10 motive pentru punerea in aplicare a unui Sistem de Management al Securitatii Informatiilor

Stirile despre incalcarea securitatii informatiilor sunt tot mai frecvente si alarmeaza pe toata lumea.

Cu toate acestea, masurile pe care organizatiile sunt dispuse sa le ia pentru a evita asemenea situatii sunt aproape inexistente sau se gasesc doar la nivel declarativ prin prezentarea unor planuri si masuri care, in realitate, nu vor fi aplicate niciodata.

De ani de zile, eu si alti specialisti in securitatea informatiilor prezentam necesitatea implementarii si/sau cerificarii unui sistem de management al securitatii informatiilor dar in foarte putine cazuri ne intalnim cu un interes real fata de acest subiect.

In “The 2018 Global State of Information Security® Survey” (GSISS) 40% dintre respondenții sondajului din cadrul organizațiilor care folosesc robotică sau automatizari declară că întreruperea operațiunilor ar fi cea mai importantă consecință a unui ciber-atac pe aceste sisteme dar cu toata aceasta constientizare a acestor riscuri, organizatiile sunt sau raman nepregatite sa se ocupe de aceasta problema.

Am constatat ca este foarte dificil sa convingi managementul unei organizatii sa inceapa operatiunile de implementare a unui sistem de management al securitatii informatiilor pentru a obtine o certificare bazata pe cerintele standardului ISO/IEC 27001:2013 Information technology – Security techniques – Information security management systems – Requirements.

Neincrederea, scepticismul si de ce nu, lipsa unui buget, ridica o serie de intrebari legate de utilitatea si eficienta unui sistem de management al securitatii informatiilor iar toti acesti oameni sunt indreptatiti sa aiba aceste temeri. Sunt, din pacate, destul de des, intalnite situatii in care organizatia apeleaza la certificarea unui sistem de management doar pentru a rezolva o cerinta contractuala.

Indeplinirea cerintelor unui standard ISO, oricare ar fi acesta, implica cheltuieli suplimentare dar mai ales, implica un efort semnificativ din partea organizatiei. Tot acest efort poate fi amplificat daca nu este sustinut de profesionalismul personalului ales sa faca implementarea cerintelor standardului si uneori esecul nu este departe.

De ce ar trebui sa fie pus in aplicare un sistem de management al securitatii informatiilor si ce motiveaza acest lucru?

Sunt destul de multe organizatii care sunt convinse ca nu au nevoie de acest lucru pentru ca au suficient de multe proceduri, controale si tehnologie avansata pentru a se proteja de atacurile informatice. Oare asa sa fie?

Am apelat atat la propria mea experienta cat si la mai multe surse de informare pentru a identifica motivele pentru care o organizatie ar trebui sa puna in aplicare un sistem de management al securitatii informatiilor si pentru a argumenta ca beneficiile pot fi mult mai mari decat majoritatea dintre noi isi dau seama.

Zece motive pentru punerea in aplicare a unui sistem de management al securitatii informatiilor (SMSI):

SMSI ofera un avantaj competitiv. Un bun exemplu este acela ca certificarea ISO/IEC 27001 este ceruta in unele documente de participare la licitatii si/sau ca cerinta a unor audituri externe
SMSI cuprinde personal, procese si sisteme IT fiind cunoscut faptul ca securitatea informatiilor nu inseamna doar existenta unui program anti-virus ci si existenta si mai ales eficienta proceselor organizationale coordonate si gestionate de un personal informat.
SMSI ajuta la coordonarea tuturor eforturilor de asigurare a securitatii (atat electronice cat si fizice) intr-un mod coerent, consecvent si eficient.
SMSI reduce costurile datorate incidentelor de securitate și minimizeaza amenințările.
SMSI oferă o abordare sistematică de gestionare a riscurilor de securitate și permite luarea de decizii in cunoștință de cauză cu privire la investițiile de securitate.
SMSI poate fi integrat cu alte standarde de management (Ex. ISO 22301, ISO 9001, ISO 14001, ISO 37001, etc.) asigurand o abordare eficientă a guvernanței corporative.
SMSI demonstrează conformitatea cu cerințele clienților, cu reglementările legale și/sau alte cerințe comunicand un mesaj pozitiv personalului, clienților, furnizorilor și părților interesate.
SMSI creează practici de lucru mai eficiente care să sprijine obiectivele de afaceri prin atribuirea intr-un mod clar de roluri și procese ce trebuiesc respectate.
SMSI necesita intretinere si imbunatatire continua asigurand prin aceasta ca toate politicile si procedurile de securitatea informatiilor sunt actualizate oferind o protectie permanenta informatiilor sensibile din organizatie.
SMSI asigura clientii si partile interesate ale organizatiei ca informatiile lor si dreptul de proprietate intelectuala este pastrat intr-un mod sigur iar riscurile de securitate sunt gestionate eficient.

Pentru implementarea, gestionarea si certificarea unui sistem de management al securitatii informatiilor organizam in Romania prin RQM Certification patru cursuri de securitate a informatiilor bazate pe standardul ISO/IEC 27001. Toate aceste cursuri sunt oferite în parteneriat cu PECB si utilizează materiale de curs acreditate PECB (PECB este un organism acreditat de certificare a personalului de către “The International Accreditation Service” (IAS) în conformitate cu ISO/IEC 17024 – Cerințe pentru organismele care operează certificarea persoanelor).

Instruirea se bazează atât pe teorie, cât și pe cele mai bune practici utilizate în implementarea/auditul standardelor internaționale ISO. Ședințele de curs sunt ilustrate cu exemple bazate pe studii de caz iar exercițiile practice se bazează, de asemenea, pe studii de caz, care includ jocuri de rol și discuții. Testele practice sunt similare cu examenul de certificare.

După finalizarea cu succes a examenului, puteți solicita acreditările aferente fiecarui curs la care ati participat. Veți primi un certificat odată ce îndepliniți toate cerințele legate de acreditările selectate. Pentru mai multe informații despre certificările ISO/IEC 27001 și procesul de certificare PECB, consultați Regulile și politicile de certificare.

Surse:

Informatiile conduc afacerile – Partea-I-a, by Ion Iordache
ISO/IEC 27001 Management System Certification
ISO/IEC 27001 Information Security Trainings
“9 reasons to implement an information security management system (ISMS)“, by Lewis Morgan

Author: Ion Iordache

Ion Iordache is the Managing Director at iQuality Services Pty. Ltd. from Melbourne, Australia, consultant, speaker and trainer for RQM Certification from Romania. He is a security consultant, a professional trainer in adult education, PECB Certified ISO 9001 & ISO/IEC 27001 Lead Auditor and PECB Certified ISO/IEC 27001, ISO 28000 & ISO 37001 Lead Implementer. Ion has over 20 years of experience in consulting services and training in management systems.

Cookie	Duration	Description
cookielawinfo-checkbox-analytics	11 months	This cookie is set by GDPR Cookie Consent plugin. The cookie is used to store the user consent for the cookies in the category "Analytics".
cookielawinfo-checkbox-functional	11 months	The cookie is set by GDPR cookie consent to record the user consent for the cookies in the category "Functional".
cookielawinfo-checkbox-necessary	11 months	This cookie is set by GDPR Cookie Consent plugin. The cookies is used to store the user consent for the cookies in the category "Necessary".
cookielawinfo-checkbox-others	11 months	This cookie is set by GDPR Cookie Consent plugin. The cookie is used to store the user consent for the cookies in the category "Other.
cookielawinfo-checkbox-performance	11 months	This cookie is set by GDPR Cookie Consent plugin. The cookie is used to store the user consent for the cookies in the category "Performance".
viewed_cookie_policy	11 months	The cookie is set by the GDPR Cookie Consent plugin and is used to store whether or not user has consented to the use of cookies. It does not store any personal data.

Zece motive pentru punerea in aplicare a unui sistem de management al securitatii informatiilor (SMSI):

Let’s Connect