Compania NetSec Interactive Solutions S.R.L. a lansat site-ul USB Secure (www.usbs.ro), dedicat in exclusivitate comercializarii produselor de tip stick-USB IronKey!
Producatorul American de dispozitive de stocare USB ofera cele mai sigure solutii de stocare si transport al datelor din lume!

Cele mai importante caracteristici ale dispozitivelor IronKey:

- criptare hardware asigurata de Criptochip(tm), pe 256 bit-AES CBC mode
– certificat cu cel mai inalt standard in domeniul securitatii datelor, FIPS 140-2 Level 3
– capacitate de stocare de la 1 GB la 16GB
– transfer rapid, arhitectura dual-channel: 24 MB/sec scriere si 27 MB/sec citire
– carcasa metalica rezistenta la socuri mecanice de pana la 16G
– subacvatic
– protectie impotriva tentativelor de furt, copiere sau distrugere a datelor

NetSec Interactive Solutions S.R.L. va ofera aceste produse la preturi competitive, prin parteneriat cu IronKey, intr-o gama larga de capacitati (de la 1 GB la 16 GB), cu o multitudine de facilitati pentru a asigura confidentialitatea si siguranta datelor dumneavoastra!

Pentru mai multe referinte va invitam sa accesati site-ul www.usbs.ro, unde puteti comanda produsele IronKey.

© Netsec Interactive Solutions, 2009. | Permalink | No comment | Add to del.icio.us
Post tags: anti-virus, politica de securitate, securitate linux, securitate usb, securitate windows, stiri securitate, tutoriale securitate

1. Preambul
2. Raspandirea stick-urilor USB in mediul Enterprise
3. Riscurile utilizarii memoriilor USB: pierderea sau furtul datelor
4. Practicile nesigure si metodele de protectie ineficiente

1. Preambul

Inca de la aparitia pe piata a mediilor de stocare USB, acestea au fost adoptate rapid de catre utilizatorii nemultumiti de neajunsurile floppy-disk-urilor. Dimensiunea redusa a acestora alaturi de viteza relativ mare de transfer a datelor si capacitatea mare, comparabila cu cea a dischetelor, au transformat mediile flash-USB (”stick-uri de memorie”) in cele mai raspandite si utilizate medii de stocare si transfer de date. O statistica a Gartner arata ca pana in vara anului 2007, peste 85 de milioane de astfel de dispozitive au fost vandute, la nivel mondial, iar mai mult de un sfert dintre acestea sunt utilizate exclusiv in mediul enterprise. Odata cu raspandirea acestor medii de stocare, riscurile asociate cu utilizarea dischetelor pentru transportul informatiilor au fost transferate in tabara utilizatorilor stick-urilor de memorie. Principalele riscuri asociate cu utilizarea memoriilor flash sunt:
– pierderea coruperea datelor continute pe stick
– transmiterea de virusi informatici
– pierderea sau furtul dispozitivului USB
– pierderea confidentialitatii datelor continute de stick-ul USB
Acest articol doreste sa aduca o noua perspectiva asupra pericolelor utilizarii dispozitivelor USB pentru transportul si stocarea datelor importante, marcand atat principalele riscuri asociate cu folosirea acestor dispozitive cat si practicile nesigure si metodele de protectie ineficiente implementate in majoritatea mediilor enterprise.

2. Raspandirea stick-urilor USB in mediul Enterprise

In mediul IT al companiilor private si al  institutiilor publice, dispozitivele USB au cunoscut o raspandire rapida, fiind adoptate de utilizatori ca si inlocuitor al dischetelor si al mediilor optice (CD/DVD). Un studiu elaborat de Sandisk, unul dintre cei mai mari producatori de memorii flash de pe planeta, indica faptul ca peste 75 la suta dintre angajatii unei companii medii utilizeaza zilnic stick-urile USB pentru a stoca si transporta datele din reteaua interna a companiei. In multe cazuri, transferul de date este cerut de activitatea angajatului insa exista situatii in care date confidentiale ale companiei, ajung pe stick-urile USB ale angajatilor. Acelasi studiu condus de Sandisk indica diversele tipuri de documente si date, ce sunt salvate pe stick-uri USB de catre angajati, si parasesc reteaua companiei odata cu utilizarea stick-urilor USB si in alte medii decat reteaua de la serviciu:

• date despre clienti – 25%
• informatii financiare  - 17 %
• planuri de afaceri – 15 %
• date despre angajati – 13 %
• planuri de marketing – 13 %
• documente – proprietate intelectuala – 6 %
• codul sursa al produselor software dezvoltate de companie – 6 %
• alte informatii sensibile – 5 %

Putem concluziona cum ca aceste tipuri de documente si datele continute, reprezinta informatii cu caracter confidential al companiilor iar pagubele provocate de pierderea sau dezvaluirea acestora pot fi substantiale.

3. Riscurile utilizarii mediilor USB: pierderea sau furtul datelor

In preambulul acestui articol am enumerat principalele riscuri la care este expus utilizatorul unui mediu de transfer si transport de tip USB flash-drive. Daca riscurile infectarii cu virusi informatici poate fi mitigat in mediul enterprise, prin utilizarea de solutii anti-malware, pierderea, compromiterea, dezvaluirea sau furtul datelor reprezinta cele mai importante dintre riscurile la care este expusa o companie sau institutie ce utilizeaza astfel de medii de stocare. In cazul institutiilor de stat, aceste riscuri sunt deosebit de ridicate deoarece informatiile transportate prin flash-drive-uri USB, pot fi foarte sensibile iar compromiterea acestora poate afecta si alte entitati decat institutia respectiva. Pierderea sau compromiterea, dezvaluirea unor date contabile, ce sunt confidentiale prin natura lor, ar putea provoca un prejudiciu important atat persoanei responsabile cu transmiterea acestor date si mai ales, clientului.

In prezent nu exista reglementari de ordin legal in privinta utilizarii suportilor de memorie de tip flash pentru stocarea si transportul de informatii, ci mai degraba o serie de recomandari generice, continute de anexele unor ordonante si hotarari ale ministerelor de Finante si de Sanatate, care certifica utilizarea acestui tip de dispozitive ca si suport acceptat pentru transportul documentelor.

Atat in cazul institutiilor publice ca si in cazul companiilor private, departamentele de specialitate (IT, IT Security) implementeaza o serie de politici de securitate ce privesc utilizarea acceptabila a stick-urilor USB in cadrul companiei. Aceste documente vin ca si suport pentru uniformizarea utilizarii acestor memorii, la nivelul companiei, insa, de cele mai multe ori, sunt fie lipsite de consistenta fie foarte permisive. Aditional acestor masuri documentare, departamentele de specialitate apeleaza la metode de cele mai multe ori inadecvate pentru a proteja confidentialitatea informatiilor copiate pe stick-uri USB. Mai multe despre aceste masuri in sectiunea urmatoare.
Putem concluziona, in privinta acestor riscuri, cum ca doar un proces continuu de constientizare si formare a factorului uman in privinta utilizarii dispozitivelor de tip stick-USB, alaturi de o serie de masuri tehnice specifice, poate creea un mediu sigur in privinta pastrarii confidentialitatii si integritatii datelor transportate pe memorii USB.

4. Practici nesigure si metode de protectie insuficiente

Am trecut in revista principalele riscuri la care sunt expuse informatiile institutiilor publice si ale companiilor private, atunci cand sunt transportate prin suporti USB-Flash. In aceasta sectiune vom puncta practicile nesigure care pot duce la realizarea riscurilor mentionate in sectiunile anterioare.
Pierderea datelor transportate pe stick-urile USB este asociata, de cele mai multe ori, cu pierderea, distrugerea sau furtul dispozitivului USB in sine. In aceasta situatie, gasitorul memoriei USB poate accesa nestingherit toate informatiile continute deoarece, in vasta majoritate a cazurilor, acestea nu sunt criptate si/sau protejate prin parola. In cazul distrugerii accidentale sau intentionate a stick-ului USB, informatiile continute sunt pierdute atat timp cat nu exista o copie de siguranta a acestora. Neglijenta in transportul si stocarea dispozitivelor USB precum si lipsa oricarei protectii logice a informatiilor continute, de tip criptare, backup, protejare prin parola, reprezinta o practica ce poate duce la pierderea datelor copiate pe memoria USB.

O alta practica nesigura o reprezinta utilizarea stick-urilor USB pentru a copia informatii din mai multe surse. In cazul in care un stick USB este instalat in mai multe computere, sansele ca fisierele copiate pe stick sa ajunga a fi infectate cu virusi informatici creste substantial. Pentru utilizatorii obisnuiti reprezinta o practica comuna folosirea stick-ului USB atat pentru a transporta informatii sensibile cat si pentru a stoca sau muta fisiere personale, copiate de pe calculatorul de acasa sau de pe laptop-ul prietenilor. Riscul de a compromite atat datele continute pe stick cat si celelalte calculatoare in care stick-ul este montat, este cu atat mai mare cu cat respectivele sisteme nu utilizeaza software anti-virus, anti-spyware etc.

Recurenta acestor practici, in companii si institutii, a dus la implementarea unor masuri de siguranta in exploatarea dispozitivelor de stocare portabile, masuri care, de cele mai multe ori, se dovedesc a fi insuficiente sau improprii. Cele mai comune practici in aceasta privinta sunt dezactivarea porturilor USB de pe statiile de lucru, inventarierea stick-urilor USB ce apartin companiei sau limitarea drepturilor de scriere si/sau citire a informatiilor continute pe memoriile respective.

Consideram aceste metode de protectie ca fiind ineficiente si improprii unei utilizari rationale si sigure a stick-urilor USB. Scopul metodelor de protectie nu ar trebui sa fie acela de a inlatura posibilitatea de folosire a acestora, ci ar trebui sa faciliteze utilizarea memoriilor in conditii de siguranta. Elaborarea unei politici de securitate stricta in acest sens sustinuta de elemente de constientizare a utilizatorilor in privinta pericolelor utilizarii stick-urilor USB pentru a transporta date confidentiale, alaturi de implementarea unor sisteme de monitorizare si control centralizat al dispozitivelor de acest fel, utilizarea de flash-uri USB ce permit criptarea informatiilor si/sau protejarea acestora prin parola, back-up regulat al informatiilor copiate pe stick-uri, duc la crearea unui mediu de utilizare sigur si eficient.

Mai multe despre produse si tehnologii ce permit criptarea informatiilor de pe stick-urilor USB intr-un articol viitor!

Cele mai sigure stick-uri USB din lume, sunt disponibile in Romania prin site-ul USBS.ro! Dispozitivele IronKey ofera posibilitati multiple de securizare a informatiilor ce sunt stocate si transportate, oferind in acelasi timp criptare hardware la nivel militar, constructie solida din metal si rezistenta la socuri mecanice si la tentative de distrugere!

© Netsec Interactive Solutions, 2009. | Permalink | One comment | Add to del.icio.us
Post tags: anti-virus, control acces, criptare, politica de securitate, securitate laptop, securitate usb, securitate windows

Sistemul de Management al Securitatii Informationale (SMSI sau ISMS - Information Security Management System) este, dupa cum implica si numele sau, o colectie de documente si masuri venite sa asigure confidentialitatea, integritatea si disponibilitatea informatiilor si a datelor informatice, proprietate a unei organizatii.
Guvernat de prevederile Standardului ISO-IEC 27001, SMSI reprezinta o unealta utila oricarei organizatii pentru a controla procesele interne si, in general, activitatile personalului ce interfereaza cu sau se bazeaza pe infrastructura IT a companiei.

Conceptul ce sta la baza oricarei implementari a SMSI este “prevenirea incidentelor de securitate IT prin controlul activ al resurselor”. Desi poate suna complicat, acest concept este unul cat se poate de eficient deoarece orice actiune preventiva propusa de Standardul ISO-IEC 27001 poate fi documentata printr-un set complet si complex de proceduri operationale, orientate catre fiecare departament sau resursa a companiei.

Implementarea unui SMSI inseamna, de cele mai multe ori, obtinerea unei certificari ISO-27001. Aceasta certificare atesta intrinsec un set de calitati ale organizatiei certificate si poate fi vazuta ca un “insemn de prestigiu”. Odata cu aparitia organismelor de certificare SMSI, a aparut si o disputa de principiu ce pune in balanta utilitatea implementarii si costurile acesteia. Acest articol propune o descriere obiectiva si succinta a celor doua “talere” ale balantei: utilitatea implementarii SMSI, pe de-o parte si costurile aferente procesului pe de alta parte.

Inainte de aceasta discutie, o sa analizam ce presupune o implementare SMSI la nivelul unei organizatii medii, cu 1000 de angajati.
Implementarea SMSI reprezinta un proces complex, etapizat, realizabil cu interventia managementului companiei, a departamentelor IT si telecomunicatii precum si a a personalului ce utilizeaza resurse informationale in desfasurarea activitatii. Mai jos o descriere a etapelor implementarii:

1. Inventarierea tuturor bunurilor si a serviciilor IT&C – aceasta etapa presupune crearea unui registru al bunurilor si serviciilor existente in companie. Pentru fiecare dintre intrari in acest registru va fi atribuit un Proprietar – fie un departament ce utilizeaza resursa respectiva sau o persoana anume, daca bunul sau serviciul este utilizat doar de un angajat. Proprietarul, in aceasta etapa, isi va comite responsabilitatea pentru functionarea si controlul resursei respective.

2. Indexarea riscului pentru fiecare dintre bunurile si serviciile IT&C – va fi creat un tabel ce va contine un index de risc pentru fiecare dintre resursele inventariate. Definirea gradului de risc la care respectiva resursa este expusa se va face in conformitate cu un set de politici directive, ce va fi elaborat in paralel si va fi diferit pentru fiecare organizatie in parte, in functie de un cumul de factori.

3. Numirea unei persoane Responsabil cu Securitatea Informationala – aceasta persoana va fi numita fie dintre angajatii existenti sau printr-o noua colaborare cu un tert. Va superviza implementarea SMSI si va raspunde, unde este cazul, de buna functionare a sistemului implementat. Este vorba, asadar, despre un responsabil de proces.

4. Crearea unei Diagrame de Procese – acest pas presupune o colaborare extinsa intre Responsabilul cu Securitatea Informationala si managementul fiecarui departament din cadrul organizatie pentru a creea, in final, un document cuprinzator pentru fiecare proces intern din cadrul departamentelor companiei. Astfel, vor fi marcate toate activitatile departamentelor, circuitul documentelor interne precum si orice alte documente si informatii ce circula prin departamentele respective. Diagrama de Procese este deosebit de utila pentru a creea o imagine detaliata a fiecarei activitati din cadrul companiei in scopul de a adapta, astfel, prevederile SMSI pentru fiecare departament in parte.

5. Elaborarea unui Manual de Politici si Proceduri Operationale – aceasta etapa presupune crearea unor documente directive “Politici” si a conexelor acestora, documente operationale “Proceduri”, conforme cu cerintele Standardului ISO 27001 si adaptate pentru realitatea din cadrul organizatiei ce doreste implementarea SMSI. Un manual complet va include un set de minim 10 Politci ce trateaza aspecte privitoare la securitatea comunicatiilor, reguli de acces la servicii de tip e-mail, Internet si Intranet precum si reguli ce vin sa controleze procesele de recuperare a informatiilor in caz de dezastru. Pentru mai multe detalii in acest sens va invitam sa apelati la documentatiile disponibile in Internet. De asemenea, va stam la dispozitie, prin intermediul comentariilor la acest articol, pentru exemplificari ulterioare sau lamurirea oricaror neclaritati.
Procedurile Operationale nu sunt constranse de existenta intr-un numar fix, si pot acoperi aspecte complexe ale activitatilor din cadrul organizatiei. Exemple de astfel de proceduri pot fi: Procedura pentru utilizarea E-Mail-ului, Procedura pentru utilizarea dispozitivelor mobile etc.

6. Crearea de documente conexe Manualului de Politici ce vizeaza Asumarea Responsabilitatii Management-ului Organizatiei pentru implementarea SMSI - Pentru a asigura eficienta procesului de implementare SMSI, asumarea Managementului in acest sens reprezinta o cerinta esentiala. Acest pas presupune o acreditare formala, de partea conducerii companiei, a eforturilor financiare si logistice necesare pentru o implementare cu succes a SMSI

7. Revizuirea documentelor – reprezinta un pas important in implementare ce presupune o atenta studiere a tuturor documentelor si a activitatilor creeate si dispuse in cadrul SMSI. In aceasta etapa vor fi efectuare modificari, acolo unde este cazul, pentru a aduce “la zi” procesul SMSI

8. Auditul pentru obtinerea certificarii ISO-27001 Compliant – Procesul de Audit va fi realizat prin externalizare catre un auditor acreditat. Raportul de Audit reprezinta documentul final al intregului proces de implementare SMSI, document ce va admite sau, dupa caz, respinge, masurile luate in procesul de implementare pentru a atinge conformitatea cu cerintele ISO 27001. Un raport favorabil inseamna o implementare reusita a SMSI si, implicit, obtinerea acreditarii ISO 27001.

Acum, ca am vazut ce presupune o implementare eficienta si completa a SMSI, trebuie sa luam in calcul si costurile aferente procesului. Mai jos am pregatit o lista de argumente ce vizeaza Utilitatea implementarii si, in balanta, Investitiile necesare:

Utilitate:
-conformitatea cu Standardul ISO 27001 creeaza premisele unei mai bune reprezentare pe piata in care organizatia activeaza, prin acreditarea unui set de calitati specifice
-odata implementat, SMSI asigura un inalt nivel de protectie impotriva pierderilor de informatii, a utilizarii acestora in scopuri necorespunzatoare precum si o buna conduita a angajatilor in privinta utilizarii resurselor IT ale companiei
-un control foarte amanuntit pentru orice document sau activitate a companiei ce utilizeaza resursele IT
-costuri reduse in exploatare si eficienta sporita pentru departamentul IT si a resurselor acestuia: Instruierea personalului conform SMSI si aderarea acestora la regulile si politicile directive SMSI presupune o mai buna exploatare a resurselor – Reducerea activitatilor “consumatoare de timp” de partea angajatilor -  conform regulilor SMSI, angajatii nu vor mai utiliza resursele IT ale companiei in scopuri personale decat sub un strict control. Astfel, vor fi reduse si costurile aferente conexiunilor la Internet, deoarece, o reducere substantiala a traficului efectuat de angajati va reduce si costurile serviciilor de internet.
-SMSI implica o uniformizare a modurilor de utilizare a resurselor companiei de catre angajati, astfel, o mai buna comunicare si transparenta va fi atinsa intre departamentele companiei – daca, la nivel central, va fi dispus un unic sistem de management al documentelor, spre exemplu, timpul necesar pentru elaborarea, editarea si publicarea acestora va fi redus substantial.

Investitii:
-Atribuirea unei noi functii, Responsabil cu Securitatea Informationala, poate presupune costuri
-Externalizarea serviciului de elaborare a documentelor SMSI implica costuri mici spre medii pentru organizatie
-In aceeasi masura, serviciile de consultanta in etapa de implementare (evaluarea riscului, diagrama de procese) implica costuri
-Investitii in echipamente: implementarea SMSI presupune achizitia, instalarea si mentenanta unor solutii de securitate specifice de tip IDS/IPS, Anti-SPAM, Anti-Virus, controlul accesului internet etc. Aceste investitii pot fi substantial reduse in cazul organizatiilor ce dispun de astfel de solutii.
-Investitii in procesul de constientizare “Security Awarness” a angajatilor. Ulterior implementarii SMSI, organizatia va asigura cursuri pentru angajati in vederea intelegerii prevederilor SMSI si a riscurilor la care compania este expusa in cazul nerespectarii acestora
-Procesul de Audit implica costuri ce difera pentru fiecare dintre Auditorii certificati ISO 27001
-Acreditarea ISO-27001 presupune costuri, asa cum sunt stabilite de organismele de acreditare ISO din Romania.

© Netsec Interactive Solutions, 2009. | Permalink | No comment | Add to del.icio.us
Post tags: audit securitate, consultanta it, ISO 27001, politica de securitate, proceduri de securitate, risk management, servicii securitate informatica, SMSI, tutoriale securitate

Solutiile NetSec Interactive urmaresc integrarea celor mai noi tehnologii precum si a celor mai raspandite produse din domeniul securitatii informatiei pentru a asigura o protectie eficienta impotriva amenintarilor informatice.

Oferim solutii complete pentru elaborarea si implementarea procedurilor IT interne precum si a planului de securitate IT. Solutiile oferite urmaresc cele mai inalte standarde in domeniul securitatii IT (ISO 27001/27002) precum si cele mai intalnite “best practices” din domeniul IT.

© Netsec Interactive Solutions, 2009. | Permalink | No comment | Add to del.icio.us
Post tags: consultanta it, ISO 27001, politica de securitate, proceduri de securitate, risk management, SMSI