Politica de securitate - Masuri necesare pentru inlaturarea

amanintarilor si vulnerabilitatilor sistemului

Autor:AAAA
Hardware
a.Amenintari
a.1 Amenintari neintentionate
Exemplu: Un salariat, proaspat angajat la o firma de consultanta manageriala a
furat un suport extern de stocare a datelor. Pe acest dispozitiv se aflau informatii
diverse, importante pentru firma, inclusiv metode si tehnici proprii de
management care reprezentau un avantaj concurential pentru companie. Ca
urmare a nesupravegherii corespunzatoare a angajatilor, si a accesului la date
confidentiale firma este expusa la pericole care ar putea insemna ruinarea
business-ului insusi.
Masuri: Pentru a evita astfel de intamplari, firma a acordat o mai mare atentie
procesului de recrutare a viitorilor angajati, a amplasat mai multe camere de luat
vederi si a constituit un pachet salarial atractiv astfel incat angajatii sa nu fie
tentati de castiguri suplimentare realizate in detrimentul intreprinderii.
a.2 Amenintari intentionate
Exemplu: Un angajat nepriceput si neautorizat a incercat in mod brutal sa puna
in functiune o imprimanta care se afla in gestiunea unei firme care avea ca
obiect de activitate realizarea de carti de vizita, legitimatii, ecusoane, etc.
Imprimanta nu a rezistat socului si nu a mai fost functionabila o periada de timp
pana cand a trebuit transportata la un service. Costul cu reparatia imprimantei si
costurile timpului in care ea nu a putut asigura desfasurarea activitatii firmei au
reprezentat o pierdere pentru entitatea economica.
Masuri: Compania care a suferit pierderea a inceput sa puna mai mult accentul
pe instructajul privind folosirea aparaturii din dotare oferit angajatilor, atat la
venirea acestora in firma cat si pe parcursul desfasurarii job-ului. De asemenea,
regulamentul intern al firmei a fost modificat prin introducerea unui paragraf
care prevede ca cei responsabili de actiuni care genereaza pagube pentru
intreprindere sa suporte prejudiciile produse.
b.Vulnerabilitati
b.1 natural
Exemplu: Un utilizator al unui calculator personal a neglijat sa curete de praf
cooler-ul care asigura racirea componentelor calculatorului. Avand in vedere
faptul ca mediul de lucru era unul impropriu (praf si temperatura neadecvata)
ventilatia nu a mai putut asigura racirea astfel incat, inexistenta unei temperaturi
propice functionarii a dus la arderea mai multor componente printre care si hardul pe care se aflau stocate datele.

Masuri: Utilizatorul respectiv i-a asigurat noului computer achizitionat un mediu

adecvat de lucru, cu o temperatura nu foarte ridicata. De asemeni a hotarat sa-si
curete computerul de praf de cel putin doua ori pe an.
b.2 uman
Exemplu: Un laptop este un obiect portabil, cu o valoare relativ mare iar atunci
cand contine date si informatii importante, el poate devini o prada destul de
usoara pentru cei interesati.Un programator a conceput un program informatic
pe care urma sa-l livreze integral unui client la termenul stabilit. Negandindu-se
sa-l predea pe module clientului sau, la intervale mai mici de timp sau sa-l
salveze pe un suport de siguranta, cu cateva saptamani inainte de momentul
livrarii catre client a constatat disparitia laptopului pe care-l lasase pe biroul
personal in timp ce se afla in pauza de masa. Dupa mai multe investigatii s-a
constatat ca el fusese furat de un coleg de-al sau, tot programator si vandut ilegal
catre o persoana straina. La fel se intamplase si cu programul care dupa ce a fost
terminat a fost vandut catre un alt client fara documente legale
Masuri: Cand este vorba de obiecte relativ mici, cu valoare relativ mare,
probabilitatea furtului este destul de mare, aici intevenind de asemenea, si natura
umana. Programatorul a hotarat ca pe viitor sa predea programul clientului pe
module, pe parcursul conceperii lui, iar, concomitent sa pastreze si o copie a
programului intr-un loc sigur, eventual pe un suport extern. De asemeni, a
stabilit accesul la computer si la program prin parole ce contin caractere
combinate, de genul miijj_$(**|:
b.3 tehnic
Exemplu: Un expert contabil care isi desfasoara activitatea cu ajutorul unui
laptop si exploateaza un program de contabilitate este surprins in timpul lucrului
de o pana de curent. El nu dispune de un program de back-up si nici de un UPS.
Fiindca el lucreaza mereu in contra timp aceasta situatie este pentru el una care
genereaza pierderi materiale si constituie totodata un factor de stres.
Masuri: Pentu a evita astfel de intamplari neplacute, contabilul si-a achizitionat
un program de back-up(Back4Win), astfel incat sa-si poata recupera datele
pierdute in urma unor eventuale pene de curent.
Software
a.1 Amenintari neintentionate
Exemplu: Am contactat un virus in urma folosirii aplicatiei Messenger. Un
coleg avea ca status un link catre un site pe care se presupunea ca se gaseau
poze din superba vacanta pe care acesta a petrecut-o in Spania. Mesajul era in
limba engleza. Am apasat pe link-ul respectiv si am intrat pe un site cu poze
diverse. In acelasi timp se deschideau mai multe pagini, eu la randul meu
trimiteam involuntar mesajul la persoanele din lista de messenger, cand
deschideam Internet Explorer mi se deschidea implicit pagina respectiva. Aveam

instalat antivirusul NOD32 fara licenta. Acesta trimitea mesajul ca nu poate sa

stearga virusul depistat. Atunci am dezinstalat NOD32, am instalat
KASPERSKY si cu ajutorul acestuia am scanat computerul si am sters virusul.
Am aflat ulterior ca:
Virusul se injecteaza prin simpla accesare a paginii.
E deajuns doar sa navighezi fara sa faci download.
Browser vulnerabil: Internet Explorer.
Virusul nu afecteaza fisierele de sistem, doar adauga 2 sau 3 executabile care iti
infecteaza calculatorul, astfel incepe si trimite mesaje de spam celor din lista ta
de YM.
Blocheaza Task Manager si Regedit.
Masuri: Mi-am luat antivirusul Kaspersky cu licenta, il actualizez regulat cu
ultimele semnaturi de antivirusi si efectuez o scanare a computerului o data la 5
zile. Nu voi mai da click pe link-uri de la persoane necunoscute sau care
transmit mesaje cu un continut dubios si nu voi mai instala antivirusi fara
licenta.
Exemplu : Un angajat de la aceeasi companie de mai sus a deschis unul dintre
email-urile spam si a descarcat atasamentul pe computer. Astfel a fost deschisa
calea hackerilor catre informatii confidentiale despre clientii societatii.
Masuri: Pentru a evita situatii de acest gen, firma a restrictionat accesul la
computerele companiei si a supraprotejat baza de date printr-un software
(BitLocker) care cripteaza fisierele pana n momentul n care sunt deschise pe
baza unei parole.
Exemplu: Cu aproximativ 2 ani in urma, o firma care a isi facea publicitate online a primit plangeri de la cei care vizualizasera reclamele lor dupa ce fusesera
infectati cu un worm. Toate sistemele Windows 98 pana la Windows XP SP1
erau vulnerabile la astfel de atacuri, mai putin Windows XP SP2.
Masuri: Windows Service Pack 2 aduce imbunatatiri pe partea de securitate,
fata de versiunile anterioare, protectie activa impotriva : viruses, worms, hackers
, crackers, spoofers. In concluzie un sistem de operare updatat la zi este de
preferat pentru a evita astfel de situatii neplacute.
a.2 Amenintari intentionate
Exemplu: O companie care se ocupa de fabricarea produselor lactate a
downloadat de pe internet, de pe un site mai putin cunoscut, gasit in urma unei
cautari google, programul BSPlayer,gratis, pe unul din serverele utilizate. Dupa
cateva luni de zile s-a observat functionarea mai greoaie a computerului si s-a
apelat la asistenta unui asistent IT. Acesta, dupa cateva zile de cercetari a
depistat existenta unui program spyware care analiza fisierele cu documente de
pe hard disc. Acesta reprezinta un furt de informatii, unele dintre ele cu caracter

confidential. Erau documente care contineau strategii ale companiei, bugete de

cheltuieli, planuri viitoare de extindere a afacerii, etc.
Masuri: Asistentul IT i-a consiliat pe reprezentantii firmei sa-si instaleze un
program firewall bine configurat si activat, care sa filtreze download-urile de pe
internet. Firma a optat pentru achizitionarea produsului Symantec AntiVirus
care ofera o protectie completa pentru fiecare nivel al retelei, inclusiv protectie
spyware la nivel de client, intr-o singura solutie. De asemeni, acest pachet ofera
atat protectie in timp real pentru a reduce riscul ca spyware-urile sa ajunga in
sistem cat si reparare dupa produs pentru curatarea intrarilor registrilor, fisierelor
si setarilor browser-ului dupa gasirea infectiei spyware. Protectia este
imbunatatita impotriva accesului si atacurilor neautorizate, protejand utilizatorii
impotriva virusilor care incearca sa dezactiveze masurile de securitate.
b. Vulnerabilitati
Exemplu: Am downloadat de pe internet, de pe site-ul ministerului de finante, o
aplicatie cu ajutorul caruia se intocmea o declaratie fiscala. S-a dovedit ca era
vorba de un program netestat suficient deoarece avea bug-uri. Au mai durat
cateva zile pana cand problema a fost rezolvata prin afisarea unei noi variante de
program imbunatatite.
Masuri: O masura de luat in vederea evitarii unei astfel de situatii ar fi testarea
aplicatiei inainte de utilizare, adresarea de intrebari pe forum-ul de pe site cu
privire la eventualele neintelegeri legate de functionarea programului. O alta
masura preventiva ar fi consultarea in permanenta a site-ului pentu aflarea in
timp util a modificarilor aparute.
Exemplu : Troianul SMALL a facut victime si in Australia, prin intermediul unor
emailuri avand ca subiect decesul primului-ministru John Howard.
Cei care accesau link-ul din email erau directionati catre un site pus la punct de
atacatori, prin care se incerca exploatarea unor vulnerabilitati mai vechi ale
browserului Internet Explorer aflat pe calculatoarele victimelor si preluarea
controlului acestora. Odata puse la punct aceste aspecte, pe calculatoarele
infectate se descarcau automat aplicatii malware printr-o procedura destul de
complexa.
Prin intermediul altor componente malitioase, computerele erau transformate
intr-o retea de tip "zombie" utilizata la propagarea in continuare a amenintarilor
de tip malware.
Sursa tech.rol.ro

Masuri: O solutie care sa vina in intampinarea unor astfel de probleme ar fi

instalarea unui program care care ntelege si stie cum sa caute bresele si
vulnerabilitatile din sistemele tint, folosind aceleasi cunostinte si reguli ca si ale
hackerilor (Programul Certified Ethical Hacker este un astfel de program)

Masuri de inlaturare a vulnerabilitatilor si amenintarilor asupra sistemului

firmei analizate, Activ-Expert SRL, extrase din politica de securitate a
entitatii:
Managerul IT organizeaza sesiuni de informare a personalului angajat cu
privire la responsabilitatile legate de asigurarea confidentialitatii si
securitatii datelor procesate si a informatiilor obtinute in urma prelucrarii
acestora. De asemeni, conducerea asigura pregatirea continua a
angajatilor cu privire la exploatarea eficienta si corecta a programelor
utilizate. In regulamentul de ordine interioara sunt specificate foarte clar
care sunt consecintele savarsirii de fapte malitioase si aducatoare de
prejudicii firmei, din partea angajatilor.
Programul informatic WinMENTOR a fost achizitionat legal, cu licenta.
Firma care a furnizat programul asigura si servicii de consultanta in ceea
ce priveste exploatarea acestuia. Ultimele modificari ale programului
concomitent cu modificarile legislative se pot descarca de pe site-ul
oficial al firmei, WinMentor garantand pentru securitatea informatiilor
descarcate de pe acesta.
Accesul la soft-ul de contabilitate se face de catre persoanele care detin
cheia hard care permite utilizatrea deplina a programului.
Este instalat un program firewall de monitorizare a accesului la baza de
date. Deoarece este posibila conectarea la internet, este instalat un
antivirus cu licenta iar mailul este criptat. Antivirusul este configurat si
activat, nu se afla in conflict cu programul firewall, este actualizat cu
ultimele semnaturi de antivirusi iar scanarea se produce o data la 2 zile.
Revizii periodice sunt efectuate de catre administratorul de retea si
tehnicianul IT. In cazul unor probleme mai complexe se apeleaza la
serviciile unei firme specializate.
Computerele functioneaza in birouri in care le este asigurata temperatura
optima, prin folosirea aparatelor de aer conditionat, si sunt aparate de
eventuale amenintari de ordin fizic. De asemeni se asigura paza sediului
24 ore din 24 si supravegherea intrarii in sediu cu ajutorul camerelor
video. Toti angajatii care intra in sediu folosesc un card de acces care este
valabil doar in departamentul in care lucreaza.
Accesul in programul de contabilitate se face pe baza de parola,
vizualizarea datelor si modificarea acestora putand fi facute doar de catre
persoanele autorizate.
In caz de incendiu se declanseaza alarma.