Context

Securitatea IT nu este o tinta absoluta, prin urmare nici o organizatie nu poate fi securizata in mod absolut. Intotdeauna pot fi luate masuri suplimentare pentru a imbunatati securitatea unei organizatii si pentru a minimiza riscurile induse de bresele de securitate. In plus, in fiecare zi se descopera vulnerabilitati noi sau se rezolva alte vulnerabilitati. Un sistem informatic securizat nu este rodul unui accident. Sistemele securizate nu sunt produsele modificarilor, adaugarilor intamplatoare la functionalitatilor acestora. Sistemele informatice securizate sunt fundamentate pe o solida cunoastere a modului in care acestea fuctioneaza, pe politici si proceduri solide, pe practicile si standardele din industrie si pe un management coerent si eficient. Sistemele informatice sunt amenintate atat din interior cat si din exterior. Pot fi persoane bine intenţionate care fac erori de operare, sau persoane rau intentionate, care isi pun in valoare cunostintele si resursele intr-un mod negativ, pentru penetrarea sistemelor informatice. Orice retea poate fi insa penetrata avand la dispozitie suficient timp si resurse. Secretul prevenirii unei asemenea brese de securitate este de a avea suficiente straturi de securitate si controale, incat atacatorului sa-i fie foarte greu sa-si indeplineasca actiunea si astfel sa renunte. Ameliorarea securitatii sistemelor informatice trebuie sa fie un obiectiv important al oricarei organizatii. Cu toate acestea, nu toate masurile de securitate reprezinta o investitie eficienta a resurselor IT. Securitatea IT este prin urmare un process continuu de management al riscului, care tinteste sa obtina o balanta intre functionalitate, securitate si cost. De asemenea, trebuie pastrat un raport corect dintre securitate si disponibilitatea sau accesibilitatea resurselor unei retele informatice, pentru ca o securitate prea riguroasa poate duce la blocarea sau ingreunarea utilizarii unor sisteme sau servicii de retea.  Pe de alta parte, lipsa securitatii poate duce de asemenea la aceleasi rezultate. Trebuie avut in vedere faptul ca securitatea nu se bazeaza numai pe tehnologie. Un drum de „aprovizionare” la un furnizor pentru achizitionarea unui firewall de ultima generatie nu va face reteaua mai sigura in mod necesar. A ne baza doar pe tehnologie este cu siguranta gresit, pentru ca scapam din vedere un element cheie: factorul uman. Sau, mai bine spus, nu ne putem baza intru totul pe tehnologie, pentru ca tehnologia este facuta de oameni – care nu sunt perfecti. De aceea este foarte important sa existe standarde si proceduri, control dual,  planuri si proceduri in caz de incidente de securitate sau de dezastre care pot afecta siguranta infrastructurii informatice. Toate acestea contribuie, alaturi de tehnologie, la construirea unei securitati informatice eficiente. Serviciile de evaluare a nivelului de securitate cibernetica propuse va vor ajuta ca sa va pregatiti pasii spre conformitatea cu urmatoarele cerinte europene, ce vor intra in vigoare in 2018:
  • REGULAMENTUL (UE) 2016/679 AL PARLAMENTULUI EUROPEAN ȘI AL CONSILIULUI privind protecția persoanelor fizice în ceea ce privește prelucrarea datelor cu caracter personal (conformare incepand cu 25 mai 2018)
  • DIRECTIVA (UE) 2016/1148 A PARLAMENTULUI EUROPEAN ȘI A CONSILIULUI privind măsuri pentru un nivel comun ridicat de securitate a rețelelor și a sistemelor informatice în Uniune (conformare începând cu 10 mai 2018)

Propunerea noastra raspunde in intregime cerintelor Beneficiarului si ofera o solutie completa in ceea ce priveste evaluarea riscurilor privind securitatea informatiei. Obiectivul general este acela de a identifica si evalua riscurile la adresa securitatii informatiei a infrastructurii informatice a Beneficiarului. Evaluarea riscului privind securitatea informatiei va fi realizata prin doua metodologii:
  • Audit securitatea informatiei in conformitate cu cele mai bune practici in domeniu;
  • Testare de securitate (penetration testing) la nivelul infrastructurii interne si a celei expuse in Internet;

I. Audit securitatea informatiei in conformitate cu cele mai bune practici in domeniu
Serviciile de audit informatic reprezinta in esenta un cumul de evaluari complexe, menite sa ajute orice companie in identificarea modului de proiectare si implementare a infrastucturii IT, precum si a  masurii in care aceasta infrastructura raspunde necesitatilor directe ale angajatilor si ale companiei. Prin astfel de evaluari, putem analiza obiectiv nivelul de performanta  tehnica a companiei, si putem emite ulterior “retete de succes” , prin identificarea minusurilor si recomandarea unor solutii de eficientizare a proceselor.

Definirea scopului auditului
Scopul acestui serviciu este de a determina riscurile de securitate si conformitatea cu cerintele minime de securitate impuse de standardele in domeniu. In acest sens, societatea noastra realizeaza un audit independent al sistemelor informatice prin intermediul carora clientul isi desfasoara activitatea. In urma activitatilor de audit, societatea noastra emite o opinie de audit insotita de raportul de audit. Auditul urmareste existenta unor masuri concrete in ceea ce priveste:
  • confidentialitatea si integritatea comunicatiilor;
  • confidentialitatea si nonrepudierea tranzactiilor;
  • confidentialitatea si integritatea datelor;
  • autenticitatea partilor care participa la tranzactii;
  • protectia datelor cu caracter personal;
  • trasabilitatea tranzactiilor;
  • continuitatea serviciilor oferite clientilor;
  • impiedicarea, detectarea si monitorizarea accesului neautorizat in sistem;
  • restaurarea informatiilor gestionate de sistem in cazul unor calamitati naturale, evenimente imprevizibile;
  • gestionarea si administrarea sistemului informatic;
  • orice alte activitati sau masuri tehnice intreprinse pentru exploatarea in siguranta a sistemului.

Definire program audit - definirea de obiective de control si de verificari care se vor intrebuinta in verificarile realizate la fata locului; In vederea crearii unei opinii obiective si a unui raport de audit cuprinzator, echipa de audit va realiza urmatoarele activitati:
Management de proiect – va asiguram managementul proiectului prin Expertul auditor senior IT care va avea si rol de Coordonator proiect si care detine experienta si competente in acest sens. Coordonatorul de echipa va monitoriza derularea activitatilor si se va asigura de realizarea proiectului conform planificarii stabilite.
Intelegerea organigramei si a structurii sistemului informatic - Strângerea de informatii relevante despre client pentru utilizarea in cadrul etapelor urmatoare. Aceste informatii includ: detalii despre organizarea interna, detalii despre organizarea IT, despre tehnologii si sistemele folosite, modul de functionare al sistemelor din cadrul domeniului de audit.
Interviuri cu persoanele responsabile desemnate de Beneficiar In mod normal, auditorul programeaza interviuri cu persoanele responsabile desemnate de catre client, sau, dupa caz, utilizeaza chestionare pentru fiecare sectiune in parte. Tot in aceasta etapa se va realiza o lista cu rolurile si responsabilitatile personalului clientului in administrarea si operarea sistemelor tinta.
Auditul sistemului - echipa de auditori intreprinde evaluarile si testele prevazute in programul de audit, cu scopul de a verifica atingerea obiectivelor de control stabilite; Acesta cuprinde verificarea a peste 260 de controale de securitatea informatiei grupate in 9 capitole principale:

  1. Managementul Securitatii Informatiei
    1. Organigrama si rolul securitatii in organizatie
    2. Politica de securitate
  2. Managementul Continuitatii Afacerii
    1. Organizarea BCM
    2. Definirea cerintelor cu privire la continuitate
    3. Planurile de continuitate
    4. Testarea planurilor de continuitate, proceduri de backup
    5. Recuperarea in caz de dezastru
    6. Raspunsul la incidente de securitate
  3. Securitatea informatiilor in cadrul resurselor umane
    1. Proceduri de angajare
    2. Proceduri in timpul perioadei de angajare
    3. Instruirea angajatilor privind constientizarea rolului securitatii in organizatie
    4. Proceduri la finalizarea contractului de munca
  4. Securitatea Operatiunilor
    1. Proceduri si responsabilitati privind securitatea operatiunilor
    2. Managementul livrarii de servicii din partea unei terte parti
    3. Protejarea mediilor de stocare
    4. Protectia impotriva scurgerilor de informatie
    5. Schimbul de informatie
    6. Distrugerea informatiei
  5. Securitatea sistemelor IT
    1. Arhitectura infrastructura IT
    2. Securitatea serverelor
    3. Securitatea statiilor de lucru
    4. Securitatea echipamentelor de retea
    5. Securitatea retelei (acces extern, WiFi, VPN)
  6. Achizitia, dezvoltarea si mentenanta sistemelor IT
    1. Definirea cerintelor de securitate
    2. Securitatea in cadrul procesului de dezvoltare
    3. Managementul vulnerabilitatilor
  7. Managementul accesului la resursele informationale
    1. Politica privind controlul accesului
    2. Definirea rolurilor si drepturilor de acces ale utilizatorilor
    3. Autentificare, autorizare si trasabilitate in cadrul sistemelor si aplicatiilor
    4. Echipamente mobile si acces de la distanta
  8. Managementul resurselor informationale
    1. Definirea proprietarilor de informatie
    2. Responsabilitatea pentru resurse
    3. Clasificarea informatiei
  9. Securitatea fizica
    1. Concept de securitate fizica in cadrul organizatiei
    2. Zonele de securitate pe nivele de risc
    3. Securitatea perimetrala a cladirii
    4. Sistemul control acces
    5. Sistemul de supraveghere video
    6. Sistemul de detectie si stingere a incendiilor
    7. Camere tehnice; camera serverelor

Analiza de risc – definirea expunerii pe care o au sistemul si informatiile gestionate la riscuri privind securitatea informatiilor; In vederea realizarii acestei analize de risc, se realizeaza urmatoarele:
  • Identificarea elementelor analizate: sisteme, aplicatii, procese, oameni;
  • Identificarea vulnerabilitatilor si a amenintarilor;
  • Cuantificarea si masurarea scenarilor de risc;
  • Identificarea controalelor aplicabile;
  • Stabilirea registrului de riscuri si identificarea riscurilor reziduale sau a scenariilor necotrolate.
Raportarea – pregatirea opiniei de audit si a raportului de audit, care documenteaza operatiunile si testele intreprinse precum si rezultatele obtinute.  
Raportul de audit. Acest livrabil documenteaza operatiunile si testele intreprinse. Sunt documentate neconformitatile, observatiile si recomandarile pentru imbunatatire; Neconformitatile reprezinta neconcordante intre sistemul existent cu documentatia pregatita de client sau aspecte care, in mod evident, incalca conditiile optime de securitate; Observatiile reprezinta aspecte care  duc la periclitarea starii de securitate a sistemului si care pot conduce, in anumite conditii, la nerespectarea conditiilor optime de securitate.

II. Testare de securitate (penetration testing) la nivelul infrastructurii interne si a celei expuse in Internet.  
Testare securitate infrastructura externa. Scopul unui test de penetrare extern este acela de a identifica, evalua si remedia vulnerabilitatile de securitate care ar putea afecta interfata externa a infrastructurii IT, ce ar putea conduce la compromiterea sistemelor de control acces in sistem și implicit ar permite accesul neautorizat la datele şi informatiile interne companiei. Testele externe de penetrare realizate de echipa noastra, ofera informatii clare despre expunerea reala la atacuri, a infrastructurii IT.
Testare securitate infrastructura interna.   Cea mai mare parte a vulnerabilitatilor IT provin din interiorul companiei. Atacurile interne pot avea un impact major asupra companiei și a proceselor sale, avand în vedere natura relațiilor de incredere interne. Testul de penetrare intern descopera vulnerabilitatile de la nivelul infrastructurii interne și ofera recomandări de contracarare a acestora pentru a crea o rețea interna solida și sigura, fara a compromite utilizarea acesteia.

LIVRABILE
 A. Raport evaluare risc privind securitatea informatiei. Contine o descriere a tuturor controalelor de securitate a informatiei verificate in perioada auditului, a neconformitatilor identificate precum si o evaluare a riscului asociat.
B. Raport testare securitate.  Partea executivă va conține descrierea pe scurt a problemelor și vulnerabilităților identificate și va utiliza metode grafice (cel puțin diagrame, grafice sau harți). Partea tehnică va detalia din punct de vedere tehnic problemele și vulnerabilitățile identificate. Raportul va conține cel puțin următoarele capitole:
  • Sumar executiv;
  • Obiectivele și scopul evaluării;
  • Prezentare succintă a metodologiei utilizate în cadrul testării;
  • Descrierea contextului în care s-a desfășurat testarea;
  • Prezentarea individuală a vulnerabilităților descoperite, după cum urmează:
  • Descrierea vulnerabilității;
  • Catalogarea vulnerabilității;
  • Descrierea tehnică;
  • Analiza severității și probabilității;
  • Calcularea riscului;
  • Contramăsuri recomandate pentru remediere.
  • Alte detalii și recomandări;
  • Anexa cu lista testelor de securitate efectuate.
C. Plan de masuri Recomandările de remediere a neconformitatilor identificate și vulnerabilităților identificate vor cuprinde cele mai bune acțiuni/măsuri/metode ce trebuie întreprinse/luate/folosite pentru eliminarea sau micșorarea riscului generat de problemele și vulnerabilitățile detectate precum și recomandări și propuneri de implementare ale acestora.