Cover Story - PC Magazine Romania, Aprilie  2002

Panaceum universal sau soluţii de securitate personalizate?

Securitatea ca mod de viaţă
Piaţa securităţii TI: prezent şi perspective
Soluţii de securitate
Sunteţi în siguranţă? Cum puteţi afla?
Panaceum universal sau soluţii de securitate personalizate?
Siguranţa afacerilor online
Asigurarea confidenţialităţii mesajelor
Symantec & Cypherix
Familia de produse BitDefender

Pentru majoritatea covârşitoare a organizaţiilor de succes, informaţia şi tehnologia informaţiei sunt cele mai importante valori. Bazele de date, informaţiile financiare, datele contabile, profilele angajaţilor şi multe alte documente constituie nucleul de procesare al estimărilor şi al planurilor de business, determinând în final viitorii paşi ai unei firme într-o piaţă extrem de dinamică.

Companiile trebuie să înţeleagă că în prezent, pentru a fi competitiv, trebuie să primeşti, procesezi şi trimiţi informaţia cât mai rapid şi mai sigur, tuturor partenerilor. În acelaşi timp, această deschidere spre exterior aduce cu ea nenumărate riscuri, pe care un management modern trebuie să şi le asume împreună cu eforturile necesare minimizării lor. Dar cum procesul de comunicare se realizează întotdeauna în ambele sensuri, pericolele nu vin doar din exterior.

Prin produsul RAV Antivirus, lansat în 1996, GeCAD Software a fost printre primele firme româneşti care au răspuns nevoii de protecţie a datelor împotriva viruşilor informatici. În anul 2002 firma face un nou pas - furnizarea de servicii de audit şi consultanţă în domeniul securităţii informatice. Având deja experienţa dezvoltării unui produs de securitate a datelor, GeCAD Software a cooptat şi educat specialişti în cele mai diverse platforme şi sisteme de operare (Microsoft, Cisco, Unix, Linux, Solaris), o parte dintre aceştia fiind membri ISACA (Information System Audit and Control Association).

AUDIT...
Alegerea strategiei corecte de asigurare a protejării datelor trebuie să pornească de la adevărul unanim acceptat că nu există un produs de securitate universal valabil. Nu există un panaceum universal care, odată implementat, să asigure beneficiarul că nimeni nu îi poate altera sau fura datele. Trebuie investigate principalele surse de risc pentru sistemul informatic al unei companii prin executarea unui audit complet de securitate, pornind de la accesul fizic în compania respectivă şi ajungând la legătura internet, personalul intern, resursele din reţea, aplicaţiile neautorizate. Aşa cum un doctor întâi consultă un pacient, GeCAD îşi propune să investigheze factorii de risc prezenţi în cadrul companiei interesate în protejarea datelor sale.

Raportul de audit al securităţii sistemului informatic al companiei în cauză va indica diagnosticul şi va determina alegerea unui tratament. Practic, auditul generează o evaluare obiectivă a sistemului informatic al companiei beneficiare, din punct de vedere al securităţii. În urma efectuării auditului de către GeCAD Software, beneficiarii vor putea cunoaşte:

• care sunt riscurile la care sunt expuse valorile companiei
  
• care este expunerea în cazul în care nu sunt luate măsurile necesare reducerii riscurilor identificate
  
• care este eficienţa şi eficacitatea programului de securitate informatică implementat în companie.
  

Cum se realizează însă un audit de securitate? Specialiştii GeCAD au dezvoltat o procedură complexă, în care interviul, simpla observare a angajaţilor sau a echipamentelor implementate, testele de penetrare, analizele de configuraţii hardware/software sau evaluarea politicilor de securitate sunt câteva dintre acţiunile întreprinse. Auditorul va evalua astfel riscurile la care compania beneficiară este expusă şi va recomanda o soluţie. Va scrie o reţetă. Iar potenţialul client va hotărî dacă se va trata sau nu.

Rolul unui program de implementare şi asigurare a unui anumit grad de securitate informatică într-o companie este acela de a reduce şi păstra sub control nivelul de risc la care compania este expusă. Nivelul de risc se apropie de zero doar prin diminuarea funcţionalităţii sistemului informatic şi prin realizarea de investiţii majore în tehnologii de securizare. Conducerea organizaţiei în cauză este cea care decide nivelul de risc considerat acceptabil, cât şi valoarea investiţiilor pentru securizarea sistemului informatic, astfel încât raportul acestor valori să fie echilibrat din punct de vedere financiar. Obiectivul este determinarea punctului de echilibru în care cheltuielile sunt minime în raport cu nivelul de securitate dorit (figura 1).

În prezent, există peste 30.000 de situri web administrate de comunităţi de hackeri din toate colţurile lumii. Acestea conţin informaţii, sfaturi şi programe de hacking, toate fiind puse la dispoziţia oricui doreşte să le folosească. Practic, orice persoană (cu acces la internet) are la îndemână instrumentele necesare distrugerii unui sit web, spargerii unei parole sau eludării unui firewall. Şi totuşi, surprinzător sau nu, studiile în domeniu arată că 80% din atacurile întreprinse asupra resurselor informatice ale unei companii provin din interiorul companiei, de la angajaţi sau colaboratori. Studiul companiei PriceWaterHouseCoopers, efectuat pe mai mult de 1600 de specialişti în securitate TI, relevă o proporţie surprinzătoare (figura 2).

Scrierea reţetei - dacă este cazul - implică astfel întotdeauna o responsabilitate foarte mare. Cum pot fi protejate valorile companiei de ameninţările venite din exteriorul, dar şi din interiorul său?

... STRATEGIE - IMPLEMENTARE...
Conform companiei GeCAD Software, implementarea celor mai potrivite tehnologii de securitate informatică din punct de vedere al funcţiunilor şi costurilor (sisteme de control al accesului, programe anti-virus, firewall etc.) şi adoptarea unor politici şi proceduri de securitate într-o organizaţie (sunt cunoscute de angajaţi şi colaboratori şi pot constitui probe în instanţă) sunt atributele principale de la care se poate începe o implementare de succes a unor programe de securitate viabile. Echipa GeCAD va lucra astfel în strânsă legatură cu conducerea companiei beneficiare şi specialiştii desemnaţi de aceasta şi va elabora un program coerent şi eficient de securitate informatică. Având în vedere rezultatele auditului, gradul de securitate dorit şi specificul mediului informatic al beneficiarului, se vor elabora politici şi proceduri de securitate, configuraţii software/hardware securizate, planuri de criză, proceduri de audit intern şi programe de control al eficienţei programului de securitate.
Setul de politici şi proceduri, baza programului de securitate, este adaptat specificului afacerii conduse. Acesta este în principiu generat împreună cu GeCAD Software la nivel de top management, ţinându-se cont de mai mulţi factori, printre care şi sursele ameninţărilor, nivelul pierderilor posibile, structura sistemului informatic, pregătirea profesională a utilizatorilor şi motivarea acestora. Conducerea companiei va trebui să se asigure continuu că setul de politici şi proceduri de securitate se implementează şi se respectă. Procesul de control este continuu şi rezultatele sale vor duce la îmbunătăţirea programului, respectiv a nivelului de securitate al companiei.

Atunci când este vorba despre elaborarea de configuraţii software şi hardware specializate, competenţa GeCAD Software este semnificativă pe piaţa românească de profil. Experienţa şi certificările dobândite pe parcursul ultimilor ani sunt un argument puternic în favoarea implementării soluţiei propuse de GeCAD Software, fie că este vorba de o rezolvare bazată pe produse Microsoft, Cisco, Linux/ Unix sau Sun Solaris. Posibilitatea integrării celei mai bune şi mai potrivite soluţii pentru o organizaţie, indiferent de condiţiile şi politicile impuse, deosebeşte metodologia folosită de toate abordările de până acum. Practic, nici o tehnologie de implementare şi menţinere a securităţii într-o firmă nu va fi identică. Nu va fi utilizat un simplu software ajustat, ci un corolar al celor mai bune echipamente şi soluţii testate până acum. Conform rezultatelor obţinute de auditul de securitate desfăşurat în prealabil, vor fi recomandate tehnologiile de securitate cele mai potrivite.

Una dintre cele mai frecvente soluţii este bazată pe produse Microsoft - mai ales datorită gradului de răspândire al produselor Microsoft deja instalate într-o organizaţie cu necesităţi de securitate bine determinate. Şapte specialişti MCSE (Microsoft Certified Support Engineer) şi patru MCP (Microsoft Certified Partner) constituie doar o parte dintre cei care vor lucra la soluţii de VPN tunneling, securizare sub Windows NT/2000 Server şi a platformelor tip server evoluate. Asigurarea contra pericolelor care pot sosi prin folosirea e-mail-ului este concentrată pe filtrarea de conţinut, a spam-ului şi protecţia antivirus pentru diverse servicii de poştă electronică (Exchange, SendMail, Q-Mail, Open Mail, CommunigatePRO etc.). Soluţiile firewall cuprind variante bazate pe Linux, ISA şi Cisco, în funcţie de recomandările privind integrarea cu tehnologia deja existentă. Securizarea platformelor Linux este un alt punct forte GeCAD, upgrade-urile de kernel, optimizarea şi securizarea celor mai diverse distribuţii - SuSE, Red Hat, Slackware, Debian şi Madrake - fiind una dintre cheile asigurării cu succes a standardelor impuse. De asemenea, platformele de operare Solaris şi FreeBSD sunt considerate resurse strategice, atât în partea de audit, cât şi în cea de implementare a soluţiei de securitate.

Vor fi de asemenea analizate şi securizate traficul intranet/internet, vor fi furnizate chei de criptare şi se va recurge la un audit al resurselor umane, în concordanţă cu ISACA (Information System Audit and Control Association), din care face parte şi GeCAD Software.
Pentru situaţii de criză, GeCAD Software va construi un DRP (Disaster Recovery Plan) care va fi implementat conform unei metodologii ISO deja testate pe diverse pieţe internaţionale. O parte a soluţiei DRP va fi acoperită de politicile de stocare şi arhivare a datelor, acestea fiind proiectate special şi integrate de GeCAD Software pentru fiecare client în parte.

... ŞI DIN NOU AUDIT
Procedurile de audit intern şi programele de control al eficienţei soluţiei implementate constituie ultimele etape în integrarea completă a unei soluţii coerente de securitate în cadrul unei organizaţii. Tratamentul este finalizat. Afacerile sunt protejate. Relaţiile cu partenerii devin mai bune, mai sigure.

De la o companie cu sute de calculatoare şi utilizatori, până la utilizatorul casnic al unei linii dial-up, securizarea informaţiei este un obiectiv general, în condiţiile unei deschideri din ce în ce mai largi a comunicaţiilor. Profesionişti TI sunt astăzi capabili să realizeze auditarea securităţii unui sistem informatic integrat, în vederea conceperii unui program de securitate coerent şi de succes. Program care va fi creat special pentru fiecare organizaţie în parte.

Detalii despre oferta de servicii GeCAD Software pot fi obţinute de la adresa www.gecadsoftware.com.