Managementul riscurilor

Managementul riscurilor în IT

Articol postat de:

riscuri
Pentru a avea un sistem sigur nu e suficient sa avem tehnologia corespunzatoare. Studiile arata ca in medie 90% din bresele de securitate identificate nu sunt datorate problemelor tehnologice ci instalarii si configurarii necorespunzatoare sau datorita nerespectarii unor proceduri de utilizare si administrare a sistemului. In multe cazuri, aceste proceduri nici nu exista. Trebuie sa privim problema pe ansamblu. Nu ne putem astepta ca un sistem care nu a fost instalat si configurat corespunzator, care nu e mentinut la zi cu patch-urile sau pentru care nu se respecta niste proceduri simple de utilizare si administrare, sa fie un sistem sigur.  Securitatea trebuie sa fie o caracteristica intrinseca a sistemului. Un sistem sigur este unul bine proiectat, implementat, utilizat si administrat. Arii de securitate  In continuare sunt specificate cateva dintre ariile de securitate tipice care trebuie abordate pentru o securitate pe ansamblu: Securitatea serverelor si a statiilor de lucru Securitatea ...

Evaluarea riscurilor și clasificarea documentelor/datelor în cadrul firmei

Articol postat de:

riscuri
Cat de mult trebuie investit in securitate? De cata securitate este nevoie? Vom defini mai intai acest proces pentru ca va deveni baza de formulare a cerintelor de securitate. Este, de asemenea, o preconditie pentru stabilirea unui proces de succes de definire a politicii, si pentru succesul in definirea proceselor de evaluare a riscurilor care pot ajuta in remedierea unui proces de administrare gresita a utilizatorului. Scopul evaluarii riscurilor si a proceselor de clasificare a datelor este de a obtine din partea responsabilului cu securitatea (RS) orientarea efectiva a proprietarilor resurselor (PR) atunci cand trebuie sa raspunda la intrebarea “de cata securitate este nevoie?”. Procesul de clasificare a datelor/evaluare a riscurilor (CD/ER) contine o serie de discutii oficiale si documentate intre RS si PR. Prima discutie implica clasificarea de date. In definirea procesului CD/ER, RS ar trebui sa stabileasca o schema clara care sa se potriveasca nevoilor intregii organizatii. ...

Gestionarea riscurilor

Articol postat de:

riscuri
Gestionarea riscurilor inseamna identificarea si evaluarea riscurilor, precum si stabilirea modului de a reactiona in fata riscurilor, adica de a pune in opera mijloace de control intern care sa le atenueze posibilitatea de aparitie sau consecintele pe care le-ar produce in cazul in care s-ar materializa. Dar resursele disponibile pentru gestionarea riscurilor sunt limitate, iar numarul riscurilor creste odata cu complexitatea organizatiei si a activitatilor desfasurate pentru atingerea obiectivelor. Prin urmare, este necesar sa se urmareasca un raspuns optim la risc, intr-o anumita ordine de prioritati (profilul riscurilor) care rezulta din evaluarea riscurilor. In fiecare organizatie trebuie sa se ia masurile necesare (sa se operationalizeze un sistem de control intern) gestionarii riscurilor pana la un nivel considerat acceptabil. Acest nivel este numit toleranta la risc. In plan general, raspunsul la risc poate fi de urmatorul tip: acceptarea riscului; monitorizarea riscului; evitarea ...

Nivelurile de atac on-line

Articol postat de:

atac informatic
Trei niveluri de atacuri pot fi luate in considerare: atacurile oportune, intermediare sau sofisticate. Atacul oportun Cel mai frecvent tip de atac este atacul oportun si este in mod tipic asociat cu atacator de ocazie. Angajatii nemultumiti cu anumite cunostinte in atacurile sistemelor poate intra in aceasta categorie. Atacurile de tip oportun au urmatoarele caracteristici: Atacatorul are un obiectiv foarte general si foloseste o gama larga de tinte. Impactul imediat poate fi refuzul serviciilor (DoS), dar si datele de pe serverele Web pot fi afectate; Atacatorul foloseste instrumente gata facute pentru a scana si a sonda sistemul si de a profita de vulnerabilitati; Atacatorul nu trebuie sa aiba un cont de utilizator pentru a patrunde in interiorul sistemului, de exemplu poate realiza un atac folosind un e-mail virusat; Atacatorul are cunostinte limitate despre sistemul intern, procese sau personal; Exista o frecventa ridicata a acestor tipuri de atacuri; Masinile ...

Atributele atacatorilor

Articol postat de:

atacatori
In ziua de astazi ne confruntam cu tot mai multe atacuri on-line. Motivele ce stau in spatele acestor atacuri sunt diverse. Pentru fiecare clasa de atacatori avem insa urmatoarele atribute: Resursele: Resursele pe care un atacator le poate viza includ fonduri, personal, precum si nivelul de indemanare al acelor persoane Timpul: Un atacator poate avea obiective foarte repede de indeplinit sau poate fi foarte rabdator in asteptarea unei oportunitati. Un atacator rabdator poate fi capabil de a evita mai bine detectia sa prin sondarea sistemului o perioada mai mare de timp sau prin sondarea sistemului din mai multe locatii. Instrumentele: Foarte multi atacatori au la indemana un set de instrumente utile in scopurile acestora, ceea ce inseamna ca un atacator poate avea succes chiar daca nivelul sau de cunoastere este mai scazut fata de cerintele din trecut. Un atac generat de astfel de instrumente poate avea o serie unica de pasi (o semnatura ce poate fi recunoscuta de sistemele ...