Pare o chestiune simplă şi de la sine înţeleasă, cu toate acestea, de cele mai multe ori observăm doar înţelegeri parţiale ale scopului protejării informaţiilor. Deci, ce trebuie să facă?

Scopul securităţii informaţionale este asigurarea confidenţialităţii, integrităţii, accesibilităţii şi non-repudierii.

  • Confidenţialitate – protejarea informaţiei sensibile contra accesului sau vizualizarea nesancţionată.
  • Integritatea – protejarea informaţiei împotriva modificării şi distrugerii nesancţionate pe traseul dintre adresant şi destinatar.
  • Accesibilitate – asigurarea faptului ca informaţia si serviciile să fie accesibile la locul şi momentul cerute de utilizator
  • Non-repudiere – proprietatea datelor de a autentifica prin caracteristicile sale sau prin relaţiile acestora cu alte date sursa de producere/modificare.

Securitatea informaţională (SI) este mai mult decât doar tehnologii, ea cuprinde măsuri administrative, organizaţionale, operaţionale şi legale. În majoritatea cazurilor, pagubele din domeniul tehnologiilor informaţionale sunt cauzate de neglijenţă. Pentru prevenirea acestui fapt, fiecare utilizator trebuie să fie motivat de a utiliza tehnologiile informaţionale cu precauţie.

Pentru a implementa o protecţie de bază a tehnologiilor informaţionale, poate fi considerat următorul set de măsuri de protecţie:

  1. Identificarea riscurilor. Orice organizaţie trebuie să facă periodic analize de risc pentru a identifica pericolele şi a găsi antidotul acestora. Trebuie însă avut în vedere un raport optim între probabilitatea unui risc, efectele producerii evenimentului şi costurile prevenirii.
  2. Instruirea personalului. Aceasta trebuie să se facă periodic şi ori de câte ori este necesar şi trebuie să includă atât elemente care ţin exclusiv de securitatea propriu-zisă, cât şi cele care ţin de utilizarea echipamentelor în general. Toţi angajaţii şi colaboratorii trebuie să cunoască regulamentele, procedurile şi politicile interne ale companiei.
  3. Delegarea responsabilităţilor. Delegarea responsabilităţilor are scopul să asigure continuitatea anumitor operaţii în cazul absenţei, pierderii de personal. Se specifică din timp cine va substitui pe cine, în ce activităţi, cu ce autoritate. Pentru a delega responsabilităţile e necesar să fie satisfăcute anumite condiţii generale:
    1. Să existe toată documentaţia aferentă statutului curent al proiectelor şi procedurilor relevante.
    2. Nu este suficientă doar desemnarea locţiitorului; locţiitorul trebuie instruit pentru a fi calificat suficient ca să-şi asume sarcinile respective. Dacă sunt persoane care nu pot fi înlocuite în scurt timp, instruirea locţiitorului este de importanţă critică.
    3. Trebuie să fie stabilit pentru fiecare locţiitor ce domeniu de însărcinări îi vor fi încredinţate.
    4. Locţiitorii vor primi împuternicirile necesare doar la îndeplinirea sarcinilor delegate.
  4. Procedură reglamentată privind încetarea relaţia de muncă. În cazul concedierii angajaţilor, trebuie urmărite următoarele lucruri:
    1. Înainte de concediere, succesorul persoanei respective să fie familiarizat cu sarcinile preluate.
    2. Toate documentele, parolele, cheile, echipamentele TI acordate pentru realizarea funcţiilor de serviciu, cartelele de identificare trebuie returnate organizaţiei.
    3. Toate drepturile de acces trebuie să fie revocate.
    4. Înainte ca persoana să plece, i se aminteşte că acordul de confidenţialitate rămâne în vigoare.
    5. Toate persoanele cărora le sunt încredinţate sarcini ce ţin de securitate, în special personalul ce efectuează controlul la intrare în încăpere, trebuie să fie informat despre asemenea schimbări.
    6. Persoanelor care nu mai lucrează în organizaţie trebuie să le fie interzis accesul nemonitorizat în încăperile organizaţiei, în special în camerele cu acces limitat.
  5. Segregarea activităţilor. În primul rând, activităţile de control trebuie separate pe cât posibil de cele de execuţie. În cazul în care nu este posibil, este recomandat ca managementul să apeleze la un audit independent care să verifice nivelul de securitate.
  6. Trasabilitate. Este obligatoriu ca fluxul informaţiilor să fie trasabil astfel încât să poată fi identificat în permanenţă locul unei informaţii în cadrul proceselor de business.
  7. Responsabilizare. Fiecare angajat trebuie responsabilizat în ceea ce priveşte protecţia informaţiilor.

 

Această listă este doar un punct de plecare şi este departe de a fi completă.

Comments are closed.