Network Security

NetworkSecurity.ro

Helping your Business PROVIDE

Introducere

Inainte ca orice masuri sa poata fi luate cu privire la securitatea cibernetica, starea actuala a riscurilor, resurselor, practicilor, procedurilor si proceselor trebuie sa fie evaluata. Noi consideram toate cele trei laturi ale triunghiului InfoSec - confidentialitatea, integritatea si disponibilitatea (CID), si oferim evaluari strategice ale intregului context al afacerii clientului inainte de a recomanda orice solutie tehnica de securitate. Auditurile pe care Network Security le poate furniza pot fi: de sine statator, declansat de un eveniment/incident, efectuat pentru pregatirea punerii in aplicare a unui upgrade al sistemului/infrastructurii sau personalizate pentru a rezolva o problema specifica. Dar fara metodologia expertilor implicati in procesul de audit formal si rezultatele descoperite in urma auditului ce trebuie comunicate factorilor de decizie in business-ul respectiv, nici o solutie fiabila nu poate fi dezvoltata.

Audit de conformitate IT&C si InfoSec

Un audit de conformitate este o revizuire cuprinzatoare a unei organizatii cu privire la respectarea

liniilor directoare de reglementare valabile in domeniul de activitate (legislaţie, standarde, cele

mai bune practici, etc.). Consultantii independenti ce colaboreaza cu Network Security in

domeniile contabilitate, securitatea informaţiei sau IT&C evalueaza puterea si profunzimea

cerintelor de conformitate. Pe parcursul unui audit de conformitate auditorii revizuiesc politicile de

securitate, controale de acces ale utilizatorilor la resurse si procedurile de gestionare a riscurilor. Ce este examinat cu exactitate intr-un audit de conformitate va varia in functie de mai mulţi

factori, de exemplu daca o organizatie este o companie publica sau privata, ce fel de date

gestioneaza si transmite sau stocheaza (date clasificate, cu acces restrans, etc.). De exemplu,

cerintele standardului SOX (Sarbanes–Oxley Act) stipuleaza ca orice comunicare electronica

trebuie sa dispuna de o soluţie de rezerva (back-up) si sa fie securizata cu o infrastructura

rezonabila in ceea ce priveşte recuperarea in caz de dezastru (Disaster Recovery). Furnizorii de

servicii medicale care stocheaza sau transmit inregistrari electronice de sanatate, cum ar fi

informatiile personale de sanatate, sunt supuse cerintelor standardului HIPAA (Health Insurance

Portability and Accountability Act). Companiile de servicii financiare, care transmit datele cardului

de credit sunt supuse cerintelor standardului PCI DSS (Payment Card Industry Data Security

Standard). in fiecare caz, organizatia trebuie sa fie in masura sa demonstreze conformitatea prin

producerea unei piste de audit, de multe ori generata de date din software-ul de management a

jurnalului de evenimente. Membrii echipei de audit de conformitate, in general, vor solicita CIO (Chief information officer),

CTO (chief technology officer) si administratorilor IT&C o serie de informaţii şi intrebari punctuale

pe parcursul unui audit. Acestea pot include (pe langa multe altele): ce utilizatori s-au adaugat si

cand, cine a parasit compania, daca ID-urile de utilizator pentru ce ce nu mai lucreaza in

companie au fost revocate si care dintre administratorii IT&C au acces la sistemele critice.

Administratorii IT&C in general se pregatesc pentru audituri de conformitate utilizand programe de

management de evenimente (log management) si software de management a schimbarilor,

documentatia de autentificare si controale de securitate in sistemele IT&C. Numarul tot mai mare

de aplicaţii de tipul GRC (guvernanta, managementul riscurilor si conformitate) permite CIO (Chief

information officer) şi CTO (chief technology officer) sa prezinte rapid auditorilor (si directorii

executivi) ca organizatia este in conformitate cu cerinţele de referinţa si ca nu va fi obiectul unor

amenzi sau sanctiuni costisitoare. Serviciul de audit de conformitate Network Security (cu cerinte legale sau cu standarde) ofera o

cale completa si clara pentru a imbunatati eforturile interne in vederea implementarii cerintelor de

securitate, tehnologie si operationale definite in reglementarile legale in vigoare si/sau in

standarde. Echipa de specialisti Network Security are expertiza de audit pentru toate serviciile

electronice definite de catre autoritatile de reglementare si supraveghere din mediul IT&C

romanesc. in timpul fiecarui proces de audit, specialistii Network Security revizuiesc cerintele relevante

derivate din reglementarile legale in vigoare sau din standarde, corelate cu cele mai bune practici

in domeniu, filtrate prin metodologia noastra de audit ce respecta cu strictete codul etic al

auditorilor independenti. in urma procesului de audit, partile interesate (entitatea auditata si

entitatea de reglementare si supraveghere – acolo unde este cazul) vor primi cele mai pertinente

rapoarte si opinii de audit, insotite de recomandari de imbunatatire sau corectare pentru fiecare

observatie sau neconformitate descoperita. Ariile acoperite de auditurile de conformitate Network Security cuprind, fara a se limita la acestea:

• sisteme de Internet Banking si de plati electronice;

• sistemele IT&C ale CNVM;

• infrastructuri IT&C ce ofera servicii de semnatura electronica si marca temporala;

• infrastructuri IT&C ce ofera servicii de arhivare electronica.

Audit de performanta IT&C si InfoSec

Acţiunile specifice de audit al sistemelor informatice din ansamblul competenţelor specialistilor

Network Security se refera la auditul IT/IS, respectiv auditul arhitecturilor şi infrastructurilor IT,

precum şi auditul sistemelor, aplicaţiilor şi serviciilor informatice şi reprezinta o activitate de

evaluare a sistemelor informatice prin prisma optimizarii managementului resurselor informatice

disponibile (date, aplicaţii, tehnologii, facilitaţi, servicii, resurse umane etc.), in scopul atingerii

obiectivelor de business ale organizatiei, prin asigurarea unor criterii de: eficienţa,

confidenţialitate, integritate, disponibilitate, siguranţa in funcţionare şi conformitate cu un cadru de

referinţa (standarde, bune practici, cadru legislativ etc.).

Prin intermediul rapoartelor de audit, Network Security furnizeaza parţilor interesate (entitaţi

auditate) informaţii privind performanţa implementarii şi utilizarii infrastructurilor bazate pe

tehnologia informaţiei şi efectele obţinute in planul modernizarii activitaţii prin informatizarea

acesteia, precum şi increderea pe care sistemul o asigura utilizatorului (clienti, instituţii publice,

cetaţeni). Generic, acestea se materializeaza in reducerea timpului de acces la informaţie,

prevenirea pierderii ori inlocuirii informaţiei, creşterea gradului de securitate a informaţiilor,

protecţia datelor personale, reducerea birocraţiei şi a blocajelor la ghişeu, promovarea culturii

informatice in rindul cetaţenilor, reducerea reala a costurilor administrative, furnizarea şi utilizarea

de informaţii in timp real prin extinderea serviciilor electronice bazate pe implementarea

tehnologiilor web, asigurarea compatibilitaţii şi interoperabilitaţii cu sistemele similare disponibile

in ţarile Uniunii Europene. in vederea crearii unei opinii obiective şi a unui raport de audit cuprinzator, echipa de audit va

realiza urmatoarele activitaţi:

•Inţelegerea organizaţiei – reprezinta procesul de stringere de informaţii relevante despre

organizatia auditata in vederea utilizarii lor in cadrul etapelor urmatoare. Aceste informaţii cuprind:

schema de organizare interna, organizarea sistemelor informatice, tehnologiile şi sistemele

folosite, modul de funcţionare al sistemelor din cadrul domeniului de audit; •Analiza documentaţiei relevante - evaluarea conformitaţii documentaţiei clientului cu cerinţele

specificate de legislatie, standardele si/sau cele mai bune practici in domeniu; •Stabilirea programului de audit - definirea de obiective de control şi de revizuiri ce vor fi folosite la

faţa locului;

•Auditarea organizatiei - echipa de audit realizeaza evaluari şi teste prevazute in programul de

audit, cu scopul de a verifica atingerea obiectivelor de control stabilite;

•Raportarea rezultatelor – pregatirea opiniei de audit şi a raportului de audit, care documenteaza

operaţiunile şi testele intreprinse precum şi rezultatele obţinute ◦ Raportul de audit = Acest livrabil

documenteaza operaţiunile şi testele intreprinse si scoate in evidenta neconformitaţile,

observaţiile şi recomandarile pentru imbunataţire. Neconformitaţile reprezinta neconcordanţe intre

sistemul existent cu documentaţia pregatita de client sau aspecte care, in mod evident, incalca

condiţiile legale sau cele specificate in standardele de specialitate. Observaţiile reprezinta

aspecte care duc la periclitarea starii de conformitate a sistemului cu cerintele legale, specificate

in standarde sau in cele mai bune practici din domeniu şi care pot conduce, in anumite condiţii, la

aparitia de neconformitati. Opinia de audit = Opinia de audit va fi sub forma: • Opinie negativa de audit – atunci cind, la sfirşitul perioadei de audit exista doua sau mai multe

neconformitaţi majore ce nu pot fi inchise; • Opinie rezervata de audit – atunci cind exista o neconformitate majora sau mai multe

observaţii la sfirşitul perioadei de audit. • Opinie pozitiva de audit – atunci cind la sfirşitul perioadei de audit nu exista nici o

neconformitate majora, iar neconformitatile minore au fost inchise.

Audit de performanta si de conformitate
Evaluarea vulnerabilitatilor si analiza riscului
Testari ale infrastructurii si aplicatiilor
Managementul securitatii informatiilor
Revizuirea politicilor si procedurilor de securitate
Continuarea afacerii si recuperarea datelor
Consultanta si administrare IT@C
Analiza de risc la securitatea fizica
Auditul proiectelor finantate din fonduri structurale
Politica de cookie-uri
Politica de confidentialitate