In ziua de azi, a fi informat reprezinta o carcteristica a celor care
ies invingatori in orice domeniu. Informatiile sunt cumparate pe bani grei si e normal ca ele sa fie pazite cu strasnicie.
Poate credeti ca cele de mai sus sunt valabile numai pentru marile corporatii intre care se duc lupte acerbe pentru cota de piata si notorietate. Insa, si in cazul intreprinderilor mici si mijlocii, informatia, sub diversele ei forme, constituie una dintre cele mai importante resurse. Si, de aceea, securitatea informatiei este decisiva pentru distantarea de concurenta, pentru asigurarea rentabilitatii si, nu in ultimul rand, pentru construirea unei imagini publice favorabile.
Daca organizatiile mari beneficiaza de resurse financiare pentru angajarea unor specialisti in securitatea informatiei, nu acelasi lucru se poate spune despre IMM-uri. In cel mai bun caz, acestea din urma dispun de un departament IT cu un numar redus de angajati care abia se descurca cu intretinerea aplicatiilor informatice folosite in activitatea zilnica a firmei.
Plecand de la aceste premise, initiativa MCTI de a adopta la nivel national standarde europene si internationale cu privire la politicile de securitate IT este mai mult decat binevenita. Printre aceste standarde se numara si ISO/IEC 17799 – “Tehnologia Informatiei – Cod de buna practica pentru managementul securitatii informatiei” a carui versiune in limba romana poate fi gasita pe site-ul Organismului national de standardizare din Romania (ASRO).
Cu toate ca nu are regim de lege pentru organizatii, implementarea sa fiind optionala, el ar trebui luat in considerare de catre toate organizatiile romanesti, dar mai ales de catre IMM-uri, in perspectiva apropiatei integrari in Uniunea Europeana.
Acest standard reprezinta un ghid pentru implementarea unui set de masuri, care pot fi politici, practici, proceduri, structuri organizationale si functii software, in vederea consolidarii securitatii informatiei gestionate de catre o organizatie, subliniindu-se importanta evaluarii riscurilor in implementarea masurilor adecvate fiecarei organizatii.
Datand din 2002, el a fost revizuit in 2005 si cuprinde mai multe sectiuni care trateaza diverse aspecte legate de securitatea informatiei dupa cum urmeaza:
Managementul continuitatii afacerii sau, mai exact, modalitati de a contracara intreruperile activitatii si a proceselor critice pentru afacere datorate dezastrelor naturale sau unor esecuri majore ale sistemului informatic.
Politici de securitate – in cadrul acestei sectiuni sunt prezentate diverse directive prin aplicarea carora sa se asigure un management eficient al securitatii informatiei.
Securitatea organizatiei, prin care se arata cum ar trebui asigurata securitatea informatiilor intr-o companie, cum ar trebui mentinuta securitatea informatiilor la care au acces terte parti si, nu in ultimul rand, cum sa pastrezi securitatea in cazul unui outsourcing al activitatii de procesare a informatiilor.
Managementul informatiilor de pret ofera sfaturi cu privire la mentinerea unei protectii corespunzatoare pentru cele mai valoroase informatii dintr-o organizatie si cu privire la determinarea nivelului adecvat de protectie pentru astfel de informatii.
Securitatea resurselor umane, sectiune in care se vorbeste despre cum ar trebui evitate erorile umane, fraudele si furturile de informatii. Citind acest capitol veti afla cum sa va asigurati ca angajatii dvs sunt constienti de tot ceea ce reprezinta o amenintare pentru securitatea informatiilor si ca sustin mentinerea securitatii informatiilor in timpul programului. In plus, ei ar trebui sa fie instruiti cu privire la metodele de a minimiza consecintele incidentelor de securitate si ar trebui sa fie capabili sa invete din aceste incidente.
Dezvoltarea si intretinerea sistemului isi propune sa arate cum trebuie incorporata securitatea in sistemele de operare, cum trebuie prevenite pierderea si modificarea datelor in aplicatiile folosite de sistem, cum trebuie asigurate confidentialitatea, autenticitatea si integritatea informatiilor si nu in ultimul rand cum ar trebui IT-ul sa asigure derularea activitatilor intr-o maniera sigura.
Controlul accesului la sistem atinge probleme ca prevenirea accesului neautorizat la sistemul informatic, controlul accesului la informatii, asigurarea protectiei serviciilor in retea, accesul neautorizat la calculatoare, detectarea activitatilor neautorizate si asigurarea securitatii informatiilor in cazul fortei de munca mobile si a celei care lucreaza de acasa.
Securitatea fizica si cea a mediului ofera indrumari pentru prevenirea accesului neautorizat si deteriorarii informatiilor organizatiei.
Conformitatea cu standardele si legislatia in vigoare are ca principale obiective evitarea incalcarii legilor si obligatiilor stipulate de stat, asigurarea conformitatii sistemului informatic cu politicile si standardele interne ale organizatiei si nu in ultimul rand, maximizare eficientei.
Managementul calculatoarelor si al retelei abordeaza teme ca minimizarea riscului de cadere a sistemului, protejarea integritatii aplicatiilor software si a informatiilor, mentinerea integritatii si disponibilitatii comunicarii si procesarii informatiilor si nu numai.
Aceasta varianta revizuita a standardului integreaza ultimele realizari in domeniu, astfel incat ea sa constituie un cod international de practica. Ted Humpreys, cel care a redactat acest document, explica: “versiunea revizuita a standardului furnizeaza intreprinderilor numeroase adaugiri si imbunatatiri care reflecta stadiul tehnicii in ceea ce priveste cele mai bune practici de securitate a informatiei. De exemplu, un management mai bun al contractelor de securitate cu intreprinderile externe si furnizorii de servicii, capacitatea de tratare superioara a indicatorilor, tratarea problemelor referitoare la gestiunea fiselor, dispozitivele mobile, imbunatatirea celor mai bune practici de management al resurselor umane si numeroase alte caracteristici”.
Trebuie precizat faptul ca standardul ISO/CEI 17799:2005 nu este un standard de certificare si nici nu a fost vreodata gandit ca atare. Insa, el este completat de o specificatie tehnica, ISO/TS 27001, Tehnologia informatiei – Tehnici de securitate – Sisteme de management al securitatii informatiei – Cerinte, care poate fi utilizata in scopuri de certificare. Aceasta se refera la securitatea informatiei in cel mai larg sens, stabilind linii directoare si principii generale de implementare, actualizare si management al securitatii informatiei.
Revenind la standardul ISO/IEC 17799, acesta identificand controalele care constituie punctul de plecare pentru securitatea informatiei, poate servi ca instrument de baza pentru orice intreprindere, indiferent ca este vorba despre o organizatie multinationala sau despre un IMM, indiferent ca activeaza in sectorul public sau cel privat.
Aceasta afirmatie e sustinuta si de declaratia lui Ted Humphrey care considera ca: “organizatiile care utilizeaza standardul pot sa demonstreze partenerilor economici, clientilor si furnizorilor ca sunt solide si ca prezinta suficienta incredere pentru a putea intra in afaceri si a face astfel incat investitia consimtita pentru securizarea informatiei sa deschida posibilitati de afaceri intreprinderii. In concluzie, standardul ISO/CEI 17799 este cel mai important pana la ora actuala in domeniul securitatii informatiei. El stabileste un limbaj international comun pentru securitatea informatiei, astfel incat toate intreprinderile din lume se pot angaja in domeniul afacerii”.
Avand in vedere toate cele de mai sus, ar fi pacat ca IMM-urile sa nu ia in calcul acest standard care promite multe. Mai ales daca ne gandim ca peste mai putin de un an, odata cu integrarea in Uniunea Europeana, oportunitatile de afaceri se vor diversifica, iar intretinerea unor relatiile comerciale cu companiile straine va fi mult mai facila. Diferenta o va face seriozitatea si credibilitatea pe care organizatiile le au, iar securitatea informatiilor este critica in acest sens.