I. Introducere

Securitatea sistemelor şi aplicaţiilor ERP se circumscrie securităţii informatice, un concept foarte important, care tratează măsurile pe care o organizaţie trebuie să le implementeze în scopul asigurării confidentialităţii, integrităţii, disponibilităţii şi nonrepudierii datelor şi informaţiilor stocate, transmise ori arhivate în format electronic, indiferent de formă.

Ameninţările la adresa securităţii informatice sunt multiple, cele mai frecvente şi cu impact negativ asupra proceselor afacerii fiind următoarele:

- ameninţări de natură umană (pierderea confidenţialităţii/integrităţii datelor, erori de operare, utilizarea/administrarea incorectă a sistemelor, erori de configurare, furnizarea de date false, utilizarea neautorizată a resurselor, violarea condiţiilor legale, divulgarea informatiilor, cod malicios, furtul informaţiilor/resurselor/suporţi, întreruperea sau blocarea modului normal de operare, etc);

ameninţări de forţă majoră (incendiu, inundaţie, praf, furtună, dezastre, contaminare mediu, fraudă, vandalism, alterarea condiţiilor de mediu, etc);

- ameninţări datorate unor neajunsuri organizaţionale (cunoaşterea insuficientă a regulilor şi procedurilor; mentenanţa insuficientă sau inadecvată; utilizarea neautorizată a drepturilor; utilizarea necontrolată a resurselor; organizarea inadecvată a muncii, etc)

Securitatea informatică este, la rândul ei, o componentă importantă al oricărui sistem de management al securităţii informaţiilor, un concept relativ nou, standardizat care este bine să fie implementat în fiecare organizaţie care dispune de sisteme şi aplicaţii complexe de tip ERP.

Standardele din domeniul securităţii informaţiilor (dintre care cele mai importante sunt cele din familia ISO/IEC 27000) tratează, pe lângă securitatea informatică, o multitudine de alte domenii/procese de securitate care trebuie să existe în cadrul unei organizaţii, printre care enumerăm: definirea strategiilor/politicilor de securitate; organizarea şi coordonarea securităţii informaţiilor (internă şi externă); definirea şi implementarea cadrului organizaţional de securitate; securitatea resurselor informaţionale; securitatea personalului; securitatea fizică şi a mediului; managementul continuităţii activitităţii, etc.

Cerinţele de securitate informatică se regăsesc în mai multe domenii şi obiective de securitate tratate de către standardul menţionat, iar dintre acestea vi le recomndăm pe cele cu o relevanţă mai mare:  

 

II. Obiectivele standardizate ale securităţii informatice

 

2.1. Securitatea infrastructurii IT

 

2.1.1. Securitatea reţelei locale, care trebuie să cuprindă: definirea şi documentarea unei politici de securitate a reţelei; documentarea arhitecturii reţelei; descrierea modului de configurare a elementele active (switchuri) care fac legătura între toate sistemele de calcul funcţionale la nivelul reţelei locale; folosirea şi documentarea unor echipamente de tip firewall pentru conectarea reţelei locale cu alte reţele proprii, cu Internetul, ori reţele ale clienţilor sau partenerilor; definirea regulilor de autentificare a conexiunilor la reţea; realizarea protecţiei împotriva codului maliţios şi a intruziunilor în reţea; documentarea conexiunilor externe ale reţelei (servicii de email, conexiuni VPN), etc); interzicerea conectării la reţelele wireless; documentarea regulilor de filtrare a traficului web; documentarea sistemului de auditare/monitorizare a reţelei locale, precum şi a sistemului de păstrare şi valorificare a log-urilor rezultate din auditarea evenimentelor; asigurarea protecţiei documentaţiilor de sistem; utilizarea de instrumente software de diagnosticare a problemelor care apar în funcţionarea reţelei şi semnalarea acestora personalului responsabil, etc.

2.1.2. Securitatea serverelor

Pentru fiecare tip de server trebuie să fie documentate: sistemul de operare folosit şi modul de instalare; componentele şi interfeţele instalate; serviciile activate/dezactivate; accesoriile şi utilităţi instalate; politicile configurate (de domeniu, de securitate, de update, etc ); modul de configurare a aplicaţiei antivirus; documentarea sistemului de mentenanţă la nivelul echipamentelor; testele/scanările periodice efectuate pentru identificarea vulnerabilităţilor la nivelul serverelor,  măsuri de securitate şi de control al accesului fizic în camera serverelor, etc.

2.1.3. Securitatea staţiilor de lucru, care trebuie să includă: configurarea setărilor de BIOS; asigurarea protecţiei fişierelor/utilitarelor de sistem; configurarea standard a sistemului de operare, a conturilor utilizatorilor şi drepturilor de acces, a aplicaţiilor aferente staţiilor de lucru; instituirea unor politici şi reguli de utilizare acceptabilă a staţiilor de lucru şi calculatoarelor mobile; protecţia antivirus a staţiilor de lucru, etc.

 

2.2. Securitatea accesului logic, care include responsabilităţile, regulile şi metodele ce asigurã controlul accesului la resursele şi serviciile sistemului, astfel:

 

2.2.1. Alocarea drepturilor de acces la reţea (instituirea de reguli prin care se descriu termenii şi condiţiile de acces la reţeaua locală, la serviciile de email şi la Internet);

2.2.2. Controlul accesului la informaţii (adoptarea unui sistem de clasificare/stabilire a nivelelor de secretizare a informaţiilor la nivelul organizaţiei; definirea şi instituirea unor reguli de restricţionare a accesului la informaţiile critice; controlul drepturilor de citire, scriere, ştergere şi execuţie ale utilizatorilor; controlul ieşirilor din sistemele de aplicaţie care utilizează date sensibile pe principiul nevoii de a cunoaşte, etc );

2.2.3. Controlul accesului la sistemele de operare (elaborarea şi implementarea de proceduri de securizare a conectării la sistemul de operare; instituirea unui sistem adecvat de management al parolelor de autentificare a celor cu drepturi de administrare; folosirea facilităţii de expirare a conexiunii sau de limitare a timpului de lucru; configurarea corectă a politicilor de grup la nivelul domeniului; etc);

2.2.4. Controlul accesului la aplicaţii (izolarea sistemelor/aplicaţiilor sensibile în reţele segregate; elaborarea de drepturi de acces la aplicaţii integrate în politica de Active Directory; controlul accesului utilizatorilor la funcţiile sistemului de aplicaţii);

2.2.5. Securitatea drepturilor de acces privilegiate (elaborarea unor reguli de alocare a drepturilor privilegiate/de administrare a bazelor de date, reţelei, aplicaţiilor; evidenţa drepturilor excepţionale; verificarea periodică a concordanţei drepturilor efective ale utilizatorilor cu cele aprobate; asigurarea protecţiei parolelor şi drepturilor de acces privilegiate);

2.2.6. Securitatea serviciilor de imprimare (instituirea de reguli de utilizare a serviciilor de listare; controlul autentificării pentru conectarea la serviciile de listare;  )

 

2.3. Securitatea datelor şi informaţiilor stocate în format electronic: definirea unor sisteme de validare a datelor implementate în aplicaţiile ERP şi a unor proceduri de răspuns în caz de eroare de validare a datelor; descrierea algoritmilor de procesare a datelor înmagazinate la nivelul aplicaţiilor ERP; politicile şi procedurile de backup la nivelul datelor stocate în baze de date, aplicaţii, sisteme ori date ale utilizatorilor; gestiunea corectă a suporţilor de memorie externă care conţin date şi informaţii critice pentru afacere; instituirea măsurii de criptare a datelor (dacă este necesar); identificarea şi managementul vulnerabilităţilor tehnice; etc

 

2.4. Managementul incidentelor de securitate: definirea incidentelor, anomaliilor şi slăbiliunilor apărute în funcţionarea ori securitatea aplicaţiilor ERP care trebuie raportate şi instituirea unu sistem de raportare a acestora; stabilirea de proceduri pentru tratarea şi managementul diverselor tipuri de incidente de securitate a informaţiilor;  instituirea unui proces disciplinar oficial, pentru angajaţii, contractorii sau utilizatorii terţi care exploatează breşele în securitate; instituirea unui proces de feedback pentru învăţarea din incidentele de securitate;

 

2.5. Managementul schimbărilor şi configurărilor: instituirea unui proces de management al modificărilor şi corecţiilor semnificative efectuate asupra sistemelor de control al accesului, sistemului de detecţie şi semnalizare a efracţiei, sistemului de detecţie şi semnalizare a incendiilor, sistemului de detecţie şi semnalizare a prezenţei umane, aplicaţiilor, software-ului, hardware-ului, comunicaţiilor, reţelei, echipamentelor; efectuarea de analize de impact al modificărilor asupra stării de securitate a proceselor; controlul software-ului operaţional la nivelul aplicaţiilor ERP; documentarea procesului de mentenanţă a sistemelor şi aplicaţiilor; instituirea unor criterii de acceptanţă a modificărilor şi mentenanţei efectuate asupra sistemelor, echipamentelor şi aplicaţiilor; asigurarea evidenţei şi trasabilităţii înregistrărilor.

 

3. Conformitatea cu cadrul legal (securitatea juridicã) cuprinde: identificarea cerinţelor de securitate stipulete în colecţia de legi care reglementează obiectul de activitate propriu, actele de violare a nivelurilor de securitate fizică şi logică şi care stabileşte sancţiunile penale pentru încălcarea acestor prevederi.

 

 

III. Evaluarea stării de securitate informatică la nivelul firmei

Evaluarea sistemelor, aplicaţiilor, serviciilor informatice ale unei firme, din punct de vedere al securităţii, constituie o necesitate obiectivă, care rezultă în primul rând din existenţa ameninţărilor şi vulnerabilităţilor la adresa sistemelor informatice integrate ale agenţilor economici, respectiv a riscurilor asociate, de natură a afecta confidenţialitatea, integritatea şi disponibilitatea datelor gestionate electronic.

O evaluare de securitate trebuie să se realizeze periodic, şi ea cuprinde: auditul conformităţii cu cadrul legal şi cel al standardelor; auditul managementului riscurilor de securitate; auditul securităţii personalului care dispune de drepturi de acces la sistemele informatice; auditul securităţii fizice şi logice; auditul reţelei locale şi a tuturor conexiunilor interne şi externe ale acesteia; auditul centrelor de date (camerelor serverelor); auditul biroticii; auditul sistemelor şi aplicaţiilor aflate în exploatare; auditul programelor informatice de aplicaţie folosite; auditul sistemelor aflate în curs de dezvoltare.

 Realizarea auditului sistemului informatic este o activitate complexă, care aduce multe beneficii, printre care menţionăm: asigurarea conformării la cerinţele standardelor de securitate a informaţiilor; depistarea breşelor de securitate, precum şi a vulnerabilităţilor existente în vederea reducerii riscurilor şi îmbunătăţirii securităţii sistemului; prevenirea şi detectarea erorilor şi a fraudelor;  planificarea pentru refacere în caz de accidente şi dezastre; un management mai eficient al informaţiilor; identificarea opţiunilor în direcţia îmbunătăţirii şi dezvoltării proceselor sistemului; evaluarea utilizării eficiente a resurselor.

Auditarea sistemelor informatice se poate face cu forţe proprii (organizaţia trebuie să aibă specialişti care dispun de expertiza necesară) sau de către firme externe specializate (vă recomandăm această variantă).

 

Autor RMM