© Network Security 2013
Helping your Business
VISUALISE
Nevoia de securitate a informatiei (InfoSec)
Multi conducatori de firme invoca pretul crescut al asigurarii securitatii. Sunt insa masuri care
necesita cheltuieli minime. Una dintre ele este constientizarea angajatului cu privire la politica de
securitate a firmei. Oamenii sunt mult mai importanti decat tehnologiile in crearea unei securitati
adecvate si efective in cadrul firmei.
De asemenea, o politica de securitate minima, dar efectiva este de preferat in locul uneia
complicate si greu de inteles sau implementat. O securitate efectiva presupune protectia bunurilor
firmei (implicit a datelor), detectarea intruziunilor si raspunsul la acestea.
Personalul insarcinat cu asigurarea securitatii trebuie sa fie tot timpul in alerta.
Niciodata securitatea nu va fi efectiva. Va exista intotdeauna o portita care sa fie folosita pentru
lansarea unui atac. Important este ca acel atac sa fie descoperit cat mai repede si sa fie
contracarat.
O securitate efectiva la nivelul firmei va putea fi asigurata printr-un program care sa puna impreuna
politicile, procesele si tehnologiile necesare asigurarii securitatii. Standardele arhitecturale pentru
implementarea securitatii trebuie riguros respectate. Desemnarea unui personal responsabil cu
asigurarea securitatii la nivel de firma este imperios necesara. Atunci cand acest lucru nu este
posibil din diverse motive, se impune apelarea la serviciile unei firme specializate. Securitatea este
vitala in conditiile actuale. Nu trebuie stopate nicicum eforturile pentru asigurarea securitatii.
Securitatea nu este o destinatie, securitatea este un proces continuu.
Exista 5 elemente cheie ale oricarei strategii de securitate a unei organizatii, care se bazeaza unul
pe altul, se completeaza si intrepatrund:
1.
Politici de securitate stabilite in concordanta cu activitatea organizatiei, politica scrisa cu
obiective precise si sustinuta de masuri ferme si resurse corespunzatoare. Aceste politici se
fac cunoscute angajatilor, colaboratorilor, tertilor cu care exista contracte si tuturor partilor
interesate cu care organizatia are legaturi.
2.
Proceduri operationale de securitate prin care sunt implementate politicile de securitate, in
care sunt abordate toate elementele activitatii organizatiei pe linia InfoSec.
3.
Managementul riscului are ca scop identificarea, controlul si minimizarea riscurilor de
securitate si este o activitate continua de stabilire si mentinere a unui nivel de securitate in
sensul ca, pornind de la analiza de risc, se identifica si se evalueaza amenintarile si
vulnerabilitatile si se propune aplicarea masurilor adecvate de contracarare, proiectate la un
pret de cost corelat cu consecintele care ar decurge din divulgarea, modificarea sau
stergerea informatiilor care trebuiesc protejate.
4.
Auditul intern si extern (de terta parte) prin care procesele sunt monitorizate si eficacitatea lor
este cuantificata pentru a avea garantia ca se realizeaza nivelul de securitate asteptat de
conducere.
5.
Personalul necesar pentru implementarea politicilor, procedurilor, analizei de risc si
proceselor de audit de securitate.
necesita cheltuieli minime. Una dintre ele este constientizarea angajatului cu privire la politica de
securitate a firmei. Oamenii sunt mult mai importanti decat tehnologiile in crearea unei securitati
adecvate si efective in cadrul firmei.
De asemenea, o politica de securitate minima, dar efectiva este de preferat in locul uneia
complicate si greu de inteles sau implementat. O securitate efectiva presupune protectia bunurilor
firmei (implicit a datelor), detectarea intruziunilor si raspunsul la acestea.
Personalul insarcinat cu asigurarea securitatii trebuie sa fie tot timpul in alerta.
Niciodata securitatea nu va fi efectiva. Va exista intotdeauna o portita care sa fie folosita pentru
lansarea unui atac. Important este ca acel atac sa fie descoperit cat mai repede si sa fie
contracarat.
O securitate efectiva la nivelul firmei va putea fi asigurata printr-un program care sa puna impreuna
politicile, procesele si tehnologiile necesare asigurarii securitatii. Standardele arhitecturale pentru
implementarea securitatii trebuie riguros respectate. Desemnarea unui personal responsabil cu
asigurarea securitatii la nivel de firma este imperios necesara. Atunci cand acest lucru nu este
posibil din diverse motive, se impune apelarea la serviciile unei firme specializate. Securitatea este
vitala in conditiile actuale. Nu trebuie stopate nicicum eforturile pentru asigurarea securitatii.
Securitatea nu este o destinatie, securitatea este un proces continuu.
Exista 5 elemente cheie ale oricarei strategii de securitate a unei organizatii, care se bazeaza unul
pe altul, se completeaza si intrepatrund:
1.
Politici de securitate stabilite in concordanta cu activitatea organizatiei, politica scrisa cu
obiective precise si sustinuta de masuri ferme si resurse corespunzatoare. Aceste politici se
fac cunoscute angajatilor, colaboratorilor, tertilor cu care exista contracte si tuturor partilor
interesate cu care organizatia are legaturi.
2.
Proceduri operationale de securitate prin care sunt implementate politicile de securitate, in
care sunt abordate toate elementele activitatii organizatiei pe linia InfoSec.
3.
Managementul riscului are ca scop identificarea, controlul si minimizarea riscurilor de
securitate si este o activitate continua de stabilire si mentinere a unui nivel de securitate in
sensul ca, pornind de la analiza de risc, se identifica si se evalueaza amenintarile si
vulnerabilitatile si se propune aplicarea masurilor adecvate de contracarare, proiectate la un
pret de cost corelat cu consecintele care ar decurge din divulgarea, modificarea sau
stergerea informatiilor care trebuiesc protejate.
4.
Auditul intern si extern (de terta parte) prin care procesele sunt monitorizate si eficacitatea lor
este cuantificata pentru a avea garantia ca se realizeaza nivelul de securitate asteptat de
conducere.
5.
Personalul necesar pentru implementarea politicilor, procedurilor, analizei de risc si
proceselor de audit de securitate.
Noile tehnologii ajuta companiile sa isi
eficientizeze afacerile, dar majoreaza
semnificativ si riscurile fata de securitatea
informatiilor. Organizatiile recunosc faptul
ca mediul de risc se schimba continuu, pe
masura ce se intensifica frecventa si
natura amenintarilor de securitate a
informatiilor iar numarul incidentelor de
securitate creste.
Noile tehnologii deschid oportunitati
extraordinare pentru organizatii dar, in
acelasi timp, si potentiale amenintari
provenite din surse necunoscute anterior.
La noul context informational, cu riscuri
multiple si noi tehnologii de securitate,
organizatiile raspund prin marirea
bugetelor si ajustarea prioritatilor. In ceea
ce priveste alocarea bugetului, in topul
prioritatilor de investitii se afla
achizitionarea de noi tehnologii de
securitate care sa asigure prevenirea
intruziunilor, interzicerea diseminarii
neautorizate de informatii si sa faca
posibila implementarea planurilor de
continuitate a afacerilor.
eficientizeze afacerile, dar majoreaza
semnificativ si riscurile fata de securitatea
informatiilor. Organizatiile recunosc faptul
ca mediul de risc se schimba continuu, pe
masura ce se intensifica frecventa si
natura amenintarilor de securitate a
informatiilor iar numarul incidentelor de
securitate creste.
Noile tehnologii deschid oportunitati
extraordinare pentru organizatii dar, in
acelasi timp, si potentiale amenintari
provenite din surse necunoscute anterior.
La noul context informational, cu riscuri
multiple si noi tehnologii de securitate,
organizatiile raspund prin marirea
bugetelor si ajustarea prioritatilor. In ceea
ce priveste alocarea bugetului, in topul
prioritatilor de investitii se afla
achizitionarea de noi tehnologii de
securitate care sa asigure prevenirea
intruziunilor, interzicerea diseminarii
neautorizate de informatii si sa faca
posibila implementarea planurilor de
continuitate a afacerilor.
