Ca o continuare oarecum firească a articolului de ieri, prezint aici câteva principii de bază pentru implementarea unei securităţi IT eficiente.

  1. Securitatea este o problemă a companiei. De aceea, ea trebuie administrată la nivelul întregii organizaţii, atât pe orizontală, cât şi pe verticală, dar şi pe transversala funcţionalităţilor/proceselor. Un program de securitate a organizaţiei (PSO) trebuie să vizeze: oameni, produse, spaţii de lucru, procese, politici, proceduri, sisteme, tehnologii, reţele şi informaţii.
  2. Responsabilitatea liderilor. Liderii organizaţiei trebuie să înţeleagă răspunderile pe care le au din punct de vedere al securităţii. Acest lucru este valabil de la cel mai înalt nivel până la nivelul responsabililor de proces, dar şi la nivelul fiecărui angajat în parte.
  3. Securitatea este o cerinţă de afaceri. Securitatea trebuie văzută ca o cerinţă de business obligatorie şi trebuie aliniată cu obiectivele şi strategiile acesteia. Ea trebuie considerată ca o cheltuială de afaceri – aşa cum este costul curentului electric sau al chiriei locaţiei şi nu un element oarecare din buget care poate fi redus.
  4. Managementul riscurilor. Nivelul de securitate considerat adecvat trebuie determinat pe baza unei analize a riscurilor.
  5. Roluri, responsabilităţi şi segregarea activităţilor. La nivelul organizaţiei trebuie luate măsuri pentru stabilirea exactă a rolurilor fiecărui manager din perspectiva securităţii şi trebuiesc separate activităţile astfel încât să se asigure o segregare optimă.
  6. Politici clare. La nivelul organizaţiei trebuiesc elaborate politici clare, politici care să fie aduse la cunoştinţa angajaţilor. Trebuie luate măsurile care se impun pentru a asigura respectarea acestora.
  7. Alocarea unor resurse suficiente. Este indispensabilă pentru asigurarea eficientă a securităţii companiei, şi aici nu mă refer numai la partea financiară, ci şi la resursele umane sau la expertiza necesară.
  8. Pregătirea personalului. Angajaţii trebuie instruiţi în mod regulat despre elementele de securitate a informaţiilor, trebuie motivaţi corespunzător şi verificată constant capacitatea lor de a răspunde incidentelor de securitate.
  9. Asigurarea securităţii pe întreg ciclul de activitate.
  10. Planificarea securităţii. Securitatea companiei trebuie planificată şi documentată, astfel încât managementul la cel mai înalt nivel să poată lua decizii în conscinţă.
  11. Revizuirea şi auditarea. Fiecare departament/proces trebuie verificat periodic şi din perspectiva securităţii informaţiilor. Întrucât vorbim de ceva aflat în permanentă evoluţie, periodic este necesară şi reviztarea practicilor şi procedurilor pentru a le aduce la zi.

Comments are closed.