Biologie | Chimie | Didactica | Fizica | Geografie | Informatica | |
Istorie | Literatura | Matematica | Psihologie |
Necesitatea managementului securitatii IT si responsabilitati in domeniu
Managementul securitatii sistemului informatic reprezinta o componenta importanta a managementului integrat care urmareste crearea instrumentelor necesare pentru analiza riscurilor si implementarea solutiilor destinate limitarii efectelor riscurilor asupra sistemului informatic.
Cauzele generatoare ale problemelor de securitate sunt reprezentate in principal de:
Dependenta tot mai mare a organizatiilor (companii, institutii, banci, agenti
economici etc) fata de propriile sisteme informatice din ce in ce mai complexe;
Utilizarea pe scara larga a aplicatiilor instalate pe extranet/intranet (ERP,
e-supply chain, e-CRM, e-payment, licitatii electronice etc);
Accesarea de la distanta a aplicatiilor;
Schimbul de informatii cu mediul informatic exterior, fapt care impune protectie impotriva riscului de virusare si de afectare a datelor pe timpul transferului;
Interconectivitatea dintre sisteme;
Schimbari neasteptate ale tehnologiei;
Neadecvarea managementului si controlului;
Atractivitatea hackerilor pentru construirea atacurilor asupra unor organizatii;
Evolutia unor factori externi legislativi, de reglemetare sau dezvoltare tehnologica.
Necesitatea managementului securitatii informatiei este impusa de
urmatorii factori:
- Riscurile si amenintarile sunt reale si pot avea un impact semnificativ asupra organizatiei;
- Securitatea informatiei necesita actiuni coordonate si integrate de sus in jos;
- Investitiile IT pot fi importate si alocate neadecvat;
- Sunt importanti in securitatea IT factorii culturali siorganizationali specifici organizatiei;
- Regulile si prioritatile trebuie sa fie stabilite si implementate;
- Incidentele de securitate pot sa devina publice;
- Securitatea sistemului trebuie sa fie demonstrata partenerilor cu care se desfasoara tranzactii electronice;
- Afectarea reputationala poate fi considerabila in cazul unor incidente
majore.
Studiile efectuate au demonstrat faptul ca multe organizatii nu asigura o securitate corespunzatoare sistemelor lor informatice si aceasta deoarece:
Importanta problemelor legate de controlul procesarii automate a datelor este subestimata, companiile considerand ca pierderea informatiilor sensibile pe care le detin reprezinta o amenintare ce nu le poate afecta, cel putin intr-un interval de timp mai apropiat. De exemplu, mai putin de 25% din 1.250 de companii, subiect al unui studiu realizat de Ernst & Young asupra securitatii sistemelor informatice, au considerat ca aceste probleme au o importanta deosebita;
Nu este inteleasa necesitatea
intaririi controlului in contextul
trecerii de la prelucrarea centralizata la sistemele distribuite;
Multe companii nu inteleg inca
faptul ca securitatea datelor
este cruciala pentru supravietuirea companiei;
Presiunea exercitata de productivitate si
costuri determina ca
managementul sa amane masurile de
control acestea - fiind
consumatoare de timp.
Sarcinile managementului privitoare la securitatea sistemului informatic
Sarcinile managementului privitoare la securitatea sistemului informatic pot fi structurate pe cele doua paliere si anume top management (consiliul de administratie al organizatiei) si managementul executiv.
În sarcina top managementului revin urmatoarele sarcini:
Sa fie informat despre securitatea informatiei stocate si procesate in cadrul sistemului;
Sa stabilieasa directia strategiei
si politicii in domeniul securitatii
IT si sa defineasca un profil de risc asumat;
Asigurarea resurselor necesare efortului de realizare a
sistemului
de securitate stabilit prin politicile elaborate;
Asignarea responsabilitatilor la nivelul conducerii;
Stabilirea prioritatilor;
Sustinerea schimbarilor;
Definirea valorilor culturale legate de constientizarea riscurilor;
Obtinerea opiniei auditorilor interni si externi;
Monitorizarea managementului cu privire la investitiile in securitate si raportarea acestuia cu privire la eficienta programului de implementare a securitatii.
În sarcina managementului executiv revin urmatoarele sarcini:
Scrierea politicii de securitate;
Asigurarea ca rolurile individuale,
responsabilitatile si autoritatile
sunt clar comunicate si intelese;
Identificarea amenintarilor si vulnerabilitatilor si a practicilor aplicabile;
Punerea la punct a infrastructurii de securitate;
Dezvoltarea unui cadru de securitate si control care consta din standarde, masuri, practici si proceduri dupa aprobarea politicii;
Decide cu privire la resursele disponibile, prioritatile si masurile pe care si le poate permite organizatia;
Stabileste masurile de monitorizare pentru detectarea si inlaturarea breselor de securitate;
Conduce reevaluarile si testele periodice;
Implementeaza mijloacele de detectare a intruziunilor si modalitatile de raspuns la incidente.
Asigura pregatirea utilizatorilor cu privire la necesitatea respectarii cerintelor de securitate;
- Asigura ca securitatea sa fie o parte integranta a ciclului de viata al proceselor si detalierea cerintelor de securitate la nivelul fiecarei faze a ciclului de viata.
În raport cu aceste atributii, in procesul auditarii, expertul auditor va trebui sa raspunda la o serie de intrebari care sa vizeze masura in care managementul cunoaste problemele de securitate din cadrul organizatiei si masura in care se implica in rezolvarea lor. Iata un set posibil de asemenea intrebari sugerate de ghidul elaborat de IT Gouvernance Institute:
Cand s-a implicat top managementul in decizii legate de securitatea sistemului informatic? Cat de des se implica top managementul in decizii de aceasta natura?
Stie managementul cine este responsabil pentru securitatea sistemului informatic al organizatiei? Persoana respectiva stie ca are aceasta responsabilitate? Mai stie cineva acest lucru?
Cum este recunoscut un incident de securitate? Poate fi ignorat un astfel de incident? Se stie ce trebuie facut in cazul unui astfel de incident?
Stie cineva cate calculatoare sunt in organizatie? Cum afla managementul de disparitia unui calculator?
A identificat managementul toate informatiile (date despre clienti, planuri strategice, rezultate ale cercetarii etc) care ar afecta organizatia in cazul accesarii neautorizate?
A avut organizatia de suferit in urma ultimului atac cu virusi? Cate atacuri cu virusi au avut loc anul anterior?
Au fost inregistrate intruziuni in reteaua organizatiei? Cu ce frecventa si cu ce impact s-au desfasurat intruziunile?
Au fost aceste intruziuni raportate si cui anume?
Cum detecteaza organizatia incidentele de securitate? Cum sunt rezolvate aceste incidente si ce cunoaste managementul despre ele?
Stie cineva cate persoane folosesc sistemul informatic al organizatiei? Stie cineva daca aceste persoane au fost autorizate si ce anume activitati desfasoara aceste persoane in sistem?
Este considerata securitatea ca esentiala?
Stie managementul care ar fi consecintele unor incidente de securitate serioase in termeni financiari, pierderea clientilor si a increderii investitorilor?
Stie organizatia care este pozitia sa cu privire la IT si riscurile de securitate?
Cat de mult s-a cheltuit pe securitate? Pe ce anume ? Cum s-au justificat cheltuielile? Ce proiecte s-au desfasurat anul trecut pentru imbunatatirea securitatii?
Cat personal a fost pregatit prin cursuri anul trecut? Cate persoane din managementul organizatiei au participat la aceste cursuri?
Cum stabileste managementul cine are drept de acces la sistemul informatic si informatiile organizatiei?
Este managementul pregatit pentru refacere in cazul unor incidente majore?
Este pus la punct un plan de securitate care acopera toate aceste intrebari? Responsabilitatile referitoate la acest plan sunt cunoscute?
În vederea evaluarii practicilor managementului cu privire la securitatea IT auditorul va trebui sa raspunda la urmatoarele intrebari:
Are managementul siguranta ca exista in organizatie implementata o securitate adecvata?
Cunoaste managementul cele mai noi solutii si practici de securitate?
Care sunt cele mai bune practici in domeniul de activitate al organizatiei si unde se plaseaza organizatia in raport cu aceste practici?
Procedeaza managementul in mod regulat la
formularea si
comunicarea cerintelor de securitate ale organizatiei
?
A evaluat managementul cat va trebui sa investeasca pentruimbunatatirea securitatii?
Sunt luate in considerare elementele de
securitate cand se
discuta dezvoltatea afacerii si strategia IT?
Se mentine in organizatie corelatia intre riscuri si solutiile tehnice disponibile?
Se prezinta regulat managementului rapoarte privind realizarea proiectelor de imbunatatire a securitatii?
A solicitat managementul un audit independent al securitatii IT? A urmat recomandarile lui?
Comitetul de conducere si managementul executiv pot folosi modele de evaluare a maturitatii managementului securitatii informatiei. Un astfel de model permite definirea unor rating-uri privind securitatea informationala a organizatiei. Modelul3 poate fi aplicat progresiv ca:
Metoda pentru autoevaluarea pozitiei
organizatiei in comparatie
cu organisme similare.
IT Governance Institute: Guidance for Boards of Directors and Executive Management
Metoda pentru stabilirea obiectivelor de realizat in urma
autoevaluarii realizate si in functie de pozitia pe
care organizatia considera
ca poate sa o ocupe nefiind necesara atingerea pozitiei de
top.
Metoda de planificare a proiectelor in vederea indeplinirii obiectivelor bazata pe analiza decalajelor intre obiectivele fixate si situatia existenta.
Metoda de fixare a prioritatilor proiectelor in lucru bazata pe clasificarea proiectelor si analiza beneficiilor sale asupra costurilor.
Interpretarea nivelurilor de rating este prezentata in tabelul urmator:
Nivel de maturitate |
Descriere |
0 1 2 3 4 5 5 |
. Nu exista
procese pentru evaluarea riscurilor si luarea . Organizatia
nu recunoaste nevoia de securitate IT. . Nu exista
o intelegere a riscurilor, vulnerabilitatilor si Initial/Ad-Hoc .
Organizatia considera riscurile IT intr-o maniera ad-hoc
fara a
urma politici si procese definite. Exista evaluari Organizatia recunoaste nevoia de
securitate IT dar Exista o intelegere a importantei riscurilor si a Responsabilitatile pentru securitatea IT sunt atribuite unui coordonator pe segmentul IT dar care nu are autoritate manageriala. Informatia cu privire la securitatea IT este generata dar nu este analizata. Se reactioneaza la incidentele de securitate produse prin solutii care nu raspund nevoilor organizatiei. S-au elaborat politicile de securitate dar inca se folosesc mijloace inadecvate. Raportarea cu privire la securitatea IT este incompleta, necorespunzator condusa sau nepotrivita. Responsabilitatea pentru continuitatea functiei IT este asignata. Abordarile pentru continuarea activitatii sunt fragmentate. Raportarea privind disponibilitatea sistemului este incompleta si nu ia in considerare impactul asupra business-ului. Definit De Exista o politica definita pentru managementul riscului IT care precizeaza cand si cum sa se realizeze evaluarea riscurilor. Nevoia de securitate este
constientizata si este indusa de management. Procedurile
de securitate au fost definite si corespund politicii definite. Responsabilitatile pentru securitatea IT au fost stabilite dar nu au fost aplicate
corespunzator. Exista un plan de securitate IT ca de asemenea analize de risc si solutii de securitate. Exista si este permanent actualizata o lista a sistemelor si componentelor critice din organizatie. Bine condus . Exista o procedura standard pentru evaluarea riscurilor si exceptiile de la procedura sunt urmarite de management. Managementul securitatii IT revine manage-mentului senior. Au fost determinate nivelurile de risc pe care organizata le poate accepta. . Responsabilitatile privind securitatea IT sunt bine . Sunt implementate responsabilitatile si standardele pentru continuarea activitatii. Optimizat . Procesul
de evaluare a riscurilor este bine pus la punct si . Securitatea IT este responsabilitatea comuna a . Planul de refacere a functiei IT este integrat in Planul de continuitate a activitatii organizatiei. |
Copyright © 2024 - Toate drepturile rezervate