Implementarea şi certificarea unui Sistem de Management al Securităţii Informaţiei (pe scurt SMSI) este o decizie strategică pentru orice organizaţie deoarece garantează securitatea informaţiilor societăţii certificate, dar şi a informaţiilor clienţilor şi partenerilor de afaceri. Acest sistem furnizează recomandări pentru ţinerea sub control a riscurilor informaţionale, aduce o clarificare asupra tipurilor de ameninţări şi dă direcţii de abordare ale metodelor de protecţie pentru a asigura supravieţuirea companiei, minimizarea potenţialelor daune financiare, maximizarea profitului şi a perspectivelor organizaţiei.
În zilele noastre, având în vedere că majoritatea datelor se ţin pe suport informatic, o atenţie deosebită trebuie acordată protecţiei sistemelor informatice.
Securitatea informaţiei trebuie să aibă legătură cu toate aspectele legate de protejarea datelor indiferent de forma în care acestea există (suport magnetic, optic, hârtie etc.).
Un SMSI este un sistem de management bazat pe o abordare a riscurilor la care organizaţia este expusă şi are scopul de a stabili, implementa, opera, monitoriza, revizui, menţine şi îmbunătăţi securitatea informaţiei.
Primul standard pentru certificarea SMSI a fost standardul britanic BS 7799. Acesta a avut două părţi:
1 Partea I: BS 7799-1, care era un Cod de Practică, apoi a devenit ISO/IEC 17799. În prezent acest ultim standard a fost înlocuit de ISO/IEC 27002.
2 Partea a II-a: BS 7799-2. Acesta a fost primul standard după care se putea efectua certificarea unei organizaţii. Pe acest referenţial, s-a elaborat primul standard internaţional de certificare pentru SMSI, ISO 27001.
Indicarea în mod clar a îndeplinirii de către organizatie a conditiilor standardului BS 7799 partea a 2-a sau ISO 27001; aceste standarde conţin cele mai bune recomandări făcute de experţi în SMSI.
Beneficii
1 Oferă clienţilor şi partenerilor de afaceri încredere sporită în organizaţia certificată;
2 Reduce necesitatea unei posibile evaluări a sistemului de securitate din partea clienţilor sau partenerilor care cer acest lucru;
3 Oferă managerilor un control mai bun asupra fluxurilor de informaţii din organizaţia certificată;
4 Sunt identificate şi ţinute sub control riscurile care pot afecta activitatea organizaţiei;
5 Posibilitatatea de a întruni toate condiţiile de eligibilitate la licitaţii acolo unde certificarea SMSI este un criteriu;
6 poziţie şi imagine mai bune pe piaţă, în faţa societăţilor concurente care au doar un singur sistem certificat (ex.: ISO 9001).
Standardul ISO/IEC 27001
ISO/ IEC 27001 este aliniat atât cu ISO 9001, dar şi cu ISO 14001. Toate cele trei standarde conţin elemente şi principii de sistem comune inclusiv procesul ciclic de îmbunătăţire continuă PDCA (Plan-Do-Check-Act, Planifică-Elaborează-Verifică-Îmbunătăţeşte). Această abordare face posibilă integrarea uşoară a acestor sisteme, astfel încât să aibă sens un sistem unic de management în organizaţie.
Standardul are la bază următoarele principii care definesc securitatea informaţiei: confidenţialitatea, integritatea şi disponibilitatea informaţiei. Abordarea acestui standard asigură o securitate pe termen lung bazându-se pe implementarea de politici, proceduri şi metode de securitate destinate protejării informaţiilor şi resurselor organizaţiilor. Prin reducerea la maximum a riscurilor se garantează că sistemul de management este funcţional şi îndeplineşte cerinţele operaţionale ale companiei, aşteptările clienţilor şi se conformează legislaţiei în vigoare.
Trebuie precizat faptul că standardul ISO/CEI 17799:2005 nu este un standard de certificare şi nici nu a fost vreodată gândit ca atare. Însă el este completat de o specificaţie tehnică, ISO/TS 27001, Tehnologia informaţiei – Tehnici de securitate – Sisteme de management al securităţii informaţiei – Cerinţe, care poate fi utilizată în scopuri de certificare. Aceasta se referă la securitatea informaţiei în cel mai larg sens, stabilind linii directoare şi principii generale de implementare, actualizare şi management al securităţii informaţiei.
Revenind la standardul ISO/IEC 17799, acesta, identificând controalele care constituie punctul de plecare pentru securitatea informaţiei, poate servi ca instrument de bază pentru orice întreprindere, indiferent că este vorba despre o organizaţie multinaţională sau despre un IMM, indiferent că activează în sectorul public sau cel privat.
Această afirmaţie e susţinută şi de declaraţia lui Ted Humphrey care consideră că “organizaţiile care utilizează standardul pot să le demonstreze partenerilor economici, clienţilor şi furnizorilor că sunt solide şi că prezintă suficientă încredere pentru a putea intra în afaceri şi a face astfel încât investiţia consimţită pentru securizarea informaţiei să deschidă întreprinderii posibilităţi de afaceri. În concluzie, standardul ISO/CEI 17799 este cel mai important până la ora actuală în domeniul securităţii informaţiei. El stabileşte un limbaj internaţional comun pentru securitatea informaţiei, astfel încât toate întreprinderile din lume se pot angaja în domeniul afacerii”.
Dacă organizaţiile mari beneficiază de resurse financiare pentru angajarea unor specialişti în securitatea informaţiei, nu acelaşi lucru se poate spune despre IMM-uri. În cel mai bun caz, acestea din urmă dispun de un departament IT cu un număr redus de angajaţi care abia se descurcă cu întreţinerea aplicaţiilor informatice folosite în activitatea zilnică a firmei.
European Network and Information Security Agency (ENISA)
Membrii sunt reprezentanţii fiecărei ţări din Uniunea Europeană. Aceasta înseamnă că în consiliul de administraţie al ENISA sunt 27 de membri, iar România urmează să numească de asemenea un membru. ENISA raportează consiliului de administraţie, trebuie să pună în aplicare programele anuale de activitate, ceea ce înseamnă că la începutul fiecărui an sunt pregătite programele de lucru pentru anul următor, de exemplu la finele acestui an trebuie finalizate programele de lucru pentru 2008. Programele de lucru reflectă toate acţiunile şi activităţile care trebuie derulate.
În general, obiectivele sunt exprimate în sarcini cuprinse într-o boşură. Când a luat fiinţă ENISA la începutul lui 2004, constituită fiind de către Parlamentul European şi Consiliul European, ENISA a primit o broşură în care figurează obiectivele şi sarcinile agenţiei. Obiectivele generale, în câteva cuvinte, sunt de a oferi suport Comisiei Europene şi statelor membre ale Uniunii Europene pe partea de securitate a informaţiei şi a reţelelor şi să devină Centru de Excelenţă în securitatea informaţiei astfel încât ţări ale Europei şi chiar ale lumii să se poată adresa agenţiei ca unui grup de competenţe în securitatea informaţiei. Privind primul obiectiv, Comisia sau oricare stat membru UE poate solicita ENISA să deruleze un anumit studiu pe o temă devenită preocupare specifică pentru Comisie sau ţara respectivă. Există o procedură standard – ministrul Comunicaţiilor şi Tehnologiei Informaţiei din ţara interesată de un studiu trimite o scrsoare adresată ENISA în care descrie ce sarcină oferă agenţiei pentru a fi îndeplinită. ENISA răspunde acestei solicitări precizând orizontul de timp în care sarcina poate fi îndeplinită. O sarcină îndeplinită deja sunt campaniile de conştientizare. Astfel, se alcătuiesc ghiduri menite să crească nivelul de informare pe diverse teme ce ţin de securitatea informaţiei, dat fiind faptul că s-a constatat, în Europa şi nu numai, un nivel scăzut de informare şi de capabilităţi şi chiar de posibilităţi financiare. Să ne gândim la studenţii care au know-how-ul, dar nu au puterea financiară pentru a-şi proteja sistemele sau la persoanele în vârstă care folosesc computerul pentru a citi ziarele sau a chatui, dar care nu ştiu ce să facă computerului sau cui să se adreseze dacă acesta nu mai funcţionează. Un alt exemplu sunt întreprinderile mici şi mijlocii care nu au banii, timpul şi competenţele tehnice pentru a se ocupa de sistemele lor informatice şi nici dorinţa de a investi într-un personal competent pe această zonă. Ele vor să producă, să vândă şi să obţină profit pentru că altfel falimentează. Trebuie astfel să le ajute cineva, să le sprijine să-şi securizeze sistemele. Dacă sunt sprijinite în acest demers, vor deveni mai de încredere, mai agresive, cu alte cuvinte mai competitive. Există un lanţ – trebuie început de la nivelul cel mai de jos pentru a face totul mai sigur. Trebuie oferite directivele şi rămâne la latitudinea fiecărei ţări cum coordonează campaniile de conştientizare. Se întocmesc de asemenea ghiduri de bune practici, pentru managementul riscurilor, de exemplu. Dacă ne gândim la spitale, aeroporturi, din nou IMM-uri, administraţii, în mod cert au puncte slabe care le pot afecta sistemele de securitate. Neavând timp şi resurse pentru a cerceta aceste puncte slabe, dat fiind faptul că priorităţile le sunt cu totul altele, le sunt oferite instrumente care să îi ajute să evalueze şi apoi să administreze aceste riscuri care acoperă în proporţie de 50% activităţile pe care o organizaţie trebuie să le desfăşoare, fiind vorba doar de luarea deciziilor care se impun. Şi aceasta se aplică pentru toate aspectele care ţin de securitatea informaţiei.
