Documente Academic
Documente Profesional
Documente Cultură
Romn
Suport
Contact
Cauta
Desprenoi
Stiri
Referinte
Parteneriate
Servicii
Solutii
ArticolCRESCENDO:Importantasecuritatiiinformatieiin
organizatii
Autor:ConstantinCaliman,ProductManager&ChiefSecurityOfficer,ITInfrastructureSolutionsBusinessUnit,CRESCENDO
1. Paradigmelesecuritatii
Securitateaaparetotmaipregnantcauningredientnecesarinoricedomeniudeactivitatesiaevoluatinultimii10anicaunraspunslaproblemele
globalizarii(viaBigBrother).
Schimbariledeparadigmasievolutiatehnologiilorauadusconceptenoi,precum:securitateafarafrontiere,cloudcomputing,bigdata,mobilitate,etc.
Informatiaesteperisabila,volatilasidecelemaimulteorinecertificatademaimultesurse,motivpentrucareputereadeprocesarepentrufiltrareasi
analizavolumelormaridedateesteinpermanentacrestere.Oricesistemdesecuritatetrebuiesaasigureconfidentialitate,integritatesidisponibilitate
informatiei.
Seestimeazacapeste80%dininformatiilerelevanteprovindinsursedeschise(massmedia,Internet)sipeste80%dinincidenteprovindininteriorul
organizatiei.
Astaziexistadouaabordariprivindsecuritateaafacerii:
Prima,legatadezonapublicasi/sauguvernamentala(gestionatadefunctionarul/structuradesecuritatesireglementataprinLegea182/2002,
HG585/2002,HG781/2002,ordine,directivesiinstructiuniORNISScaANS)
Ceadeadoua,legatadezonaprivata(gestionataderesponsabilulSMSIsireglementatadecodulpenal,legeadreptuluideautor,arhivarea
electronicaetc.).
Dinpunctdevedereformal,acestedouaabordarivizeazaaceleasicerintesimasuridesecuritatesiarecaobiectivoptimizareafolosiriiresurselor
(oameni,procese,tehnologii).
Estebinedeprecizatfaptulcaunsistemdemanagementulsecuritatiiinformatiei(SMSI)vizeazasistemulinformational(fluxuriledeinformatii).
Sistemulinformaticsidecomunicatii(SIC)estedoaroparteaSMSI.
Suntfolositedouastrategiidebazaprivindsecuritatea:
totceeacenuesteinterzisestepermis
http://www.crescendo.ro/crescendorecomandaimportantasecuritatiiinformatieiinorganizatii/ 1/3
2/9/2017 ArticolCRESCENDO:Importantasecuritatiiinformatieiinorganizatii|Crescendo
totceeacenuestepermisesteinterzis.
Pentruprotejareainformatiilordeosebiteseapeleazaladouatacticideimplementare:
controluldiscretionaralaccesului
controlullegalalaccesului.
2. Organizareasecuritatii
Culturadesecuritateininterioruluneiorganizatiiesteunprocesdeduratacepoatefidezvoltatprinimpunereaunormasurisi/saumecanismede
securitatecaresaminimizezeriscurilecepotsaaparainprocesuldebusiness.Fiecareactivitateesteguvernatadeamenintari,vulnerabilitatisiriscuri.
Inmomentulincareunriscdepasesteunanumitnivelacceptat,avemdeafacecuunincidentdesecuritatecaretrebuierezolvat(tratareariscului
panacandseincadreazasubnivelulacceptat).
Organizareasecuritatiirezolvacelputindouaaspectedebaza:
Clasificainformatiile/resurselecritice
Stabilesteresponsabilitatidesecuritatesiimplicareatopmanagementuluipentrugestionareaincidentelordesecuritatesiplanificarea
continuitatiiafaceriiincazdedezastre.
Functiedemarimea,proceseledebusinesssispecificulactivitatiidesfasurate,organizareainternaasecuritatiiesteoactivitatecontinuasicomplexa.
3. Managementulriscurilor
Toateentitatiledinlumearealasuntguvernatede2stari:
stareadebazaincertitudineasi
stareatranzitoriecertitudinea.
Dinacestpunctdevedere,putemspunecarisculsepoatedefinicaocertitudinecuoambiguitatemairidicata.
InprocesuldecerificareISO27001:2013,primaproceduradesecuritateinternadocumenteazamanagementulriscului(ISO31000:2009),catsi
resursele(umane,materiale)careaufostanalizateinprocesuldeimplementareamecanismelordesecuritateimpuse(maxim114fatade133dinISO
27001:2006).
.
4 Securitateafizica
Esteundomeniuimportantalsecuritatiicarepoatefidotatcusistemespecificedesupraveghere(CATV,sistemedecontrolacces,sisteme
perimetrale,alarmarelaefractie,incendiu,cutremur,etc.)carepotfiintegrateintrunsistemintegratdesecuritate(SIS).
.
5 Securitateadocumentelor
Vizeazasecuritateadocumenteloratatinformatelectronic,catsiinformattiparit.Inmajoritateaorganizatiilor,documentelecareintrasauiesdin
organizatiesuntmarcatesiluateinevidentalaregistratura/secretariatdecatreasistentmanager.Pentruautomatizareaprocesuluideclasificarea
informatiilorinformatelectronic(documente,mesaje,arhive,etc)esterecomandatautilizareaunoraplicatiispecifice(deex.Titus).
6 .SecuritateaSIC
PentruSIC/reteleleprivatealeorganizatieisepotindicaomultitudinedesolutiiprofesionaledesecuritate:solutiiAV/AS/AM,solutiiderecuperarein
cazdedezastru,DLP,SIEM,IAM,forensic.Acestesolutiirezolvaomarepartedinschimbuldeinformatiicuexteriorul(mail,mesagerie,retele
sociale).
Oproblemaacutapentruadministratoriidereteaesteaceeaaintegrariisecurizateadispozitivelorpersonaleinretea,cerintacarenuerapermisain
urmacu57ani.Convorbiriletelefonicesidiscutiileambientalesuntdirectiiincaremonitorizarilesuntinsuficiente(respectareadreptuluila
intimitate)sicaredevinprincipalelecanaledescurgereainformatiilorconfidentiale.
7 .Securitateapersonalului
Personalulesteresursaceamaiimportantadintroorganizatiecarepoategenerapeste80%dintotalulevenimentelordesecuritate.
Recrutarea,intervievarea,testarea,angajareasiasigurarearesurselorconformcerintelorspecificefiseipostuluisuntaspecteesentialepentruorice
organizatie.Nemultumirileaparuteinrandulangajatilorsuntdecelemaimulteorigreudegestionatsipotproducepagubeinsemnate.
Aspectelelegatedepersonalsunturmaritelaangajare,peperioadaindepliniriifunctieisiulteriorlaplecare(lichidare).
8 .Securitateajuridica
http://www.crescendo.ro/crescendorecomandaimportantasecuritatiiinformatieiinorganizatii/ 2/3
2/9/2017 ArticolCRESCENDO:Importantasecuritatiiinformatieiinorganizatii|Crescendo
Esteundomeniucaretrebuiesagaseascamodalitatilelegaleprincareinregistrariledesecuritatesapoatafifolositeinproces.Inultimiianilegislatia
nationalasealiniazalaceaeuropeanamotivpentrucareinfractiunileinformaticesuntpedepsite.
Incontextulamenintariiteroristemonitorizareaspatiuluiciberneticdevineonecesitate.Suntdiscutiireferitoarelagasireaunormecanisme,tehnicisi
procedeedesupravegherecaresanuincalcedrepturilepersoanei.
9.Securitateaindustriala
Sereferalamoduldegestionareainformatiilorsidocumentelorincazulderulariiunorcontracteclasificatenational,NATO,UEsi/sauechivalent.
Inspectiilepentrucompletareaanexeidesecuritate,catsiverificarilepentruobtinereaaccesuluilainformatiiclasificatesuntefectuatedeautoritatile
desemnatedesecuritate(ADS)cusprijinulsicoordonareaORNISScaautoritatenationaladesecuritate(ANS).
Lectiiinvatate
nuexistasecuritatetotala,estenevoiedeastabiliunniveldesecuritateacceptabilfunctiedespecificulactivitatiidesfasurate
peste80%dinevenimentele/incidenteledesecuritatesuntgeneratedininteriorulorganizatiei
analiza,proiectarea,vanzareasiconfigurareauneisolutiidesecuritatetrebuieabordateintotdeaunacuTopManagementul
gestionareacusuccesaunuiSMSIintroorganizatieestedependentadeimplicareasiparticipareatuturorangajatilorinrezolvarea
evenimentelor/incidentelordesecuritatesiinasigurareacontinuitatiiafacerii
tranzitialanoulstandardISO27001:2013aduceurmatoarelenoutati:
securitateainformatiilorinmanagementuldeproiectepebazaobiectivelorbinedefinite(SMART)aleorganizatiei
restrictiideinstalareasoftwareului
politicidedezvoltareinconditiidesiguranta
principiideingineriesiguradesistem
mediuldedezvoltaresitestareasistemelorinconditiidesiguranta
politiciinrelatiilecufurnizorii,comunicareacutertii
evaluareadeciziilor,raspunsullaincidenteledesecuritate
disponibilitateafacilitatilordeprelucrareainformatiilor.
Experientanerecomanda!
EchipaCRESCENDO,prinexpertizasicertificarileobtinuteindecursulapeste20deanideactivitate,detinecapabilitatilenecesarepentruavaoferi
unauditdesecuritatealinfrastructuriIT&CdincadrulcompanieiDvs.,invedereaidentificariisolutiei/solutiilordesecuritate(sinunumai)carese
potrivesccelmaibinecerintelelorDvs.deafaceri,precumsimediuluiinformationalexistent.
Specialistiinostrivastauladispozitieprinconsultantadeafacerisisuportcevizeaza:
Analizadeprocesefazadeaudit
Serviciidesuportpostimplementare24/7
Serviciideauditpostimplementare.
Neputeticontactalaemailsecuritate@crescendo.rosaulatelefon0212111858/60.
Pentruinformatiiutile,vizitatisisiteulnostru:www.crescendo.ro
Legenda:
ORNISSOficiulRegistruluiNationalalInformatiilorSecretedeStat
AV/AS/AMAntiVirus/AntiSpam/AntiMalware
DLPDataLossPrevention
SIEMSecurityInformationandEventManagement
IAMIdentityandAccessManagement
ANSAutoritateDesemnatadeSecuritate
SMARTSpecific/Masurabil/Abordabil/Relevant/Incadratintimp
Sus
RSSFacebookLinkedIn
HartaSite
Contact
Politicadeconfidentialitate
Termenisiconditii
Copyright2010ToatedrepturilerezervateCrescendo
http://www.crescendo.ro/crescendorecomandaimportantasecuritatiiinformatieiinorganizatii/ 3/3