CONDIŢII DE BAZĂ PENTRU SUCCESUL TESTELOR DE SECURITATE INFORMATIONALĂ

Valeriu Cernei, 

Consultant TSRS

Ernst & Young Moldova

Keywords: security, penetration testing, vulnerability, business, computer systems.

Abstract:  Nowadays Information systems are widely used by different industries and are critical to the functioning of companies around the world. At the same time, implementation of IT technologies implies high IT related risks that should be managed correspondingly by companies’ top management.  This paper brings in the first plan the importance of periodical security reviews and their positive impact on day by day business.

Atunci cînd clienţii îşi deschid un cont la bancă, se înregistrează pentru a achiziţiona un produs sau încheie contracte de parteneriat, este normal ca ei să comunice informaţie cu caracter personal şi să aibă siguranţa că informaţia respectivă nu va fi divulgată terţelor persoane. În marea majoritate a cazurilor, informaţia respectivă este parte componentă a procesului de business şi companiile nu vor fi capabile să-şi realizeze activitatea operativ şi eficient fără aceste informaţii.

Concomitent, dacă informaţia respectivă este compromisă, atunci companiile sunt expuse riscului ca, pe viitor, clienţii şi partenerii să nu mai dorească să întreţină relaţii de afaceri cu compania care nu a protejat, în măsura aşteptărilor, informaţia comunicată.

Pentru a minimiza aceste riscuri, companiile trebuie să-şi elaboreze un plan de securitate, care va fi consistent cu domeniul de activitate şi care va avea ca obiectiv atît protecţia informaţională a clienţilor şi partenerilor de afaceri, cît şi a propriei afaceri prin elaborarea şi implementarea mecanismelor de securitate informaţională.

Asigurarea securităţii informaţionale trebuie să devină parte integrantă a procesului de afaceri şi, ce e mai important – să fie abordată într-un mod complex. După implementarea mecanismelor de securitate, companiile doresc să se asigure că aceste mecanisme funcţionează aşa cum au fost proiectate şi sunt eficiente. Pentru aceasta, se iniţiază teste de penetrare a sistemului de securitate.

Un test de penetrare a sistemului de securitate reprezintă un proces de evaluare activă a mecanismelor de securitate. Există o multitudine de modalităţi de realizare a acestui proces, însă toate au ca obiectiv analiza breşelor de proiectare, a vulnerabilităţilor la nivel tehnic şi a inconsistenţelor în măsurile organizaţionale.

Testarea sistemului de securitate poate da răspunsuri mai multor categorii de întrebări atît cu caracter comercial, cît şi tehnic, iar rezultatele pot fi utilizate ca informaţie de intrare pentru optimizarea şi dezvoltarea ulterioară a sistemului de securitate. Prin urmare, ca rezultat al unei testări de penetrare a sistemului de securitate, vor fi posibile:

• Identificarea vulnerabilităţilor referitoare la resursele informaţionale ale companiei
• Minimizarea costurilor aferente securităţii informaţionale
• Evaluarea nivelului de securitate al companiei şi determinarea nivelului de maturitate al sistemului de management al securităţii.
• Certificarea sistemului de management al securităţii informaţionale implementat conform unui standard de securitate recunoscut (BS7799, HIPAA, etc.), fapt prin care compania poate obţine un avantaj competitiv considerabil pe piaţa sa de activitate.
• Altele.

Testarea sistemului de securitate poate îmbrăca diferite forme în funcţie de obiectivul testării şi rezultatele aşteptate de către managementul companiei. Prin urmare, testarea poate fi externă – cînd acţiunile sunt realizate din exterior sau internă – cînd testerii sunt conectaţi la reţeaua corporativă a companiei. Consultanţii pot cunoaşte un anumit volum de informaţie iniţială despre infrastructura companiei sau nu posedă nici un fel de cunoştinţe. De asemenea, pot fi executate testări de securitate ale aplicaţiilor sau ale reţelei de comunicaţii, ale sistemelor de operare sau ale unor echipamente concrete. În cazul dat, prima şi cea mai importantă condiţie pentru succesul proiectului este de a se agrea aria de cuprindere şi obiectivele proiectului.

În concluzie, se poate menţiona că, pentru a asigura calitatea testelor de securitate şi atingerea obiectivelor propuse, companiile trebuie să ia în considerare un set de condiţii, cum ar fi: alegerea prestatorului de servicii şi experienţa acestuia în domeniu, nivelul de calificare al specialiştilor implicaţi, existenţa metodologiei de testare şi a unui pachet de instrumente, nivelul de colaborare şi modalitatea de agreare ale procedurilor, modalitatea de prezentare a rezultatelor etc.

Bibliografie:

1.  http://www.penetration-testing.com/, “Pentration testing guide”

2.  “Helping Businesses Safeguard Information and Networks”,  Ron Hale, Information Systems Control Journal

3.   “Penetration Testing - The Third Party Hacker”,  Jessica Lowery, SANS Institute, 2002,