+4 021-315.32.95RO / EN
30% DISCOUNT pentru toate cursurile organizate în iulie şi august
Înscrie-te acum!

Securitatea informațională - Un element cheie pentru succesul organizațiilor

Securitatea Informatica

Securitatea informațională reprezintă un element strategic în cadrul unei organizații. Aceasta prevede măsuri de siguranță pentru protecția datelor procesate, precum și respectarea legislației naționale și internaționale. Având în vedere aceste aspecte, ne-am propus să explicăm prin intermediul câtorva întrebări adresate unui auditor cu o bogată experiență în implementarea unui sistem de management al securității informațiilor - Dl. Rareș Macarov, importanța standardului ISO 27001:2013.

1. Am dori să ne explicaţi pe scurt ce reprezintă standardul ISO 27001.

Standardul conţine cerinţe referitoare la stabilirea, implementarea, menţinerea şi îmbunătăţirea continuă a unui sistem de management al securităţii informaţiilor în cadrul contextului organizaţional intern şi extern care implică identificarea, analiza, evaluarea şi tratarea riscurilor ce pot afecta una din atributele informaţiei: Confidenţialitate, Integritate, Disponibilitate şi Nerepudiere.

Standardul prevede asigurarea securităţii informaţiilor printr-un management adecvat al riscurilor prin identificarea şi controlul activelor, a vulnerabilităţilor lor şi a ameninţărilor asociate care pot genera riscuri, evaluarea şi minimizarea acestor riscuri printr-un control riguros.

Standardul ISO 27001, împreună cu celelalte standarde din familia să (ISO 27000-27005), reprezintă instrumentul care oferă unei organizaţii mijloace şi metode de diminuare a riscurilor de management la adresa informaţiilor sale prin stabilirea unei "bune practici" ce constă în implementarea unui sistem de management al securităţii informaţiilor. Prin măsurile şi controalele conţinute în Anexa sa, standardul oferă garanţia unui sistem de securitate adecvat documentat, implementat şi menţinut la toate nivelurile, având în vedere o serie de aspecte cum ar fi: securitatea fizică, securitatea personalului, securitatea operaţională, manipularea, procesarea şi transmiterea informaţiilor (pe orice suport sau mijloc), planificarea, modificarea, acceptanţa, reutilizarea şi scoaterea din funcţiune a sistemelor informaţionale, protecţia anti-virus, anti-interceptare, anti-intruziune etc. Un accent deosebit este pus pe instruirea şi conştientizarea personalului în ceea ce priveşte securitatea informaţiilor, pe riscurile ce pot fi produse, pe impactul acestora asupra proceselor, activelor şi informaţiilor organizaţiei.

ISO 27001 solicită organizaţiilor să aibă politici şi proceduri pentru managementul incidentelor/evenimentelor de securitate informaţională, un factor important fiind procesul de învăţare din incidente. Incidentele critice/majore ce pot afecta continuitatea proceselor trebuie tratate adecvat pentru a demonstra capabilitatea organizaţiei de a supravieţui în urmă unui incident catastrofic. Sunt cerute măsuri redundante în ceea ce priveşte activele critice/vitale ale organizaţiei.

Standardul oferă premisele stabilirii, implementării, menţinerii şi îmbunătăţirii unui sistem de management al securităţii informaţiilor certificabil, ceea ce conferă managementului de vârf garanţia unui proces-mecanism autoreglabil de securitate, toate acestea ducând la un flux informaţional sporit ce se reflectă în mecanisme decizionale rapide şi, implicit, în creşterea vitezei de procesare a mai multor informaţii în siguranţă, atrăgând după sine mărirea oportunităţilor de afaceri.

2. Cine poate fi certificat după standardul ISO 27001 şi în ce condiţii?

Orice organizaţie, de orice dimensiune şi din oricare domeniu de activitate, indiferent dacă este entitate publică sau privată. Cerinţele standardului sunt obligatorii pentru certificare, cu excepţia celor cuprinse în Anexă şi care pot fi excluse în mod justificat. Excluderile trebuie corect justificate printr-o declaraţie de aplicabilitate explicită.

Certificarea implică faptul că organizaţia are elaborate, implementate şi menţinute politici şi proceduri cerute de standard şi că poate face dovada funcţionării sistemului de management al securităţii informaţiilor în mod eficace şi eficient şi în condiţiile controlate stabilite prin documentaţia proprie. Organizaţia trebuie să facă dovadă revizuirii independente a sistemului implementat (conformitatea cu cerinţele legale, vulnerabilităţi tehnice, teste de penetrare etc.)

3. Care este procesul propriu-zis al certificării standardului ISO 27001?

Procesul certificării în conformitate cu cerinţele ISO 27001 implică parcurgerea următoarelor etape:

  • Contractarea activităţilor de certificare
  • Transmiterea documentaţiei sistemului echipei de audit
  • Analiza documentaţiei de către echipa de audit a organismului de certificare
  • Stabilirea şi implementarea acţiunilor corective adresate documentaţiei (dacă este cazul)
  • Realizarea vizitei preliminare a auditorului şef al echipei de audit
  • Stabilirea şi implementarea acţiunilor corective identificate la vizită preliminară (dacă este cazul)
  • Realizarea auditului propriu-zis de către echipa de audit
  • Stabilirea şi implementarea acţiunilor corective identificate de către echipa de audit (dacă este cazul)

4. Care sunt avantajele implementării acestui standard în cadrul unei companii/organizaţii?

Un prim avantaj important derivă din faptul că soluţiile tehnice nu pot conferi singure securitate 100%. Mai devreme sau mai târziu, acestea vor fi depăşite şi/sau penetrate de diverse ameninţări. Unul din scopurile unui sistem de management al securităţii informaţiilor este acela de a stabili mecanisme de detectare şi prevenire a riscurilor informaţionale, ţinând cont de faptul că prevenirea implică resurse mai puţine decât corecţia.

Dintre principalele avantaje ale implementării ISO 27001 amintim:

  • Elaborarea bugetelor IT în corelaţie cu necesităţile
  • Identificarea vulnerabilităţilor sistemelor informaţionale
  • Reducerea timpilor de răspuns la incidente/evenimente de securitate
  • Alocarea eficientă şi prioritizata a resurselor
  • Reducerea riscurilor
  • Reducerea costurilor de asistenţă
  • Creşterea disponibilităţii informaţiilor manageriale privind performanţă
  • Creşterea performanţei că rezultat al îmbunătăţirii utilizării resurselor
  • Creşterea încrederii partenerilor
  • Minimizarea efortului de revenire în urmă unui incident major de securitate

5. La ce riscuri se supun organizaţiile care nu sunt certificate conform standardului ISO 27001? 

În general, există o multitudine de riscuri care pot afecta o organizaţie. De cele mai multe ori, securitatea informaţiilor este privită că fiind suficientă şi constrictivă până în momentul în care se constată că nu a fost suficientă (mult prea târziu).

Riscurile la care este expusă astăzi o organizaţie, în contextul utilizării pe scară largă a echipamentelor IT şi a celor de comunicaţii şi birotică, sunt de diferite categorii (raportat la natură, forma de manifestare, impactul potenţial, mecanisme de propagare etc.). În mod curent, aproape zilnic o organizaţie trece “la un pas” de a se produce un incident sau eveniment de securitate, de la cele aparent banale (pierderea legitimaţiei/cardului de acces de către un angajat, uitarea unei parole de acces, utilizarea unui echipament mobil în locuri sau reţele publice fără măsuri specifice de securitate, configurarea eronată accidentală a unui echipament, pierderea unor documente etc.) până la cele cu impact major (virusarea echipamentelor din reţea, pierderea de date importante, blocarea unor aplicaţii critice, indisponibilitatea sistemelor vitale etc.).

Statistic, 80% din incidente sunt generate de 20% din personal. Veriga slabă în lanţul securităţii informaţiilor este reprezentată de propriul personal (angajat sau colaborator) pentru că majoritatea incidentelor se produc cu sprijin sau sunt generate din interior. Principala cauza de producere a riscurilor informaţionale o reprezintă factorul uman prin neglijenţă, eroare umană, incompetenţă, slabă calificare, indisponibilitate, motivare insuficientă, instruire ineficientă sau insuficientă, răzbunare, sabotaj, spionaj economic etc.

Cel mai greu de estimat şi de recuperat risc este cel de pierdere a imaginii organizaţiei, de pierdere a încrederii partenerilor. 

Riscurile la care se supune o organizaţie au cauze diferite, cum ar fi: umane (eroare, neglijenţă, furt, hacking, cracking, distribuire de cod maliţios etc.), legate de costuri (minimizarea programelor de testare, lipsa sau insuficienta calificare a sistemelor, procese neadecvate etc.), de echipamente (caracteristici sau defecte legate de hardware sau software), de mediu (dezastre naturale, accidente, incendii etc).

Urmările producerii riscurilor informaţionale sunt de cele mai multe ori greu de suportat şi ele pot duce la distrugerea sau modificarea datelor, penetrarea sistemelor şi preluarea controlului asupra lor, furtul de date şi informaţii (spargerea parolelor, interceptarea traficului etc.), afectarea funcţiilor sistemului sau chiar indisponibilizarea acestuia, penetrarea web site cu scopul de a include dezinformări, de a discredita proprietarul etc.

Între 85%-95% din riscurile informaţionale rămân nedetectate sau sunt detectate mult prea târziu.

6. De ce organizațiile sau companiile ar alege TÜV Austria Romania pentru certificarea standardului ISO 27001?

Aș adresa o altă întrebare, dacă imi permiteți: Care sunt criteriile după care o companie ar alege un furnizor de servicii? În primul rând pentru calitate, siguranță, transparență, implicare, empatie, dedicare, dar si un preț competitiv. Toate aceste trăsături sunt intâlnite în cadrul companiei TÜV Austria România, si mai mult, avem o echipă de inaltă calitate, care este mereu aproape de partener.

De ce ați alege TÜV Austria România?

Pentru că este o companie internațională care îmi oferă încredere, pentru că are raspuns la orice întrebare și este alături de tine. Pentru că TÜV Austria România este ceea ce și-ar dori fiecare și mă mândresc că fac parte din această echipă.


Date de Identificare Fiscală© TÜV AUSTRIA ROMÂNIA 2017. Photo Credits: © Fotolia LLC, Shutterstock®, pixelio media gmbh