor probleme care au survenit. Totuși, orice metodă ați folosi, este important să rămâneți consistent cu privire la audit, pentru a putea obține o listă de priorități corespunzătoare.

 

Dezvoltarea planului de răspuns în caz de amenințare de securitate

Când lucrați pe noua listă de priorități proaspăt dezvoltată, va exista un anumit număr de răspunsuri potențiale la anumite amenințări. Cele 6 puncte rămase din acest articol vor acoperi răspunsurile primare pe care o firmă le poate utiliza în caz de amenințare. În timp ce răspunsurile de securitate nu sunt singura metodă de a trata amenințările, ele vor acoperi majoritatea acestora, și ca rezultat va trebui să treceți prin lista potențialelor răspunsuri înainte să considerați alte alternative.

5. Implementarea controalelor pentru acces la rețele

NAC (Network Access Controls), verifică securitatea oricărui utilizator care încearcă să acceseze o rețea. Deci, de exemplu, dacă încercați să veniți cu o soluție pentru amenințările de securitate cauzate de competiția care extrage informații despre companie în mod ilicit din locuri private de pe website-ul companiei, aplicarea controalelor pentru acces la rețele este o soluție excelentă. O parte din implementarea efectivului NAC este de a avea un ACL (Access Control List), care indică permisiunile utilizatorului asupra anumitor bunuri și resurse. NAC poate să mai includă și pașii următori: criptarea, semnături digitale, ACL, verificarea adresei de IP, numele utilizatorilor, și verificarea cookies-urilor pentru paginile web.

6. Implementarea de filtre pentru intruși

În timp ce un NAC se ocupă de amenințările oamenilor neautorizați care acceseaza rețeaua, IPS (Intrusion Prevention System) previne emergența atacurilor rău-voitoare din partea hackerilor. Cea mai comună formă a unui IPS este un firewall de generație a 2-a. Spre deosebire de firewall-urile de primă generație, care abia sunt filtre de conținut, un firewall de a 2-a generație adaugă filtrului de conținut un filtru bazat pe evaluare.

  • Bazat pe conținut. Firewall-ul descinde o inspecție în detaliu în conținutul aplicației pentru a determina dacă există riscuri.

  • Bazat pe evaluări. Firewall-urile de generația a 2-a realizează analize avansate pentru site, tiparul de trafic al rețelei sau inspecția conținutului aplicației, semnalând situații neobișnuite în fiecare caz.

7. Implementarea identității & Managementul de acces

Identitatea și managementul de acces (IAM) înseamnă controlul accesului utilizatorilor la anumite bunuri. Sub un IAM, utilizatorii trebuie, în mod manual sau automat, să se identifice pentru a se autentifica. Odată autentificați, li se oferă acces la acele bunuri pentru care au fost autorizați.

Un IAM este o soluție echitabilă când încercați să țineți angajații departe de anumite informații la care nu au acces (nefiind autorizați). Deci, pentru moment, dacă amenințarea este că angajații vor sustrage informații despre cardurile de credit ale clienților, un IAM este o soluție excelentă.

8. Crearea rezervelor

Când ne gândim la amenințarea de securitate IT, primul lucru care ne trece prin minte este hacking-ul. Dar, o mai mare amenințare comună pentru majoritatea companiilor este pierderea accidentală de informație. Cea mai ușoară metodă pentru a rezolva această problemă este instituirea și dezvoltarea unui plan pentru rezerve. Acestea sunt câteva dintre cele mai comune opțiuni de restituire a informației pe care ar trebui să le aveți în minte când dezvoltați propriul dumneavoastră plan.

  • Stocarea în cadrul sediului firmei. Această stocare poate fi realizată sub mai multe forme, incluzând hard drive-uri mobile sau casete de rezervă stocate într-un loc rezistent la foc, sau într-o camera cu acces securizat. Același tip de informație poate fi stocată pe hard driver-uri care sunt legate prin rețea intern, dar separate de un DMZ (zonă demilitarizată) din afară.

  • Stocarea în afara sediului firmei. Informația cu caracter vital poate fi stocată în afară, ca o rezervă suplimentară pentru versiunile din incinta companiei. Luați în considerare cele mai grave scenarii: Dacă ar izbucni un incendiu, hard drive-urile sau casetele digitale ar fi în siguranță? Dar în caz de uragan sau cutremur? Informațiile, datele pot fi mutate în afara sediului manual printr-un stick USB, smartphone-uri, sau printr-un VPN (Virtual Private Network – Rețea privată virtuală) prin Internet.

  • Acces securizat la rezerve. Ocazional, nevoia de a accesa rezervele de date sau informații va răsări. Accesul la astfel de rezerve, fie printr-o cameră rezistentă la foc, seif, sau printr-un centru de date extern, fizic sau printr-un VPN, trebuie să fie sigură. Asta poate însemna producerea de chei de acces, RFID (carduri de acces inteligente), parole VPN, combinații sigure, etc.

  • Programarea rezervelor de date. Backup-urile ar trebui să fie automate pe cât posibil, și programate astfel încât să cauzeze un minim de întrerupere al activității pentru compania dumneavoastră. Când stabiliți frecvența back-up-urilor, țineți cont de faptul că back-up-urile nu sunt realizate frecvent, nu se merită realizate.

9. Protecția email-urilor & Filtrarea

În fiecare zi, 55 de miliarde de mesaje spam sunt trimise prin email în lume. Pentru a limita riscul de securitate pe care îl constituie mesajele spam nedorite, filtrele spam cât și personalul instruit sunt o parte necesară din eforturile fiecărei companii înspre păstrarea unui statut securizat. Deci, dacă amenințarea cu care vă confrontați este spam-ul email-urilor, cel mai evident (și corect) răspuns ar fi să implementați o securitate de email și un sistem de filtrare pentru compania dumneavoastră.

Amenințările specifice de securitate ale email-ului cu care se confruntă compania vor determina cea mai potrivită soluție. Vă propunem câteva alternative:

  • Criptarea email-urilor. Când trimiteți email-uri către alți angajați în alte locații, sau către alți clienți, email-urile trebuie să fie criptate. Dacă aveți clienți internaționali, fiți sigur că folosiți criptarea permisă în afara SUA și Canada.

  • Încercați steganografia! Steganografia este o tehnică pentru ascunderea informației în mod discret, și vizibil publicului, de exemplu printr-o imagine digitală. Totuși, dacă nu este combinată cu criptarea, nu este sigură și poate fi detectată.

  • Nu deschideți documente neașteptate. Chiar dacă cunoașteți persoana care a trimis documentul, dacă nu așteptați un email cu atașament, nu îl deschideți, și învățați-vă angajații să facă la fel.

  • Nu deschideți email-uri neobișnuite. Niciun filtru de spam nu este perfect. Dar dacă angajații sunt instruiți despre tehnicile de spam, puteți să ajutați la menținerea bunurilor firmei fără viruși.

 

10. Prevenirea intruziunilor fizice

Deși există o nouă generație de amenințări ca hacking-ul sau spam-ul, amenințările vechi pun încă în pericol bunurile companiei. Una dintre cele mai comune amenințări este intrarea persoanelor străine, în mod voit și cu un scop cu efecte negative asupra firmei. Dacă, de exemplu, încercați să vă ocupați de o persoană care a intrat într-un birou și fură laptop-urile companiei, alături de informații de importanță maximală, atunci, implicit veți avea nevoie de un plan pentru astfel de intruziuni.

Aici aveți câteva amenințări comune însoțite de soluțiile potrivite:

  • Spargerea birourilor:Instalarea unui sistem de detectare. Companii ca ADT au o varietate de soluții pentru intrarea prin efracție, detectarea și prevenirea, incluzând sisteme de supreveghere video.

  • Furtul de laptop-uri: Criptarea hard drive-ului. Microsoft oferă un sistem de criptare care poate fi folosit pentru criptarea fișierelor pe laptop (EFS-Encrypt File System).

  • Furtul de smartphone-uri. Un nou serviciu oferit de Synchronica protejează smartphone-urile și PDA-urile, în caz de furt. Odată protejat, un telefon furat nu poate să fie folosit fără un cod de autentificare. Dacă nu este introdus corect, toate datele vor fi șterse de pe telefon și un sunet de înaltă frecvență este emis. Imediat ce telefonul dumneavoastră este recuperat, datele pot fi restaurate de pe servere de la distanță. În prezent, acest serviciu este disponibil numai în Marea Britanie, dar există alte servicii asemănătoare disponibile peste tot.

  • Copiii + Animalele = Distrugere: Prevenirea accesului neautorizat. Pentru mulți deținători de afaceri mici, oportunitatea de a lucre de acasă reprezintă un mare bonus pentru ei. Totuși, având copii/sau animale care să invadeze spațiul pentru birou sau bunurile firmei, poate adeseori să fie un risc mult mai mare decât cel al hackerilor. Prin crearea unui regulament de ordine internă, care să fie respectat, deținătorii acestor afaceri pot, cu ușurință să scape de această problemă.

  • Frauda internă a “click-ului”: Educare și blocare. Multe afaceri bazate pe site funcționează cu reclame asemănătoare cu Google AdSense pentru a primi finanțări suplimentare. Totuși, click-urile date fără atenție pe reclame de către angajați sau familie pot duce la suspendarea contului dumneavoastră. Instruiți-vă angajații, astfel prevenind site-ul companiei de la compromitere.

Concluzie

Acești 10 pași pentru a manageria propriul audit de securitate IT vă vor duce mult mai aproape de conștientizarea amenințărilor de securitate cu care se confruntă compania dumneavoastră, dar, în același timp vă vor ajuta să începeți să dezvoltați un plan pentru combaterea acestora. Ceea ce este important să rețineți este că amenințările sunt într-o continuă schimbare în ceea ce privește securitatea, iar păstrarea integrității firmei dumneavoastră ține în întregime de modul în care descoperiți problemele și gasiți răspunsurile adecvate acestora.

 

  • Instalare si Configurare Echipamente
  • Consultanta IT
  • Optimizare Costuri
  • Administrare Retele

Consultanta IT / Audit IT

Configurare/Instalare Servere Aplicatii

Instalare Sistem de Operare