Politica de securitate - Masuri necesare pentru inlaturarea amanintarilor si vulnerabilitatilor sistemuluiAutor:AAAAHardwarea.Amenintaria.1 Amenintari neintentionateExemplu: Un salariat, proaspat angajat la o firma de consultanta manageriala a furat un suport extern de stocare a datelor. Pe acest dispozitiv se aflau informatii diverse, importante pentru firma, inclusiv metode si tehnici proprii de management care reprezentau un avantaj concurential pentru companie. Ca urmare a nesupravegherii corespunzatoare a angajatilor, si a accesului la date confidentiale firma este expusa la pericole care ar putea insemna ruinarea business-ului insusi. Masuri: Pentru a evita astfel de intamplari, firma a acordat o mai mare atentie procesului de recrutare a viitorilor angajati, a amplasat mai multe camere de luat vederi si a constituit un pachet salarial atractiv astfel incat angajatii sa nu fie tentati de castiguri suplimentare realizate in detrimentul intreprinderii.

a.2 Amenintari intentionateExemplu: Un angajat nepriceput si neautorizat a incercat in mod brutal sa puna in functiune o imprimanta care se afla in gestiunea unei firme care avea ca obiect de activitate realizarea de carti de vizita, legitimatii, ecusoane, etc. Imprimanta nu a rezistat socului si nu a mai fost functionabila o periada de timp pana cand a trebuit transportata la un service. Costul cu reparatia imprimantei si costurile timpului in care ea nu a putut asigura desfasurarea activitatii firmei au reprezentat o pierdere pentru entitatea economica.Masuri: Compania care a suferit pierderea a inceput sa puna mai mult accentul pe instructajul privind folosirea aparaturii din dotare oferit angajatilor, atat la venirea acestora in firma cat si pe parcursul desfasurarii job-ului. De asemenea, regulamentul intern al firmei a fost modificat prin introducerea unui paragraf care prevede ca cei responsabili de actiuni care genereaza pagube pentru intreprindere sa suporte prejudiciile produse.

b.Vulnerabilitatib.1 naturalExemplu: Un utilizator al unui calculator personal a neglijat sa curete de praf cooler-ul care asigura racirea componentelor calculatorului. Avand in vedere faptul ca mediul de lucru era unul impropriu (praf si temperatura neadecvata) ventilatia nu a mai putut asigura racirea astfel incat, inexistenta unei temperaturi propice functionarii a dus la arderea mai multor componente printre care si hard-ul pe care se aflau stocate datele.Masuri: Utilizatorul respectiv i-a asigurat noului computer achizitionat un mediu adecvat de lucru, cu o temperatura nu foarte ridicata. De asemeni a hotarat sa-si curete computerul de praf de cel putin doua ori pe an. b.2 umanExemplu: Un laptop este un obiect portabil, cu o valoare relativ mare iar atunci cand contine date si informatii importante, el poate devini o prada destul de usoara pentru cei interesati.Un programator a conceput un program informatic pe care urma sa-l livreze integral unui client la termenul stabilit. Negandindu-se sa-l predea pe module clientului sau, la intervale mai mici de timp sau sa-l salveze pe un suport de siguranta, cu cateva saptamani inainte de momentul livrarii catre client a constatat disparitia laptopului pe care-l lasase pe biroul personal in timp ce se afla in pauza de masa. Dupa mai multe investigatii s-a constatat ca el fusese furat de un coleg de-al sau, tot programator si vandut ilegal catre o persoana straina. La fel se intamplase si cu programul care dupa ce a fost terminat a fost vandut catre un alt client fara documente legaleMasuri: Cand este vorba de obiecte relativ mici, cu valoare relativ mare, probabilitatea furtului este destul de mare, aici intevenind de asemenea, si natura umana. Programatorul a hotarat ca pe viitor sa predea programul clientului pe module, pe parcursul conceperii lui, iar, concomitent sa pastreze si o copie a programului intr-un loc sigur, eventual pe un suport extern. De asemeni, a stabilit accesul la computer si la program prin parole ce contin caractere combinate, de genul miijj_$(**|: b.3 tehnicExemplu: Un expert contabil care isi desfasoara activitatea cu ajutorul unui laptop si exploateaza un program de contabilitate este surprins in timpul lucrului de o pana de curent. El nu dispune de un program de back-up si nici de un UPS. Fiindca el lucreaza mereu in contra timp aceasta situatie este pentru el una care genereaza pierderi materiale si constituie totodata un factor de stres. Masuri: Pentu a evita astfel de intamplari neplacute, contabilul si-a achizitionat un program de back-up(Back4Win), astfel incat sa-si poata recupera datele pierdute in urma unor eventuale pene de curent.

Softwarea.1 Amenintari neintentionateExemplu: Am contactat un virus in urma folosirii aplicatiei Messenger. Un coleg avea ca status un link catre un site pe care se presupunea ca se gaseau poze din superba vacanta pe care acesta a petrecut-o in Spania. Mesajul era in limba engleza. Am apasat pe link-ul respectiv si am intrat pe un site cu poze diverse. In acelasi timp se deschideau mai multe pagini, eu la randul meu trimiteam involuntar mesajul la persoanele din lista de messenger, cand deschideam Internet Explorer mi se deschidea implicit pagina respectiva. Aveam instalat antivirusul NOD32 fara licenta. Acesta trimitea mesajul ca nu poate sa stearga virusul depistat. Atunci am dezinstalat NOD32, am instalat KASPERSKY si cu ajutorul acestuia am scanat computerul si am sters virusul. Am aflat ulterior ca:Virusul se injecteaza prin simpla accesare a paginii.E deajuns doar sa navighezi fara sa faci download.Browser vulnerabil: Internet Explorer.Virusul nu afecteaza fisierele de sistem, doar adauga 2 sau 3 executabile care iti infecteaza calculatorul, astfel incepe si trimite mesaje de spam celor din lista ta de YM.Blocheaza Task Manager si Regedit.Masuri: Mi-am luat antivirusul Kaspersky cu licenta, il actualizez regulat cu ultimele semnaturi de antivirusi si efectuez o scanare a computerului o data la 5 zile. Nu voi mai da click pe link-uri de la persoane necunoscute sau care transmit mesaje cu un continut dubios si nu voi mai instala antivirusi fara licenta.

Exemplu: Un angajat de la aceeasi companie de mai sus a deschis unul dintre email-urile spam si a descarcat atasamentul pe computer. Astfel a fost deschisa calea hackerilor catre informatii confidentiale despre clientii societatii. Masuri: Pentru a evita situatii de acest gen, firma a restrictionat accesul la computerele companiei si a supraprotejat baza de date printr-un software (BitLocker) care cripteaza fisierele pana n momentul n care sunt deschise pe baza unei parole.

Exemplu: Cu aproximativ 2 ani in urma, o firma care a isi facea publicitate on-line a primit plangeri de la cei care vizualizasera reclamele lor dupa ce fusesera infectati cu un worm. Toate sistemele Windows 98 pana la Windows XP SP1 erau vulnerabile la astfel de atacuri, mai putin Windows XP SP2. Masuri: Windows Service Pack 2 aduce imbunatatiri pe partea de securitate, fata de versiunile anterioare, protectie activa impotriva : viruses, worms, hackers , crackers, spoofers. In concluzie un sistem de operare updatat la zi este de preferat pentru a evita astfel de situatii neplacute.

a.2 Amenintari intentionateExemplu: O companie care se ocupa de fabricarea produselor lactate a downloadat de pe internet, de pe un site mai putin cunoscut, gasit in urma unei cautari google, programul BSPlayer,gratis, pe unul din serverele utilizate. Dupa cateva luni de zile s-a observat functionarea mai greoaie a computerului si s-a apelat la asistenta unui asistent IT. Acesta, dupa cateva zile de cercetari a depistat existenta unui program spyware care analiza fisierele cu documente de pe hard disc. Acesta reprezinta un furt de informatii, unele dintre ele cu caracter confidential. Erau documente care contineau strategii ale companiei, bugete de cheltuieli, planuri viitoare de extindere a afacerii, etc.Masuri: Asistentul IT i-a consiliat pe reprezentantii firmei sa-si instaleze un program firewall bine configurat si activat, care sa filtreze download-urile de pe internet. Firma a optat pentru achizitionarea produsului Symantec AntiVirus care ofera o protectie completa pentru fiecare nivel al retelei, inclusiv protectie spyware la nivel de client, intr-o singura solutie. De asemeni, acest pachet ofera atat protectie in timp real pentru a reduce riscul ca spyware-urile sa ajunga in sistem cat si reparare dupa produs pentru curatarea intrarilor registrilor, fisierelor si setarilor browser-ului dupa gasirea infectiei spyware. Protectia este imbunatatita impotriva accesului si atacurilor neautorizate, protejand utilizatorii impotriva virusilor care incearca sa dezactiveze masurile de securitate.

b. VulnerabilitatiExemplu: Am downloadat de pe internet, de pe site-ul ministerului de finante, o aplicatie cu ajutorul caruia se intocmea o declaratie fiscala. S-a dovedit ca era vorba de un program netestat suficient deoarece avea bug-uri. Au mai durat cateva zile pana cand problema a fost rezolvata prin afisarea unei noi variante de program imbunatatite.Masuri: O masura de luat in vederea evitarii unei astfel de situatii ar fi testarea aplicatiei inainte de utilizare, adresarea de intrebari pe forum-ul de pe site cu privire la eventualele neintelegeri legate de functionarea programului. O alta masura preventiva ar fi consultarea in permanenta a site-ului pentu aflarea in timp util a modificarilor aparute.

Exemplu: Troianul SMALL a facut victime si in Australia, prin intermediul unor emailuri avand ca subiect decesul primului-ministru John Howard. Cei care accesau link-ul din email erau directionati catre un site pus la punct de atacatori, prin care se incerca exploatarea unor vulnerabilitati mai vechi ale browserului Internet Explorer aflat pe calculatoarele victimelor si preluarea controlului acestora. Odata puse la punct aceste aspecte, pe calculatoarele infectate se descarcau automat aplicatii malware printr-o procedura destul de complexa. Prin intermediul altor componente malitioase, computerele erau transformate intr-o retea de tip "zombie" utilizata la propagarea in continuare a amenintarilor de tip malware. Sursa tech.rol.ro Masuri: O solutie care sa vina in intampinarea unor astfel de probleme ar fi instalarea unui program care care ntelege si stie cum sa caute bresele si vulnerabilitatile din sistemele tint, folosind aceleasi cunostinte si reguli ca si ale hackerilor (Programul Certified Ethical Hacker este un astfel de program)

Masuri de inlaturare a vulnerabilitatilor si amenintarilor asupra sistemului firmei analizate, Activ-Expert SRL, extrase din politica de securitate a entitatii: Managerul IT organizeaza sesiuni de informare a personalului angajat cu privire la responsabilitatile legate de asigurarea confidentialitatii si securitatii datelor procesate si a informatiilor obtinute in urma prelucrarii acestora. De asemeni, conducerea asigura pregatirea continua a angajatilor cu privire la exploatarea eficienta si corecta a programelor utilizate. In regulamentul de ordine interioara sunt specificate foarte clar care sunt consecintele savarsirii de fapte malitioase si aducatoare de prejudicii firmei, din partea angajatilor. Programul informatic WinMENTOR a fost achizitionat legal, cu licenta. Firma care a furnizat programul asigura si servicii de consultanta in ceea ce priveste exploatarea acestuia. Ultimele modificari ale programului concomitent cu modificarile legislative se pot descarca de pe site-ul oficial al firmei, WinMentor garantand pentru securitatea informatiilor descarcate de pe acesta. Accesul la soft-ul de contabilitate se face de catre persoanele care detin cheia hard care permite utilizatrea deplina a programului. Este instalat un program firewall de monitorizare a accesului la baza de date. Deoarece este posibila conectarea la internet, este instalat un antivirus cu licenta iar mailul este criptat. Antivirusul este configurat si activat, nu se afla in conflict cu programul firewall, este actualizat cu ultimele semnaturi de antivirusi iar scanarea se produce o data la 2 zile. Revizii periodice sunt efectuate de catre administratorul de retea si tehnicianul IT. In cazul unor probleme mai complexe se apeleaza la serviciile unei firme specializate. Computerele functioneaza in birouri in care le este asigurata temperatura optima, prin folosirea aparatelor de aer conditionat, si sunt aparate de eventuale amenintari de ordin fizic. De asemeni se asigura paza sediului 24 ore din 24 si supravegherea intrarii in sediu cu ajutorul camerelor video. Toti angajatii care intra in sediu folosesc un card de acces care este valabil doar in departamentul in care lucreaza. Accesul in programul de contabilitate se face pe baza de parola, vizualizarea datelor si modificarea acestora putand fi facute doar de catre persoanele autorizate. In caz de incendiu se declanseaza alarma.