Bezbedni i povoljnije osigurani

Blog Datum: 29.11.2021.
Bezbedni i povoljnije osigurani

Piše: prof. dr Igor Franc, CEO&osnivač Secitsecurity

 

Bezbednosnu proveru je važno raditi, pre svega, preventivno da bi se utvrdilo trenutno stanje sistema, a u cilju da se spreči curenje osetljivih podataka i eventualno zloupotreba nekih servisa. Pored ovoga postoje brojni razlozi zašto je važno da kompanije iz svih privrednih grana, pa i finansijskog sektora, urade proveru:

-                  Utvrditi koliko je sistem siguran i da li postoje ranjivosti koje se spolja mogu iskoristiti;

-                  Utvrditi da li organizacija ima svu potrebnu dokumentaciju koja se odnosi na informacionu bezbednost i koju Zakon propisuje (Akt o informacionoj bezbednosti i vezani dokumenti);

-                  Utvrditi trenutno staje računarske mreže i saznati kako je unaprediti;

-                  Utvrditi trenutno stanje računarskih konfiguracija i šta se tu može unaprediti;

-                  Utvrditi šta trenutno organizacija poseduje od antimalver i ostalih sigurnosnih rešenje i napraviti plan unapređenja i uvođenja potrebnih rešenja;

-                  Utvrditi da li postoji način da informacije procure van organizacije (data leak);

-                  Utvrditi da li se pravilno radi sa korisnički nalozima;

-                  Dobiti grubu sliku šta valja, a šta treba unapediti i na koji način.

 

A šta je zapravo procena bezbednosti sistema kompanije?

Provera nivoa bezbednosti (security assesment) predstavlja proces procene sigurnosti informacionog sistema ili mreže kroz proveru postojanja ranjivosti na sistemima i servisima koji su sastavni deo infrastrukture. Pored ovoga sastoji se i od provere dokumentacije, ali i konfiguracije vitalnih sistema i servisa. Takođe se kroz upitnike kojima se u direktnom radu sa zaposlenim odgovornim za održavanje gore pomenutih sistema i servisa mogu detektovati ranjivosti povezane sa načinom rada i aktivnostima (zapravo na ovaj način se utvrđuje kako se stvari u praksi rade, a ne kako je napisano u nekom dokumentu, a misli se pre svega na pravilnik ili proceduru).

Kako teče proces procene bezbednosti?

Proces podrazumeva detaljnu analizu slabosti i ranjivosti koje proističu iz neodgovarajuće sistemske konfiguracije, poznatog ili nepoznatog hardvera ili softverskih delova, ili operativnih, procesnih ili tehničkih nedostataka. Ova analiza se izvodi iz pozicije različitih uloga u sistemu poput potencijalnog napadača, rukovodioca, sagovornika i može uključiti i eksploataciju sigurnosnih nedostataka i ranjivosti.

Koja se metodologija koristi za proveru bezbednosti?

U procesu provere mogu se koristiti različite metodologije. Metodologija provere nivoa bezbednosti koju sprovodi SECIT Security Consulting je sastavljena iz 6 osnovnih koraka:

-                  Pregled dokumentacije – pregled i provera kompletne dokumentacije koja se odnosi na poslovne procese koji mogu imati uticaj na bezbednost informacionog sistema klijenta.

-                  Provera postojanja ranjivosti na sistemima – skeniranje ranjivosti interno i eksterno dostupnih sistema.

-                  Provera konfiguracije uređaja i servisa – obuhvata procenu servisa i aplikacija otkrivenih na sistemu klijenta. Cilj ovog koraka je prikupljanje informacija o aktivnim servisima i aplikacijama na sistemu klijenta, kao i konfiguraciji uređaja koji se koriste.

-                  Pregled uspostavljenih kontrola – pregled svih automatizovanih kontrola i kontrolnih mehanizama koji su uspostavljeni na sistemima unutar infrastrukture kijenta, a koji prikazuju upozorenja ili formiraju izveštaje o događajima i aktivnostima, kao i provera manuelnih kontrola koje pokreću i koriste zaposleni u sektoru informacione bezbednosti.

-                  Dokumentovanje rezultata – formiranje izveštaja o pronađenim ranjivostima, nedostacima u dokumentaciji, konfiguraciji ili samim poslovnim procesima i kontrolama. Cilj ovog procesa je dokumentovanje nalaza i predstavljanje predloga za unapređenje kojima bi se smanjio nivo rizika koji može biti ostvaren usled primećenih propusta.

Kako izgleda izveštaj procene bezbednosti?

Svi rezultati analiza i testiranje se prezentuju vlasniku informacionog sistema. Najbolji efekat ovog pristupa postiže se sinergijom rezultata i informacija dobijenih iz analize, sa jedne strane i procenom potencijalnih posledica na organizaciju uz tehničke i proceduralne mere za smanjenje rizika, sa druge strane. Krajnji rezultat provere nivoa bezbednosti je pisani izveštaj. Izveštaj može biti standardizovan po različitim metodologijama, a izveštaj SECIT Security Consulting-a je sastavljen prema ISO27001 ili COBIT metodologiji i sadrži:

-                  opis testiranog sistema,

-                  rezultate skeniranja mreže, servisa i aplikacija klijenta,

-                  sigurnosne nedostatke koji su otkriveni,

-                  nivo ostvarenog neovlašćenog pristupa,

-                  predloge za otklanjanje otkrivenih sigurnosnih nedostataka, kao i

-                  opšte preporuke koje bi mogle povećati sigurnost informacionog sistema klijenta.

Sam izveštaj je struktuiran tako da se sastoji iz tri dela:

-                  deo Nalazi sadrži sve nalaze sa detaljno opisanim rizicima (ovo podrazumeva i nivo rizika koji može biti nizak, srednji, visok ili kritičan) i predloženim merama za unapređenje, odnosno uklanjanje ili ublažavanje rizika

-                  deo Kontrole čine predlozi za formiranje novih manuelnih i automatskih kontrola kojima bi se postigao veći nivo praćenja informacione bezbednosti

-                  deo Dokumenta sadrži predloge za formiranje novih dokumenata koji ne postoje, a bilo bi dobro da ih kompanija poseduje, ili unapređenje postojećih dokumenata.

Šta je sajber osiguranje?

Sajber osiguranje predstavlja inovaciju na domaćem tržištu osiguranja iako je u svetu već neko vreme u upotrebi. Porast sajber rizika u poslednjih desetak godina uslovio je i pojavu novih sredstava pokrića i zaštite u slučaju nastanka štete. Rizici su brojni, a ono što je bitno istaći je da se rezici ne ograničavaju samo na kompanije koje su usko specijalizovane za pružanje usluga u IT sektoru, već je potencijalnih kompanija mnogo više. Ako razmišljate o tome kome je potrebno sajber osiguranje danas, svaka kompanija koja koristi Internet ili cloud tehnologiju za traženje, pohranjivanje i deljenje podataka, potencijalno je u riziku od sajber incidenata, te je stoga i važno na vreme se osigurati.

Bitno je napomenuti da poenta sajber osiguranja nije da odmah reši sva pitanja vezana za sajber bezbednost jer ne može da spreči da se sajber napad desi. Polisa sajber osiguranja služi da pomogne u minimiziranju posledica „remećenja“ poslovanja tokom sajber incidenata i posledica koje nastanu kasnije, kao i potencijalno pokrivanje finansijskih troškova neophodnih da se tim stručnjaka intenzivnije pozabavi napadom i  omogući što brži oporavak sistema.

Cena polise sajber osiguranja zavisi od niza različitih faktora, uključujući obim poslovanja i godišnje prihode. Tu su i ostali faktori koji mogu da uključuju industriju u kojoj organizacija posluje i vezana je za vrstu podataka kojima se poslovanje obično bavi, kao i ukupne bezbednosti mrežne infrastrukture.

Da li je moguće povezati bezbednosnu proveru sa sajber osiguranjem?

Odgovor je nesumnjivo da se može povezati sa izdavanjem polise sajber osiguranja i to na dva načina:

  1. Ukoliko kompanija ima izvršenu bezbednosnu proveru od strane firme koja se time profesionalno bavi moglo bi se razmotriti da se na osnovu izveštaja koji postoji koriguje cena same polise.
  2. Firme koje se bave IT bezbednošću u nekim slučajevima mogu pružiti uslugu praćenja sistema 24/7 kroz njihov SOC centar (Security Operation Center) i kod takvih kompanija koje koriste ovakve usluge profesionalaca bi se mogla razmotriti korekcija cene polise.

Izvor: tekst je prvobitno objavljen u časopisu Svet osiguranja, broj 10

Blog


Ostale objave iz ove kategorije:

Bezbedni i povoljnije osigurani
Da li znate šta od podataka dajete kad kliknete da prihvatate politiku privatnosti?

maj 4, 2022

Pre par godina mala kompanija iz Ajove, SAD, je dodala obaveštenje u okviru svoje politike privatnosti nudeći nagradu od 1000 američkih dolara bilo kome ko ih kontaktira. Posle gotovo šest meseci i preko 3000 novih korisnika primili su prvi..

Pročitaj više...

Bezbedni i povoljnije osigurani
Zašto je HSE važan za kompanije

mar 20, 2022

Piše: Nenad Stanojevski, konsultant za interne komunikacije  Safety-Communication ‒ Ako stavim sve na ništa, a ništa je moj broj… ‒ ..

Pročitaj više...

Bezbedni i povoljnije osigurani
Internet-kolačići: kako obrađuju lične podatke, i šta o tome kaže Zakon?

avg 17, 2021

Piše: Petar Mijatović , advokat, Mijatović Law Office Upotreba internet kolačića na veb-sajtovima je uobičajena praksa, kako u Srbiji, tako..

Pročitaj više...

Bezbedni i povoljnije osigurani
Kako zakoni regulišu obradu podataka o ličnosti u svrhu direktnog marketinga

avg 7, 2021

Piše: Advokat  

Pročitaj više...