CAMPANIE DE CONȘTIENTIZARE – Campania de conștientizare este derulată în cadrul proiectului „Angajați performanți, întreprinderi competitive!” (POCU/860/3/12/142460) – Introducere în securitatea sistemelor informatice-elemente de bază – care sunt coordonatele unui astfel de curs?

CAMPANIE DE CONȘTIENTIZARE – Campania de conștientizare este derulată în cadrul proiectului „Angajați performanți, întreprinderi competitive!” (POCU/860/3/12/142460) – Introducere în securitatea sistemelor informatice-elemente de bază – care sunt coordonatele unui astfel de curs?

ASOCIAȚIA SMART ALLIANCE implementează pe parcursul anului 2023 un amplu proiect prin care oferă gratuit companiilor din regiunile Centru, Nord-Est, Sud – Muntenia, Sud-Est, Sud-Vest Oltenia un pachet de 7 cursuri online destinate creșterii nivelului de competente digitale ale angajaților. Grupul țintă îl constituie societățile din județele Alba, Brașov, Mureș (municipiul Târgu-Mureș), Sibiu, Bacău, Iași, Neamț, Argeș, Călărași, Dâmbovița, Ialomița, Prahova, Buzău, Constanța, Vrancea, Gorj, Olt și Vâlcea.

Scopul proiectului este îmbunătățirea nivelului de cunoștințe, competențe și aptitudini aferente sectoarelor economice și domeniilor identificate conform SNC și SNCDI ale angajaților, prin realizarea analizei potențialului de digitalizare și formare pentru 50 întreprinderi și derularea programelor de formare profesională a competențelor digitale pentru 500 de angajați.

Printre cursurile programate în cadrul proiectului se numără și cel de Introducere în securitatea sistemelor informatice, elemente de bază.  Ce puteți afla dintr-un astel de curs?  Lăsăm mai jos câteva principii de bază:

Securitatea informațiilor are ca scop asigurarea și protejarea drepturilor care derivă, în special, din cadrul proprietății intelectuale. În cadrul serviciilor de securitate a informațiilor se pune accent pe: securitatea informațiilor cu referire la angajați; cu referire la activitățile companiei; dar și informații ce țin de parteneri și de clienții companiei.

Securitatea informațiilor urmărește, în același timp și creșterea încrederii partenerilor în cadrul companiei și respectarea cerințelor legale de maximizarea investițiilor ale acesteia. Obiectivul principal urmărit în cadrul securității informației este cel de a proteja informația, conform ISO/IEC17799, prin intermediul a trei elemente:

  • Confidenţialitatea – ține de faptul cp informaţiile sunt accesibile doar persoanelor autorizate;
  • Integritatea – are în vedere asiguarea acurateţei şi a completitudinii metodelor prin care se realizează prelucrarea informaţiilor;
  • Disponibilitatea – face referire la faptul că doar utilizatorii autorizaţi au acces la informaţii şi la activele asociate în momente oportune.

Pentru realizarea unui program de securitate eficient se pune accent pe politicile interne, pe proceduri și practici concrete și specifice, dar și pe un design și arhitectură a securității foarte specifice. Din acest punct de vedere este nevoie, să se apeleze la sisteme informaționale avansate, în domeniul securității informației. Sistemul de securitate a informației trebuie să asigure și conectarea și inter-conectarea cu anumite rețele publice, dar și partajarea informațiilor, atunci când situația impune acest lucru. De aceea, se recomandă ca sistemele informatice să asigure un grad de eficiență foarte mare, atât pentru companie, cât și pentru angajații care au ca responsabilitate gestionarea acestora.

Un sistem de securitate a informației are nevoie de o metodologie foarte structurată pentru a putea fi implementat în cadrul companiei respective. De asemenea, acestea trebuie să aibă un grad de accesibilitate mai mare, atât pentru angajații companiei, cât și pentru conducerea acesteia și pentru ceilalți parteneri publici. În acest caz, se recomandă un sistem de securitate a informației proactiv.

Pentru companiile care au nevoie de astfel de sisteme există două soluții:

  • apelarea la soluţii tehnice externe care să le rezolve problemele de securitate fără a căuta să-şi identifice nevoile şi cerinţele specifice.
  • Identificarea controalelor interne care să asigure un grad corespunzător de securitate activelor informaţionale ale companiei, pe baza planificării riguroase, în urma identificării exacte a obiectivelor respectivei instituţii.

Însă, oricare ar fi soluțiile alese de către companii, controalele ce țin de securitatea informațiilor trebuie să vizeze toți angajații, nu doar o parte din ei, sau doar angajații din anumite departamente/domenii.

Securitatea informațională, face parte din categoria tehnică, dar și managerială, a unei companii. Standardul de securitate ISO/IEC 17799 este cel care răspunde nevoilor companiilor de orice tip, publice sau private, printr-o serie de practici de gestiune a securităţii informaţiilor. Acest standard este utilizat în funcție de dimensiunile companiei și de obiectivele acesteia. De asemenea, cultura organizațională este un alt element care influențează modul de aplicare a securității informației, programele utilizate pentru aplicarea acesteia, cât și modul de rigiditate și eficiență al instrumentelor ce țin de acest domeniu.

Sistemele de securitate informaționale au un grad de expunere care diferă în funcție de domeniul de activitate al unei companii, dar și de structura acesteia. Astfel, cu cât riscurile externe, dar și interne, sunt mai mari în cadrul unei companii, cu atât, eficiența programelor care au în vedere asigurarea securității informației trebuie să fie mai mare.

Spre exemplu, snstituţiile financiare, industria apărării, aerospaţială, industria tehnologiei informaţiei, industria electronică sunt sectoarele cu cel mai mare grad de risc în ceea ce priveşte securitatea informaţiilor. La fel şi instituţiile guvernamentale. Din acest motiv adoptarea unei culturi organizaţionale pe baza standardului ISO/IEC 17799 are un rol fundamental.

Cerinţele preliminarii implementării programelor privind securitatea informațiilor sunt:

  • realizarea analizei riscurilor;
  • aplicarea și respectarea legislaţiei existente;
  • aplicarea și implementarea eficientă a standardelor şi procedurilor interne.

Analiza riscurilor companiei presupune existența unei emtodologii concrete în acest sens,  dar permite și identificarea propriilor cerinţe legate de securitate. Această analiză impune existența a patru factori principali:

  • identificare activelor care trebuie protejate;
  • identificarea riscurilor/ameninţărilor specifice fiecărui activ;
  • ierarhizarea riscurilor;
  • identificarea controalelor prin care vor fi eliminate/diminuate riscurile
  • analiza aspectelor financiare. Din acest punct de vedere, este important ca cheltuielile financiare privind programele de securitate să nu depășească valoarea bunurilor sau informațiilor protejate.

Stabilirea cerinţelor de securitate, stabilirea măsurilor necesare pentru a asigura un nivel optim și dorit de control, este și un element cu un grad crescut de subiectivitate, fiind mai dificil de cuantificat, din punct de vedere financiar.

Cu toate acestea, un program de securitatea informației, în cadrul companiei, trebuie să îndeplinească următoarele criterii, cu privire la relațiile companiei cu partenerii sau clienții:

  • să nu altereze imaginea organizaţiei pe piaţă, credibilitatea în faţa clienţilor sau efectele indirecte ale unui incident de securitate major,
  • să permită adoptarea unor standarde şi practici general acceptate, susţinute de evaluări periodice independente
  • să fie un sistem dinamic, implementat continuu în cadrul companiei,
  • să poată avea în vedere obiectivele organizaţiei, pe termen lung, pentru a fi reflectate corespunzător în planul de securitate.
  • să aibă în vedere modificările legislative apărute în domeniu,
  • să permită evaluarea riscurilor pentru a vedea dacă acesta reflectă riscurile apărute ca urmare a acestei modificări.

Cu privire la cele menționate anterior, ISO/IEC 17799 are în vedere o serie de obiective de securitate şi controale pe care, cei care lucrează în domeniu, au posibilitatea să le selecteze pe cele potrivite companiei în care activează, profesional. Important de menționat este faptul că, acest soft trebuie să aducă o valoare adăugată companiei și nu o piedică în desfășurarea activității acesteia. Programele de securitatea informațiilor pun accent pe eficientizarea managementului intern și pe îmbunătățirea modului de lucru în cadrul companiei, dar și pe îmbunătățirea relațiilor companiei cu partenerii și clienții acesteia.

Pentru înscrieri puteți accesa formularul de AICI.

Photo credit shutterstock.com


Comments are closed.