Consulting Jobs

CUMPANASU INSOLVENCY recruteaza Practician in Insolventa

CUMPANASU INSOLVENCY recruteaza Practician in Inso...

CUMPANASU PARTNERS recruteaza Middle Level Lawyer

CUMPANASU PARTNERS recruteaza Middle Level Lawyer ...

CUMPANASU PARTNERS recruteaza Middle Level Lawyer

CUMPANASU PARTNERS recruteaza Middle Level Lawyer ...

CUMPANASU PARTNERS recruteaza Senior Lawyer

CUMPANASU PARTNERS recruteaza Senior Lawyer cu exp...

Cumpanasu Partners is looking for experienced lawyers

Cumpanasu Partners is looking for lawyers experien...

Cumpanasu Partners is looking for new lawyers

Cumpanasu Partners is looking for lawyers experien...

Reff & Asociatii isi deschide portile pentru viitorii profesionisti

Reff si Asociatii SCA, societatea de avocati repre...

Duncea Stefanescu is recruiting experienced lawyer and junior lawyer

Experienced Lawyer, Advisory Requirements- full...

It’s your career. Where will you take it?

Experienced Lawyer with Reff & Associates Real...

Cumpanasu si Dejescu recruteaza avocati

CUMPANASU si DEJESCU recruteaza avocati pentru niv...

Premium Brands

Mihai Marcu, Presedinte: “MedLife acopera toate zonele de activitate medicala”

Dle Presedinte Mihail Marcu, cum se prezinta in 2012 business-ul MedLife? La ce nivel s-a ajuns din punct de vedere financiar, tehnic, logistic, uman? In prezent, MedLife isi desfasoara activitatea...

Michael Schmidt, Presedinte Automobile Bavaria Group: "Nu vrem sa ne cumparam cota de piata, ci punem pret pe relatia cu clientul"

Interviu cu Michael Schmidt, Presedinte Automobile Bavaria Group Dle Presedinte Michael Schmidt, cine isi cumpara BMW in Romania? Un mic "portret robot" al celor care prefera aceasta marca.Conducat...

Radisson Blu – definitia luxului

Simtind pulsul capitalei, in inima orasului, Radisson Blu Hotel din Bucuresti este locul la care, tot mai des in ultima vreme cand se vrea a se organiza o intalnire de afaceri, un pranz, o cina sau ...

Bento Box - Un pranz rapid si complet, servit intr-un mod specific japonez

Restaurantul Benihana din incinta hotelului Howard Johnson are placerea sa prezinte cel mai nou concept al sau - Bento Box. Acesta vine in intampinarea persoanelor foarte ocupate, care nu au timp sa...

Noul Porsche Boxster vine in Romania din luna aprilie

Programat sa isi faca aparitia in martie pe podiumul elvetian al Salonului Auto de la Geneva, noua generatie Boxster este prezentata deja intr-un comunicat oficial. Porsche a prezentat a t...

Testimoniale

"In ceea ce priveste catalogul si portalul anuaruldeconsultanta.ro, apreciez in mod deosebit aparitia acestor produse media targetate care ne lipseau si care reusesc o monitorizare eficace si obiectiva a societatilor de profil din tara."
Avocat Ovidiu Pop, Partener Badita & Pop

"Nu putem decat sa ne bucuram sincer de succesul repurtat de publicatia si site-ul pe care cu atata minunata competenta le conduceti. Suntem onorati sa ne numaram printre colaboratorii dvs si va dorim sa cresteti constant pe aceasta piata atat de competitiva."
Raluca PUTUREANU, Marketing Specialist ROMINVENT S.A.

Avem 87 vizitatori și nici un membru online

Top 5 greseli comune facute inainte sau in timpul unui incident informatic

Dinamica societatii si tehnologizarea tot mai evidenta a tuturor ramurilor de care omul modern se loveste zi de zi a creat cadrul favorabil aparitiei si dezvoltarii unui fenomen care nu mai este deloc nou in Romania: criminalitatea informatica. Fie ca isi are originea in tara noastra, fie ca o “importam”, din ce in ce mai multe persoane fizice sau juridice cad victima si, nu de putine ori, pierderile sunt greu de recuperat.

1. „Mie nu mi se poate intampla”
Este poate cea mai mare eroare pe care atat persoanele fizice, dar mai ales factorii de decizie ai unor societati comerciale o pot face. Plecand de la premisa enuntata, actiunile lor sunt in aceasta directie. Astfel, lipsa alocarii unui buget in vederea protejarii impotriva atacurilor informatice sau o instruire deficitara a personalului in acest sens sunt doar cateva dintre „strategiile” care transforma companiile intr-o victima sigura.

Conceptia des intalnita precum ca, atata timp cat nu ai nimic de ascuns si de interes pentru atacatori, esti in siguranta, este gresita. Cele mai multe dintre atacurile informatice au drept scop obtinerea unor foloase materiale si, in egala masura, a unor resurse informatice care sa fie folosite ulterior in generarea altor atacuri. Practica judiciara in domeniu este bogata in cazuri in care infrastructura unor terte societati comerciale a fost folosita in savarsirea unor infractiuni informatice.

2. Protejarea impotriva atacurilor informatice nu este o activitate care se face o data si bine
Achizitia si configurarea initiala a unor solutii hardware si/sau software care sa ajute la stoparea sau reducerea unor astfel de atacuri este o prima actiune pe calea protejarii datelor si activelor companiei. Nu este insa suficienta.

Nu de putine ori s-au intalnit situatii cand licentele de antivirus erau expirate si semnaturile nu erau la zi sau regulile din firewall nu mai erau de actualitate. O practica trecuta des cu vederea este acumularea de privilegii in randul angajatilor care sunt de o perioada mai mare de timp in companie. Pe masura ce ocupa mai multe roluri cu sarcini diferite, ei ajung intr-un final sa aiba mult mai multe drepturi de acces in sistemele informatice decat au nevoie. Astfel, managementul „user-ilor” este deficitar, putand facilita fie o eventuala frauda din partea acelui angajat, fie marirea suprafetei de atac impotriva companiei, in cazul in care contul este compromis de terte persoane.

Poate cel mai rasunator caz generat de aceasta greseala este „Wannacry”, iar principala cauza care a generat acest atac a fost tocmai lipsa instalarii unor update-uri de securitate menite sa remedieze anumite vulnerabilitati cunoscute deja de catre profesionistii in domeniu ca fiind usor exploatabile. Rezultatul a fost un atac informatic de tip ransomware de proportii, fiind criptate peste 230.000 de calculatoare de pe intreg mapamondul, cu pierderi totale de peste 1 miliard de dolari.

3. „Incerc sa fac totul de unul singur”
Nevoia de a tine costurile sub control impinge multe companii sa incredinteze management-ul solutiilor de securitate unei persoane interne al carei rol de zi cu zi este cu totul altul. Cel mai des intalnit caz este acela de a apela la persoana responsabila cu gestionarea echipamentelor de IT, care, pe parcurs, instaleaza si configureaza si echipamentele de retea (router/switch), firewall, solutiile software de pe statii, cloud, etc.

Fiecare dintre tehnologiile anterior enumerate are caracteristici diferite, iar gestionarea acestora si configurarea de catre o persoana care nu are pregatirea necesara reprezinta inca un risc pentru compania respectiva. De foarte multe ori, perceptia ca esti protejat, cand in realitate ai o mare vulnerabilitate, este mai periculoasa, intrucat compania va desfasura activitati si va expune in mediul online date informatice care, in alte conditii, ar fi mult mai bine protejate.

4. Folosirea inadecvata a parolelor de acces si a altor metode de autentificare
Managementul parolelor de acces nu este un lucru usor, mai ales cand sistemele in care user-ul se va autentifica sunt multiple, politicile de complexitate si de expirare a acestora sunt diferite de la un serviciu la altul, iar persoana care le foloseste nu are o pregatire minima in legatura cu modul de pastrare al acestora.

Un exemplu des intalnit este cel al sticky-note-urilor lipite de monitor sau agende uitate printr-o sala de conferinta, continand parolele de acces intr-un anumit sistem informatic. Aceste incidente au generat adoptarea clara a unei politici de „clean desk”, care ar putea crea cadrul favorabil prin care angajatii sa fie instruiti pentru a nu expune parolele de acces.

5. Lipsa unor procese clare in cazul unui incident informatic sau aplicarea lor haotica
Companiile care sunt constiente de aceste riscuri au investit, in mod constant, in remedierea problemelor mai sus amintite. Cu toate acestea, oricat de putin s-ar reduce suprafata de atac, oricate tehnologii de preventie, detectie si stopare s-ar implementa, nu toata lumea joaca dupa aceleasi reguli. Un atac informatic se va intampla oricand, e doar o chestiune de timp.

Mai mult, prin Legea 362/2018 care transpune directiva europeana 1148/2016 privind asigurarea unui nivel comun ridicat de securitate a retelelor si sistemelor informatice, toate companiile care furnizeaza servicii esentiale catre populatie trebuie sa minimizeze riscurile si sa ia masuri interne manageriale si de natura tehnica, astfel incat sa diminueze riscul cibernetic. Ceea ce inseamna ca vor fi obligate sa bugeteze si sa realizeze investitii in aceasta directie, avand in vedere ca, de multe ori, acest aspect nu a fost unul de o importanta majora pentru managementul unui operator de servicii esentiale.

Art. 42 al acestei legi intrata in vigoare in ianuarie 2019 indica faptul ca entitatile care actioneaza in sectoarele vizate au un termen de 2 ani in care sa depuna documentatia de autoevaluare a indeplinirii cerintelor minime de securitate si notificare. Sunt prevazute si o serie de contraventii substantiale in cazul in care, dupa producerea unui incident informatic grav, se constata ca acea companie nu a intreprins masurile necesare pentru a-l impiedica sau pentru a-i diminua efectele.

Producerea unui incident informatic, de orice natura ar fi el (phishing, malware infection, DDOS attack, website defacement etc.), obliga la actionarea imediata a unui plan de raspuns care sa duca la inlaturarea efectelor negative sau macar la diminuarea lor pe cat posibil.  Nu intamplator, la nivel international, au fost create mai multe cadre de reglementare a acestor situatii in care sunt descrise activitatile care trebuie intreprinse.

Cele mai populare doua astfel de cadre de lucru sunt cele elaborate de cǎtre NIST (National Institute of Standards and Technology) si SANS (SysAdmin, Audit, Network, and Security). Acestea nu sunt substantial diferite, oricare dintre cele doua metodologii ajuta la formularea unui raspuns mai bun in cazul unui atac informatic, bazat pe un set de pasi pe care oricine din organizatie ar trebui sa ii aplice, atunci cand isi propune sa investeasca in aceasta zona. Sigur ca acestia trebuie adaptati specificului organizatiei si implementati, de preferat, inaintea producerii unui atac informatic.

Constientizam greselile: care este urmatorul pas?
Unele dintre aspectele mentionate mai sus sunt usor de remediat, necesitand doar o constientizare mai mare din partea factorilor de decizie dintr-o companie a pericolelor la care o expun atunci cand aplica ceea ce multi specialisti considera a fi o strategie cunoscuta drept „security through obscurity”.

In baza acesteia, mecanismele de securitate sunt cunoscute doar de catre membrii care o aplica si o folosesc, iar un eventual atac informatic ar putea reusi doar daca acestea sunt cunoscute, lucru considerat putin probabil. Practica a dovedit ca aceasta strategie este drumul sigur catre o tinta usoara a hackerilor.

Dinamica atacurilor informatice si versatilitatea lor fac imposibila aplicarea unei retete universale care sa functioneze ca un „panaceu”. Factorii de decizie care isi desfasoara chiar si o mica parte din activitatea lor prin utilizarea unor servicii si tehnologii informatice trebuie sa-si adapteze strategia de securitate in functie de specificul si natura activitatii intreprinse, iar apelarea la servicii profesioniste in domeniu ar putea ca pe termen lung sa faca diferenta intre existenta si prosperitatea pe piata sau disolutie.

Autor: Cristian Zaharia (foto), Manager, Forensic, EY Romania

Catalog

AFCAR 2019 cop1

Abonare la newsletter

* indicates required

Agenda obligatiilor fiscale 2019

EY agenda fiscala 2019 coperta

 

 

 

 

Fairvalue logo bun 2020

 

 

 

 

 

 

 

TUV logo 20

 

 

 

 

EY logo 2020 portal

 

 

andra musatescu sigla noua

 

 

Valoria logo2 

 

 

 

 

 

Finexpert logo 2019

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 Kreston logo 2018

 

 

 

works logo

 

 

 

 

 

 

 

 

 

 

 

 

 

 

  

prospect logo

 

 

 

 

 

 

 

 

 

 

 

 

expert control logo

 

 

 

 

 

evident info logo 

 

 

 

 

nefertiti logo

 

 

 

Copyright © 2020 KLAUS MEDIA PRESS
Toate drepturile rezervate.