Securitatea informaţiei nu mai trebuie tratată doar din punct de vedere tehnic, ea trebuie inclusă în managementul companiei. Securitatea informaţiei poate fi pusă la încercare de viruşi, acces neautorizat, procesarea neadecvată de către angajaţii companiei (aşa-numitele erori umane), defecţiuni sau dezastre naturale ce au ca rezultat oprirea sau defectarea echipamentelor IT.
Toate acestea îşi pun amprenta asupra activităţii şi imaginii companiei. Iată de ce această problemă trebuie tratată foarte serios şi inclusă în managementul companiei.
Păstrarea datelor a devenit o problemă tot mai importantă atât datorită faptului că se manipulează un volum tot mai mare de date, dar şi modului de accesare al acestor informaţii care trebuie să fie rapid, eficient, optim din punct de vedere al raportului timp accesare/valoare informaţie.
Nu în ultimul rând, datele stocate trebuie să fie arhivate astfel încât să se asigure o securitate adecvată în ceea ce priveşte persoanele care au acces la ele, dar şi din punct de vedere al concordanţei cu legislaţia privind securitatea şi protecţia informaţiilor.
Securizarea datelor şi importanţa acestora pentru activităţile cărora le sunt destinate duc la o clasificare a acestora în funcţie de nivelul de siguranţă.
Date clasate în primul nivel de securitate (SEC1) cuprind datele cele mai „sensibile” din punct de vedere al importanţei lor pentru activitatea unei companii. Putem include aici date despre posesorii de carduri de exemplu sau informaţii despre orice produs nou şi a căror siguranţă este vitală pentru firmă. Din acest motiv ele sunt accesate de un grup restrâns de persoane, autorizate să utilizeze aceste informaţii.
Date clasate în al doilea nivel de securitate (SEC2) cuprind date confidenţiale care sunt securizate împotriva utilizării lor de către persoane din interiorul firmei (angajaţi, personal auxiliar etc.). Accesarea lor de către persoane neautorizate ar putea aduce prejudicii activităţilor operaţionale ale firmei, pierderi pe plan de imagine sau de diminuare a profitului, cu efecte negative faţă de concurenţă.
Datele clasate în cadrul nivelului trei de securitate (SEC3) cuprind informaţii securizate faţă de accesul din exterior, dar a căror publicare nu ar produce efecte negative semnificative
Al patrulea nivel de securitate se referă la datele neclasificate din punct de vedere al securizării lor. Cantitativ, cuprind un număr mai mare de date faţă de cele trei niveluri de securitate anterior prezentate. Datele din cadrul acestui sector nu necesită o protecţie specială şi nici realizarea unui back-up permanent în comparaţie cu celelalte.
Pentru o securizare corectă a datelor este necesar anterior a se stabili câteva criterii esenţiale: cât de repede se doreşte stocarea informaţiilor, cât de convenabil din punct de vedere al modului de operare trebuie realizată securizarea lor, unde sunt stocate datele şi care este modalitatea de acces la ele, precum şi frecvenţa realizării operaţiunii de back-up pentru informaţiile cele mai importante.
În ultima vreme, o importanţă tot mai mare se acordă armonizării dintre confidenţialitatea şi securitatea datelor faţă de legislaţia în vigoare din acest domeniu. În Marea Britanie de exemplu, Information Commissioneres Office (ICO) a pus la dispoziţie o adresă de web unde sunt specificate foarte clar drepturile şi obligaţiile firmelor care folosesc informaţii din diverse domenii, precum şi a modul de protecţie şi securitate a acestora.
Potrivit studiilor realizate de experţii în securitatea informaţiei, doar între 15 şi 20% din firmele româneşti investesc cu adevărat bani în protecţia virtuală. Dintr-un studiu recent realizat de GeCad reiese că 64,6% din firmele autohtone cheltuiesc anual mai puţin de 1.000 de dolari pentru achiziţionarea şi implementarea de soluţii de securitate IT. Doar 20% sunt dispuse să dea mai mult de 10.000 de dolari pentru protecţia datelor.
La nivel mondial, lucrurile stau cu totul altfel. Piaţa de securitate IT va ajunge de la 17 miliarde dolari, cât era în urmă cu patru ani, la peste 45 miliarde dolari până în 2006. Numai în Europa, veniturile din vânzarea de software pentru securitate ar urma să crească până la aproape două miliarde de dolari în 2006.
Informaţiile pe care o firmă sau alta le deţine în reţeaua informatică proprie pot fi „atacate“ în mai multe moduri. Riscurile pleacă de la spamurile care pot bloca activitatea, ajung la viruşii ce pot patrunde în computere şi sterge absolut toate datele, până la atacurile bine direcţionate, specifice spionajului economic.
Pentru multe companii din ţările dezvoltate, cel mai mare coşmar este legat de spionajul virtual. Cele mai vulnerabile în faţa acestor atacuri nu sunt PC-urile firmei, ci laptopurile angajaţilor. În multe cazuri, aceştia se conectează la Internet prin sisteme wireless, extrem de uşor de interceptat dacă nu se iau măsuri serioase de protecţie. Asta nu înseamnă însă ca PC-urile sunt scutite de „emoţii“.
Elaborarea şi implementarea unui sistem de management al securităţii informaţiei are în vedere:
• protejarea informaţiilor dumneavoastră, în condiţiile unui număr din ce în ce mai mare de ameninţări;
• asigurarea continuităţii activităţii şi afacerii în condiţiile unui incident informatic;
• identificarea informaţiilor critice şi protejarea lor;
• optimizarea costurilor în condiţiile lucrului într-un regim securizat;
• asigurarea cerinţelor legale referitoare la securitatea informaţiilor.
Standardul SR ISO/CEI 17799: 2004:
• este folosit ca un “Cod de bună practică”;
• reprezintă un document de referinţă;
• oferă un set complet şi documentat de activităţi de securitate care trebuie aplicate, controlate şi verificate;
• este considerat ca fiind cel mai bun ghid practic pentru a controla sistemul de securitate a informaţiei;
• conţine 10 capitole privitoare la control;
• este singurul standard internaţional acceptat pentru managementul securităţii informaţiei.
Printre aspectele cele mai importante ale sistemului de management se pot enumera:
• îndeplinirea şi respectarea cerinţelor;
• politica de securizare a informaţiei;
• managementul riscului;
• responsabilitatea pentru securizarea informaţiei;
• educaţia şi instruirea personalului;
• raportarea incidentelor;
• planificarea continuă.