Home - Rasfoiesc.com
Educatie Sanatate Inginerie Business Familie Hobby Legal
Doar rabdarea si perseverenta in invatare aduce rezultate bune.stiinta, numere naturale, teoreme, multimi, calcule, ecuatii, sisteme



Biologie Chimie Didactica Fizica Geografie Informatica
Istorie Literatura Matematica Psihologie

Informatica


Index » educatie » Informatica
Necesitatea managementului securitatii IT si responsabilitati in domeniu


Necesitatea managementului securitatii IT si responsabilitati in domeniu




Necesitatea managementului securitatii IT si responsabilitati in domeniu

Managementul securitatii sistemului informatic reprezinta o componenta importanta a managementului integrat care urmareste crearea instrumentelor necesare pentru analiza riscurilor si implementarea solutiilor destinate limitarii efectelor riscurilor asupra sistemului informatic.

Cauzele generatoare ale problemelor de securitate sunt reprezentate in principal de:

Dependenta tot mai mare a organizatiilor (companii, institutii, banci, agenti




economici etc) fata de propriile sisteme informatice din ce in ce mai complexe;

Utilizarea pe scara larga a aplicatiilor instalate pe extranet/intranet (ERP,

e-supply chain, e-CRM, e-payment, licitatii electronice etc);

Accesarea de la distanta a aplicatiilor;

Schimbul de informatii cu mediul informatic exterior, fapt care impune protectie impotriva riscului de virusare si de afectare a datelor pe timpul transferului;

Interconectivitatea dintre sisteme;

Schimbari neasteptate ale tehnologiei;

Neadecvarea managementului si controlului;

Atractivitatea hackerilor pentru construirea atacurilor asupra unor organizatii;

Evolutia unor factori externi legislativi, de reglemetare sau dezvoltare tehnologica.

Necesitatea managementului securitatii informatiei este impusa de
urmatorii factori:

- Riscurile si amenintarile sunt reale si pot avea un impact semnificativ asupra organizatiei;

- Securitatea informatiei necesita actiuni coordonate si integrate de sus in jos;

- Investitiile IT pot fi importate si alocate neadecvat;

- Sunt importanti in securitatea IT factorii culturali siorganizationali specifici organizatiei;

- Regulile si prioritatile trebuie sa fie stabilite si implementate;

- Incidentele de securitate pot sa devina publice;

- Securitatea sistemului trebuie sa fie demonstrata partenerilor cu care se desfasoara tranzactii electronice;

- Afectarea reputationala poate fi considerabila in cazul unor incidente

majore.

Studiile efectuate au demonstrat faptul ca multe organizatii nu asigura o securitate corespunzatoare sistemelor lor informatice si aceasta deoarece:

Importanta problemelor legate de controlul procesarii automate a datelor este subestimata, companiile considerand ca pierderea informatiilor sensibile pe care le detin reprezinta o amenintare ce nu le poate afecta, cel putin intr-un interval de timp mai apropiat. De exemplu, mai putin de 25% din 1.250 de companii, subiect al unui studiu realizat de Ernst & Young asupra securitatii sistemelor informatice, au considerat ca aceste probleme au o importanta deosebita;

Nu este inteleasa necesitatea intaririi controlului in contextul
trecerii de la prelucrarea centralizata la sistemele distribuite;

Multe companii nu inteleg inca faptul ca securitatea datelor
este cruciala pentru supravietuirea companiei;

Presiunea exercitata de productivitate si costuri determina ca
managementul sa amane masurile de control acestea - fiind
consumatoare de timp.

Sarcinile managementului privitoare la securitatea sistemului informatic

Sarcinile managementului privitoare la securitatea sistemului informatic pot fi structurate pe cele doua paliere si anume top management (consiliul de administratie al organizatiei) si managementul executiv.

În sarcina top managementului revin urmatoarele sarcini:

Sa fie informat despre securitatea informatiei stocate si procesate in cadrul sistemului;

Sa stabilieasa directia strategiei si politicii in domeniul securitatii
IT si sa defineasca un profil de risc asumat;

Asigurarea resurselor necesare efortului de realizare a sistemului
de securitate stabilit prin politicile elaborate;

Asignarea responsabilitatilor la nivelul conducerii;

Stabilirea prioritatilor;

Sustinerea schimbarilor;

Definirea valorilor culturale legate de constientizarea riscurilor;

Obtinerea opiniei auditorilor interni si externi;

Monitorizarea managementului cu privire la investitiile in securitate si raportarea acestuia cu privire la eficienta programului de implementare a securitatii.

În sarcina managementului executiv revin urmatoarele sarcini:





Scrierea politicii de securitate;

Asigurarea ca rolurile individuale, responsabilitatile si autoritatile
sunt clar comunicate si intelese;

Identificarea amenintarilor si vulnerabilitatilor si a practicilor aplicabile;

Punerea la punct a infrastructurii de securitate;

Dezvoltarea unui cadru de securitate si control care consta din standarde, masuri, practici si proceduri dupa aprobarea politicii;

Decide cu privire la resursele disponibile, prioritatile si masurile pe care si le poate permite organizatia;

Stabileste masurile de monitorizare pentru detectarea si inlaturarea breselor de securitate;

Conduce reevaluarile si testele periodice;

Implementeaza mijloacele de detectare a intruziunilor si modalitatile de raspuns la incidente.

Asigura pregatirea utilizatorilor cu privire la necesitatea respectarii cerintelor de securitate;

- Asigura ca securitatea sa fie o parte integranta a ciclului de viata al proceselor si detalierea cerintelor de securitate la nivelul fiecarei faze a ciclului de viata.

În raport cu aceste atributii, in procesul auditarii, expertul auditor va trebui sa raspunda la o serie de intrebari care sa vizeze masura in care managementul cunoaste problemele de securitate din cadrul organizatiei si masura in care se implica in rezolvarea lor. Iata un set posibil de asemenea intrebari sugerate de ghidul elaborat de IT Gouvernance Institute:

Cand s-a implicat top managementul in decizii legate de securitatea sistemului informatic? Cat de des se implica top managementul in decizii de aceasta natura?

Stie managementul cine este responsabil pentru securitatea sistemului informatic al organizatiei? Persoana respectiva stie ca are aceasta responsabilitate? Mai stie cineva acest lucru?

Cum este recunoscut un incident de securitate? Poate fi ignorat un astfel de incident? Se stie ce trebuie facut in cazul unui astfel de incident?

Stie cineva cate calculatoare sunt in organizatie? Cum afla managementul de disparitia unui calculator?

A identificat managementul toate informatiile (date despre clienti, planuri strategice, rezultate ale cercetarii etc) care ar afecta organizatia in cazul accesarii neautorizate?

A avut organizatia de suferit in urma ultimului atac cu virusi? Cate atacuri cu virusi au avut loc anul anterior?

Au fost inregistrate intruziuni in reteaua organizatiei? Cu ce frecventa si cu ce impact s-au desfasurat intruziunile?

Au fost aceste intruziuni raportate si cui anume?

Cum detecteaza organizatia incidentele de securitate? Cum sunt    rezolvate aceste incidente si ce cunoaste managementul despre ele?

Stie cineva cate persoane folosesc sistemul informatic al organizatiei? Stie cineva daca aceste persoane au fost autorizate si ce anume activitati desfasoara aceste persoane in sistem?

Este considerata securitatea ca esentiala?

Stie managementul care ar fi consecintele unor incidente de securitate serioase in termeni financiari, pierderea clientilor si a increderii investitorilor?

Stie organizatia care este pozitia sa cu privire la IT si riscurile de securitate?

Cat de mult s-a cheltuit pe securitate? Pe ce anume ? Cum s-au justificat cheltuielile? Ce proiecte s-au desfasurat anul trecut pentru imbunatatirea securitatii?

Cat personal a fost pregatit prin cursuri anul trecut? Cate persoane din managementul organizatiei au participat la aceste cursuri?

Cum stabileste managementul cine are drept de acces la sistemul informatic si informatiile organizatiei?

Este managementul pregatit pentru refacere in cazul unor incidente majore?

Este pus la punct un plan de securitate care acopera toate aceste intrebari? Responsabilitatile referitoate la acest plan sunt cunoscute?

În vederea evaluarii practicilor managementului cu privire la securitatea IT auditorul va trebui sa raspunda la urmatoarele intrebari:

Are managementul siguranta ca exista in organizatie implementata o securitate adecvata?

Cunoaste managementul cele mai noi solutii si practici de securitate?

Care sunt cele mai bune practici in domeniul de activitate al organizatiei si unde se plaseaza organizatia in raport cu aceste practici?



Procedeaza managementul in mod regulat la formularea si
comunicarea cerintelor de securitate ale organizatiei ?

A evaluat managementul cat va trebui sa investeasca pentruimbunatatirea securitatii?

Sunt luate in considerare elementele de securitate cand se
discuta dezvoltatea afacerii si strategia IT?

Se mentine in organizatie corelatia intre riscuri si solutiile tehnice disponibile?

Se prezinta regulat managementului rapoarte privind realizarea proiectelor de imbunatatire a securitatii?

A solicitat managementul un audit independent al securitatii IT? A urmat recomandarile lui?

Comitetul de conducere si managementul executiv pot folosi modele de evaluare a maturitatii managementului securitatii informatiei. Un astfel de model permite definirea unor rating-uri privind securitatea informationala a organizatiei. Modelul3 poate fi aplicat progresiv ca:

Metoda pentru autoevaluarea pozitiei organizatiei in comparatie
cu organisme similare.


IT Governance Institute: Guidance for Boards of Directors and Executive Management

Metoda pentru stabilirea obiectivelor de realizat in urma
autoevaluarii realizate si in functie de pozitia pe care organizatia considera ca poate sa o ocupe nefiind necesara atingerea pozitiei de top.

Metoda de planificare a proiectelor in vederea indeplinirii obiectivelor bazata pe analiza decalajelor intre obiectivele fixate si situatia existenta.

Metoda de fixare a prioritatilor proiectelor in lucru bazata pe clasificarea proiectelor si analiza beneficiilor sale asupra costurilor.


Interpretarea nivelurilor de rating este prezentata in tabelul urmator:

Nivel de

maturitate

Descriere

0

1

2

3

4

5



5

Nu exista procese pentru evaluarea riscurilor si luarea
deciziilor. Organizatia nu ia in considerare impactul
asupra business-ului determinat de vulnerabilitatile de
securitate si cu dezvoltarea de proiecte incerte.
Managementul riscului nu a fost identificat ca relevant in
achizitionarea solutiilor IT si oferirea serviciilor IT.

Organizatia nu recunoaste nevoia de securitate IT.
Responsabilitatile pentru asigurarea securitatii nu sunt
asignate. Masurile pentru sustinerea managementului
securitatii nu au fost implementate. Nu exista raportari
legate de securitatea IT si nu exista procese de feed-back
in cazul producerii incidentelor de securitate.

Nu exista o intelegere a riscurilor, vulnerabilitatilor si
amenintarilor asupra operatiilor IT sau a impactului
pierderii functiei IT asupra business-ului. Continuitatea
functiei IT nu este in atentia managementului.

Initial/Ad-Hoc

Organizatia considera riscurile IT intr-o maniera ad-hoc fara a urma politici si procese definite. Exista evaluari
informale ale proiectelor de risc la nivelul fiecarui
proiect.

Organizatia recunoaste nevoia de securitate IT dar
constientizarea securitatii depinde de individ. Securitatea
IT nu este comensurata. in cazul breselor de securitate se
constata ca responsabilitatile nu sunt clare.
Responsabilitatile legate de continuitatea functiei IT sunt
informale cu autoritati limitate. Managementul a devenit
constient de riscuri si de nevoia continuitatii functiei IT.
Repetabil dar intuitiv

Exista o intelegere a importantei riscurilor si a
necesitatii ca ele sa fie luate in considerare. Exista unele
evaluari ale riscurilor dar procesul nu este inca solid.

Responsabilitatile pentru securitatea IT sunt atribuite unui coordonator pe segmentul IT dar care nu are autoritate manageriala. Informatia cu privire la securitatea IT este generata dar nu este analizata. Se reactioneaza la incidentele de securitate produse prin solutii care nu raspund nevoilor organizatiei. S-au elaborat politicile de securitate dar inca se folosesc mijloace inadecvate. Raportarea cu privire la securitatea IT este incompleta, necorespunzator condusa sau nepotrivita.

Responsabilitatea pentru continuitatea functiei IT este asignata. Abordarile pentru continuarea activitatii sunt fragmentate. Raportarea privind disponibilitatea sistemului este incompleta si nu ia in considerare impactul asupra business-ului.

Definit

De

Exista o politica definita pentru managementul riscului IT care precizeaza cand si cum sa se realizeze evaluarea riscurilor.

Nevoia de securitate este constientizata si este indusa de management. Procedurile de securitate au fost definite si corespund politicii definite. Responsabilitatile pentru securitatea IT au fost stabilite dar nu au fost aplicate corespunzator. Exista un plan de securitate IT ca de asemenea analize de risc si solutii de securitate.
Raportarea pe segmentul securitatii IT este bine focalizata. Se executa ad-hoc si teste de intruziune.

Exista si este permanent actualizata o lista a sistemelor si componentelor critice din organizatie.

Bine condus

Exista o procedura standard pentru evaluarea riscurilor si exceptiile de la procedura sunt urmarite de management. Managementul securitatii IT revine manage-mentului senior. Au fost determinate nivelurile de risc pe care organizata le poate accepta.

Responsabilitatile privind securitatea IT sunt bine
definite si asigurate. Se realizeaza evaluarea impactului si analiza riscurilor. Identificarea utilizatorilor si autorizare lor sunt standardizate. Este stabilita certificarea de securitate a personalului. Testarea intruziunilor este standard iar procesul este in perfectionare. Sunt utilizate analize cost/profit sustinand implementarea masurilor de securitate. Procesele de securitate IT sunt coordonate cu celelalte functii de securitate ale organizatiei. Raportarea privind securitatea IT este legata de obictivele de business.

Sunt implementate responsabilitatile si standardele

pentru continuarea activitatii.

Optimizat

Procesul de evaluare a riscurilor este bine pus la punct si
bine condus.

Securitatea IT este responsabilitatea comuna a
managementului si a conducatorului activitatii IT si este
integrata cu securitatea obiectivelor business-ului.
Cerintele securitatii IT sunt corect definite, optimizate si
incluse intr-un plan de securitate verificat. Functiile de
securitate sunt integrate cu aplicatii in faza de proiectare
iar utilizatorii finali sunt responsabili de gestionarea
securitatii. Rapoartele de securitate ofera atentionari
timpurii asupra schimbarii si aparitiei riscurilor, utilizind mijloace de monitorizare automata pentru sistemele critice. Incidentele sunt prompt solutionate prin proceduri automate. Periodic au loc evaluari ale eficacitatii planului de securitate. Informatii privind noi amenintari si vulnerabilitati sunt colectate sistematic, analizate si limitate prin controale adecvate iar apoi sunt promt comunicate si implementate. Se realizeaza o imbunatatire continua a testelor de intruziune, a analizei cauzelor incidentelor de securitate.

Planul de refacere a functiei IT este integrat in Planul de continuitate a activitatii organizatiei.




loading...




Politica de confidentialitate


Copyright © 2020 - Toate drepturile rezervate