2 kilograme de firewall, vă rog

Securitatea este un termen vehiculat atât de mult în ultimii ani, încât a devenit un termen demonetizat. Orice butic din colţul blocului vinde securitate, ba cu mac, ba cu susan, ba cu gem, astfel încât sărmanul consumator nu mai ştie ce-i aia. Nu va aşteptaţi sa găsiţi mai jos o definiţie, căci vorbim de un termen atât de complex încât nu m-aş hazarda sa ofer una.

Dacă ne uitam într-un dicţionar, vom găsi următoarele definiţii: faptul de a fi la adăpost de orice pericol; sentiment de încredere şi de linişte pe care îl da cuiva absenţa oricărui pericol; protecţie; apărare. Dacă vorbim de securitatea informatică, nu noi trebuie de fapt să fim la adăpost. Cel mai valoros obiect pe care-l putem proteja este informaţia, care este seva oricărei organizaţii. Pe aceasta trebuie să o protejăm, să o punem la adăpost.

Termenul securitate nu are sens scos din context. Informaţiile la care ne referim sunt stocate pe o componentă a unui sistem informatic; acest sistem informatic este de obicei conectat la o reţea; foarte probabil că această reţea să fie conectată la altă reţea sau la internet. Şi de aici pot apărea pericolele: viruşi, DoS/sabotaj , intruziuni etc. Sunt şi pericole care nu au neapărat legătură cu conectivitatea: abuz sau fraudă folosind liniile telefonice, vandalism, furt de laptop-uri sau chiar servere, furt de informaţii de către angajaţi sau scurgeri accidentale de informaţii. Pierderile pot fi considerabile, dar de multe ori nici nu pot fi măsurate, ca de exemplu pierderea credibilităţii unei companii pe piaţă.

Ce înseamnă, de fapt, să protejăm informaţia? Înseamnă să avem grijă ca aceasta să nu încapă pe mâinile unor persoane neautorizate (de exemplu planurile de marketing sau patente/reţete de fabricaţie în mâna concurenţei). Mai înseamnă să avem grijă ca acele informaţii să nu fie distruse sau alterate – deliberat sau nu (de exemplu sa nu fie modificate ştatele de plată de către o persoană neautorizată). Şi nu în ultimul rând trebuie să ne asigurăm ca informaţia este accesibilă la orice oră (de exemplu bazele de date ale contabilităţii). Pe scurt, securitatea informaţiilor este un cumul de măsuri care asigură confidenţialitatea, integritatea şi disponibilitatea informaţiilor.

Însă poate un antivirus (program de securitate, nu?), de unul singur, să ne asigure toate cele 3 principii de mai sus? Mai adăugăm un firewall – e mai bine, dar nu e încă de ajuns... Acestea două nu vor împiedica niciodată un utilizator neinstruit să şteargă – din greşeală – o bază de date pentru care a primit prea multe drepturi.

Am putea spune acum ce nu este securitatea: nu este un antivirus, nu este un firewall, nu este o parola complicată. Este de fapt ceva care conţine toate acestea, dar şi multe altele.

Dacă privim dintr-un alt unghi, securitatea poate fi definită ca un proces care încearcă să pună la adăpost un sistem complex format din trei componente: tehnologia (computere, reţele, servere etc.), procese (modul în care le operăm şi administrăm), şi oamenii (cei care le exploatează). Aceste trei componente pot interacţiona în diverse moduri, de multe ori imprevizibil – atunci apar cele mai mari probleme de securitate.

Tehnologia – aici nu trebuie să ne lansăm in dezbateri aberante, gen Windows vs. Linux, IBM vs. HP etc. Nu exista, nu s-a inventat produsul perfect sau care să facă ce vrem noi. Tehnologia sau produsele pe care le vom folosi trebuie să le alegem în funcţie de ce vrem sa realizăm, de cum (acest cum trebuie să aibă şi un iz de securitate) ne ajută să ne realizăm obiectivele. Nimeni nu o să cumpere un tractor ca şi automobil pentru concediu, oricât de avansat tehnologic este acel tractor. Cum nu există o maşinărie care să fie bună în orice situaţie, nici în IT nu există un panaceu!

Procesele... degeaba avem cel mai performante tehnologii la dispoziţie, dacă nu le exploatăm eficient. Lipsa unei proceduri de management al schimbărilor pentru configuraţii poate transofrma un firewall performant în scurt timp într-un firewall inoperabil. Configurările greşite sau netestate pot de asemenea să facă eforturile noastre inutile. La capitolul procese se încadrează un ISMS (Information Security Management System) – un set de practici, norme, proceduri etc. menite sa conducă la exploatarea cu eficienţă maximă, şi în condiţii de securitate, un sistem informatic.

Oamenii... aici este vorba de cultura oamenilor, de cum sunt ei învăţaţi să preţuiască un bun. Tot aici se încadrează şi educarea personalului, atât în ceea ce priveşte folosirea unui sistem informatic, cât şi despre noţiuni de bază de securitate. O vulnerabilitate comună:utilizatorii scriu parolele pe bileţele lipite pe monitor – acest aspect ţine de cultură, dar care poate fi îndreptat prin educare.

O abordare coerenta a problemei „securitate” trebuie să aibă ca obiectiv asigurarea confidenţialităţii, integrităţii şi disponibilităţii informaţiei, ţinând cont de toate cele trei componente: tehnologie, procese, oameni; dacă abordăm numai una (de obicei tehnologia prin implementarea unor firewall-uri sau IDS-uri), de obicei toată lucrarea este sortită, mai devreme sau mai târziu, eşecului.

În loc de concluzie: securitatea informatică nu se poate cumpăra de la magazin, nu se naşte de la sine – ci trebuie sprijinită în special de către managementul organizaţiei, nu rezistă din inerţie – ci trebuie întreţinută continuu.