Necesitatea managementului securitatii IT si responsabilitati in domeniu

Necesitatea managementului securitatii IT si responsabilitati in domeniu

Managementul securitatii sistemului informatic reprezinta o componenta importanta a managementului integrat care urmareste crearea instrumentelor necesare pentru analiza riscurilor si implementarea solutiilor destinate limitarii efectelor riscurilor asupra sistemului informatic.

Cauzele generatoare ale problemelor de securitate sunt reprezentate in principal de:

Dependenta tot mai mare a organizatiilor (companii, institutii, banci, agenti

economici etc) fata de propriile sisteme informatice din ce in ce mai complexe;

Utilizarea pe scara larga a aplicatiilor instalate pe extranet/intranet (ERP,

e-supply chain, e-CRM, e-payment, licitatii electronice etc);

Accesarea de la distanta a aplicatiilor;

Schimbul de informatii cu mediul informatic exterior, fapt care impune protectie impotriva riscului de virusare si de afectare a datelor pe timpul transferului;

Interconectivitatea dintre sisteme;

Schimbari neasteptate ale tehnologiei;

Neadecvarea managementului si controlului;

Atractivitatea hackerilor pentru construirea atacurilor asupra unor organizatii;

Evolutia unor factori externi legislativi, de reglemetare sau dezvoltare tehnologica.

Necesitatea managementului securitatii informatiei este impusa de
urmatorii factori:

- Riscurile si amenintarile sunt reale si pot avea un impact semnificativ asupra organizatiei;

- Securitatea informatiei necesita actiuni coordonate si integrate de sus in jos;

- Investitiile IT pot fi importate si alocate neadecvat;

- Sunt importanti in securitatea IT factorii culturali siorganizationali specifici organizatiei;

- Regulile si prioritatile trebuie sa fie stabilite si implementate;

- Incidentele de securitate pot sa devina publice;

- Securitatea sistemului trebuie sa fie demonstrata partenerilor cu care se desfasoara tranzactii electronice;

- Afectarea reputationala poate fi considerabila in cazul unor incidente

majore.

Studiile efectuate au demonstrat faptul ca multe organizatii nu asigura o securitate corespunzatoare sistemelor lor informatice si aceasta deoarece:

Importanta problemelor legate de controlul procesarii automate a datelor este subestimata, companiile considerand ca pierderea informatiilor sensibile pe care le detin reprezinta o amenintare ce nu le poate afecta, cel putin intr-un interval de timp mai apropiat. De exemplu, mai putin de 25% din 1.250 de companii, subiect al unui studiu realizat de Ernst & Young asupra securitatii sistemelor informatice, au considerat ca aceste probleme au o importanta deosebita;

Nu este inteleasa necesitatea intaririi controlului in contextul
trecerii de la prelucrarea centralizata la sistemele distribuite;

Multe companii nu inteleg inca faptul ca securitatea datelor
este cruciala pentru supravietuirea companiei;

Presiunea exercitata de productivitate si costuri determina ca
managementul sa amane masurile de control acestea - fiind
consumatoare de timp.

Sarcinile managementului privitoare la securitatea sistemului informatic

Sarcinile managementului privitoare la securitatea sistemului informatic pot fi structurate pe cele doua paliere si anume top management (consiliul de administratie al organizatiei) si managementul executiv.

În sarcina top managementului revin urmatoarele sarcini:

Sa fie informat despre securitatea informatiei stocate si procesate in cadrul sistemului;

Sa stabilieasa directia strategiei si politicii in domeniul securitatii
IT si sa defineasca un profil de risc asumat;

Asigurarea resurselor necesare efortului de realizare a sistemului
de securitate stabilit prin politicile elaborate;

Asignarea responsabilitatilor la nivelul conducerii;

Stabilirea prioritatilor;

Sustinerea schimbarilor;

Definirea valorilor culturale legate de constientizarea riscurilor;

Obtinerea opiniei auditorilor interni si externi;

Monitorizarea managementului cu privire la investitiile in securitate si raportarea acestuia cu privire la eficienta programului de implementare a securitatii.

În sarcina managementului executiv revin urmatoarele sarcini:

Scrierea politicii de securitate;

Asigurarea ca rolurile individuale, responsabilitatile si autoritatile
sunt clar comunicate si intelese;

Identificarea amenintarilor si vulnerabilitatilor si a practicilor aplicabile;

Punerea la punct a infrastructurii de securitate;

Dezvoltarea unui cadru de securitate si control care consta din standarde, masuri, practici si proceduri dupa aprobarea politicii;

Decide cu privire la resursele disponibile, prioritatile si masurile pe care si le poate permite organizatia;

Stabileste masurile de monitorizare pentru detectarea si inlaturarea breselor de securitate;

Conduce reevaluarile si testele periodice;

Implementeaza mijloacele de detectare a intruziunilor si modalitatile de raspuns la incidente.

Asigura pregatirea utilizatorilor cu privire la necesitatea respectarii cerintelor de securitate;

- Asigura ca securitatea sa fie o parte integranta a ciclului de viata al proceselor si detalierea cerintelor de securitate la nivelul fiecarei faze a ciclului de viata.

În raport cu aceste atributii, in procesul auditarii, expertul auditor va trebui sa raspunda la o serie de intrebari care sa vizeze masura in care managementul cunoaste problemele de securitate din cadrul organizatiei si masura in care se implica in rezolvarea lor. Iata un set posibil de asemenea intrebari sugerate de ghidul elaborat de IT Gouvernance Institute:

Cand s-a implicat top managementul in decizii legate de securitatea sistemului informatic? Cat de des se implica top managementul in decizii de aceasta natura?

Stie managementul cine este responsabil pentru securitatea sistemului informatic al organizatiei? Persoana respectiva stie ca are aceasta responsabilitate? Mai stie cineva acest lucru?

Cum este recunoscut un incident de securitate? Poate fi ignorat un astfel de incident? Se stie ce trebuie facut in cazul unui astfel de incident?

Stie cineva cate calculatoare sunt in organizatie? Cum afla managementul de disparitia unui calculator?

A identificat managementul toate informatiile (date despre clienti, planuri strategice, rezultate ale cercetarii etc) care ar afecta organizatia in cazul accesarii neautorizate?

A avut organizatia de suferit in urma ultimului atac cu virusi? Cate atacuri cu virusi au avut loc anul anterior?

Au fost inregistrate intruziuni in reteaua organizatiei? Cu ce frecventa si cu ce impact s-au desfasurat intruziunile?

Au fost aceste intruziuni raportate si cui anume?

Cum detecteaza organizatia incidentele de securitate? Cum sunt    rezolvate aceste incidente si ce cunoaste managementul despre ele?

Stie cineva cate persoane folosesc sistemul informatic al organizatiei? Stie cineva daca aceste persoane au fost autorizate si ce anume activitati desfasoara aceste persoane in sistem?

Este considerata securitatea ca esentiala?

Stie managementul care ar fi consecintele unor incidente de securitate serioase in termeni financiari, pierderea clientilor si a increderii investitorilor?

Stie organizatia care este pozitia sa cu privire la IT si riscurile de securitate?

Cat de mult s-a cheltuit pe securitate? Pe ce anume ? Cum s-au justificat cheltuielile? Ce proiecte s-au desfasurat anul trecut pentru imbunatatirea securitatii?

Cat personal a fost pregatit prin cursuri anul trecut? Cate persoane din managementul organizatiei au participat la aceste cursuri?

Cum stabileste managementul cine are drept de acces la sistemul informatic si informatiile organizatiei?

Este managementul pregatit pentru refacere in cazul unor incidente majore?

Este pus la punct un plan de securitate care acopera toate aceste intrebari? Responsabilitatile referitoate la acest plan sunt cunoscute?

În vederea evaluarii practicilor managementului cu privire la securitatea IT auditorul va trebui sa raspunda la urmatoarele intrebari:

Are managementul siguranta ca exista in organizatie implementata o securitate adecvata?

Cunoaste managementul cele mai noi solutii si practici de securitate?

Care sunt cele mai bune practici in domeniul de activitate al organizatiei si unde se plaseaza organizatia in raport cu aceste practici?

Procedeaza managementul in mod regulat la formularea si
comunicarea cerintelor de securitate ale organizatiei ?

A evaluat managementul cat va trebui sa investeasca pentruimbunatatirea securitatii?

Sunt luate in considerare elementele de securitate cand se
discuta dezvoltatea afacerii si strategia IT?

Se mentine in organizatie corelatia intre riscuri si solutiile tehnice disponibile?

Se prezinta regulat managementului rapoarte privind realizarea proiectelor de imbunatatire a securitatii?

A solicitat managementul un audit independent al securitatii IT? A urmat recomandarile lui?

Comitetul de conducere si managementul executiv pot folosi modele de evaluare a maturitatii managementului securitatii informatiei. Un astfel de model permite definirea unor rating-uri privind securitatea informationala a organizatiei. Modelul³ poate fi aplicat progresiv ca:

Metoda pentru autoevaluarea pozitiei organizatiei in comparatie
cu organisme similare.

IT Governance Institute: Guidance for Boards of Directors and Executive Management

Metoda pentru stabilirea obiectivelor de realizat in urma
autoevaluarii realizate si in functie de pozitia pe care organizatia considera ca poate sa o ocupe nefiind necesara atingerea pozitiei de top.

Metoda de planificare a proiectelor in vederea indeplinirii obiectivelor bazata pe analiza decalajelor intre obiectivele fixate si situatia existenta.

Metoda de fixare a prioritatilor proiectelor in lucru bazata pe clasificarea proiectelor si analiza beneficiilor sale asupra costurilor.

Interpretarea nivelurilor de rating este prezentata in tabelul urmator: