Securitatea Informatiei este

responsabilitatea TA !

INSTRUIRE
SECURITATEA INFORMATIEI & BCP
2019
 9 December 2019

Obiectivele instruirii:

A cunoaste:
• Prevederile politicilor si standardelor de securitate a informatiei
• Amenintarile si riscurile la care suntem expusi

• Modalitatile de protectie

• PSD2 – SCA & Raportare incidente majore

• Importanta asigurarii continuitatii afacerii

Speram sa retineti ceva util si pentru acasa.

2
 Classification: VISTA BANK Internal Use Only
 9 December 2019

Introducere

Procedurile si Politica de Securitate a Informatiei le puteti gasi in locatia urmatoare:

Y:\Procedures\Procedures - Romanian\Risc\Securitatea Informatiei

Politici, Standarde si Proceduri de interes:

Pentru toti angajatii:

 Politica de Securitate a Informatiilor
 Standard de Control al Accesului
 Standard de Utilizare Acceptabila a Internetului
 Standardul de Clasificare si Procesarea Informatiilor
 Plan de raspuns la incidentele de Securitate
 Clean Desk and Clear Screen Policy
 Standard pentru Protectia impotriva Software-ului Malitios

Pentru angajatii din Sucursale:

 Procedura de administrare a cheilor de criptare pentru ATM-uri

Pentru Dept. IT si Business Owneri de Sisteme IT:

 Standard de Salvare si Restaurare a informatiilor
 Standard de Securitate a comunicatiilor si retelelor
 Standard pentru Protectia impotriva Software-ului Malitios

3
 Classification: VISTA BANK Internal Use Only
 9 December 2019

Politica de Securitate a Informatiei

 Set de documente aprobate si sustinute de Conducere.

 Reprezinta asigurarea managementului privind problemele de securitate ale informatiei.
 Politica protejeaza informatiile, datele si resursele Bancii.
 Ofera directii si support legate de problemele de securitatea ale informatiei in conformitate cu
cerintele de afaceri, legile si regulamentele in vigoare.
 Se aplica in mod egal Angajatilor, Consultantilor si Partenerilor care lucreaza cu informatiile
Vista Bank Romania.

Securitatea Informatiei este

responsabilitatea TA !

 Este datoria noastra sa asiguram un nivel ridicat de Securitate

pentru a sprijini procesele de afaceri !

 Toti angajatii avem responsabiltatea securitatii in aria noastra de

lucru!

 Managementul ar trebui sa fie un exemplu de comportament adecvat privind securitatea informatiei !

4
 Classification: VISTA BANK Internal Use Only
 9 December 2019

Securitatea Informatiei si Protectia Datelor

Obiectivele de protectie definesc si specifica cerintele

de protectie pentru date si informatii specifice, sub forma
claselor de protectie.

Incident de securitate: un eveniment sau serie de evenimente actuale sau potentiale care
pot ameninta confidentialitatea, integritatea sau disponibilitatea informatiei.

In continuare sunt prezentate aspecte privind clasele de protectie asociate obiectivului

Confidentialitate, inclusiv clasificarea si etichetarea informatiilor.

5
 Classification: VISTA BANK Internal Use Only
 9 December 2019

Clasificarea informatiilor
Nivel de Eticheta necesara Criteriu de decizie
clasificare

Public (nu este necesara etichetarea) Accesul neautorizat nu conduce la pierderi economice.
Se aplica informatiilor destinate publicului.
Exemple: brosuri de marketing, rate de schimb, adresele sucursalelor, etc.

Uz Intern VISTA BANK Internal Use Only Accesul neautorizat poate conduce la pierderi economice sau de imagine.
Se aplica informatiilor care sunt semnificative pentru business.
Informatie destinata doar angajatilor Bancii, si unor parteneri de afacere ai Bancii.
Exemple: politici, circulare sau proceduri interne, ghiduri, cursuri interne, planificari
sedinte, numele aplicatiilor IT, etc.

Acces VISTA BANK Restricted Access Accesul neautorizat poate conduce la pierderi economice insemnate.
Restrictionat Se aplica informatiilor sensibile care sunt extrem de semnificative pentru business.
Informatie destinata unui numar restrans de utilizatori.
Exemple: liste clienti,, date personale date financiare (tranzactii, depozite, preturi),
contracte semnate, indicatori de risc, vulnerabilitati, arhitectura IT, Memo, etc.

Secret VISTA BANK Secret Accesul neautorizat poate rezulta in distrugeri economice majore pentru Banca.
Aceasta informatie este de maxima importanta pentru strategia Bancii.
Informatie destinata exclusiv pentru un grup foarte precis definit de persoane.
Exemple: planuri strategice, bugete, informatii protejate de relatia avocat/client, etc.

Proprietarul (autorul sau originatorul) informatiei sau al documentului are datoria:

 Sa decida nivelul de clasificare a informatiei.

 Sa autorizeze accesul la informatie pe baza principiului “Need-to-know”1 Cititi “Standardul de Clasificare si Procesare
 Sa asigure confidentialitatea, integritatea si disponibilitatea informatiei. a Informatiilor” pentru mai multe detalii despre
1Need-to-know = Nevoia de a cunoaste Distribuire, Stocare si Distrugere a
diferitelor tipuri de informatii clasificate!
6
 Classification: VISTA BANK Internal Use Only
 9 December 2019

Riscuri asociate neprotejarii/divulgarii de informatii confidentiale

Neprotejarea / divulgarea informatiei (accidentala sau intentionata)

are urmatoarele riscuri asociate:
 Pierderea reputatiei;

 Pierderi financiare (amenzi, pierderea oportunitatilor de afacere,

pierderea proprietatii intelectuale);

 Pierderea increderii clientilor.

Este interzisa divulgarea informatiilor confidentiale!

Divulgarea neautorizata a informatiilor cu “Acces Restrictionat” sau “Secret” este pedepsita extrem
de sever potrivit Regulamentului Intern.

Vista Bank este operator de date cu caracter personal, astfel incat noi suntem obligati sa asiguram
protectia acestor date! (din 25 Mai 2018 conform regulamentului UE “GDPR”)

• Banca isi rezerva dreptul de a monitoriza activitatile angajatilor care folosesc echipamentele IT ale
companiei;

• Incalcarea politicii si/sau a standardelor de securitate poate atrage masuri disciplinare si poate fi de
asemenea raportata catre autoritati.

7
 Classification: VISTA BANK Internal Use Only
 9 December 2019

“Nevoia de a sti”
 Dati informatii numai persoanelor autorizate DOAR pe baza
principiului “Need to know” (“Nevoia de a sti”).
 Divulgarea informatiilor sensibile ale Bancii reprezinta o amenintare serioasa la
adresa companiei, dar si pentru locul Dvs. de munca.

 Atentie speciala se va acorda protejarii datelor personale ale clientilor Bancii

si ale angajatilor.

DA:
 Divulgati informatiile sensibile doar acelora autorizati care au nevoie de ele pentru a indeplini sarcinile
de serviciu.
 Acordati atentie deosebita distribuirii de informatii partenerilor de afaceri, consultantilor si clientilor.
Atentie la NDA (“non-disclosure agreement”) valid !

NU:
 Nu divulgati informatii sensibile colegilor daca nu au nevoie de ele la
serviciu.
 Nu divulgati informatii sensibile prietenilor, familiei sau altora care nu
au nevoie sa cunoasca acele informatii.
 Nu vorbiti in public (taxi, autobuz, cafenea, spatiu de fumat, etc.) despre
activitatile de la serviciu pentru ca cineva neautorizat v-ar putea auzi.

8
 Classification: VISTA BANK Internal Use Only
 9 December 2019

Siguranta Parolelor
• Folositi numai parole puternice:
 Contin cel putin 8 caractere alfanumerice
 Satisfac cel putin 3 din 4 constrangeri:
• Caractere mici (a-z)
• Caractere mari (A-Z)
• Cifre (0-9)
• Caractere de punctuatie (!@#$%^&*)

• Evitati parolele slabe:

- Cuvinte din dictionar (romana, engleza sau al altei limbi) Timp necesar pentru un hacker sa descopere o parola prin bruteforce:
5 caractere = 10 secunde 8 caractere = 115 zile
- Secvente consecutive de litere sau cifre (ex: 1234, abcd, qwerty)
6 caractere = 1,000 secunde 9 caractere = 31 ani
- Nume de persoane, animale, institutii, alte nume comune
7 caractere = 1 zi 10 caractere = 3,000 ani

• NU REFOLOSITI PAROLELE, in special cand este vorba de site-uri care contin informatii importante
si/sau date personale!! Nu folositi la serviciu aceleasi parole pe care le folositi in interes personal!
(Astfel, in cazul in care o parola de-a dvs. este compromisa, nu veti expune informatiile Bancii la un risc suplimentar.)

• NU COMUNICATI parolele altor persoane, fie ei chiar sefi directi, colegi, subalterni sau Suport IT. Tineti cont ca parola
de AD (Active Directory) este utilizata pentru a permite accesul la statia de lucru si la contul de mail, ori la alte informatii
sensibile de pe PC ori din aplicatiile interne care au fost integrate cu AD pentru autentificarea userilor.

• Schimbati periodic parolele !

• Schimbati imediat parola daca suspectati ca aceasta a fost aflata/vazuta de altcineva!

9
 Classification: VISTA BANK Internal Use Only
 9 December 2019

Masuri de protectie a datelor la birou

• Blocati intotdeauna statia de lucru cand plecati din fata ei.
Pentru a pastra datele in siguranta, apasa simultan tastele Win + L pentru a bloca ecranul PC-ului:

• Nu lasa documentele nesupravegheate, in imprimanta, fax sau pe birou !

• Incuie in sertare sau dulapuri documentele cu continut restrictionat

sau secrete!

• Distruge in Shredder hartiile ce contin informatii sensibile !

• Nu scrie parolele pe hartii pentru a le lasa la vedere!

10
 Classification: VISTA BANK Internal Use Only
 9 December 2019

Utilizarea dispozitivelor mobile de stocare:

CD / DVD / memory stick-uri USB / HDD extern

Aceste dispozitive mobile au:

- Dimensiuni reduse
- Capacitate de stocare mare
- Pret redus

 Deci sunt usor de pierdut !

Folosirea acestor dispozitive reprezinta o cale de raspandire a virusilor si de scoatere

a datelor confidentiale din companie  de aceea folosirea lor nu este agreata in cadrul
Vista Bank.

In cazul exceptiilor, datele stocate pe ele trebuie CRIPTATE !

(consultati ISO pentru modalitatea adecvata de criptare)

11
 Classification: VISTA BANK Internal Use Only
 9 December 2019

Detectarea, tratarea si raportarea incidentelor de securitate

Utilizatorii pot detecta incidente de securitate in desfasurarea activitatii lor, iar raportarea
incidentelor imediat cum au fost constatate este foarte importanta.

Incidentul de securitate trebuie raportat imediat catre Information Security Officer !

(trimite mail catre iso@vistabank.ro)

Un incident de securitate poate fi inclus, in general, in una din categoriile de mai jos:
 intreruperea serviciilor (cunoscut ca Denial of Service – DoS sau Distributed Denial of
Service - DDoS);
 infectarea cu malware (ex.: troieni, rootkit, keylogger, virusi);
 accesul neautorizat (in cladire, la calculator, in aplicatii);
 utilizarea necorespunzatoare a serviciului, sistemelor sau informatiilor;
 incident cu componente multiple.

12
 Classification: VISTA BANK Internal Use Only
 9 December 2019

Ingineria sociala (1/2)

Reprezinta tehnica de manipulare a persoanelor cu scopul de a divulga informatii

confidentiale, prin exploatarea unei situatii de falsa incredere.

Ingineria Sociala nu implica neaparat tehnologie; ea se refera la tehnici folosite de infractori care incearca sa obtina in
mod ilicit informatii confidentiale prin exploatarea anumitor trasaturi ale personalitatii angajatilor: serviabilitatea,
credulitatea, tendinta de cedare la presiune, teama, nevoia de recunoastere, curiozitatea, respectul fata de autoritate.

Cateva instrumente si metode folosite pentru Ingineria Sociala: telefoane, e-mail-uri (inclusiv cu malware), site-uri web
contrafacute, retele sociale, cautarea prin documentele aruncate la gunoi, stick-uri USB infectate, accesul odata cu
angajatii in zonele protejate ale companiei, spionaj in timpul discutiilor in public.

Phishing:
 primiti mail-uri trimise in numele unor companii “de incredere” cu link-uri catre formulare in
care sunteti rugat sa introduceti date personale.
 primiti un mail de la un presupus client / partener - potential sau existent – mesajul pare
real si contine un atasament, dar este doar o incercare de a va infecta calculatorul, sau de a
va fura datele.

Tailgating: cand intrati intr-o cladire a companiei, pana se inchide usa, mai intra dupa dvs. si alte
persoane neautorizate.

Impersonare:
 patrunderea in spatiul de birouri a unor persoane neautorizate, dar care imita persoane autorizate;
 o persoana va suna la telefon si pretinde ca este de la IT si va cere numele de utilizator si parola;
 cineva pretinde ca ati fost colegi la scoala si vrea sa devina prietenul dvs. intr-o retea sociala;

13
 Classification: VISTA BANK Internal Use Only
 9 December 2019

Ingineria sociala (2/2)

 Metode de protectie?

 Atacatorii folosesc de obicei evenimente notabile mondiale sau mondene. Sa nu aveti incredere intr-un
link/atasament primit prin e-mail, printr-o retea sociala sau prin mesageria instant; verificati mai intai din
surse sigure.
 Nu aveti incredere in link-uri prescurtate trimise prin metodele exemplificate mai sus (ex.:
http://bit.ly/4TzSq2).
 Verificati intotdeauna autenticitatea persoanei cu care stati de vorba la telefon sau de la care ati primit
un email important/urgent!

Nu deschideti atasamentele mailurilor suspecte !

Nu dati enable la Macro!

 Va puteti infecta statia cu un Ransomware ce va cripteaza
toate fisierele de pe statie – devenind indisponibile!

14
 Classification: VISTA BANK Internal Use Only
Mailuri de Phishing
(exemple si metode de recunoastere)

 Classification: VISTA BANK Internal Use Only

9 December 2019 15
@centrilfy.com in loc de
@centrify.com

 Classification: VISTA BANK Internal Use Only

9 December 2019 16
 Exemple de Phishing
- Impersonarea/spoof-area unor adrese de mail interne (vezi
exemplul din dreapta) sau adrese externe (exemplu de jos) este
utilizata de atacatori pentru a pacali/convinge persoanele catre
care s-a trimis mailul ca expeditorul ar fi de incredere, cerand sa
se deschida atasamente (care au malware) sau sa acceseze link-
uri care fac trimitere catre site-uri care contin malware.
- Anuntati incidentul imediat catre ISO si Helpdesk in caz ca
primiti mailuri suspecte (care pot fi mailuri de Phishing)!

 Classification: VISTA BANK Internal Use Only

9 December 2019 17
Exemple de Phishing (.doc cu Macro malitios)

Adresa reala a Sender-ului

era mdoud@ma-scope.com
(conform Header email de
mai jos), dar hacker-ul a
spoofat adresa de email la
trimitere, astfel incat sa
creada Victima tinta ca
mailul ar veni de la
“office@dhl.ro”!

Acel “Enable Content” (activarea Macro) initiaza

rularea cu PowerShell a unui script obfuscat malitios
– iar mai jos observam ca scriptul incearca sa descarce
un malware executabil de pe un site din Internet.

 Classification: VISTA BANK Internal Use Only

9 December 2019 18
Spear-phishing emails attacks

 Classification: VISTA BANK Internal Use Only

9 December 2019 19
 Classification: VISTA BANK Internal Use Only
9 December 2019 20
 9 December 2019

Navigarea sigura pe Internet

• Asigurati-va ca folositi un browser recent,

stabil, iar aplicatia Java, player-ul flash si reader-
ul PDF sunt la cele mai recente versiuni si
antivirusul este la zi;
• Verificati ca browser-ul foloseste TLS1.x si
verificati certificatele oferite de site-uri pentru
validitate (Check for server certificate revocation);
• Invatati sa recunoasteti semnele conectarii la
un site sigur: conexiune prin “https” si certificat
valid al site-ului. Daca browser-ul avertizeaza ca
certificatul site-ului nu se potriveste cu al
serverului, este recomandabil sa nu continuati;

Exemplu:

21
 Classification: VISTA BANK Internal Use Only
 9 December 2019

Retelele de socializare
Sfaturi pentru protectia dvs. si a contactelor dvs.:
Inscrierea:
• Folositi un pseudonim si o adresa de e-mail dedicata acestui scop;
• Nu utilizati aceleasi parole folosite pentru a accesa alte servicii (ex: e-mail);
• Controlati accesul aplicatiilor la datele dvs. si reduceti utilizarea acestora.
• Utilizati inteligent setarile de privacy disponibile;

Atentie la ce imagini, filme si informatii publicati.

Nu publicati informatii sensibile – personale sau de la locul de munca.

Alegeti cu grija prietenii online:

• Nu acceptati cereri de la cei care se pretind a fi “prieteni”, dar nu ii cunoasteti.
• Verificati toate contactele dvs.
• Nu uitati: Internetul nu uita niciodata!

Protejati locul de munca si evitati riscurile la adresa reputatiei acestuia:

• Folositi adresa de e-mail personala la inscriere, nu cea de la compania la care lucrati.
• Aveti grija ce spuneti despre compania la care lucrati sau despre alte firme.
• Nu amestecati contactele de business cu cele ale prietenilor.

22
 Classification: VISTA BANK Internal Use Only
 PSD2 – SCA (Strong Customer Authentication) 9 December 2019

In Romania (si in UE), incepand din 14 Septembrie 2019, se aplica obligatoriu REGULAMENTUL DELEGAT (UE) 2018/389 de
completare a Directivei PSD2, cu privire la standardele tehnice de reglementare pentru autentificarea strictă a clienților (SCA) și
standardele deschise, comune și sigure de comunicare.

Autentificarea strictă a clienţilor (SCA) = autentificare care se bazează pe utilizarea a 2 (doua) sau mai multe elemente incluse în:
1) - categoria cunoştinţelor deţinute / “knowledge” (ceva ce doar utilizatorul cunoaşte)  exemple: Parola, cod PIN, etc.
2) - categoria posesiei (ceva ce doar utilizatorul posedă)  ex: Token fizic, software eToken instalat pe smartphone, card
introdus intr-un card-reader, card cu CVV dinamic, etc.
3) - categoria inerenţei (ceva ce reprezintă utilizatorul)  ex: Fingerpint, recunoastere faciala, recunoasterea stilului de
tastare (keystroke dynamics), recunoastere vocala, etc
Proprietati necesare si obligatorii ale elementelor de autentificare alese:
- sunt independente;
- compromiterea unui element nu conduce la compromiterea fiabilităţii celorlalte elemente;
- sunt concepute în aşa fel încât să protejeze confidenţialitatea datelor de autentificare.

Conform Legii 209/2019 (transpunerea PSD2 in Romania) publicata in Monitorul Oficial (Sect.2/Autentificarea - ART. 220):
(1) Banca aplică autentificarea strictă a clienţilor atunci când plătitorul:
a) îşi accesează online contul de plăţi;
b) iniţiază o operaţiune de plată electronică;
c) întreprinde orice acţiune, printr-un canal la distanţă, care poate implica un risc de fraudare a plăţii sau alte abuzuri.
(2) Atunci când se iniţiază o operaţiune de plată electronică în condiţiile prevăzute la alin. (1) lit. b), Banca aplică autentificarea
strictă a clienţilor, incluzând elemente care asigură o legătură dinamică (“dynamic linking”) între operaţiune, o sumă specifică
şi un beneficiar al plăţii specific, în cazul în care operaţiunile de plată electronică sunt iniţiate la distanţă.
(3) În cazul prevăzut la alin. (1), Banca instituie măsuri de securitate adecvate în vederea protejării confidenţialităţii şi a
integrităţii elementelor de securitate personalizate ale utilizatorilor serviciilor de plată.
(4) Dispoziţiile alin. (2) şi (3) se aplică în cazul în care plăţile sunt iniţiate prin intermediul unui prestator de servicii de iniţiere a
plăţii (PISP), iar dispoziţiile alin. (1) şi (3) se aplică şi în cazul în care informaţiile sunt solicitate prin intermediul unui prestator de
servicii de informare cu privire la conturi (AISP).

23
 Classification: VISTA BANK Internal Use Only
 9 December 2019

PSD2 – Raportarea incidentelor majore (operationale sau de securitate)

.Conform Legii 209/2019 (transpunerea PSD2 in Romania) publicata in Monitorul Oficial (ART. 219):

1. Banca, trebuie sa notifice catre BNR orice incident operational sau de securitate major, fara intarzieri nejustificate si in forma
solicitata de BNR (conform Ghidului EBA de raportare a incidentelor operationale sau de securitate majore - Raportarea initiala
catre BNR trebuie sa se realizeze in 4 ore de la identificarea incidentului Major).
2. In cazul în care incidentul are sau poate avea un impact asupra intereselor financiare ale utilizatorilor de servicii de plata, Banca
trebuie sa informeaze fara intarzieri nejustificate utilizatorii respectivi cu privire la incident si la toate masurile pe care
utilizatorii le pot lua pentru a atenua efectele negative ale acestuia.
Clasificarea incidentelor (majore sau minore) conform PSD2:
Procesul de clasificare a incidentelor se bazează pe criteriile de impact “Major”
sau “Minor”. Severitatea incidentului se determina conform diagramei alaturate:

Nivelul impactului (High / Low) se determina in functie de

urmatoarele criterii de impact (conform tabelului de mai jos):

Este responsabilitatea Business System Owner-ului

sistemului critic (aflat in scopul PSD2) sa evalueze nivelul
de impact al unui incident operational sau de securitate si
sa raporteze corespunzator (catre BNR si utilizatori – dupa caz).

24
 Classification: VISTA BANK Internal Use Only
 9 December 2019

Modul Business Continuity Management

(Managementul Continuitatii Afacerii)
Definitie:

Capacitatea organizatiei de a continua desfasurarea activitatii, livrand produse si asigurand servicii, la un nivel
acceptat, in timpul si dupa producerea unui incident.

Scop:

 Identifica potentialele amenintari la adresa unei organizatii precum si impactul asupra activitatii operationale, in
cazul in care acestea s-ar produce,
 Asigura un cadru adecvat in vederea construirii unei organizatii puternice, capabile sa protejeze eficient
interesele actionarilor, reputatia, brand-ul si activitatile vitale.

Conf. ISO 22301 - 2012

25
 Classification: VISTA BANK Internal Use Only
 9 December 2019

Modul Business Continuity Management

(Managementul Continuitatii Afacerii)

DE CE este nevoie sa asiguram

 O companie trebuie sa fie pregatita sa faca fata oricarui incident care i-ar
continuitatea afacerii Vista Bank?
putea perturba activitatea si, in eventualitatea in care acesta ar avea loc,
sa fie capabila sa functioneze in continuare la un nivel acceptabil pana
cand activitatile sale critice sunt restabilite.
 Pentru a proteja clientii companiei
– ce asigura veniturile companiei
 Pentru pregatirea gestionarii unui incident, managementul continuitatii
afacerii reprezinta un proces care identifica impactul potential care
ameninta o companie si ofera solutii eficiente care protejeaza organizatia
respectiva in general, reputatia, brandul si activitatile critice ale acesteia.  Pentru a proteja reputatia companiei,
– asigurand increderea clientilor
si partenerilor
 In plus, se refera la managementul recuperarii sau continuitatii in situatia
producerii unui dezastru, precum si la sustinerea intregului proces prin
training, repetitii, revizuiri, pentru a asigura ca planurile sunt actuale si  Pentru a proteja fiecare angajat
functionale. – inclusiv pe tine!

26
 Classification: VISTA BANK Internal Use Only
 9 December 2019

Modul Business Continuity Management

(Managementul Continuitatii Afacerii)
Sistemul de Management al Continuitatii Afacerii este parte a intregului proces de management al unei organizatii care stabileste,
implementeaza, opereaza, monitorizeaza, revizuieste, intretine si imbunatateste continuitatea afacerii organizatiei.

Implementarea BCM in cadrul Vista Bank se bazeaza pe ciclul de viata al

managementului continuitatii afacerii, care este un proces continuu:

Etapa 1. Intelegerea organizatiei (operatiunilor unitatii)

 Analiza Impactului Afacerii (BIA) si Evaluarea riscurilor

Etapa 2. Definirea strategiei BCM

 Aprobata la nivelul comitetului de coordonare BCM

Etapa 3. Dezvoltarea si implementarea raspunsului BCM

 Managementul incidentelor si planificarea continuitatii Afacerii

Etapa 4. Exersarea/testarea, mentinerea si revizuirea

 Auditarea testarilor specifice BCM
 Procesul de imbunatatire continua se bazeaza pe documentarea

eficacitatii masurilor

Etapa 5. Integrarea BCM in cultura organizationala

 Actiuni de constientizare si de formare a unei culturi specifice BCM
 Instruire si exercitii specifice

27
 Classification: VISTA BANK Internal Use Only
 9 December 2019

Modul Business Continuity Management

(Managementul Continuitatii Afacerii)
Definitie: Cateva exemple de incidente majore care pot
Incidentul este un eveniment ce ar putea genera interuperi de afecta continuitatea afacerilor companiei:
activitate, pierderi materiale, situatii de urgenta sau criza.
 Dezastre naturale majore sau conditii
meteorologice severe: cutremure, furtuni de
zapada, inundatii etc.

Conf ISO 22301 - 2012  Incidente care ameninta siguranta oamenilor si

care necesita un raspuns imediat: incendii,
inundatii, alte distrugeri la nivelul cladirilor critice
Caracteristici:
Incidentele (dezastrele) nu pot fi puse in cutii si nu tin cont de granite.  Incidente tehnologice care afecteaza
disponibilitatea sistemelor IT si/sau de
Ele nu tin cont de oameni, cladiri, companii, servicii, administratii locale comunicatii: intreruperea alimentarii cu energie
nationale sau guvernamentale. electrica a echipamentelor/ nodurilor critice

? 



Nu au granite
Aduc haos
Nu stim cand vor avea loc
Nu stim unde se vor intampla



Incidente care afecteaza strategia sau reputatia
unei companii

Incidente care afecteaza principalele procese si

operatiuni ale companiei

Incidente care afecteaza securitatea informatiei

 Nu stim cine va fi disponibil si aplicatiile critice.

28
 Classification: VISTA BANK Internal Use Only
 9 December 2019

Modul Business Continuity Management

(Managementul Continuitatii Afacerii)
Etapele unui incident

• Identificare incident

• Confirmare incident

• Evacuare sau stat pe loc?

Faza 1
• Numararea personalului
(Emergency Response)

• Evaluarea impactului

• Se iau masuri

Continuitatea activitatilor Faza 2

si recuperarea dupa dezastru (Business Continuity

and Disaster Recovery)

29
 Classification: VISTA BANK Internal Use Only
 9 December 2019

Modul Business Continuity Management

(Managementul Continuitatii Afacerii)
Comunicarea in caz de incident si raportarea incidentului :
- Un incident trebuie raportat, in cel mai scurt timp, responsabilului de incident si managerului ierarhic superior
- Informatia se va comunica rapid, concret si relevant pentru situatia data
- Comunicarea catre mass-media va fi realizata numai de persoane abilitate,
declaratiile trebuind sa respecte procedurile interne in vigoare;
- Dati dovada de calm, incredere si adoptati atitudine potrivita situatiei.

Plan-uri si Proceduri de interes ce pot fi gasite pe Y:\Procedures :

• Planul de Continuitate a Afacerii (disponibil la adresa: Y:\Procedures\Procedures - Romanian\BCP_Plan de continuitate a
afacerii:)
• Procedura de testare, intretinere si revizuire a Planului de Continuitate a Afacerii
• Plan de recuperare in caz de dezastru
• Plan de raspuns la incidentele de securitate
• Procedura de Back-up & Recuperare

«Nu supravietuiesc speciile cele mai puternice, nici cele mai inteligente,
ci cele care raspund cel mai bine la schimbare.»
(Charles Darwin)
30
 Classification: VISTA BANK Internal Use Only
 9 December 2019

Modul Business Continuity Management

(Managementul Continuitatii Afacerii)
Noul Sediu Operational Secundar (BCP Floreasca)
- In cazul in care se decide de catre Business Continuity and
Crisis Management Team activarea Planului de Business
Continuity, doar persoanele cheie care au fost prevazute in Planul
BCP de catre managerii fiecarui Departament se vor reloca la
sediul operational secundar pentru a continua activitatile critice.
- Adresa : Calea Floreasca, Nr. 60, etaj 3 (Bucuresti) – vezi harta:

31
 Classification: VISTA BANK Internal Use Only
 9 December 2019

Securitatea Informatiei este un lant de controale...

…. cea mai importanta veriga a lantului esti chiar TU !

32
 Classification: VISTA BANK Internal Use Only
 Succes la
Testul Final !

Multumesc pentru parcurgerea

materialului de training !

Ciprian STANICA-EZEANU
(Information Security Officer)

Contact:
- iso@vistabank.ro
- ciprian.ezeanu@vistabank.ro