Ziua în care fiecare produs va avea un cip

Dezvoltarea IT&C și nevoia de adaptare a modelelor de management al riscului. 90% din breșele de securitate nu sunt provocate de probleme tehnologice

Nu putem ignora faptul că modul în care se derulează afacerile se schimbă. Iar literatura vorbeşte despre aceste schimbări folosind superlative, precum schimbări tehnologice, transformări revoluţionare, o nouă paradigmă, un tsunami al transformărilor etc. Evident că aceste transformări se manifestă şi la nivelul organizaţiei. IT&C-ul a schimbat toate regulile folosite în afaceri, ba mai mult, a schimbat modul în care trăim, gândim, căutăm o informaţie sau interacţionăm cu semenii.

Internetul ar trebui sa fie mai sigur

advertorial

Suntem din ce în ce mai aproape de ziua în care orice produs va avea încorporat un cip computerizat (există deja tehnologiile ZigBee sau Body Area Network); futuriştii însă vorbesc şi de implantarea în creierul uman a cip-urilor capabile să se conecteze la internet extinzând astfel capacitatea de accesare a cunoştinţelor.

Devenim cu toţii, indivizi sau organizaţie, din ce în ce mai dependenţi de tehnologiile şi sistemele informaţionale. Un raport publicat încă din luna mai 2004 de revista britanică The Economist făcea următoarele afirmaţii: „nici o companie nu îşi mai poate permite să ignore Internetul; competiţia pe Internet este feroce; comportamentul consumatorilor se schimbă, ei folosesc Internetul pentru a lua decizii privind cumpărăturile pe care le fac şi în afara Internetului; îngrijorarea referitoare la fraude reprezintă cel mai mare pericol pentru comerţul pe Internet; companiile de software, proiectanţii de site-uri şi furnizorii de servicii care au contribuit la constituirea Internetului trebuie de urgenţă să-l facă un loc mai sigur pentru desfăşurarea afacerilor”.

Asistăm la o dezvoltare spectaculoasă a tehnologiei informaţionale şi de comunicaţie (cu accente pe zona mobile, cloud, smart grid, smart environment etc.) și adoptarea acestora de către organizații în propriile modele de afaceri. Tehnologia informaţională se dezvoltă extrem de rapid iar managementul riscului în organizaţiile specifice noii economii nu trebuie să ignore aceste aspecte. Managementul riscului ţine de obiective, iar în noua economie obiectivele organizaţiei depind de noile tehnologii informaţionale şi de comunicaţii.
Mediile inteligente reprezintă noul pas în dezvoltarea construcţiilor, utilităţilor, industriilor, caselor, transporturilor etc.. Ca orice organism conştient, mediul inteligent se bazează în primul rând pe date senzoriale din lumea reală. Mediile inteligente au nevoie de informaţii despre mediul înconjurător, precum şi de informaţii din interior.

Provocările în ierarhia detectării măsurilor relevante, monitorizării şi colectării datelor, evaluării informaţiilor, prezentării acestor informaţii către utilizator într-o manieră inteligibilă, executării procesului decizional şi a funcţiilor de alarmare, sunt enorme. Ducem discuția într-o lume în care toate obiectele (mașini, electrocasnice, sisteme de iluminat, dispozitive mobile, portabile, etc) sunt conectate între ele cu ajutorul senzorilor și a internetului.

Despre managementul riscului de securitate informațională

Toate acestea au dus desigur la reconfigurarea proceselor de comunicare şi informare, aceste procese depinzând de calculator, plecând de la cel personal şi ajungând la reţelele de calculatoare, fie ele locale, metropolitane sau globale.

S-au dezvoltat astfel sisteme informaţionale capabile să comunice informaţia, sisteme care trebuie totodată să asigure securitatea acestei comunicaţii între calculatoarele din interiorul companiei, dar şi între calculatoarele dintre entităţi diferite, exterioare companiei. Pe măsură ce comunicarea dintre calculatoarele aflate în reţea a evoluat către transfer electronic de fonduri, bani digitali şi comunicare de date cu caracter personal, internet banking etc., a crescut şi importanţa aspectelor legate de securitatea datelor transmise în reţea. Cu atât mai mult cu cât şi reţeaua a evoluat în una „fără fir”, inteligentă.

Creşterea cheltuielilor pentru tehnologii informaţionale duce la creşterea dependenţei de tehnologie şi implicit duce la creşterea vulnerabilităţii la riscurile ce pot apărea în această zonă (căderi ale sistemelor, defecţiuni, atacuri la adresa sistemului informaţional etc.).

Criminalitatea informatică reprezintă o problemă în continuă creştere având ca origine atât mediul extern, cât şi mediul intern al organizaţiei. Riscurile de securitate persistă din cauza a patru mari motive:

  • vulnerabilităţile sunt în creştere, în ciuda eforturilor producătorilor de aplicaţii software de a-şi securiza produsele;
  • aplicaţiile software sunt proiectate defectuos, cu un accent sporit pe noi funcţionalităţi şi performanţe crescute, dar cu prea puţină atenţie pe partea de securitate;
  • modalităţile de atac s-au înmulţit şi au devenit extrem de sofisticate, în paralel cu creşterea numărului de instrumente de atac disponibile pe internet, care nu mai solicită cunoştinţe de specialitate, uşurând astfel munca atacatorilor de tip script kiddies (nume dat atacatorilor ce folosesc instrumente de atac găsite în spaţiul internet);
  • vulnerabilităţile descoperite sunt deseori tratate necorespunzător evidenţiind lipsa de cunoştinţe a administratorilor de sistem sau ignoranţa acestora în măsura în care informaţia despre o vulnerabilitate descoperită circulă şi are efecte cu o mai mare viteză în comunitatea atacatorilor decât în cea a celor atacaţi.

Nu vom trece azi în revistă toate modalităţile de atac şi nici nu ne vom axa pe descrierea acestora. Mai mult, în condiţiile spectaculoasei dezvoltări din zona tehnologiei informaţionale şi de comunicaţii, nici nu am reuşi să surprindem toate tipurile de atac.

Este important să cunoaștem modul de operare pentru a ști cum să implementăm măsura de control; dar mai important este să înțelegem că pentru a avea un sistem sigur nu este suficientă o tehnologie corespunzătoare, atâta timp cât studiile arată că în medie 90% din breşele de securitate identificate nu sunt cauzate de problemele tehnologice, ci de instalarea şi configurarea necorespunzătoare, sau apar din cauza nerespectării unor proceduri de utilizare şi administrare a sistemului.

În aceste condiţii, securitatea tranzacţiilor devine un concept multidimensional şi diferit de la un domeniu de activitate la altul, în care tehnologia trebuie să se îmbine cu bunele practici, iar educaţia şi morala cu măsurile de control şi restricţiile legislative.

Revenim cumva la ceea ce menționam și în articolul precedent și anume importanța educației și a culturii în managementul riscului. De data aceasta vorbim despre managementul riscului de securitate informaţională.

Obiectivul major al managementului riscului de securitate informaţională îl reprezintă protejarea valorilor IT precum datele, componentele hardware şi software, personalul şi facilităţile de toate ameninţările ce pot să apară din exteriorul sau din interiorul organizaţiei. Scopul este acela de a evita sau micşora pierderile prin selectarea şi implementarea măsurilor adecvate de securitate.

Succesul depinde de eficienţa cu care funcţionează sistemul informaţional. Orice întrerupere a funcţionării sistemului informaţional va duce inevitabil la pierderi în afacere. În domeniul securităţii informaţionale (de altfel întregul domeniu al tehnologiilor informaţionale urmează acelaşi tipar) cunoaşterea şi practica avansează extrem de rapid. Trăim vremuri în care riscurile la care este expusă o organizaţie s-au diversificat extrem de mult şi se diversifică pe măsură ce trece timpul, iar măsurile de combatere a acestor riscuri nu trebuie să rămână în urmă.

comentarii

Tags from the story
,
Alte articole de Valentin Măzăreanu

Cum poți face ca proiectul tău să nu dea greș

Introducere în Managementul Riscului: Într-un studiu recent al Metric Stream – companie...
Citește

Leave a Reply

Your email address will not be published. Required fields are marked *