Primul pas pe care trebuie să-l facă managementul este să stabilească o politică de securizare a informaţiilor în funcţie de specificul de activitate al firmei şi de obiectivele acesteia. În funcţie de acestea, trebuie să decidă modul în care se face clasificarea informaţiilor, de regulă informaţii neconfidenţiale, informaţii confidenţiale şi informaţii strict confidenţiale şi apoi să clasifice informaţiile pe baza criteriilor alese.

După ce s-a făcut clasificarea informaţiilor, se stabileşte nivelul de acces la fiecare categorie de informaţii în funcţie de fişa postului. În general, este bine să se utilizeze principiul “need to know” şi fiecare angajat să aibă acces doar la acele informaţii care îi sunt necesare pentru îndeplinirea sarcinilor. Este foarte important ca în contractele de muncă să existe clauze bine definite pentru confidenţialitate. De asemenea, elementele de confidenţialitate trebuie menţionate şi în cadrul fişelor de post.

Următorul pas este identificarea modalităţilor de control al accesului la informaţii, în funcţie de nivelul de acces al utilizatorilor. Cotrolul nu înseamnă numai accesul la resursele informatice ale companiei, ci trebuie controlat şi accesul fizic, deoarece nu toate informaţiile sunt pe suport electronic. Degeaba este parolat computerul dacă biroul este plin de hârtii care conţin informaţii sensibile referitoare la contractele în derulare, de exemplu. De aceea, trebuie stabilite proceduri atât pentru controlul accesului în reţea, cât şi pentru controlul accesului fizic.

Până aici, lucrurile sunt oarecum clare şi uşor de implementat. Din păcate, cei mai mulţi se opresc aici, dar mai există încă trei paşi care trebuie urmaţi.

1) Instruirea personalului. Aceasta trebuie să se facă periodic, măcar o dată la şase luni, până când regulile ajung o a doua natură.

2) Verificarea aplicării politicilor şi procedurilor. Firmele trebuie să conducă un audit intern măcar o dată pe an, în funcţie de numărul de procese şi de complexitatea activităţilor.

3) Îmbunătăţirea continuă. În urma concluziilor auditului sau a verificărilor, organizaţia trebuie să ia măsuri de ajustare a politicilor şi procedurilor.

Am lansat acest site din dorinţa de a oferi celor interesaţi un punct de plecare în implementarea pe cont propriu a unui sistem de management, fie că este vorba de calitate, ISO 9001, mediu, ISO 14001, siguranţa şi sănătatea muncii, OHSAS 18001, siguranţa alimentului, ISO 22000, sau siguranţa informaţiilor, ISO 27001.

Procedurile au la bază o experienţă de peste 5 ani în domeniul implementării sistemelor de management şi mai mult de două sute de sisteme implementate în companii, de la cele mici, cu doar câţiva angajaţi, până la companii cu câteva sute. De-a lungul timpului, sistemele au fost certificate de organisme româneşti sau străine, printre care amintim SRAC, Simtex-OC, Certind, AllCert, TUV Rheinland, TUV Nord, DAS Certification. Fişele de post sunt întocmite în baza standardelor ocupaţionale definite de COSA, dar şi a unei experienţe de aproape 10 ani în consultanţă în resurse umane.

Documentele se livrează în format MS Word şi pot fi uşor personalizate.

M-ar interesa ce experienţe mai aveţi cu servicii de acest gen (cei care folosiţi).

Masteratul se adresează absolvenţilor de învăţământ superior care doresc să se perfecţioneze în domeniul tehnologiei, reglementărilor şi managementului securităţii informaţiilor (InfoSec). Programul de studiu durează 1,5 ani (3 semestre), se desfăşoară în colaborare cu Oficiul Registrului Naţional al Informaţiilor Secrete de Stat (ORNISS), fiind acreditat de către Agenţia Română de Asigurare a Calităţii în Învăţământul Superior (ARACIS).

Formarea specialiştilor în managementul securităţii informaţiilor şi a administratorilor de securitate pentru sistemele informatice reprezintă o prioritate naţională, cerută atât de mediile guvernamentale şi de administraţia centrală şi locală, cât şi de mediul privat – companii, bănci. Acestea sunt responsabile în implementarea unor servicii şi sisteme informatice, dar şi beneficiare ale acestora, cu aplicabilitate în domenii ca: e-guvernare, e-administraţie, e-banking, e-commerce, e-payment, în care rolul comunicaţiilor şi tehnicii de calcul, precum şi al Internet-ului, este determinant.

Informaţii detaliate cu privire la obiectivul, aria curriculară, admiterea la masterat şi modul de desfăşurare a cursurilor se pot obţine la adresa http://www.mta.ro/masterat/masterinfosec/index.html.

1. Învăţaţi gramatica limbii române. Oricât de idiot ar fi personalul din băncile de la noi, dacă se trimite un mail la toţi utilizatorii, acesta trece prin multe departamente şi nu va avea greşeli gramaticale. Ultimul atac de la Bancpost avea trei propoziţii, şi în fiecare exista câte o greşeală. Greşelile gramaticale existau până şi pe site. Nici măcar ca hacăr nu aveţi vreo şansă dacă nuvorbiţi corect româneşte. Nimeni nu va da curs unui mesaj plin de greşeli gramaticale flagrante.
2. Acordă mai multă atenţie textului. Să zicem că ai trecut de etapa greşelilor gramaticale, felicitări!, şi te poţi exprima corect. Bun, acum încearcă să găseşti un text cât mai convingător. De exemplu, nişte băieţi deştepţi au lansat un “chain letter” “Trimite-ne adresele a 10 prieteni şi poţi câştiga o Dacie Logan. Mai multe mailuri cu adrese, mai multe şanse de câştig.”. Numai eu cunosc vreo 4-5 persoane care au trimis fiindcă “n-au nimic de pierdut”. Ca să ai succes, trebuie să ai o poveste (e din filmul Filantropica, merită să-l vezi, sunt siguri că îl găseşti pe deceplusplus). De exemplu, mailul acela cu telefonul Nokia (nu ştiu care, dar e un model din 98), cu micuţul John – devenit în unele variante Ionuţ – care a făcut înţelegere cu yahoo şi aol şi primeşte 5 cenţi pe mail & the rest circulă şi acum.
3. Limitaţi adresele de mail la care trimiteţi. Ştiu că aţi găsit pe dcplusplus baze de date cu sute de mii de adrese. Încercaţi să limitaţi la cele “private” – gmail, yahoo, hotmail etc. Şansele ca cineva să se fi înrolat în serviciul de internet banking cu adresa de la serviciu sunt minime, mai ales în condiţiile în care în România vechimea medie nu prea depăşeşte doi ani. Pe de altă parte, acele adrese au şi filtre mai bune şi e posibil să nu treacă.
4. Mascaţi url mai bine. Un URL de forma http://345.abcd.dbfh.com va sări imediat în evidenţă. Poate găsiţi şi ceva pe https://… Multă lume atehnică a reţinut ideea cu “lăcăţelul”.
5. Nu trimiteţi mailurile de acasă. Chiar dacă ai IP dinamic, veţi fi identificaţi foarte uşor în caz că se supără cineva.
6. Aveţi grijă ca formularul php să nu trimită informaţii la “adresameadepegmail@gmail.com”.
7. Acordaţi mai multă atenţie când creaţi site-ul fictiv. Dacă el nu seamănă cu ceea ce ştie utilizatorul şansele să fie folosit sunt minime.

1. Acces broadband – 80% din valoarea proiectului
2. Implementare ERP, CMS etc – 65/55% din valoarea proiectului (mă rog, aici e un pic mai complicat, fiindcă unele cheltuieli sunt finanţate în proporţie mai mică)
3. e-Economy – implementare de proiecte online (idem, 65/55%)

So, dacă sunteţi interesaţi, deja am mâna făcută if you know what I mean… Se pot face lucruri frumoase.

Mărturisesc că nici eu nu am trecut la Vista, în primul rând dintr-un motiv foarte pragmatic. Laptopul pe care îl folosesc este încă OK (re abia un an şi-un pic şi nu resimt nevoia unui upgrade), a venit cu XP Professional preinstalat şi nu văd motivele pentru care aş da bani pentru un nou sistem de operare.

La fel ca mine gândesc probabil 99% dintre utilizatorii care şi-au cumpărat un computer până în urmă cu circa un an. Cum durata de viaţă a unui computer (laptop sau desktop) este de cca 2-3 ani, iar fiabilitatea nu mai este o problemă de ceva timp, necesitatea reală a unui nou sistem de operare este redusă.

La nivel de companie, decizia de a schimba sistemul de operare este una dificilă pentru o companie deoarece implică cheltuieli suplimentare, dincolo de simplul cost al licenţei: training pentru angajaţi, upgrade hardware, modificare aplicaţii existente etc. Cu cât activitatea este mai complexă, cu atât decizia este mai greu de luat. În mediu Enterprise vorbim de aplicaţii care trebuie testate serios înainte de a se lua în considerare măcar varianta înlocuirii.

Vista a arătat serioase probleme de compatibilitate hardware, unele nerezolvate nici acum, aşa că lucrurile sunt îngreunate şi mai mult, ca să nu mai vorbim de cerinţele destul de mari, în condiţiile în care Windows XPeste un sistem foarte bun.

O altă problemă arătată de Vista, semnalată de mulţi vizitatori a fost că Microsoft a transferat o parte din managementul securităţii pe seama utilizatorului, care este sâcâit de tot felul de mesaje şi i se pun tot felul de piedici anulând tot efectul ideii de “user friendly”. Poate cea mai potrivită analogie ar fi cu un frigider, care nu te-ar lăsa să iei un ou decât până la ora 12:00, nu ţi-ar permite să pui un vin la rece fiindcă “alcoolul dăunează grav sănătăţii”, sau nu te-ar lăsa să mănânci o şunculiţă fiindcă are prea mult colesterol. Să fim serioşi. Tehnologia devine din ce în ce în ce mai accesibilă, la fel şi sistemele de operare. În urmă cu 10 ani, cine ştia Office era deja un guru al calculatoarelor şi putea să-şi deschidă liniştit o firmă de consultanţă. Astăzi, Wordul este utilizat de copii de 6 ani pentru a-şi face temele, Excelul de pensionari pentru a-şi calcula întreţinerea.

Sigur, securitatea este esenţială şi toată lumea trebuie să conştientizeze că un pc nu este chiar un frigider, însă, cumva, Vista aplică greşit ideea de securitate. Utilizatorul nu ar trebui deranjat dincolo de a-l obliga să instaleze un anti-virus şi un firewall şi un eventual mesaj de avertizare “Idiotule, eşti pe cale să-ţi ştergi toate documentele! Eşti nebun la cap?”