CONDIŢII DE BAZĂ PENTRU
SUCCESUL TESTELOR DE SECURITATE INFORMATIONALĂ
Valeriu Cernei,
Consultant TSRS
Ernst & Young Moldova
Keywords:
security, penetration testing, vulnerability, business, computer systems.
Abstract: Nowadays
Information systems are widely used by different industries and are critical to
the functioning of companies around the world. At the same time, implementation
of IT technologies implies high IT related risks that should be managed
correspondingly by companies’ top management.
This paper brings in the first plan the importance of periodical
security reviews and their positive impact on day by day business.
Atunci
cînd clienţii îşi deschid un cont la bancă, se înregistrează pentru a
achiziţiona un produs sau încheie contracte de parteneriat, este normal ca ei
să comunice informaţie cu caracter personal şi să aibă siguranţa că informaţia
respectivă nu va fi divulgată terţelor persoane. În marea majoritate a
cazurilor, informaţia respectivă este parte componentă a procesului de business
şi companiile nu vor fi capabile să-şi realizeze activitatea operativ şi
eficient fără aceste informaţii.
Concomitent,
dacă informaţia respectivă este compromisă, atunci companiile sunt expuse
riscului ca, pe viitor, clienţii şi partenerii să nu mai dorească să întreţină
relaţii de afaceri cu compania care nu a protejat, în măsura aşteptărilor,
informaţia comunicată.
Pentru
a minimiza aceste riscuri, companiile trebuie să-şi elaboreze un plan de
securitate, care va fi consistent cu domeniul de activitate şi care va avea ca
obiectiv atît protecţia informaţională a clienţilor şi partenerilor de afaceri,
cît şi a propriei afaceri prin elaborarea şi implementarea mecanismelor de
securitate informaţională.
Asigurarea
securităţii informaţionale trebuie să devină parte integrantă a procesului de
afaceri şi, ce e mai important – să fie abordată într-un mod complex. După
implementarea mecanismelor de securitate, companiile doresc să se asigure că
aceste mecanisme funcţionează aşa cum au fost proiectate şi sunt eficiente.
Pentru aceasta, se iniţiază teste de penetrare a sistemului de securitate.
Un test
de penetrare a sistemului de securitate reprezintă un proces de evaluare activă
a mecanismelor de securitate. Există o multitudine de modalităţi de realizare a
acestui proces, însă toate au ca obiectiv analiza breşelor de proiectare, a
vulnerabilităţilor la nivel tehnic şi a inconsistenţelor în măsurile
organizaţionale.
Testarea
sistemului de securitate poate da răspunsuri mai multor categorii de întrebări
atît cu caracter comercial, cît şi tehnic, iar rezultatele pot fi utilizate ca
informaţie de intrare pentru optimizarea şi dezvoltarea ulterioară a sistemului
de securitate. Prin urmare, ca rezultat al unei testări de penetrare a
sistemului de securitate, vor fi posibile:
Testarea
sistemului de securitate poate îmbrăca diferite forme în funcţie de obiectivul
testării şi rezultatele aşteptate de către managementul companiei. Prin urmare,
testarea poate fi externă – cînd acţiunile sunt realizate din exterior sau
internă – cînd testerii sunt conectaţi la reţeaua corporativă a companiei.
Consultanţii pot cunoaşte un anumit volum de informaţie iniţială despre
infrastructura companiei sau nu posedă nici un fel de cunoştinţe. De asemenea,
pot fi executate testări de securitate ale aplicaţiilor sau ale reţelei de
comunicaţii, ale sistemelor de operare sau ale unor echipamente concrete. În
cazul dat, prima şi cea mai importantă condiţie pentru succesul proiectului
este de a se agrea aria de cuprindere şi obiectivele proiectului.
În
concluzie, se poate menţiona că, pentru a asigura calitatea testelor de
securitate şi atingerea obiectivelor propuse, companiile trebuie să ia în
considerare un set de condiţii, cum ar fi: alegerea prestatorului de servicii
şi experienţa acestuia în domeniu, nivelul de calificare al specialiştilor
implicaţi, existenţa metodologiei de testare şi a unui pachet de instrumente,
nivelul de colaborare şi modalitatea de agreare ale procedurilor, modalitatea
de prezentare a rezultatelor etc.
Bibliografie:
1.
http://www.penetration-testing.com/, “Pentration testing guide”
2.
“Helping
Businesses Safeguard Information and Networks”, Ron Hale, Information
Systems Control Journal
3.
“Penetration Testing - The
Third Party Hacker”, Jessica Lowery,
SANS Institute, 2002,