CAMPANIE DE CONȘTIENTIZARE – Campania de conștientizare este derulată în cadrul proiectului „Angajați performanți, întreprinderi competitive!” (POCU/860/3/12/142460) – Introducere în securitatea sistemelor informatice-elemente de bază –Organizarea securităţii sistemelor informatice – aspecte de bază

ASOCIAȚIA SMART ALLIANCE implementează pe parcursul anului 2023 un amplu proiect prin care oferă gratuit companiilor din regiunile Centru, Nord-Est, Sud – Muntenia, Sud-Est, Sud-Vest Oltenia un pachet de 7 cursuri online destinate creșterii nivelului de competente digitale ale angajaților. Grupul țintă îl constituie societățile din județele Alba, Brașov, Mureș (municipiul Târgu-Mureș), Sibiu, Bacău, Iași, Neamț, Argeș, Călărași, Dâmbovița, Ialomița, Prahova, Buzău, Constanța, Vrancea, Gorj, Olt și Vâlcea.

Scopul proiectului este îmbunătățirea nivelului de cunoștințe, competențe și aptitudini aferente sectoarelor economice și domeniilor identificate conform SNC și SNCDI ale angajaților, prin realizarea analizei potențialului de digitalizare și formare pentru 50 întreprinderi și derularea programelor de formare profesională a competențelor digitale pentru 500 de angajați.

Printre cursurile programate în cadrul proiectului se numără și cel de Introducere în securitatea sistemelor informatice, elemente de bază.  Unul dintre aspectele asupra cărora se concentrează securitatea sistemelor informatice este organizarea securităţii sistemelor informatice. Lăsăm mai jos câteva aspecte relevante în acest sens:

Organizarea securităţii are în vedere ”asigurarea unei administrări unitare în cadrul organizaţiei. Fiecare utilizator al sistemului informaţional este responsabil cu asigurarea securităţii datelor pe care le manipulează”. Astfel,  existenţa structurilor organizatorice unitare care iniţiază şi controlează implementarea sistemelor de securitate în cadrul unei companii, va trebui să ăună accent pe coordonare și eficientizarea securității, în sine.

Atribuţiile angajaților care ocupă poziţii de responsabili cu securitatea informaţiilor au în vedere:

• coordonarea şi urmărirea respectării procedurilor şi politicilor de securitate.
• organizarea securităţii interne,
• analiza riscurilor induse de terţi sau subcontractori care au acces la sistemul informaţional.
• menţinerea securităţii tuturor facilităţilor IT şi activelor informaţionale accesate de către terţe persoane,
• clasificarea şi controlul activelor m
• impunerea unor măsuri de protecţie proiectate în funcţie de gradul de senzitivitate, şi de semnificaţia economică a resurselor vizate.
• selectarea perimetrelor în care vor fi amplasate echipamentele de procesare, și protejarea acestora cu bariere de acces suplimentare.
• criptarea telecomunicaţiilor cu un nivel ridicat de confidenţialitate
• clasificarea informațiilor, în funcție de gradul de importanță și de securitate, pe care aceasta îl impune,
• alocarea resurselor necesare protejării informațiilor, dar și pentru a determina pierderile potenţiale care pot să apară ca urmare a modificărilor, pierderii/distrugerii sau divulgării acestora,
• crearea premizelor necesare asigurării protecţiei corespunzătoare valorii activelor instituţiei,
• identificarea angajaților cu rol de proprietar, privind activele specifice companiei,
• asigurarea măsurilor ce țin de securitatea personalului,
• asigurarea măsurilor ce țin de informarea angajaților cu privire la securitatea informațională în cadrul companiei.

În domeniul securității informaționale se încadrează și securitatea personalului. În practica organizațională s-a constatat faptul că, cele mai multe incidente de securitate au fost generate de personalul angajat în cadrul organizaţiei, chiar ”prin acţiuni rău intenţionate sau chiar erori sau neglijenţă în utilizarea resurselor informaţionale”. Astfel, Standardul ISO/IEC 17799 are în vedere și analiza rolurilor  riscurile de natură umană ce pot fi incluse din interiorul companiei. Acest aspect presupune aplicarea unor măsuri concrete privind delegarea unor responsabilități cu privire la securitatea informaţiilor, dar și  descrierea şi delegarea corectă a sarcinilor de serviciu ale postului.

Securitatea personalului are în vedere și implementarea unor politici de verificare a angajaţilor, încheierea unor acorduri de confidenţialitate cu aceștia, încheierea unor clauze specifice atașate contractelor de muncă.

Securitatea informaţiilor și securitatea personalului sunt domenii specifice companiilor care trebuie concretizate chiar odată cu etapa de angajare a personalului. Etapa următoare care se are în vedere este cea de monitorizare pe întreaga perioadă de valabilitate a contractului de muncă şi de evaluare a modului de aplicare a prevederilor ce țin de politicile de securitate.

Securitatea personalului impune și următoarele etape:

• definirea conflictelor de interese,
• stabilirea modului și situațiilor în care se poate face distribuirea şi divulgarea informaţiilor
• implementarea unui sistem de monitorizare care să aibă în vedere evitarea situațiilor de neglijenţă sau a greşelilor de operare,
• luarea la cunoștință a informațiilor care pot fi supuse sau nu manipulării,
• oferirea de cunoştinţe necesare asigurării securităţii angajaților, în timpul programului normal de lucru.
• instruirea utilizatorilor cu privire la procedurile de securitate,
• utilizarea facilităţilor IT conform politicii interne specifice companiei,
• stabilirea unui program coerent de instruire a angajaţilor în funcție de niveluri de interes, dar și de domeniile profesionale de lucru,
• instruirea generală a angajaților în domeniul gestiunii securităţii,
• transmiterea informațiilor privind securitatea reţelei tuturor angajaților companiei, nu doar celor din domeniul IT.
• crearea unei ablități specifice de reacție, în cadrul angajaților, în situația apariţiei unor incidente de securitate informațională, și nu numai.
• determinarea performanței sistemelor de securitate şi îmbunătăţirea continuă, astfel încât să asigure îndePlinirea standardelor din domeniul securității, la un nivel ridicat și eficient.

Printre sistemele care pot asigura securitatea informațională vizate pot fi:

• Sistem pentru Detectarea Intruziunilor (IDS – Intrusion Detection System), dispozitiv (hardware sau software) dedicat inspectării traficului unei reţele cu scopul identificării automate a activităţilor ilicite;
• Sisteme pentru criptare comunicaţii – intermediul căruia datele sunt aduse într-o formă neinteligibilă persoanelor neautorizate;
• Implementarea unei Reţele Virtuale Private (VPN – Virtual Private Network) –aceasta, fiind o rețea privată permite asigurarea unei conexiuni securizate, criptată la una dintre rețelele din cadrul companiei sau a celei care este utilizată, prin intermediul internet. Astfel, VPN ar permite extinderea rețelei private chiar în cadrul unei rețele publice, permițând, astfel, utilizatorilor să trimită și să primească seturi de date confidențiale, de la aceeași rețea privată, chiar dacă, fizic, acestea nu se află în cadrul aceleiași rețele..
• Asigurarea unei zone demilitarizată (DMZ) ca parte a reţelei care permite accesul controlat din reţeaua Internet.

Standardul ISO/IEC 17799 este cel care trebuie respectat în domeniul securității informaționale și care reprezintă și măsurile necesare în cazul controalelor pentru gestiunea corespunzătoare a securităţii comunicaţiilor. Însă, în acest domeniu trebuie avute în vedere dezvoltarea procedurilor care să permită efectuarea controlului și accesul la mediile de stocare şi la documentaţia sistemului.

Obiectivele de control ale acestui standard sunt menite să asigure efectuarea și implementarea noilor sisteme de securitate informațională, prin acțiuni care să permită:

• dezvoltarea cerinţelor şi analiza specificaţiilor de securitate;
• validarea datelor de intrare;
• controlul procesării interne;
• autentificarea mesajelor transmise electronic;
• validarea datelor de ieşire;
• utilizarea tehnicilor de criptare;
• utilizarea mecanismelor de semnare electronică;
• protejarea codului aplicaţiilor şi a fişierelor sistemului de operare;
• asigurarea securităţii mediilor de dezvoltare şi a serviciilor suport;
• separarea mediului de testare de mediul de producţie, pentru asigurarea protecției corespunzătoare și eficiente.

Pentru înscrieri puteți accesa formularul de AICI.

Photo credit shutterstock.com