Securitatea informațiilor în sectorul public

 

Îndrăznesc să scriu cîteva banalități despre subiectul acesta chiar dacă în experiența mea, cu sectorul public nu m-am întîlnit prea des. Dar atît cît m-am întîlnit, mai ales cu lecturile din SEAP….

În același timp îndrăznesc să afirm că obiectivul securității în acest sector îl reprezintă „comisionul„ și mai puțin securitatea. Dacă lucrurile ar sta diferit, am putea observa o abordare cît de cît coerentă, clară și mai puțin orientată pe o tehnologie/furnizor.

Obiectivul securității este simplu: protejarea informațiilor. Pentru a atinge acest obiectiv, informațiilor trebuie:

  • identificate/localizate
  • clasificate
  • etichetate
  • protejate conform clasificării.

Teoria ne învață că acest obiectiv poate fi atins dacă avem o abordare „in depth„/pe niveluri. Orice informație are propriul său ciclu de viață și, de cele mai multe ori, securitatea trebuie să acopere tot acest ciclu. Cred că înainte de a discuta despre tehnologie este nevoie să înțelegem arhitectura securității. Înainte de  a achiziționa o soluție sau alta este de dorit să îți cunoști exact starea în care te afli și nevoile pe care vrei să le acoperi. În caz contrar, „banii„ cheltuiți este foarte posibil să nu „întoarcă„ securitatea așteptată inițial.

 

SiD

Consider că după ce aflăm exact care ne sînt nevoile putem discuta și de tehnologii/soluții.

Firewall? IPS/IDS? Web gateway? Mail Gateway? Whitelist? Device control? SIEM? DLP?Sandbox? Patch management? Pen test? ISO27001? COBIT5? Într-o abordare ideală este nevoie de toate și chiar mai mult. Dar viața organizațiilor este plină de constrîngeri: legale; fizice; financiare; culturale etc.

Și atunci? Răspunsul ar trebui să vină de la RISCURI: investești în soluțiile care te protejează împotriva riscurilor care produc cele mai mari pierderi! Static Application Security Testing s-ar putea să producă rezultate mai bune decît application pen test, de exemplu.

Dacă pe un șasiu de Jaguar punem un motor de Bugatti Veyron, scaune de Ferrari, caroserie de Mercedes etc. vom obține o mașină. Cea mai bună? Cea mai sigură? Nu cred. Lipsește „integrarea„. La fel cred că stau lucrurile și cînd vorbim despre producătorii de soluții de securitate. Pentru că îmi doresc acea arhitectură de securitatea care să îmi asigure cel mai redus timp dintre momentul apariției unui incident și restaurarea sistemului.Sau spus altfel: un nivel acceptabil al riscurilor.

 

Mulţumesc.

Completează mai jos detaliile despre tine sau dă clic pe un icon pentru autentificare:

Logo WordPress.com

Comentezi folosind contul tău WordPress.com. Dezautentificare / Schimbă )

Poză Twitter

Comentezi folosind contul tău Twitter. Dezautentificare / Schimbă )

Fotografie Facebook

Comentezi folosind contul tău Facebook. Dezautentificare / Schimbă )

Fotografie Google+

Comentezi folosind contul tău Google+. Dezautentificare / Schimbă )

Conectare la %s