Cuprins

 Securitatea fizica a sistemelor informatice ……………………..

 Securitatea accesului la resursele sistemului informatic …….…

 Programe de criptare …………………………………………….

 Securitatea comunicatiilor ……………………………………….

 Firewall ……………………………………………………………

 Antivirus ……………………………………………………….....

 Copii de siguranta. Tehnici de realizare …………………………

2
 Printre masurile luate de societate pentru inlaturarea sau minimizarea unora dintre
amenintarile si vulnerabilitatile ce planau asupra acesteia s-au strecurat o serie de
probleme care nu au putut fi inlaturare prin acestea.
Astfel, echipa noastra de audit vine in completare cu constatari si recomandari.

Securitatea fizica a sistemelor informatice

 Camere de supraveghere
 Constatari:
 Decizia privind achizitionarea camerelor de supraveghere a
fost una buna cu o exceptie insa, acestea au unele minusuri:
 Nu au incorporate senzori de detectie a miscarii;
 Unele dintre ele sunt fixe ceea ce face ca anumite
locuri din incaperi sa nu fie clar vizibile;
 In caz de pene de curent ( foarte frecvente in
societate), ar fi o problema caci camerele de
supraveghere nu au infrarosu.
 Recomandari:
 Camerele de supraveghere, daca raman ca optiune, trebuie
sa fie destinate aplicatiilor de zi, noapte sau locatiilor cu
iluminare redusa; de asemenea trebuie sa fie dotate cu
detectie de miscare si cu obiective wide-angle sau zoom.
Suplimentar se poate opta si pentru camere de supraveghere
care, pe langa aceste caracteristici, sa aiba si management
pre si post alarma, alertare telefonica sau email.
 Infractiuni
 Constatari:
 S-au furat echipamente, in general de mici dimensiuni, atat
periferice cat si interne unitatii centrale.

 Recomandari:
 Inlocuirea sistemelor mecanice (cu cheie) cu sisteme de
inchidere electronica cu acces pe baza de cartela sau cheie
magnetica, acestea din urma oferind informatii privind ora
la care care usa a fost deschisa, ce cartela a deschis-o si cat
timp a stat persoana in incapere;
 Inlocuirea seifului existent (pentru numerar si documente
importante) cu un seif cu inchidere electronica sau cu un
seif cu amprenta digitala (ce include si cheie pentru
urgente);
 Toate cheile si cartelele trebuie tinute intr-o zona de
securitate iar cele de rezerva pastrate, de catre seful de
securitate, intr-un container cu incuietoare cu cifru.
3
  Alte recomandari:
 Realizarea unui plan fiabil de securitate fizica;
 Optarea pentru sisteme antiefractie;
 Automatizari pentru usi si ferestre (gratiile nu mai prezinta
siguranta).

Securitatea accesului la resursele sistemului informatic

 Accesul in birouri
 Constatari:
 Lipsesc specificarile privind accesul in birouri si folosirea
calculatoarele, specificari care trebuiau mentionate in
regulament.
 Recomandari:
 Permiterea accesului doar a personalului autorizat pe baza
de cartele sau chei;
 Spatiile cu echipamente trebuie incuiate cand nu sunt
ocupate.
 Accesul la aplicatii
 Constatari:
 Inca, in societate, unii
angajati permit accesul unor terte persoane la calculatoare;
 Inca sunt angajati care,
pentru a nu-si uita parola, o tin la vedere lipita pe monitor
sau scrisa pe documente.
 Recomandari:
 Introducerea unor amenzi suplimentare pentru
nerespectarea regulilor mentionate in regulament.

Programe de criptare
 Constatari:
 Societatea tine cont de acest proces, codificand toate
informatiile de maxim interes permitand accesul doar
persoanelor autorizate;
 Actualul program de criptare este realizat de un
programator, program care ar putea face probleme datorita
faptului ca nu este un program cu criptare puternica
folosind cheie de 56 biti (spatiu foarte redus) existand o
mare sansa ca aceasta sa fie sparta.
 Recomandare:
 Achizitionarea unui program de cripare care codifica
informatiile printr-un algoritm matematic, care sa
foloseasca chei de pana la 448 biti ; o astfel de solutie este
optima pentru informatiile confidentiale sau doar pentru
datele ce sunt susceptibile a fi modificate.
4
Securitatea comunicatiilor
 Constatari:
 Cum amenintarile la adresa securitatii comunicatiilor vin
adesea chiar din interiorul firmei datorita accesului
neautorizat la retea, pentru evitarea scurgerilor de
informatii prin intermediul angajatilor recomandam:
 O investitie in solutii de tip VPN cu ajutorul carora
se tine sub control traficul de informatie;
 Puncte forte ale acestui tip de intranet:
 Controlul se face pe baza unui sistem de
autentificare;
 Se trece de la nivelul de incredere a
retelei in sine la o politica de securitate
la nivel utilizator;
 Acces restrans la resursele firmei;
 Drepturi diferite pentru utilizatori;
 Datele transferate peste Internet sunt
criptate si autentificate pana la punctul
de destinatie, nu numai in cadrul retelei.

Firewall
 Constatari:
 Pentru a opri traficul neautorizat in si dinspre retea,
specialistii departamentului IT ar trebui sa ia in considerare
renuntarea la actualul firewall, acesta este de tip Windows
care poate preintampina doar atacurile la nivel de
calculator.
 Recomandari:
 In primul rand societatea trebuie sa hotarasca o politica a
firewall-ului care sa puna accent pe serviciile pe care le va
deservi acesta;
 Cea mai potrivita solutie este un firewall pentru protectia
intregului trafic din reteaua firmei care sa monitorizeze
permanent caile de patrundere in reteaua privata;
 De asemenea, in achizitionarea unui firewall, trebuie sa se
tina seama si de posibilitatile ca acesta sa izoleze spatiul
privat de cel public realizand o interfata intre ele si de
asemenea sa blocheze, atunci cand e necesar, traficul in si
dinspre internet.

Antivirus
 Constatari:

5
  Societatea a avut initial antivirusul PC-cillin Internet
Security care s-a dovedit ineficient impotriva virusilor nou
aparuti, ulterior departamentul IT a hotarat implementarea
antivirusului Symantec Antivirus Enterprise.
 Acest antivirus are ca puncte forte:
 Protectie impotriva virusilor;
 Prevenire spam;
 Contine spyware pentru statiile de lucru si
servere;
 Detecteaza si sterge automat efectele virusilor,
adware-urilor si a altor intruziuni malitioase;
 Are integrat solutii de tip Mail Security si Web
Security.
 Recomandari:
 Sa se realizeze actualizarile cat mai frecvent.

Copii de siguranta. Tehnici de realizare

 Constatari:
 La capitolul copii de siguranta, societatea a adoptat
pastrarea informatiile pe discuri portabile;
 Aceasta metoda, usoara si convenabila deopotriva, face ca
riscul furtului de date sa creasca datorita lipsei
caracteristicilor de securitate a acestor discuri, ele
nebeneficiind de protectie prin parola sau prin criptare.
 Recomandari:
 Se poate alege una dintre optiunile urmatoare:
 Dispozitive de ultima ora – drive USB cu
memorie flash – ce au capacitate de pana la 8
GB (include si optiuni de criptare);
 Daca se merge pe crearea unei copii complete
a datelor se poate opta pentru hard discuri de
pana la 3,5 inch cu mare capacitate de stocare
(de pana la 500 GB) care include si protectie
prin criptare si prin parola.
 Alte recomandari:
 Verificarea periodica a acuratetei si lizabilitatii backup-
urilor;
 Asigurarea ca angajatii isi restaureaza propriile date;
 Mutarea copiilor de siguranta din cladire si depozitarea lor
intr-o zona de securitate;
 Luarea in considerare a unui sistem de siguranta in cazul in
care apar probleme cu sistemul de operare (configurare).

6
7