REVISTA CARIERE, NO. 279, AUGUST 2022 REVISTA CARIERE, NO. 279, AUGUST 2022 Citește-te acum
Cover Story

Politici IT la nivelul companiei

mai 19, 2004 00:00
▪ de
Pe langa Internet Policy si E-mail Policy care au fost deja prezentate, la dispozitia managerului se afla si o alta intreaga suita de politici si proceduri ce contribuie la definirea sistemelor de controale IT si detalierea tuturor operatiunilor. (continuare din numarul anterior)

Password policy

In functie de designul si platforma pe care se asaza sistemul informatic al companiei, accesul la resursele partajate trebuie efectuat printr-un cont si o parola asociata. La modul ideal, politica de parole ar trebui sa stabileasca pentru fiecare subsistem informatic urmatoarele reguli minimale:

  • parola este confidentiala si nu trebuie dezvaluita nici macar personalului IT decat in situatii de avarie. Ea trebuie schimbata imediat ce IT-ul si-a terminat treaba;
  • parola trebuie schimbata periodic (intre 30 – 90 zile);
  • lungimea parolei trebuie sa fie de minim 8 caractere;
  • parola sa fie complexa si sa includa litere mici, litere mari, cifre etc.;
  • parola sa nu fie intuitiva si sa contina cuvinte comune sau numele utilizatorului;
  • parolele sa nu poata fi reutilizate.

Aceste reguli trebuie intarite de un Account Policy care sa stipuleze ca:

  • o parola tastata gresit de 3-5 ori sa conduca automat la blocarea contului;
  • contul blocat sa nu poata fi reactivat decat de administratorul de sistem etc.

Implementarea unei astfel de politici intampina in general rezistenta fireasca a utilizatorilor. Nu este tocmai comod sa fii nevoit sa retii o parola de genul tR34&Io)4T pe care sa o schimbi peste o luna cu ceva similar. Situatia se complica in organizatiile in care accesul la diferite resurse sau sisteme informatice se face pe baza unui set de parole si conturi avand reguli diferite. In aceasta situatie, utilizatorul este nevoit sa memoreze parola de acces in retea, parola de acces in sistemele de aplicatii, parola de acces la mailurile stocate sau parola de startare a calculatorului. Cu toate acestea, utilizatorii trebuie constientizati asupra riscurilor neprotejarii setului de parole. Notarea parolelor pe biletele lipite de monitor de catre contabile sau mai grav direct pe laptop de catre seful HR, reprezinta practici complet gresite si incalca grav politicile de securitate ale companiei.

Imaginati-va ca sunteti Sales Manager in cadrul unei multinationale si ca pe baza unei singure parole aveti acces la mail, la sistemele de aplicatii si la toate fisierele cu clientii companiei. In ultimele 2 luni ati tot pierdut la mustata licitatiile in fata concurentei si nu va explicati declinul recent al veniturilor. Secretara, IT-ul si colegii din echipa sunt oameni verificati, iar bodyguard-ul oricum habar nu are sa atinga tastele. Lucrurile nu sunt niciodata insa ceea ce par a fi. Ati neglijat ca soferul recent angajat este un pasionat de IT si ca mailul dvs. il puteti accesa de la un Internet cafe doar prin parola aia veche de 1 an. Se pare ca este timpul sa luati in serios Password Policy-ul.

Audit policy

Defineste controalele in legatura cu activitatea de monitorizare in cadrul sistemelor informatice. Indiferent cat de bine ati implementat sistemul de securitate si drepturile de acces la resursele partajate, in lipsa unei activitati zilnice de monitorizare ele pot deveni nule. Concret, degeaba obligati directorul general sa-si schimbe periodic parola daca nu monitorizati tentativele de acces neautorizat la contul acestuia de catre angajatii curiosi.

In general, fiecare sistem informatic permite inregistrarea activitatilor efectuate de catre utilizatori in cadrul acestuia. Aceasta activitate poate insa conduce la alocarea de resurse suplimentare (servere mai puternice, loguri complexe) si la viteza redusa a intregului sistem informatic. De aceea, ea trebuie riguros planificata si trebuie sa inceapa cu identificarea resurselor senzitive sau critice din punctul de vederea al riscurilor. Monitorizarea trebuie sa se concentreze asupra:

  • tentativelor neautorizate de access din exteriorul companiei (firewalls, DMZ, proxy, web)
  • login/logoff ale utilizatorilor in retea sau in cadrul sistemelor de aplicatii
  • accesul la resursele senzitive
  • operatiunile critice efectuate in cadrul sistemelor de aplicatii

Un alt aspect important al procesului de monitorizare, neglijat uneori de personalul IT, il reprezinta stocarea pe termen lung al logurilor. Interpretarea logurilor nu este intotdeauna un mecanism facil, iar anumite elemente care indica activitati neautorizate pot sa nu fie evidentiate la o prima verificare.

Audit Policy trebuie sa stipuleze toate activitatile de monitorizare a sistemelor informatice si sa defineasca in mod clar responsabilitatile personalului IT.

Alte policy-uri comune sunt:

  • Software Policy (defineste controalele asupra softurilor instalate pe statiile de lucru din punct de vedere al licentelor, stabilitatea si intretinerea calculatorului);
  • HelpDesk Policy (delimiteaza activitatea de helpdesk)
  • Backup Policy (vazut ca o componenta a Business Continuity Plan)
  • Acquisition Policy (stabileste procedurile de achizitii din punct de vedere al conceptului Total Cost of Ownership)
  • Service Level Agreement (SLA) (vazut ca o componenta de cuantificare a activitatilor IT)
  • VPN policy

Articole de acelasi autor
REVISTA CARIERE, NO. 279, AUGUST 2022 REVISTA CARIERE, NO. 279, AUGUST 2022 Citește-te acum