Sistemul de Management al Securitatii Informationale (SMSI sau ISMS - Information Security Management System) este, dupa cum implica si numele sau, o colectie de documente si masuri venite sa asigure confidentialitatea, integritatea si disponibilitatea informatiilor si a datelor informatice, proprietate a unei organizatii.
Guvernat de prevederile Standardului ISO-IEC 27001, SMSI reprezinta o unealta utila oricarei organizatii pentru a controla procesele interne si, in general, activitatile personalului ce interfereaza cu sau se bazeaza pe infrastructura IT a companiei.

Conceptul ce sta la baza oricarei implementari a SMSI este “prevenirea incidentelor de securitate IT prin controlul activ al resurselor”. Desi poate suna complicat, acest concept este unul cat se poate de eficient deoarece orice actiune preventiva propusa de Standardul ISO-IEC 27001 poate fi documentata printr-un set complet si complex de proceduri operationale, orientate catre fiecare departament sau resursa a companiei.

Implementarea unui SMSI inseamna, de cele mai multe ori, obtinerea unei certificari ISO-27001. Aceasta certificare atesta intrinsec un set de calitati ale organizatiei certificate si poate fi vazuta ca un “insemn de prestigiu”. Odata cu aparitia organismelor de certificare SMSI, a aparut si o disputa de principiu ce pune in balanta utilitatea implementarii si costurile acesteia. Acest articol propune o descriere obiectiva si succinta a celor doua “talere” ale balantei: utilitatea implementarii SMSI, pe de-o parte si costurile aferente procesului pe de alta parte.

Inainte de aceasta discutie, o sa analizam ce presupune o implementare SMSI la nivelul unei organizatii medii, cu 1000 de angajati.
Implementarea SMSI reprezinta un proces complex, etapizat, realizabil cu interventia managementului companiei, a departamentelor IT si telecomunicatii precum si a a personalului ce utilizeaza resurse informationale in desfasurarea activitatii. Mai jos o descriere a etapelor implementarii:

1. Inventarierea tuturor bunurilor si a serviciilor IT&C – aceasta etapa presupune crearea unui registru al bunurilor si serviciilor existente in companie. Pentru fiecare dintre intrari in acest registru va fi atribuit un Proprietar – fie un departament ce utilizeaza resursa respectiva sau o persoana anume, daca bunul sau serviciul este utilizat doar de un angajat. Proprietarul, in aceasta etapa, isi va comite responsabilitatea pentru functionarea si controlul resursei respective.

2. Indexarea riscului pentru fiecare dintre bunurile si serviciile IT&C – va fi creat un tabel ce va contine un index de risc pentru fiecare dintre resursele inventariate. Definirea gradului de risc la care respectiva resursa este expusa se va face in conformitate cu un set de politici directive, ce va fi elaborat in paralel si va fi diferit pentru fiecare organizatie in parte, in functie de un cumul de factori.

3. Numirea unei persoane Responsabil cu Securitatea Informationala – aceasta persoana va fi numita fie dintre angajatii existenti sau printr-o noua colaborare cu un tert. Va superviza implementarea SMSI si va raspunde, unde este cazul, de buna functionare a sistemului implementat. Este vorba, asadar, despre un responsabil de proces.

4. Crearea unei Diagrame de Procese – acest pas presupune o colaborare extinsa intre Responsabilul cu Securitatea Informationala si managementul fiecarui departament din cadrul organizatie pentru a creea, in final, un document cuprinzator pentru fiecare proces intern din cadrul departamentelor companiei. Astfel, vor fi marcate toate activitatile departamentelor, circuitul documentelor interne precum si orice alte documente si informatii ce circula prin departamentele respective. Diagrama de Procese este deosebit de utila pentru a creea o imagine detaliata a fiecarei activitati din cadrul companiei in scopul de a adapta, astfel, prevederile SMSI pentru fiecare departament in parte.

5. Elaborarea unui Manual de Politici si Proceduri Operationale – aceasta etapa presupune crearea unor documente directive “Politici” si a conexelor acestora, documente operationale “Proceduri”, conforme cu cerintele Standardului ISO 27001 si adaptate pentru realitatea din cadrul organizatiei ce doreste implementarea SMSI. Un manual complet va include un set de minim 10 Politci ce trateaza aspecte privitoare la securitatea comunicatiilor, reguli de acces la servicii de tip e-mail, Internet si Intranet precum si reguli ce vin sa controleze procesele de recuperare a informatiilor in caz de dezastru. Pentru mai multe detalii in acest sens va invitam sa apelati la documentatiile disponibile in Internet. De asemenea, va stam la dispozitie, prin intermediul comentariilor la acest articol, pentru exemplificari ulterioare sau lamurirea oricaror neclaritati.
Procedurile Operationale nu sunt constranse de existenta intr-un numar fix, si pot acoperi aspecte complexe ale activitatilor din cadrul organizatiei. Exemple de astfel de proceduri pot fi: Procedura pentru utilizarea E-Mail-ului, Procedura pentru utilizarea dispozitivelor mobile etc.

6. Crearea de documente conexe Manualului de Politici ce vizeaza Asumarea Responsabilitatii Management-ului Organizatiei pentru implementarea SMSI - Pentru a asigura eficienta procesului de implementare SMSI, asumarea Managementului in acest sens reprezinta o cerinta esentiala. Acest pas presupune o acreditare formala, de partea conducerii companiei, a eforturilor financiare si logistice necesare pentru o implementare cu succes a SMSI

7. Revizuirea documentelor – reprezinta un pas important in implementare ce presupune o atenta studiere a tuturor documentelor si a activitatilor creeate si dispuse in cadrul SMSI. In aceasta etapa vor fi efectuare modificari, acolo unde este cazul, pentru a aduce “la zi” procesul SMSI

8. Auditul pentru obtinerea certificarii ISO-27001 Compliant – Procesul de Audit va fi realizat prin externalizare catre un auditor acreditat. Raportul de Audit reprezinta documentul final al intregului proces de implementare SMSI, document ce va admite sau, dupa caz, respinge, masurile luate in procesul de implementare pentru a atinge conformitatea cu cerintele ISO 27001. Un raport favorabil inseamna o implementare reusita a SMSI si, implicit, obtinerea acreditarii ISO 27001.

Acum, ca am vazut ce presupune o implementare eficienta si completa a SMSI, trebuie sa luam in calcul si costurile aferente procesului. Mai jos am pregatit o lista de argumente ce vizeaza Utilitatea implementarii si, in balanta, Investitiile necesare:

Utilitate:
-conformitatea cu Standardul ISO 27001 creeaza premisele unei mai bune reprezentare pe piata in care organizatia activeaza, prin acreditarea unui set de calitati specifice
-odata implementat, SMSI asigura un inalt nivel de protectie impotriva pierderilor de informatii, a utilizarii acestora in scopuri necorespunzatoare precum si o buna conduita a angajatilor in privinta utilizarii resurselor IT ale companiei
-un control foarte amanuntit pentru orice document sau activitate a companiei ce utilizeaza resursele IT
-costuri reduse in exploatare si eficienta sporita pentru departamentul IT si a resurselor acestuia: Instruierea personalului conform SMSI si aderarea acestora la regulile si politicile directive SMSI presupune o mai buna exploatare a resurselor – Reducerea activitatilor “consumatoare de timp” de partea angajatilor -  conform regulilor SMSI, angajatii nu vor mai utiliza resursele IT ale companiei in scopuri personale decat sub un strict control. Astfel, vor fi reduse si costurile aferente conexiunilor la Internet, deoarece, o reducere substantiala a traficului efectuat de angajati va reduce si costurile serviciilor de internet.
-SMSI implica o uniformizare a modurilor de utilizare a resurselor companiei de catre angajati, astfel, o mai buna comunicare si transparenta va fi atinsa intre departamentele companiei – daca, la nivel central, va fi dispus un unic sistem de management al documentelor, spre exemplu, timpul necesar pentru elaborarea, editarea si publicarea acestora va fi redus substantial.

Investitii:
-Atribuirea unei noi functii, Responsabil cu Securitatea Informationala, poate presupune costuri
-Externalizarea serviciului de elaborare a documentelor SMSI implica costuri mici spre medii pentru organizatie
-In aceeasi masura, serviciile de consultanta in etapa de implementare (evaluarea riscului, diagrama de procese) implica costuri
-Investitii in echipamente: implementarea SMSI presupune achizitia, instalarea si mentenanta unor solutii de securitate specifice de tip IDS/IPS, Anti-SPAM, Anti-Virus, controlul accesului internet etc. Aceste investitii pot fi substantial reduse in cazul organizatiilor ce dispun de astfel de solutii.
-Investitii in procesul de constientizare “Security Awarness” a angajatilor. Ulterior implementarii SMSI, organizatia va asigura cursuri pentru angajati in vederea intelegerii prevederilor SMSI si a riscurilor la care compania este expusa in cazul nerespectarii acestora
-Procesul de Audit implica costuri ce difera pentru fiecare dintre Auditorii certificati ISO 27001
-Acreditarea ISO-27001 presupune costuri, asa cum sunt stabilite de organismele de acreditare ISO din Romania.

© Netsec Interactive Solutions, 2009. | Permalink | No comment | Add to del.icio.us
Post tags: audit securitate, consultanta it, ISO 27001, politica de securitate, proceduri de securitate, risk management, servicii securitate informatica, SMSI, tutoriale securitate

Analiza vulnerabilitatilor este realizata utilizand produse specializate, actualizate “la zi” pentru a oferi o imagine de ansamblu asupra breselor de securitate din reteaua analizata precum si metodele de inlaturare sau acoperire a acestora. Pentru a oferi o protectie actuala si eficienta impotriva amenintarilor informatice ce exploateaza vulnerabilitatile existente in retea, procesul de analiza a vulnerabilitatilor poate fi programat la intervale de timp prestabilite, de exemplu: 1, 3, 6 luni.

Un raport de analiza a vulnerabilitatilor va contine informatii detaliate despre numarul de statii vulnerabile, tipul vulnerabilitatilor descoperite precum si principalele actiuni de inlaturare a vulnerabilitatilor.

© Netsec Interactive Solutions, 2009. | Permalink | No comment | Add to del.icio.us
Post tags: analiza evenimente securitate, analiza vulnerabilitati, ISO 27001, servicii securitate informatica, SMSI

Specialistii nostri au o experienta de peste 8 ani in domeniu si au participat la numeroase proiecte de Penetration Testing pentru banci, institutii private, publice si militare.
In urma pentest-urilor, se realizeaza rapoarte de evaluare ce contin informatii detaliate despre potentialele brese de securitate identificate si metodologia de testare. Nu in ultimul rand, rapoartele contin recomandari tehnice de inlaturare a vulnerabilitatilor descoperite.

© Netsec Interactive Solutions, 2009. | Permalink | No comment | Add to del.icio.us
Post tags: audit securitate, ISO 27001, penetration testing, servicii securitate informatica, SMSI

Punct de referinta in activitatea companiei noastre, solutiile MSS – Managed Security Service vin sa imbunatateasca considerabil procesul de administrare al solutiilor de securitate ale clientilor.

NetSec Interactive va pune la dispozitie solutii complete de administrare de la distanta a solutiilor de securitate implementate, reducand astfel costul echipamentelor si al personalului necesar pentru aceste activitati.

Oferim solutii de monitorizare permanenta a retelei informatice, de la distanta, cu sisteme de alertare si interventie prompta impotriva oricarui potential atac informatic.
Prin analiza atenta a activitatilor la nivel de retea, specialistii NetSec Interactive pot raspunde prompt si sigur oricarei amenintari informatice indreptata impotriva retelei clientilor.
Prin gestionarea de la distanta a solutiilor de securitate, clientii nostri beneficiaza atat de costuri substantial reduse cat si de experienta si profesionalismul specialistilor NetSec Interactive.

© Netsec Interactive Solutions, 2009. | Permalink | No comment | Add to del.icio.us
Post tags: ISO 27001, managed security services, outsourcing, servicii securitate informatica, SMSI

Serviciile de mentenanta si suport tehnic complementeaza gradul de protectie al solutiilor de securitate oferite prin actualizari, interventii tehnice prompte si raspunsuri la incidente.

© Netsec Interactive Solutions, 2009. | Permalink | No comment | Add to del.icio.us
Post tags: servicii securitate informatica, suport tehnic

Experienta noastra acopera o varietate mare de solutii de securitate IT, sisteme de operare, aplicatii specializate si protocoale de comunicatii. Datorita acestui avantaj, suntem capabili sa identificam solutiile optime de securitate IT ce pot fi implementate in cadrul organizatiilor.

Implementarea solutiilor de securitate IT

In calitate de integrator, oferim servicii de implementare a solutiilor de securitate IT, efectuand procesele de instalare, configurare si testare ulterioara a produselor software si hardware, fara a periclita buna functionare a mediului productiv existent.

Implementare solutii de securitate complete:

Solutiile oferite adreseaza necesitatea de securitate IT in orice punct vulnerabil al retelei, protejand astfel intreaga structura informatica imptriva tuturor amenintarilor informatice.

© Netsec Interactive Solutions, 2009. | Permalink | No comment | Add to del.icio.us
Post tags: implementare solutii, servicii securitate informatica

Planificam si sustinem sesiuni demonstrative cu produse de securitate IT in vederea testarii efective si a evaluarii capabilitatilor respectivelor produse.
Sesiunile tehnice sunt conduse de personal cu o vasta experienta in domeniul securitatii IT capabili sa raspunda oricaror intrebari privitoare la solutiile prezentate.

Workshop-uri de Penetration Testing si Analiza de Vulnerabilitati / Audit Securitate

Prezentam, in scopuri demonstrative, metode de atacuri informatice si compromitere a sistemelor informatice.
Workshop-urile de Pentest si Analiza de vulnerabilitati sunt intregite printr-un dialog sustinut cu audienta pentru o mai buna intelegere a metodelor si tehnologiilor utilizate de atacatori precum si modalitatile de protejare a resurselor informatice impotriva acestor atacuri.

© Netsec Interactive Solutions, 2009. | Permalink | No comment | Add to del.icio.us
Post tags: cursuri securitate it, demo tehnic, ISO 27001, servicii securitate informatica, SMSI, workshop securitate

© Netsec Interactive Solutions, 2009. | Permalink | No comment | Add to del.icio.us
Post tags: cursuri securitate it, ISO 27001, risk management, servicii securitate informatica, SMSI