Într-o companie, responsabilitatea securităţii informaţiilor revine managementului de la cel mai înalt nivel. Angajaţilor le revine doar obligaţia de a respecta regulile impuse de management prin politici şi proceduri.

Primul pas pe care trebuie să-l facă managementul este să stabilească o politică de securizare a informaţiilor în funcţie de specificul de activitate al firmei şi de obiectivele acesteia. În funcţie de acestea, trebuie să decidă modul în care se face clasificarea informaţiilor, de regulă informaţii neconfidenţiale, informaţii confidenţiale şi informaţii strict confidenţiale şi apoi să clasifice informaţiile pe baza criteriilor alese.

După ce s-a făcut clasificarea informaţiilor, se stabileşte nivelul de acces la fiecare categorie de informaţii în funcţie de fişa postului. În general, este bine să se utilizeze principiul “need to know” şi fiecare angajat să aibă acces doar la acele informaţii care îi sunt necesare pentru îndeplinirea sarcinilor. Este foarte important ca în contractele de muncă să existe clauze bine definite pentru confidenţialitate. De asemenea, elementele de confidenţialitate trebuie menţionate şi în cadrul fişelor de post.

Următorul pas este identificarea modalităţilor de control al accesului la informaţii, în funcţie de nivelul de acces al utilizatorilor. Cotrolul nu înseamnă numai accesul la resursele informatice ale companiei, ci trebuie controlat şi accesul fizic, deoarece nu toate informaţiile sunt pe suport electronic. Degeaba este parolat computerul dacă biroul este plin de hârtii care conţin informaţii sensibile referitoare la contractele în derulare, de exemplu. De aceea, trebuie stabilite proceduri atât pentru controlul accesului în reţea, cât şi pentru controlul accesului fizic.

Până aici, lucrurile sunt oarecum clare şi uşor de implementat. Din păcate, cei mai mulţi se opresc aici, dar mai există încă trei paşi care trebuie urmaţi.

1) Instruirea personalului. Aceasta trebuie să se facă periodic, măcar o dată la şase luni, până când regulile ajung o a doua natură.

2) Verificarea aplicării politicilor şi procedurilor. Firmele trebuie să conducă un audit intern măcar o dată pe an, în funcţie de numărul de procese şi de complexitatea activităţilor.

3) Îmbunătăţirea continuă. În urma concluziilor auditului sau a verificărilor, organizaţia trebuie să ia măsuri de ajustare a politicilor şi procedurilor.

Comments are closed.