Cheia oricărei infrastructuri solide este stabilirea ameninţărilor şi vulnerabilităţilor şi, ulterior, realizarea mai multor niveluri de protecţie, astfel încât penetrarea unuia să nu permită accesul unei persoane ostile la informaţii cu acces restricţionat. Întrucât nivelurile de protecţie sunt prestabilite şi, teoretic, un atacator beneficiază de un număr nedeterminat de încercări, este esenţială existenţa unor senzori care să depisteze un potenţial atac, în scopul asigurării unei capacităţi de reacţie ofensivă a entităţii atacate.
Politica de securitate
Aceasta stabileşte standarde de securitate şi are ca scop asigurarea unui comportament avizat al angajaţilor, cea mai fragilă verigă a lanţului de securitate, în situaţii speciale. Scopul este de a reglementa responsabilităţile şi accesul la date, astfel încât angajaţii să nu aibă dubii cu privire la oportunitatea diseminării unei informaţii. Prin politica de securitate, ca fundament al contracarării unui atac, se stabilesc controlul accesului, conturile utilizatorilor, aprobarea accesului, modificarea parolelor, încuietori, elemente de identificare, distrugerea materialelor, escortarea vizitatorilor, precum şi disciplina aplicării respectivei politici.
Politica de securitate trebuie să asigure un echilibru între stricteţea condiţiilor de securitate şi productivitate, să anticipeze şi să prevadă măsuri pentru orice tip de incident de securitate. Documentele care stabilesc politica de securitate trebuie să stipuleze limpede consecinţele neaplicării acesteia şi trebuie să fie aduse la cunoştinţa angajaţilor prin programe de educaţie de securitate. Pentru a fi eficientă, politica de securitate trebuie să se bucure de sprijinul necondiţionat al echipei de conducere, aspect care trebuie cunoscut de angajaţi.
Educaţia de securitate
În cazul unor măsuri ofensive vizând date cu acces restricţionat este esenţială educaţia de securitate, ca modalitate de implementare a politicii de securitate. În absenţa implementării politicii de securitate, cei mai mulţi dintre angajaţi sunt vulnerabili chiar şi în faţa celor mai simple tipuri de atacuri. Pentru consolidarea educaţiei de securitate pot fi emise materiale care să circule săptămânal prin intermediul poştei electronice, referitoare la incidente reale, petrecute recent, dar şi date referitoare la prejudicii.
Angajaţii trebuie să poată identifica informaţiile cu acces restricţionat şi să cunoască responsabilităţile pe care le au în protejarea acestora. Spre exemplu, angajaţii trebuie să cunoască caracteristicile unei tentative de culegere de date prin telefon: refuzul unei persoane de a oferi informaţii de contact, graba, menţionarea de nume importante, interpretarea, pronunţarea greşită a unor cuvinte, întrebări ciudate, solicitarea de informaţii confidenţiale.
Proceduri de angajare
O bună politică de securitate cuprinde proceduri referitoare la angajarea şi încheierea contractelor cu personalul. Procesul de selecţie nu este un demers tehnic, limitat la analiza studiilor, ci vizează şi cazierul şi locurile de muncă anterioare, de la caz la caz fiind necesare interviuri cu candidaţii. La angajare trebuie avute în vedere şi restricţiile în cazul diseminării informaţiilor la încheierea raporturilor de muncă.
Raportarea incidentelor
Politicile de securitate solide definesc clar mijloacele şi metodele de raportare a comportamentelor suspecte care pot prejudicia, în orice mod, organizaţia, precum şi feedback-ul prompt. Angajaţii trebuie să ştie că astfel de incidente, dacă sunt raportate, sunt tratate cu atenţia cuvenită.
Însuşirea acestui comportament va stimulează angajaţii să îşi perfecţioneze abilităţile de investigare, aceştia devenind parte a componentei de securitate.
Controlul accesului
Controlul accesului este un element cheie al oricărui tip de sistem de securitate şi poate fi aplicat în două moduri: accesul este permis oriunde, în afara cazului în care este explicit interzis, sau este interzis peste tot, cu excepţia locurilor unde este permis în mod explicit.
Compartimentele de informare reprezintă puncte de atracţie prin prisma faptului că atribuţiile acestora constau în informarea celor care solicită date. Această categorie de personal trebuie pregătită special, însă, de cele mai multe ori, nu este plătită corespunzător, ceea ce conduce la vulnerabilităţi în faţa unor atacuri.
Securitatea fizică
Securitatea fizică este importantă indiferent dacă se anticipează ameninţări sau nu. Aceasta cuprinde proceduri care asigură accesul în instituţie şi în locurile speciale, destinate numai personalului autorizat. Implementarea acesteia se face pe niveluri de acces, gradual restrictive. Nu este suficient ca tot personalul să fie pregătit din punct de vedere al securităţii, trebuie realizată o pregătire specială pentru personalul cu drepturi de acces extinse (secretariatul, inginerii sau administratorii de sistem), personalul de la departamentul de relaţii ori asistenţii.
Angajaţilor trebuie să li se reamintească constant de posibilitatea unei tentative de acces neautorizat la informaţii cu caracter restricţionat prin intermediul lor. Lor trebuie să li se aducă la cunoştinţă cele mai recente tentative de acest fel.
Securitatea informatică
Securitatea sistemelor informatice reprezintă o responsabilitate a tuturor, nu numai a celor care utilizează computerele. Cei mai mari inamici la adresa securităţii informatice sunt bileţele cu nume de utilizator şi parole, precum şi lucrul cu date cu acces restricţionat în afara zonelor de securitate sau în locuri în care este posibilă conexiunea la internet.
Răspunsul la incidente
Este necesară existenţa unui mecanism prestabilit pe care angajatul, de îndată ce suspectează ceva, să îl poată declanşa astfel încât să fie asigurată monitorizarea activă a atacatorului şi informarea celorlalte potenţiale victime. Inexistenţa acestei proceduri face ca, indiferent de frecvenţa atacurilor, angajaţii unei organizaţii să acţioneze ca şi cum entitatea atacată se confruntă pentru prima oară cu o astfel de situaţie, concomitent, atacatorul familiarizându-se din ce în ce mai bine cu sistemul de apărare.
Deosebit de utilă este existenţa unui departament sau a unei persoane care să gestioneze astfel de situaţii şi să ţină evidenţa incidentelor anterioare, astfel încât să poată fi stabilit rapid un modus operandi. Aceasta ar reduce riscul unei diseminări neautorizate de date cu caracter restricţionat.
Abstract
In a world where inter-connectivity is the society`s main engine, trying to protect restricted information becomes an increasingly difficult goal to achieve, as long as we can all acknowledge the lack of balance between an attacker`s multiple possibilities and our necessary protective measures. Even so, by using the available tools (as they are presented in the article), we can exponentially limit possible attacks, thus achieving our main goal – protecting restricted information.
Autor: Răzvan Cristache
