Managementul riscurilor în IT

Articol postat de:

riscuri

Pentru a avea un sistem sigur nu e suficient sa avem tehnologia corespunzatoare. Studiile arata ca in medie 90% din bresele de securitate identificate nu sunt datorate problemelor tehnologice ci instalarii si configurarii necorespunzatoare sau datorita nerespectarii unor proceduri de utilizare si administrare a sistemului. In multe cazuri, aceste proceduri nici nu exista. Trebuie sa privim problema pe ansamblu. Nu ne putem astepta ca un sistem care nu a fost instalat si configurat corespunzator, care nu e mentinut la zi cu patch-urile sau pentru care nu se respecta niste proceduri simple de utilizare si administrare, sa fie un sistem sigur.  Securitatea trebuie sa fie o caracteristica intrinseca a sistemului. Un sistem sigur este unul bine proiectat, implementat, utilizat si administrat.

Arii de securitate 
In continuare sunt specificate cateva dintre ariile de securitate tipice care trebuie abordate pentru o securitate pe ansamblu:

  1. Securitatea serverelor si a statiilor de lucru
  2. Securitatea perimetrului retelei
  3. Securitatea comunicatiei in retea
  4. Securitatea aplicatiilor
  5. Securitatea datelor
  6. Solutii pentru managementul patch-urilor

Securitatea datelor 
In general orice server de aplicatie trebuie sa aiba caracteristici de protectie si recuperarea datelor. O problema o reprezinta protectia si recuperarea fisierelor de date.
De aceea, trebuie facut periodic un backup. Este vital ca la orice moment sa avem la indemana un backup curat, de incredere, pentru a putea recupera datele distruse sau corupte.
Backup-ul poate fi salvat pe disc, pe banda, CD sau chiar pe Web, depinde de preferinte.

Solutii pentru managementul patch-urilor 
Securizarea retelei nu poate fi completa fara mentinerea la zi a sistemelor din punctul de vedere al patch-urilor de securitate. De foarte multe ori se intampla ca, desi majoritatea sistemelor, servere si statii de lucru din retea, au fost actualizate cu ultimele patch-uri, au fost uitate undeva prin retea sisteme configurate implicit, si care o data infectate au generat probleme in intreaga retea.
Pentru scanarea sistemelor din retea din punct de vedere al aplicarii patch-urilor si fix-urilor pentru sistemele de operare si aplicatiile de baza Microsoft putem folosi Microsoft Baseline Security Analyzer. Acesta ne genereaza rapoarte privind starea sistemelor.
Cea mai simpla solutie de actualizare o reprezinta Windows Update si Office Update. Aceasta este o solutie manuala si nu este recomandata pentru retele medii/mari.
Software Update Services permite automatizarea aplicarii patch-urilor.
Patch Management cu Systems Management Server 2003 care include si analiza configuratiei.

Astazi este aproape imposibil sa nu auzim sau sa nu citim despre riscurile utilizarii tehnologiilor informationale. Managementul de varf este din ce in ce mai interesat de sensul notiunilor de management al riscurilor si analiza a riscurilor, aplicate tehnologiilor informationale utilizate in cadrul organizatiei. Acest fapt se datoreaza cresterii considerabile a nivelului de dependenta a business-ului de tehnologiile informationale:

  • procesele de afaceri sunt tot mai mult dependente de procesele TI, respectiv esuarea proceselor TI pot conditiona esuarea proceselor de afaceri cu o mai mare probabilitate;
  • infrastructura informationala devine din ce in ce mai complexa, iar punctele critice apartinand domeniului TI ce ar putea influenta procesele de afaceri sunt in crestere;
  • cand are loc o cadere a serviciilor TI, timpul in care acest fapt este resimtit de procesele de afaceri s-a micsorat considerabil;
  • caderile serviciilor TI sunt tot mai mult vizibile si resimtite in afara centrului de procesare a    datelor, astfel crescand numarul de persoane afectate ce-si manifesta nemultumirea.

Procesul de analiza a riscurilor:

  1. Identificarea resurselor informationale
  2. Gruparea si ierarhizarea resurselor informationale
  3. Identificarea riscurilor
  4. Asociere riscuri la resurse
  5. Identificarea mijloacelor de protectie
  6. Evaluarea riscurilor
  7. Intocmirea recomandarilor

De ce este necesar un management al riscurilor?
Managerii unei organizatii nu trebuie sa se limiteze la a trata, de fiecare data, consecintele unor evenimente care s-au produs. Tratarea consecintelor nu amelioreaza cauzele si, prin urmare, riscurile materializate deja se vor produce si in viitor, de regula, cu o frecventa mai mare si cu un impact crescut asupra obiectivelor. Managerii trebuie sa adopte un stil de management reactiv, ceea ce inseamna ca este necesar sa conceapa si sa implementeze masuri susceptibile de a atenua manifestarea riscurilor. Reactia orientata spre viitor permite organizatiei sa stapaneasca, in limite acceptabile, riscurile trecute, ceea ce este acelasi lucru cu cresterea sanselor de a-si atinge obiectivele.

Managementul riscurilor faciliteaza realizarea eficienta si eficace a obiectivelor organizatiei
In mod evident cunoasterea amenintarilor permite o ierarhizare a acestora in functie de eventualitatea materializarii lor, de amploarea impactului asupra obiectivelor si de costurile pe care le presupun masurile menite de a reduce sansele de aparitie sau de a limita efectele nedorite.  Stabilirea unor ierarhii constituie suportul introducerii unei ordini de prioritati in alocarea resurselor, in majoritatea cazurilor limitate, in urma unei analize cost-beneficiu sau, mai general, efort-efect. Este esential ca organizatia sa-si concentreze eforturile spre ceea ce este cu adevarat important, si nu sa-si disperseze resursele in zone nerelevante pentru scopurile sale. Totodata, revizuirea periodica a riscurilor, asa cum este prevazut in standarde, conduce la realocari ale resurselor, in concordanta cu modificarea ierarhiilor si, implicit, a prioritatilor. Cu alte cuvinte, managementul riscurilor presupune concentrarea resurselor in zonele de interes actuale.

Optiuni de reducere a expunerii la riscuri:

  • asumarea riscurilor-este acceptata expunerea la risc
  • evitarea riscului-se elimina cauza si/sau consecinta riscului
  • limitarea riscului –se iau masuri de reducere a riscului
  • transferarea riscului-se incearca compensarea pierderilor

Concluzii
Asigurand securitatea de baza a retelei putem minimiza majoritatea riscurilor de securitate tipice, dupa care ne putem concentra asupra unor arii specifice.

Doar investind in securitate pe ansamblu (security in depth) vom putea avea sisteme IT mai sigure. Pentru fiecare dintre riscurile identificate trebuie realizate planuri de masuri, fie pentru reducerea expunerii la acele riscuri  (mitigation), fie pentru reducerea impactului odata ce riscul s-a produs (contingency).

Sursa: securitateIT


Add Comment Register



Lasă un răspuns

Adresa ta de email nu va fi publicată. Câmpurile necesare sunt marcate *


*

Poți folosi aceste etichete HTML și atribute: <a href="" title=""> <abbr title=""> <acronym title=""> <b> <blockquote cite=""> <cite> <code> <del datetime=""> <em> <i> <q cite=""> <strike> <strong>