UNIVERSITATEA „ALEXANDRU IOAN CUZA” DIN IAŞI

FACULTATEA DE ECONOMIE ȘI ADMINISTRAREA AFACERILOR

SPECIALIZAREA INFORMATICĂ ECONOMICĂ

Raport privind deficiențele din programul de

securitate al companiei More4Less Foods

Îndrumător: Studenți: Prof. dr. Munteanu Adrian BogdănelHaiura Carla-Evelina -

310440501RSL181085
Talmaciu Daniela-Elena - 310440401RSL181185
Grupa IE 3, anul 3
Rezumat executiv
 Această scrisoare, scrisă de ofițerul șef de securitate a informațiilor (CISO), răspunde
problemelor legate de posibilele deficiențe din programul de securitate a informațiilor care au
fost ridicate astăzi.

• Eșecul disponibilității sistemul de gestionare a identităților (IDMS1) a cauzat astăzi

pierderi de productivitate și va fi înlocuit temporar cu metoda de soluționare pentru a acorda
autorizație persoanelor fizice până la rezolvarea acestui eșec brusc. Sistemul va reveni în curând
în funcțiune normală și nu va mai cauza pierderi companiei.
• Capacitatea terților de a încălca sistemul de plată a plăților și de a transfera fonduri este
în prezent în curs de investigare. Au fost implementate sisteme de detectare a intruziunilor (IDS2)
și va fi implementat un proces de autentificare mai strict pentru a minimiza riscurile viitoare din
partea atacatorilor.
• Reducerea bugetului de instruire pentru programul de instruire în domeniul securității
va crește semnificativ probabilitatea riscului, iar pierderea financiară datorată atacurilor de
securitate va fi mai mare decât costul pe care compania îl va economisi prin reducerea bugetului.
Pierderea financiară potențială poate crește de până la 4 ori dacă instruirea este eliminată
comparativ cu momentul în care este menținut și implementat instruirea adecvată.
• Codificarea defectă care a dus la compromiterea aplicației a fost identificată mai
devreme în timpul dezvoltării aplicației și CISO a recomandat dezvoltatorilor și managerilor
unităților de afaceri să respecte standardele de dezvoltare a codului securizat. Cu toate acestea,
standardele nu au fost respectate și acum sunt în producție. Producția va continua pentru a crește
profitul, dar o actualizare a caracteristicilor de securitate va fi integrată în cea de-a doua versiune
a software-ului.

1. Eșecul disponibilității sistemului de gestionare identității (IDMS)

Sistemul de gestionare a identităților (IDMS) nu a funcționat optim în această dimineață.

IDMS este unul dintre sistemele de securitate de bază pentru a controla autentificarea și
autorizarea resurselor, minimizând astfel diferitele tipuri de riscuri care pot fi implicate. Această
întrerupere a cauzat pierderea eficientă a muncii în întreaga afacere și, probabil, a afectat
procesul de vânzare de astăzi.
Pentru a compensa întreruperea și pentru a permite productivității să revină la normal
până când IDMS este fixat și funcționează din nou, metoda de soluționare va fi utilizată temporar
pentru a depăși problema IDMS curentă. Acest lucru poate fi realizat acordând temporar acces
angajaților care au nevoie de resurse pentru a lucra la proiecte esențiale pentru creșterea
profitului companiei. Acest lucru va asigura productivitatea companiei care va rămâne aceeași ca
înainte de eșecul IDMS. Managementului executiv i se va acorda acces cât mai curând posibil
utilizând metoda de soluționare, iar altor manageri de afaceri din sectorul operațional critic li se
va acorda, de asemenea, acces.
IDMS gestionează identitățile printr-o bază de date centrală. Acest lucru permite
More4Less Foods să stabilească rapid o identitate pentru angajați și furnizori legați de
întreprindere. IDMS permite, de asemenea, gestionarea eficientă a drepturilor și permisiunilor
autorizate pentru utilizatori. Acestea controlează accesul la sisteme, rețele, facilități. Securitatea
1
Integrated Database Management System
2
Intrusion detection system
operațională este, de asemenea, sporită, deoarece este mai ușor să monitorizeze și să gestioneze
activitățile persoanelor pentru a preveni amenințările din interior3. În ciuda eșecului survenit în
această dimineață, beneficiile oferite de IDMS companiei sunt mult mai mari decât costul
investiției pe care îl va suporta. De exemplu, a scăzut dramatic costurile pentru asistență și
cheltuieli administrative. Eu, CISO, am efectuat o analiză a costului total de proprietate (TCO4)
comparând anterior costul și beneficiile IDMS cu atunci când compania angajează angajați
suplimentari pentru aceeași sarcină.
Fiabilitatea IDMS nu este legată de niciuna dintre procedurile prin care am trecut
programul de securitate a informațiilor în timpul fazei de testare. Am efectuat testul pentru toți
candidații la IDMS, inclusiv testele de utilizare și fiabilitate. Dacă a fost detectat un defect
semnificativ sau o problemă în timpul fazei de testare, am fi identificat și rezolvat problema
comunicând fie cu furnizorul, fie eliminând candidatul respectiv din selecție.
Cea mai probabilă cauză a fiabilității este probabil mai mult legată de problemele de
întreținere datorate dimensiunii reduse a managementului IT după reducerile majore. O altă
posibilitate se poate datora unei instalări de upgrade care nu au fost testate suficient înainte de a
fi instalate. Furnizorul IDMS răspunde pentru noi și departamentul de securitate a informațiilor
vor colabora pentru a identifica și rezolva problema. Ar putea fi necesare investiții pentru a
îmbunătăți eficiența întreținerii sau, cel puțin, pentru a menține nivelul actual de întreținere, fără
a reduce bugetul.

2. Capacitatea atacatorilor de a accesa sistemul și de a transfera fonduri

Problema sistemului de plăți a plății More4Less Foods a fost una dintre problemele
detectate în cadrul celei mai recente analize a punctelor slabe pe care am efectuat-o. Următoarele
domenii principale de risc pot fi legate de problema actuală a sistemului de plată a plăților:

• Serverele interne și stațiile de lucru sunt vulnerabile la o mare varietate de atacuri

inițiate extern din cauza listelor de control acces acces firewall configurate și menținute
inadecvat.
• Anumite aplicații comerciale sunt vulnerabile la atacuri realizate cu atenție de către
persoane din interior (eventual, și din exterior).

Slăbiciunea sistemului de plată a plăților este în prezent rezolvată în departamentul

nostru. De exemplu, în prezent este planificat să fie implementat un proiect pentru înlocuirea
parolelor cu autentificare bazată pe smartphone. Acest lucru va permite utilizatorilor să-și
folosească telefoanele mobile pentru a se autentifica introducând un șir de litere afișate pe
telefonul lor mobil și un număr personal de identificare (PIN5). Acceptarea de către utilizator a
acestor metode de autentificare este foarte mare, deoarece smartphone-urile sunt utilizate pe
scară largă, iar utilizatorii nu trebuie să creeze și să-și amintească parole complicate. Acest lucru
va împiedica persoanele din afară sau persoanele din interior neautentificate să utilizeze în mod
fraudulos sistemul de plată a plăților.

3
Dodd, D. W. (2017, 1 Octombrie).Identity Management Systems.11.04. 2019, de la:
https://webcpm.com/articles/2017/10/01/idms.aspx&nbsp
4
Total cost of ownership
5
Personal Identification Number
Există alte proiecte anterioare finalizate pentru a minimiza intruziunile:

• Un proiect de detectare a intruziunilor în rețea a fost finalizat acum câțiva ani. Aceste
sisteme de detectare a intruziunilor (IDS) au detectat de-a lungul anilor multe încălcări de
securitate reale și potențiale. În prezent, detecția este la locul său, dar sistemul este întreținut în
prezent de personalul operațiunilor de sistem și de rețea, împreună cu firewall-uri și IDMS.
• Un alt proiect a fost implementat anul trecut pentru a analiza și a face recomandări
pentru proceduri operaționale în cadrul More4Less Foods. Acesta a fost adoptat pentru a aduce
procedurile operaționale în conformitate cu standardele de securitate a informațiilor. Resursele
sunt insuficiente pentru a finaliza acest proiect după succesul la prima trecere, totuși 85% din
sistemele și aplicațiile incluse în sfera celui mai recent audit au fost de cel puțin 90% în
conformitate cu standardele relevante.

După cum sa menționat anterior, IDMS gestionează identitățile printr-o bază de date
centrală. Acest lucru mărește securitatea și productivitatea și reduce costurile și timpul de
nefuncționare pe măsură ce politicile de gestionare a identității și accesului sunt centralizate.
Acest sistem crește astfel securitatea operațională, deoarecedevine mai ușor să monitorizeze și să
gestioneze activitățile indivizilor. Cu toate acestea, acest lucru nu înseamnă că IDMS în sine ar
crește la prevenirea conexiunilor neautorizate la sisteme. Pentru a preveni conexiunile
neautorizate, sunt necesare sisteme de securitate precum IDS menționate anterior sau un proces
de autentificare mai înalt. Această neînțelegere a ceea ce este IDMS și modul în care
funcționează trebuie comunicată în mod corespunzător în cadrul companiei, astfel încât confuzia
să poată fi eliminată.

O secțiune suplimentară și îmbunătățită despre IDMS ar trebui implementată în

programul de securitate și conștientizare. Acest program ar trebui să treacă mai întâi prin nivelul
de management al operațiunilor financiare, astfel încât să se stabilească o mai bună comunicare
între echipa de securitate a informațiilor și operațiunile financiare.

3. Reducerea bugetului de instruire

Obiectivul actual al companiei More4Less Foods este de a deveni mai profitabil și se
depun eforturi mari pentru identificarea domeniilor de reducere a costurilor. Deși costă 600.000
de dolari programul de formare în domeniul securității, pierderea potențială va fi mai mare dacă
instruirea va reduce și mai mult bugetul. Următoarele cercetări au prezentat câteva fapte despre
cât de importantă este pregătirea angajaților.

• Conform sondajului SUA din 2014 privind starea criminalității cibernetice, 42% au
răspuns că instruirea de securitate a noilor angajați a ajutat la descurajarea atacurilor. Companiile
care au organizat instruire de conștientizare a securității pentru angajați au avut o pierdere
financiară medie de 162.000 USD, în timp ce companiile fără instruire au avut în medie 683.000
USD. Atacurile din interior pot proveni de la angajați care nu s-au instruit în domeniul
conștientizării securității și navighează pe site-uri web cu malware, deschid e-mailuri de phishing
sau oferă informații critice într-un atac de inginerie socială6.
6
Dimov, I. (n.d). Security Awareness Statistics. 11.04. 2019, de la:
https://resources.infosecinstitute.com/category/enterprise/securityawareness/security-awareness-fundamentals/
 • Într-o altă cercetare de referință privind costul unui studiu privind încălcarea datelor în
2018 a arătat că, în timp ce costul unei încălcări a datelor din trei cauze fundamentale a fost de
213 USD, 191 USD și 188 USD costul pe cap de locuitor, instruirea angajaților va reduce costul
unei încălcări a datelor de aproximativ Costul pe cap de locuitor de 9,3 USD pentru încălcarea
datelor7.

security-awareness-statistics/#gref&nbsp
7
Ponemon Institute LLC. (2018, Iulie). 2018 Cost of a Data Breach Study: Global Overview(Rep.), 10.04.2019, de
la IBM Security website:
https://databreachcalculator.mybluemix.net/assets/2018_Global_Cost_of_a_Data_Breach_Report.pdf&nbsp
 În cel mai recent raport de audit, programul de instruire și conștientizare a securității a
fost menționat ca „un plan amănunțit și bine gândit”. Cu toate acestea, programul nu a fost încă
eficient pentru a ajunge la conducere. Întrucât managerii de afaceri tind să aibă niveluri ridicate
de toleranță la risc, acordând puțină atenție vulnerabilităților și riscurilor legate de securitate, va
fi nevoie de un accent mai mare pe formarea managerilor de afaceri și a managementului pentru
a reduce costul încălcării datelor în viitor.

De asemenea, programului îi lipsesc indicatori care să măsoare schimbările de

comportament la locul de muncă ca rezultat al instruirii și al conștientizării. Prin urmare, am
inițiat un proiect cu comitetul director de securitate a informațiilor privind îmbunătățirea
valorilor de securitate a informațiilor, care este mai semnificativ în ceea ce privește structurile de
afaceri. Acestea vor fi măsurători semnificative pentru conducerea executivă și părțile interesate
cheie.
4. Programarea deficientă și compromiterea aplicației web

Unul dintre domeniile de risc pe care le-am identificat în timpul celei mai recente analize
a punctelor slabe a fost că aplicațiile web orientate către public nu au suficiente controale pentru
a evita multe atacuri împotriva lor.

Când se realizează un cod pentru aplicații, există un standard sigur de dezvoltare a

codului pe care angajații trebuie să îl urmeze pentru a preveni orice compromis al informațiilor
despre clienți. Standardul sigur de dezvoltare a codului este un document bine gândit care, dacă
este urmat, poate preveni compromisuri majore.

Înainte ca aplicația să intre în producție, am pus promptitudinea cererii aplicației să

respecte standardele. Inginerii de securitate au identificat că dezvoltatorii de aplicații nu au
respectat standardul securizat de dezvoltare a codului, astfel încât inginerii de securitate au
informat unitatea de afaceri să respecte standardul. Cu toate acestea, atunci când codul aplicației
a fost analizat ulterior, nu au existat coduri sigure, cum ar fi verificarea tuturor conținutului rău
intenționat.

Deoarece această aplicație este deja în producție și este una dintre sursele de venituri pe
care More4Less Foods le-a planificat anterior, a fost obținut un acord scris de la managerul
unității de afaceri, mai degrabă decât de a suspenda producția. Acordul scris prevedea că
managerul unității de afaceri este conștient de faptul că aplicația actuală prezintă riscuri speciale
implicate din cauza codului nesecurizat și caracteristicile de securitate vor fi integrate în cea de-a
doua versiune a software-ului.
Prin urmare, acest incident este sub control prin depunerea efortului de a exercita
promptitudinea înainte și după realizarea producției. Acesta va facilita obiectivul actual al
afacerii More4Less Foods, care este creșterea profitului. Se va face o îmbunătățire a politicii
pentru standardul sigur de dezvoltare a codului, astfel încât fiecărei aplicații i se va cere să
respecte standardul mai strict. În plus, ar trebui îmbunătățită controlul aplicațiilor web orientate
către public, astfel încât aplicațiile dezvoltate de acum înainte să respecte strict standardele de
programare de securitate.
 Referințe

 Dimov, I. (n.d.). Statistici de conștientizare a securității. 11.04.2019, de pe

https://resources.infosecinstitute.com/category/enterprise/securityawareness/security-
awareness-fundamentals/security-awareness-statistics/#gref&nbsp

 Dodd, D. W. (2017, 1 octombrie). Sisteme de management al identității. 11.04. 2019, de

pe https://webcpm.com/articles/2017/10/01/idms.aspx&nbsp

 Institutul Ponemon LLC. (2018, iulie). Costul unui studiu de încălcare a datelor din 2018:
Prezentare globală (Rep.). 10.04.2019, de pe site-ul IBM Security:
https://databreachcalculator.mybluemix.net/assets/2018_Global_Cost_of_a_Data_Breach
_Report.pdf&nbsp