Cât de mult trebuie investit în securitate? De câtă securitate este nevoie? Vom defini mai întâi acest proces pentru că va deveni baza de formulare a cerinţelor de securitate. Este, de asemenea, o precondiţie pentru stabilirea unui proces de succes de definire a politicii, şi pentru succesul în definirea proceselor de evaluare a riscurilor care pot ajuta în remedierea unui proces de administrare greşită a utilizatorului. Scopul evaluării riscurilor şi a proceselor de clasificare a datelor este de a obţine din partea responsabilului cu securitatea (RS) orientarea efectivă a proprietarilor resurselor (PR) atunci când trebuie să răspundă la întrebarea “de câtă securitate este nevoie?”.

Procesul de clasificare a datelor/evaluare a riscurilor (CD/ER) conţine o serie de discuţii oficiale şi documentate între RS şi PR. Prima discuţie implică clasificarea de date. În definirea procesului CD/ER, RS ar trebui să stabilească o schemă clară care să se potrivească nevoilor întregii organizaţii. O schemă tipică oferă 3-5 categorii şi reguli generale care să orienteze repartizarea fiecărei înregistrări majore de date sau aplicaţii de sistem într-una din acele categorii. Categoriile depind de valoarea datelor pentru afacere şi, în general, sunt sub forma de public, privat, confidenţial şi restricţionat. La sfârşitul primei runde de discuţii, toate înregistrările de date deţinute de respectivul PR ar trebui atribuite unei categorii. RS documentează rezultatul şi PR aprobă documentul. Datele care au fost clasificate la un nivel mai mic al importanţei şi valorii lor nu vor fi discutate în cadrul întâlnirilor ulterioare.

A doua discuţie este despre evaluarea riscului. Pentru pregătirea acestei discuţii, RS trebuie să investigheze două domenii pentru fiecare dintre resursele de mare valoare identificate în cadrul etapei de clasificare a datelor. Posibilele surse de ameninţare trebuie identificate, iar măsurile existente de securitate care anihilează acea ameninţare trebuie documentate. Discuţia constă în ajungerea la un acord între RS şi PR cu privire la ameninţările care nu sunt în mod curent contracarate în totalitate de măsuri de securitate şi la un acord cu referire la oportunitatea investiţiilor adiţionale de securitate.

Ameninţările reziduale . acelea care nu sunt anihilate de măsuri planificate şi existente de securitate . trebuie să fie documentate. Apoi PR trebuie să ia decizia de a accepta riscurile reziduale în planul operaţional al afacerii . şi probabil să conştientizeze pierderi potenţiale sau să accepte să investească bani şi timp în plus în măsuri de securitate. Este sarcina RS să propună coordonatele iniţiale ale acelor măsuri. Informaţiile necesare pentru a crea aceste coordonate sunt strânse în cadrul etapei de definire a cerinţelor.

Cea de-a treia discuţie dintre RS şi PR este despre drepturile de acces la informaţii. RS preia informaţii de la PR despre cine ar trebui să aibă diferite tipuri de acces la date. Procesul prin care utilizatorii sunt identificaţi şi li se acordă acces la resursele calculatorului sau ale reţelei pentru a-şi îndeplini sarcinile de serviciu se numeşte procesul de administrare a utilizatorului (AU). Acest proces ar trebui să includă o metodă de rezolvare a excepţiilor de la regulile generale stabilite pentru aceste permisiuni.

Executarea procesului AU poate fi făcută fie de un departament administrativ central, fie de grupuri din cadrul fiecărui departament al firmei. Procesul trebuie să fie consistent, indiferent de cine sau cum este executat. Sarcina RS ar trebui să auditeze performanţa acestui proces constant.

Una dintre modalităţile de îmbunătăţire a amplitudinii procesului AU este prin utilizarea permisiunilor în funcţie de rol. Prin această abordare, drepturile de acces sunt acordate în funcţie de diferite roluri care pot fi atribuite unui individ drept urmare a sarcinilor pe care le are în cadrul firmei. Identificarea rolurilor adecvate pentru firmă poate să fie un proces de lungă durată. Anumite tehnologii avansate indică cerinţe speciale pentru procesul AU. PKI este în general implementat folosindu-se o declaraţie de practică certificată care defineşte condiţiile de eliberare, anulare şi folosire a certificatelor digitale pe care se bazează PKI. O declaraţie de practică certificată este de 60-90 de pagini.

Comments are closed.