security awareness training 2014.pdf
TRANSCRIPT
-
INSTRUIRE SECURITATEA INFORMATIEI 2014 DIVIZIA SECURITATE ROMANIA
Securitatea Informatiei este
responsabilitatea TA !
-
Obiective:
1. Cunoasterea cerintelor si a procedurilor de securitate a informatiei
2. Constientizrea amenintarilor specifice si a metodelor de protectie
3. Cunoasterea politicilor si procedurilor de securitate fizica
4. Constientizarea importantei asigurarii continutatii afacerii
ca intotdeauna, speram ca materialul sa va fie de folos si acasa, in viata privata
2014 Version 1
2
C2 - Internal Use -- Divizia SECURITATE Romania
-
Introducere 2014 Version 1
3
Politicile de securitate le puteti accesa aici:
sau direct pe http://itsecurity.romtelecom.ro: Ne puteti scrie la adresele:
[email protected] [email protected] [email protected]
C2 - Internal Use -- Divizia SECURITATE Romania
-
10 Principii de Securitate
Cele 10 Principii de Securitate care guverneaza toate masurile si cerintele de securitate:
1. Conduita legala
2. Protectia datelor si securitatea datelor
3. Increderea clientilor
4. Cultura Securitatii si a Protectiei Datelor
5. Responsabilitate transparenta
6. Principiul Nevoia de a sti (Need to know)
7. Avantaj competitiv prin tehnologie
8. Profitabilitate
9. Crearea de valoare adaugata prin securitate integrata
10. Standardele internationale de securitate Le gasiti detaliate si in mySecurityBase,
sectiunea My Information - 1.9, 1.10, 1.11. http://mysecurity.telekom.de
2014 Version 1
4
C2 - Internal Use -- Divizia SECURITATE Romania
-
Politica de Securitate a Informatiei si Protectia Datelor
Obiectivele de protectie definesc si specifica cerintele de protectie pentru date si informatii specifice, sub forma claselor de protectie.
Incident de securitate: un eveniment sau serie de evenimente actuale sau potentiale care
pot ameninta confidentialitatea, integritatea sau disponibilitatea informatiei.
In continuare sunt prezentate aspecte privind clasele de protectie asociate obiectivului
Confidentialitate, inclusiv clasificarea si etichetarea informatiilor.
2014 Version 1
5
C2 - Internal Use -- Divizia SECURITATE Romania
-
Clasificarea informatiilor
2014 Version 1
6
Clasa de protectie
Eticheta necesara Criteriu de decizie
Open C1 Open (nu este necesara etichetarea)
Accesul neautorizat nu conduce la pierderi economice. Se aplica informatiilor destinate publicului.
Uz Intern C2 - Uz Intern C2 - Internal Use
Accesul neautorizat poate conduce la pierderi economice. Se aplica informatiilor care sunt semnificative pentru business.
Confidential C3 - Confidential Accesul neautorizat poate conduce la pierderi economice insemnate. Se aplica informatiilor care sunt extrem la semnificative pentru business.
Strict confidential
C4 - Strict Confidential C4 - Strictly Confidential
Accesul neautorizat poate rezulta in distrugeri economice majore pentru companie. Aceasta informatiei este de maxima importanta pentru strategia companiei. Aceasta informatie este destinata exclusiv pentru un grup foarte precis definit de persoane.
Proprietarul (autorul sau originatorul) informatiei sau al documentului decide clasificarea informatiei.
Informatiile trebuie sa fie clasificate si etichetate cu C4 - Strict Confidential doar in cazul in care acest lucru este absolut necesar, pe baza cerintelor de protectie. Aceasta clasificare nu va fi niciodata utilizata ca un mijloc
de a sublinia importanta departamentelor sau a persoanelor asociate.
C2 - Internal Use -- Divizia SECURITATE Romania
-
Pierderea de informatie (accidentala sau intentionata) are urmatoarele riscuri asociate:
Pierderea reputatiei;
Pierderi financiare (amenzi, pierderea oportunitatilor de afacere, pierderea proprietatii intelectuale);
Pierderea increderii clientilor.
Este interzisa divulgarea informatiilor confidentiale!
Divulgarea neautorizata a datelor confidentiale sau
strict confidentiale este pedepsita extrem de sever
potrivit Regulamentului Intern.
Solutia Data Loss Prevention (DLP) poate ridica alerte (si in anumite cazuri poate chiar bloca actiunea) daca anumite date confidentiale sau date personale sunt trimise :
Din reteaua interna catre exterior (ex: pe mailul Yahoo, Gmail, etc.);
Catre dispozitivele mobile de stocare: USB, CD/DVD, HDD extern;
Catre imprimante;
Prin reteaua wireless, CDMA, etc.
Riscuri asociate pierderii/scurgerii de informatii confidentiale
2014 Version 1
7
C2 - Internal Use -- Divizia SECURITATE Romania
-
Siguranta Parolelor Folositi numai parole puternice: Contin cel putin 8 caractere alfanumerice, preferabil 10-12 caractere din urmatoarele 4 categorii: Caractere mici (a-z)
Caractere mari (A-Z)
Cifre (0-9)
Caractere speciale (!@#$%^&*{}[]()+=)
Evitati parolele slabe:
- cuvinte din dictionar (romana, engleza sau al altei limbi) - secvente consecutive de litere sau cifre (ex: 1234, abcd, qwerty)
- Nume de persoane, animale, institutii, alte nume comune
NU REFOLOSITI PAROLELE, in special cand este vorba de site-uri care contin informatii importante si/sau date personale!! Nu folositi la serviciu aceleasi parole pe care le folositi in interes personal! (Astfel, in cazul in care o parola de-a dvs. este compromisa, nu veti expune informatiile Romtelecom la un risc suplimentar.)
NU COMUNICATI parola de AD (parolele in general) altor persoane, fie ei chiar sefi directi, subalterni sau Suport IT. Tineti cont ca parola de AD este utilizata pentru a permite accesul la contul de mail, ori la fluturasul de salariu (vezi Epayslip.romtelecom.ro), ori la alte informatii sensibile de pe PC ori din aplicatiile interne care au fost integrate cu AD pentru autentificarea userilor.
Schimbati periodic parolele !
2014 Version 1
8
C2 - Internal Use -- Divizia SECURITATE Romania
-
Masuri de protectie Blocati intotdeauna statia de lucru cand plecati din fata ei.
Pentru a pastra datele in siguranta, apasa simultan tastele Win + L pentru a bloca ecranul PC-ului:
SMS Passcode:
2014 Version 1
9
O modalitate adoptata in Romtelecom de anul trecut pentru accesul
securizat pe SSL-VPN este Dual factor authentication ca mecanism de
autentificare ce necesita doua componente pentru a identifica i pentru
a autentifica un utilizator - "ceva ce stie" utilizatorul si "ceva ce are"
utilizatorul. Username si parola reprezinta componenta "ceva ce stie, iar
componenta "ceva ce are" este reprezentata de un token hardware sau un
dispozitiv mobil cu token software instalat.
Prin comparatie, schemele de securitate traditionale folosesc username si parola pentru autentificare, ceea ce asigura un minim de securitate deoarece parolele sunt usor de ghicit sau interceptat.
Romtelecom foloseste ca solutie de dual factor authentication SMS Passcode. In cazul SMS Passcode cele 2 componente sunt:
1) "ceva ce stie" utilizatorul: username i parol AD.
2) "ceva ce are" utilizatorul: telefon mobil - doar posesorul telefonului poate introduce corect codul unic care este primit prin SMS in procesul de autentificare.
+
Retelele de socializare C2 - Internal Use -- Divizia SECURITATE Romania
-
Nevoia de a sti Dati informatii numai persoanelor autorizate DOAR pe baza
principiului Need to know (Nevoia de a sti).
Divulgarea informatiilor companiei reprezinta o amenintare serioasa la adresa companiei, dar si pentru locul Dvs. de munca.
Atentie speciala se va acorda protejarii datelor personale ale clientilor companiei si ale angajatilor.
DA: Divulgati informatiile sensibile doar acelora autorizati care au nevoie de ele pentru a indeplini sarcinile
de serviciu.
Acordati atentie deosebita distribuirii de informatii partenerilor de afaceri, consultantilor si clientilor. Atentie la non-disclosure agreement valid.
NU: Nu divulgati informatii sensibile colegilor daca nu au nevoie de ele la serviciu.
Nu divulgati informatii sensibile prietenilor, familiei sau altora care nu au nevoie sa cunoasca acele informatii.
Nu vorbiti in public (taxi, autobuz, cafenea, spatiu de fumat, etc.) despre activitatile de la serviciu pentru ca cineva neautorizat v-ar putea auzi.
2014 Version 1
10
C2 - Internal Use -- Divizia SECURITATE Romania
-
Utilizarea dispozitivelor mobile de stocare: CD / DVD / memory stick-uri USB / HDD extern
Aceste dispozitive mobile au:
- Dimensiuni reduse
- Capacitate de stocare mare
- Pret redus
Deci sunt usor de pierdut !
Folosirea acestor dispozitive reprezinta o cale de raspandire a virusilor si de scoatere a datelor confidentiale din companie, de aceea folosirea lor intr-un mod necontrolat si fara criptarea datelor sensibile nu este acceptabila.
Datele stocate pe ele trebuie CRIPTATE
(ex. folosind McAfee Endpoint Encryption, pe statiile unde aceasta solutie de criptare este instalata)
Ghidul de utilizare McAfee Endpoint Encryption poate fi gasit aici: http://itsecurity.romtelecom.ro/arhiva/itsecurity/GhidUtilizare_McAfee-Endpoint-Encryption.pdf
2014 Version 1
11
C2 - Internal Use -- Divizia SECURITATE Romania
-
Detectarea, tratarea si raportarea incidentelor de securitate
Utilizatorii pot detecta incidente de securitate in desfasurarea activitatii lor, iar raportarea
incidentelor imediat cum au fost constatate este foarte importanta.
Incidentul de securitate trebuie raportat imediat prin deschiderea unui Incident Nou in aplicatia
de ticketing CA Service Desk Manager.
Un incident de securitate poate fi inclus, in general, in una din categoriile de mai jos:
intreruperea serviciilor (cunoscut ca Denial of Service DoS sau Distributed Denial of Service - DDoS);
infectarea cu malware (ex.: troieni, rootkit, keylogger, virusi);
accesul neautorizat (in cladire, la calculator, in aplicatii);
utilizarea necorespunzatoare a serviciului, sistemelor sau informatiilor;
incident cu componente multiple.
2014 Version 1
12
C2 - Internal Use -- Divizia SECURITATE Romania
-
Ingineria sociala (1/2) Reprezinta tehnica de manipulare a persoanelor cu scopul de a divulga informatii
confidentiale, prin exploatarea unei situatii de falsa incredere.
Ingineria Sociala nu implica neaparat tehnologie; ea se refera la tehnici folosite de infractori care incearca sa obtina in mod ilicit informatii confidentiale prin exploatarea anumitor trasaturi ale personalitatii angajatilor: serviabilitatea, credulitatea, tendinta de cedare la presiune, teama, nevoia de recunoastere, curiozitatea, respectul fata de autoritate.
Cateva instrumente si metode folosite pentru Ingineria Sociala: telefoane, e-mail-uri (inclusiv cu malware), site-uri web contrafacute, retele sociale, cautarea prin documentele aruncate la gunoi, stick-uri USB infectate, accesul odata cu angajatii in zonele protejate ale companiei, spionaj in timpul discutiilor in public.
Phishing:
primiti mail-uri trimise in numele unor banci cu link-uri catre formulare in care sunteti rugat
sa introduceti date personale.
primiti un mail de la un presupus client / partener - potential sau existent mesajul pare
real, dar este doar o incercare de a va infecta calculatorul, de a va fura datele.
Tailgating: cand intrati intr-o cladire a companiei, pana se inchide usa, mai intra dupa dvs. si alte
persoane neautorizate.
Impersonare:
patrunderea in spatiul de birouri a unor persoane neautorizate, dar care imita persoane autorizate;
o persoana va suna la telefon si pretinde ca este de la IT si va cere numele de utilizator si parola;
cineva pretinde ca ati fost colegi la scoala si vrea sa devina prietenul dvs. intr-o retea sociala;
2014 Version 1
13
C2 - Internal Use -- Divizia SECURITATE Romania
-
Ingineria sociala (2/2)
Metode de protectie?
Atacatorii folosesc de obicei evenimente notabile mondiale sau mondene. Sa nu aveti incredere intr-un
link/atasament primit prin e-mail, printr-o retea sociala sau prin mesageria instant; verificati mai intai din surse sigure.
Nu aveti incredere in link-uri prescurtate trimise prin metodele exemplificate mai sus (ex.: http://bit.ly/4TzSq2).
Verificati cu Google SafeBrowsing site-urile suspecte: http://www.google.com/safebrowsing/diagnostic?site=http://testsite.com
Atentie la rezultatele oferite de motoarele de cautare. De multe ori sunt utilizate metode de optimizare a rezultatelor produse de motoarele de cautare ca Google si Bing pentru a aduce in primele rezultate site-uri cu malware.
Atentie la mesajele de tip spam, care sunt mesaje nesolicitate, trimise si pentru a raspandi malware sau pentru inginerie sociala. Va rugam sa reclamati primirea acestor e-mail-uri spam la adresa: [email protected] .
Cei mai importanti vectori folositi: exploatarea vulnerabilitatilor din Java, Flash, PDF, sistem de operare. SFAT: Actualizati aplicatiile de pe calculator (Java, player-e, Acrobat Reader etc) si sistemul de operare.
2014 Version 1
14
C2 - Internal Use -- Divizia SECURITATE Romania
-
Navigarea sigura pe Internet
Asigurati-va ca folositi un browser recent, stabil, iar aplicatia Java, player-ul flash si reader-ul PDF sunt la cele mai recente versiuni si antivirusul este la zi;
Verificati ca browser-ul foloseste SSL3.0/TLS1.x si verificati certificatele oferite de site-uri pentru validitate (Check for server certificate revocation);
Invatati sa recunoasteti semnele conectarii la un site sigur: conexiune prin https si certificat valid al site-ului. Daca browser-ul avertizeaza ca certificatul site-ului nu se potriveste cu al serverului, este recomandabil sa nu continuati;
In cazul in care folositi Firefox, utilizati plugin-uri/Add-ons (https://addons.mozzila.org) precum:
NoScript, blocheaza reclamele si alt continut potential daunator, previne unele
incercari de XSS si clickjacking;
KeyScrambler, protejeaza de keylogger-e modificand tastele apasate;
BetterPrivacy, ajuta in indepartarea LSO (Local Shared Objects) cookie-urile
setate de Flash.
Evitati instalarile implicite (default), alegeti instalarile personalizate (custom).
Transferul sigur de fisiere de pana la 800 MB, cu exteriorul companiei, este permis folosind aplicatia Uploader, disponibila la: http://uploader.romtelecom.ro.
2014 Version 1
15
C2 - Internal Use -- Divizia SECURITATE Romania
-
Retelele wireless
Orice comunicatie radio poate fi interceptata (ascultarea traficului si/sau injectie de pachete) daca atacatorul este suficient de aproape sau dispune de echipament performant.
Evitati conectarea laptopului la o retea nesecurizata, in special daca este vorba de laptopul de serviciu. Retele Wi-Fi gratuite sunt cele mai vulnerabile daca nu sunt securizate. Nu faceti NICIODATA dual-homing (conectarea laptop-ului in Intranet si intr-o retea nesecurizata).
Atunci cand va conectati la o retea nesecurizata, orice persoana aflata in raza de actiune a punctului de acces poate sa vada informatiile transmise.
Google, Twitter, Facebook pot fi accesate prin HTTPS, implicit. Multe au trecut pe dual factor authentication (acum optional). Folositi aceasta facilitate pentru a proteja datele dvs..
Cele mai multe site-uri nu folosesc canale securizate de comunicatie decat la logarea utilizatorului ceea ce inseamna ca, dupa autentificare, comunicatiile sunt in clar.
Exista un utilitar, FireSheep ce permite interceptarea sesiunilor, atacatorul putand sa va ia controlul contului de Facebook sau Twitter.
Nu lasati router-ul de acasa nesecurizat si nu folositi tehnologia WEP. Se poate obtine accesul in cateva secunde, datorita vulnerabilitatiilor pe care le prezinta protocolul.
Folositi numai WPA2, configurati o cheie cat mai lunga, schimbati si ascundeti SSID-ul retelei wireless. Altfel sunteti susceptibil atacurilor de tip rainbow-table.
Dezactivati optiunea de conectare automata la Wi-Fi.
2014 Version 1
16
C2 - Internal Use -- Divizia SECURITATE Romania
-
Smartphone-uri si riscurile de securitate Din ce in ce mai multi utilizatori folosesc smartphone-uri pentru a accesa date (predominant e-mail).
Unul din riscuri este infectia cu malware. Acesta se instaleaza automat, exploatand vulnerabilitati in implementarea browser-elor, la accesarea de site-uri infectate. Odata infectat, de pe telefonul mobil se pot extrage contactele, precum si toate datele disponibile sau se pot trimite SMS-uri scumpe, fara stirea proprietarului.
Un alt risc major este pierderea dispozitivului mobil care contine si datele companiei.
Un dispozitiv personal nu trebuie sa contina date ale companiei; daca este de serviciu acesta trebuie sa fie securizat.
De cele mai multe ori, aceste dispozitive nu sunt securizate in niciun fel. Daca exista, folositi facilitatile de securitate integrate in smartphone.
Protejati datele din smartphone prin configurarea blocarii automate cu cod si prin criptarea spatiului de stocare (in cazul in care dispozitivul permite acest lucru).
Daca ati pierdut sau vi-a fost furat smartphone-ul, incercati sa localizati device-ul (prin GPS sau servicii precum Find my phone) si daca ajuns in mainile unei persoane neautorizate, faceti Remote Wipe (reset la setarile din fabrica) si schimbati parola de AD si alte parole ale altor aplicatii.
Mai multe detalii in materialul dedicat Mobile Security Awareness, pe care il gasiti aici:
http://itsecurity.romtelecom.ro/arhiva/itsecurity/Mobile%20Security%20Awareness.pdf
2014 Version 1
17
Folositi pasii urmatori pentru a face Wipe device-ului dumneavoastra din OWA:
1. Pentru a accesa lista cu telefoanele mobile sincronizate cu contul dvs. de Echange, autentificati-va in OWA Exchange (Webmail).
2. Dati Click pe Options in partea dreapta sus, apoi See all options... , apoi Phone in stanga si apoi selectati tab-ul Mobile Phones .
3. Selectati device-ul pentru care vreti sa faceti Wipesi apoi dati Clik pe Wipe Device.
C2 - Internal Use -- Divizia SECURITATE Romania
-
Retelele de socializare Sfaturi pentru protectia dvs. si a contactelor dvs.:
Inscrierea:
Folositi un pseudonim si o adresa de e-mail dedicata acestui scop;
Nu utilizati aceleasi parole folosite pentru a accesa alte servicii (ex: e-mail);
Controlati accesul aplicatiilor la datele dvs. si reduceti utilizarea acestora.
Utilizati inteligent setarile de privacy disponibile;
Atentie la ce imagini, filme si informatii publicati.
Nu publicati informatii sensibile personale sau de la locul de munca.
Alegeti cu grija prietenii online:
Nu acceptati cereri de la cei care se pretind a fi prieteni, dar nu ii cunoasteti.
Verificati toate contactele dvs.
Nu uitati: Internetul nu uita niciodata!
Protejati locul de munca si evitati riscurile la adresa reputatiei acestuia:
Folositi adresa de e-mail personala la inscriere, nu cea de la compania la care lucrati.
Aveti grija ce spuneti despre compania la care lucrati sau despre alte firme.
Nu amestecati contactele de business cu cele ale prietenilor.
Mai multe detalii si sfaturi gasiti si pe mySecurityBase:
My Home and Travelling 4.6, 4.7 http://mysecurity.telekom.de
2014 Version 1
18
C2 - Internal Use -- Divizia SECURITATE Romania
-
Modulul SECURITATE FIZICA
2014 Version 1
19
C2 - Internal Use -- Divizia SECURITATE Romania
A. REGULAMENTUL DE REALIZARE A ACCESULUI
IN SPATIILE ROMTELECOM/COSMOTE
B. ELIBERAREA / RETRAGEREA LEGITIMATIILOR
DE SERVICIU SI A CARDURILOR DE PROXIMITATE
ACCES
-
Modulul SECURITATE FIZICA
2014 Version 1
20
C2 - Internal Use -- Divizia SECURITATE Romania
SCOP:
Stabilirea regulilor de acces, modalitatile de aplicare, a limitelor si responsabilitatilor legate de accesul in
obiectivele companiei.
DOMENIU:
Regulamentul se aplica tuturor angajatilor, colaboratorilor si vizitatorilor, in toate spatiile proprietate /
inchiriate ale / de catre Romtelecom/Cosmote.
REFERINTE NORMATIVE:
Legea nr. 333 din 08.07.2003 privind paza obiectivelor, bunurilor, valorilor si protectia persoanelor
Politicile de Conformitate ale Romtelecom, versiunile in vigoare
Politica Generala de Securitate a Cosmote, versiunea in vigoare
Politica de Securitate Fizica a Romtelecom, versiunea in vigoare
Poiitica Biroului Protejat, versiunea in vigoare
A. REGULAMENTUL DE REALIZARE A ACCESULUI IN SPATIILE ROMTELECOM / COSMOTE
-
Modulul SECURITATE FIZICA
2014 Version 1
21
C2 - Internal Use -- Divizia SECURITATE Romania
Definitii:
Acces
Reprezinta acordarea/facilitarea dreptului de intrare autorizata in spatiile Romtelecom/Cosmote pentru angajati, colaboratori, vizitatori.
Angajati
Termenul angajati" cuprinde personalul cu norma intreaga, cu program redus, precum si persoanele care lucreaza pentru Romtelecom/Cosmote pe baza unor contracte de munca sau alte tipuri de contracte, in conformitate cu legea, detinand sau exercitand functii de executie sau conducere.
Angajatii Departamentului Securitate Romania sunt asimilati personalului de interventie in regim de prima urgenta in cazul producerii unor evenimente deosebite in oricare din obiectivele companiei.
Colaboratori
Persoane fizice sau juridice fata de care compania se afla in relatii contractuale.
Personal de conducere
Termenul personal de conducere desemneaza toate persoanele care detin pozitii
de conducere conform organigramei companiei.
Sistem de Control Acces (bazat pe carduri de proximitate)-functiuni
controleaza si permite accesul la locurile de munca;
protejeaza persoanele, proprietatea sau informatiile impotriva patrunderii
neautorizate, sustragerii sau accesarii;
furnizeaza rapoarte privind accesul - la cerere sau pentru documentari interne.
Vizitatori
Persoane fizice sau juridice care solicita accesul in spatiile proprietate /inchiriate
ale/de Romtelecom/Cosmote pentru rezolvarea unor probleme legate de
domeniul de activitate al companiei.
-
Modulul SECURITATE FIZICA
2014 Version 1
22
C2 - Internal Use -- Divizia SECURITATE Romania
Reguli:
REGULI GENERALE
Directorul General si Directorii Executivi ai Romtelecom/Cosmote au acces nelimitat (general) in toate spatiile companiei.
In timpul orelor de program, angajatii Romtelecom au acces in toate spatiile, cu exceptia celor in care managerii locurilor de munca au stabilit reguli speciale de acces (Data Room-uri, CDC-uri, NOC, HDC-uri, depozitele Romtelecom/Cosmote ,NGN-uri, repartitoare, sali de echipamente).
In afara orelor de program, accesul angajatilor este permis doar pentru rezolvarea unor probleme de serviciu, dupa aprobarea sefilor acestora si notificarea pe e-mail, fax a Departamentului Securitate Romania.
Accesul in locatiile Romtelecom/Cosmote pentru inregistrari (video, foto, audio) in scopuri comerciale sau pentru realizarea unor spoturi publicitare, este permis numai in baza aprobarii prealabile a Diviziei Comunicare Romania.
Sunt interzise accesul si parcarea autovehiculelor proprietate personala a angajatilor/colaboratorilor/vizitatorilor in incintele companiei (curti interioare, depozite, locuri de parcare pentru mijloacele auto Romtelecom si Cosmote).
Angajatii/clientii/colaboratorii Romtelecom care au asupra lor notebook si doresc sa intre/iasa in/din spatiile companiei, au obligatia de a anunta agentul de paza aflat la punctul de control acces si de a inregistra notebook-urile in formularul special din Anexa 1 a procedurii.
Angajatii/clientii/colaboratorii Romtelecom/Cosmote care au asupra lor notebook-uri raspund de securitatea acestora si a accesoriilor lor pe toata perioada cat se afla in spatiile companiei, dar si atunci cand le iau cu ei in afara acestor incinte.
REGULI SPECIFICE
Toate usile echipate cu cititoare de proximitate trebuie sa stea in permanenta inchise. In caz contrar, sistemul de control acces nu poate functiona la parametrii corespunzatori si nu poate asigura gradul de protectie pentru care este instalat.
Colaboratorilor posesori de carduri de proximitate le este interzis sa preia si sa insoteasca vizitatori in spatiile Romtelecom/Cosmote
-
Modulul SECURITATE FIZICA
2014 Version 1
23
C2 - Internal Use -- Divizia SECURITATE Romania
B. ELIBERAREA / RETRAGEREA LEGITIMATIILOR DE SERVICIU SI
A CARDURILOR DE PROXIMITATE ACCES
Scop:
Procedura defineste si asigura cadrul operational pentru eliberarea, controlul si retragerea
legitimatiilor de serviciu si a cardurilor de acces, precum si pentru acordarea/retragerea drepturilor de
acces in spatiile Romtelecom/Cosmote.
Domeniu:
Procedura se aplica in toate entitatile organizationale ale companiei, pentru toti angajatii, colaboratorii
si vizitatorii companiei.
Definitii:
Cardul de proximitate = este documentul personalizat care faciliteaza accesul angajatilor si colaboratorilor in spatiile companiei,
unde sunt instalate sisteme electronice de control acces (turnicheti, filtre control acces).
Legitimatia de serviciu = documentul personalizat, emis in scopul de a atesta statutul de angajat al Romtelecom, in baza caruia
le este permis accesul angajatilor in spatiile companiei si care le confera acestora legitimitate in raporturile cu tertii.
Reprezentant AP = Reprezentant local de resurse umane.
Descrierea procesului:
Colaboratorii/clientii/vizitatorii Romtelecom/Cosmote au dreptul de acces in spatiile companiei numai insotiti de un angajat al
companiei
Acordarea/retragerea drepturilor de acces in sistemul de control acces, la solicitarea scrisa (e-mail, fax) a managerului locului de
munca.
-
Modulul SECURITATE FIZICA
2014 Version 1
24
C2 - Internal Use -- Divizia SECURITATE Romania
Eliberarea/retragerea legitimatiilor de serviciu si a cardurilor de acces in cazul pierderii / furtului / deteriorarii
Angajatul Romtelecom/Cosmote este obligat sa anunte imediat seful direct despre pierderea / furtul / deteriorarea legitimatiei de serviciu sau a cardului de acces, precum si despre circumstantele in care s-au produs acestea.
Seful angajatului notifica in cel mai scurt timp, in scris (e-mail, fax), Reprezentantul AP si Dispeceratul de Securitate asupra circumstantelor in care s-a produs pierderea/furtul/deteriorarea legitimatiei de serviciu/card si solicita eliberarea unei alte legitimatii de serviciu/card.
Departamentul Securitate Romania da in consemn la toate punctele de control acces legitimatia pierduta/furata, numele posesorului, astfel incat sa nu poata fi utilizata sub nicio forma de catre alte persoane.
Departamentul Securitate Romania emite o alta legitimatie de serviciu si o transmite catre Reprezentatul AP care, dupa ce o avizeaza/stampileaza, o distribuie angajatului, pe baza de proces verbal de predare-primire.
Angajatul isi va ridica personal noul card de acces emis de Departamentul Securitate Romania, fiind necesar sa semneze pentru primirea acestuia.
Retragerea legitimariilor/cardurilor angajatilor la incetarea contractului individual de munca cu Romtelecom
Reprezentantul AP notifica in scris (e-mail, fax) Departamentului Securitate Romania, datele angajatului caruia urmeaza sa-i inceteze total sau temporar CIM.
La expirarea termenului de preaviz sau atunci cand situatia o impune, seful locului de munca retrage cardul de acces al angajatului in cauza si il returneaza emitentului pentru invalidarea accesului total sau temporar in spatiile companiei.
Departamentul Securitate Romania/responsabilul regional cu securitatea avizeaza nota de lichidare a angajatului, confirmand predarea cardului de acces prin inchiderea rubricii card acces din nota de lichidare. Acest lucru se realizeaza electronic, prin intermediul aplicatiei ePayslip.
In cazul in care angajatul care isi inceteaza contractul individual de munca nu preda cardul de acces la data comunicata de catre Reprezentantul AP, atunci Departamentul Securitate Romania dezactiveaza cardul si interzice accesul.
-
Modulul SECURITATE FIZICA
2014 Version 1
25
C2 - Internal Use -- Divizia SECURITATE Romania
Eliberarea legitimatiilor/cardurilor de acces pentru colaboratori
Seful Directiei / Diviziei / Departamentului care colaboreaza in diferite proiecte cu persoane din
afara companiei, notifica in scris (e-mail, fax) reprezentantilor Departament Securitate
Romania/responsabilul regional cu securitatea urmatoarele date:
numele si prenumele colaboratorului
seria si numarul unui act de identitate valid (CI, BI, pasaport)
societatea pe care o reprezinta, functia sau pozitia,
numele proiectului (unde este cazul)
perioada in care se realizeaza colaborarea si persoana desemnata (angajat Romtelecom) care raspunde de ridicarea si predarea legitimatilor/cardurilor de acces pentru colaboratori.
Angajatul companiei desemnat se prezinta la Departamentul Securitate Fizica, respectiv la responsabilul regional cu securitatea de unde va ridica, pe baza de semnatura, cardurile temporare de acces.
Angajatul companiei desemnat are obligatia ca, la incheierea perioadei colaborarii sa recupereze legitimatiile/cardurile de acces ale colaboratorilor si sa le returneze emitentului.
Eliberarea legitimatiilor/cardurilor de acces colaboratorilor in cazul pierderii/furtului/ deteriorarii
Colaboratorii Romtelecom/Cosmote, posesori de legitimatii/carduri de acces au obligatia de a anunta imediat reprezentatul Romtelecom/Cosmote cu care colaboreaza despre pierderea/furtul/deteriorarea legitimatiei/cardului de acces, precum si despre circumstantele in care s-a produs pierderea/furtul/deteriorarea legitimatiei/cardului.
Reprezentantul Romtelecom/Cosmote desemnat comunica imediat telefonic si prin e-mail Departamentului Securitate Romania/ responsabilului regional de securitate despre circumstantele in care s-a produs pierderea/furtul/deteriorarea si solicita eliberarea unei noi legitimatii/card de acces.
Retragerea legitimatiilor/cardurilor de acces la expirarea contractelor de colaborare
Angajatul Romtelecom/Cosmote desemnat, retrage legitimatiile/cardurile de acces colaboratorilor ale caror contracte de colaborare au incetat si le preda emitentului.
-
Modulul SECURITATE FIZICA
2014 Version 1
26
C2 - Internal Use -- Divizia SECURITATE Romania
Acordarea legitimatiilor temporare de acces pentru vizitatorii Romtelecom/Cosmote
Agentul de paza anunta Directia/Divizia/Departamentul/persoana unde vizitatorul doreste sa mearga.
Dupa obtinerea confirmarii, vizitatorul este inregistrat in baza unui document de identitate valid (BI, CI, Pasaport) pe care il prezinta la receptie pentru verificare/inregistrare si primeste o legitimatie temporara de vizitator.
Legitimatiile de vizitator sunt de culoare diferita de cele ale angajatilor Romtelecom/Cosmote si nu permit accesul in zonele asigurate cu filtre electronice de control acces.
Vizitatorul are obligatia sa poarte la vedere legitimatia de vizitator, pe toata durata cat se afla in spatiile companiei noastre.
Un angajat Romtelecom/Cosmote din cadrul Directiei / Diviziei / Departamentului preia vizitatorul de la receptie sau de la postul de control acces si are obligatia de a-l insoti permanent pe tot parcursul vizitei, pana cand acesta paraseste sediul companiei.
La parasirea sediului Romtelecom/Cosmote vizitatorul are obligatia sa predea legitimatia de vizitator, agentului de securitate de la punctul control acces.
-
Modul Business Continuity Management (Managementul Continuitatii Afacerii)
2014 Version 1
27
C2 - Internal Use -- Divizia SECURITATE Romania
Romtelecom implementeaza un Sistem de Management al Continuitatii Afacerii
[bazat pe standardul ISO 22301]
Implementarea unui Sistem de Management al Continuitatii Afacerii
(BCMS) reprezinta unul dintre obiectivele Romtelecom inca din 2012,
proiectul fiind coordonat de Directia Securitate Centrala, ca parte a
cadrului general de securitate al Romtelecom.
Certificarea BCMS in conformitate cu standardul international ISO 22301 este
unul din obiectivele Romtelecom, de aceea este esential ca procesul specific
de management sa fie eficient si pana la obtinerea certificarii.
O companie trebuie sa fie pregatita sa faca fata oricarui incident care
i-ar putea perturba activitatea si, in eventualitatea in care acesta ar avea
loc, sa fie capabila sa functioneze in continuare la un nivel acceptabil
pana cand activitatile sale critice sunt restabilite.
Romtelecom, ca orice alt operator telecom, poate fi afectat de incidente majore cum ar fi: cutremure, incendii, atacuri informatice etc.
In pregatirea gestionarii unui incident, managementul continuitatii afacerii este un proces care identifica impactul potential care ameninta o companie si ofera solutii eficiente care protejeaza organizatia respectiva in general, reputatia, brandul si activitatile acesteia. In plus, se refera la managementul recuperarii sau continuitatii in situatia producerii unui dezastru, precum si la managementul intregului proces prin training, repetitii, revizuiri, pentru a asigura ca planurile sunt la zi.
-
Modul Business Continuity Management (Managementul Continuitatii Afacerii)
2014 Version 1
28
C2 - Internal Use -- Divizia SECURITATE Romania
Sistemul de Management al Continuitatii Afacerii este parte a intregului proces de management al unei organizatii care stabileste, implementeaza, opereaza, monitorizeaza, revizuieste, intretine si imbunatateste continuitatea afacerii
organizatiei.
Implementarea BCM in cadrul Romtelecom se bazeaza pe ciclul de viata al
managementului continuitatii afacerii, care este un proces continuu:
Etapa 1. Intelegerea organizatiei Analiza Impactului Afacerii (BIA) si Evaluarea riscurilor
Etapa 2. Definirea strategiei BCM Aprobata la nivelul comitetului de coordonare BCM
Etapa 3. Dezvoltarea si implementarea raspunsului BCM Managementul incidentelor si planificarea continuitatii Afacerii
Etapa 4. Exersarea, mentinerea si revizuirea Auditarea testarilor specifice BCM Procesul de imbunatatire continua se bazeaza pe
documentarea eficacitatii masurilor
Etapa 5. Integrarea BCM in cultura organizationala Actiuni de constientizare si de formare a unei culturi
specifice BCM Instruire si exercitii specifice
-
Modul Business Continuity Management (Managementul Continuitatii Afacerii)
2014 Version 1
29
C2 - Internal Use -- Divizia SECURITATE Romania
Cateva exemple de incidente majore care pot afecta
continuitatea afacerilor companiei:
(vezi si https://info.romtelecom.ro//?p=910475):
Cutremure
Fenomene meteorologice extreme
Intreruperea alimentarii cu energie electrica a echipamentelor/nodurilor critice
Incendii, inundatii, alte distrugeri la nivelul cladirilor critice
Incidente care afecteaza securitatea informatiei si aplicatiile critice: infectarea masiva cu malware: troieni, virusi, viermi etc. (citeste si aici:
http://comunica.romtelecom.ro/index.php/2013/03/infectia-cu-malware-o-amenintare-de-luat-in-seama/); atacuri de tip Denial of Service DoS (citeste si aici:
http://comunica.romtelecom.ro/index.php/2013/03/cum-aparam-afacerile-romtelecom-si-ale-clientilor-sai-de-atacurile-informatice/).
-
Modul Business Continuity Management (Managementul Continuitatii Afacerii)
2014 Version 1
30
C2 - Internal Use -- Divizia SECURITATE Romania
In calitate de angajat sau colaborator Romtelecom, indepliniti un rol important in protejarea companiei si puteti contribui activ la mentinerea continuitatii afacerii.
Incidente foarte severe pot avea loc in orice moment si fara nicio avertizare prealabila.
Acestea pot afecta resursele umane, cladirile si bunurile, tehnologia (IT, retea) si orice
proces de business. Pentru toate acestea trebuie sa fim pregatiti!
Participarea la simulari, precum cele de incendiu, ce necesita evacuarea cladirii ne ajuta sa
reactionam corect in cazuri extreme. Folositi aceste simulari pentru a sti ce sa faceti si
cum sa reactionati adecvat in cazul unei situatii reale. Viata dvs. si a colegilor dvs. poate
depinde de modalitatea in care veti actiona in cazuri extreme.
Exista o Structura Operationala cu roluri specifice in functie de tipul de
incident. Pentru echipele operationale se organizeaza training si simulari
specifice.
Un incident trebuie raportat in cel mai scurt timp posibil sefului ierarhic superior care
il va transmite catre Departamentul Securitatea Informatiei, Departamentul Securitate
Fizica sau catre Service Desk, dupa caz. Raportarea rapida este foarte importanta!
Raportati incidentul de securitatea informatiei Departamentului Protectia Informatiei pentru
Afacere Romania: [email protected].
-
Modul Business Continuity Management (Managementul Continuitatii Afacerii)
2014 Version 1
31
C2 - Internal Use -- Divizia SECURITATE Romania
Integrarea BCMS in cultura organizationala a Romtelecom
Abilitatea companiei de a-si reveni dupa o intrerupere a activitatii este foarte importanta.
De aceea este benefic pentru companie ca un numar cat mai mare dintre angajati sa inteleaga
importanta unui sistem BCM si sa aplice principiile acestuia atunci cand este cazul.
In acest scop au fost si vor fi organizate activitati si evenimente interne precum:
Saptamana dedicata Continuitatii Afacerii in Romtelecom
Sesiuni de training pentru rolurile dedicate din structura de management a incidentelor
Traininguri pentru raportarea eficienta a incidentelor.
Tipuri de incidente care pot sa apara si sa ameninte orice afacere:
o Incidente care ameninta siguranta oamenilor si care necesita un raspuns imediat
o Dezastre naturale majore sau conditii meteorologice severe precum cutremure, furtuni de zapada,
inundatii etc.
o Incidente tehnologice care afecteaza disponibilitatea sistemelor IT si/sau de comunicatii
o Incidente care afecteaza strategia sau reputatia unei companii
o Incidente care afecteaza principalele procese si operatiuni ale companiei.
Prin astfel de programe de constientizare a angajatilor ne dorim sa formam capacitate de raspuns eficienta la orice incident, protejand in acelasi timp siguranta afacerilor si reputatia companiei.
-
Modul Business Continuity Management (Managementul Continuitatii Afacerii)
2014 Version 1
32
C2 - Internal Use -- Divizia SECURITATE Romania
Integrarea BCMS in cultura organizationala a Romtelecom
Nu supravietuiesc speciile cele mai puternice, nici cele mai inteligente,
ci cele care raspund cel mai bine la schimbare. (Charles Darwin)
Valorile impartasite legate de importanta BCM, implicarea responsabila a angajatilor
si o cultura organizationala solida confera unei companii un avantaj competitiv.
Integrarea BCM in cultura organizationala a Romtelecom presupune ca BCM sa fie parte integranta a acestei culturi prin
alinierea programului BCM cu valorile companiei, obiectivele strategice si de a-l face o parte inerenta,
asumata si integrata a oricarui proces sau activitate de business din cadrul companiei. Succesul procesului
de integrare a BCM va contribui la o mai mare performanta a companiei.
Scopul acestei sectiuni este de a motiva si responsabiliza angajatii pentru a contribui la eficienta
programului BCM in cadrul Romtelecom.
-
2014 Version 1
Internal Use -- Business Information Protection Romania Department
33
Va rugam sa parcurgeti si materialale disponibile pe http://mysecurity.telekom.de selectand: limba romana sau engleza, tara: Romania si compania: Romtelecom sau Cosmote si sa cititi materialele din sectiunile:
My Equipment (2.3 2.4, 2.6, 2.8, 2.9, 2.11) My Workstation (3.1 3.4) My Home & Traveling (4.1 4.8) My Customers & Partners (6.1 6.5)
Pentru a putea raspunde tuturor intrebarilor din test, este nevoie sa parcurgeti politicile de securitatea informatiei.
Securitatea Informatiei este un lant de controale...
. cea mai importanta veriga a lantului esti chiar TU !
-
Multumim pentru parcurgerea materialului de training!
Succes la Test!