Information-Security-For-Non-Technical-Managers ROM

Machine Translated by Google
Securitatea informațiilor pentru managerii netehnici
Dr Eduardo Gelbstein
Descărcați cărți gratuite de la

Dr. Eduardo Gelbstein
Securitatea informațiilor pentru managerii

non-tehnici
Descărcați cărți electronice gratuite de pe bookboon.com
2
Securitatea informației pentru manageri non-

tehnici ediția I
© 2013 Dr. Eduardo Gelbstein & bookboon.com
ISBN 978-87-403-0488-6
3
Securitatea informațiilor pentru managerii non-tehnici Cuprins
Cuprins
Despre autor 8
Introducere 10
1 Securitatea informațiilor în context 12
1.1 O scurtă istorie a tehnologiilor informaționale și a efectelor secundare ale acestora 12
1.2 De ce securitatea informațiilor este din ce în ce mai importantă 14
1.3 Ubicuitate și dependențe ireversibile 15
2 Lecții identificate în ultimii zece ani 16
2.1 Semantica securității informațiilor 16
2.2 Principalele domenii țintă în insecuritatea informațională 18
2.3 Ceea ce trebuie făcut pentru a consolida securitatea este bine cunoscut,
dar nu este făcut suficient de bine 21
2.4 Certificari 22
2.5 Asimetrii și consecințe 23
2.6 Menținerea securității este treaba tuturor 24
www.sylvania.com
Nu reinventăm
roata, reinventăm
lumina.
Iluminatul fascinant oferă un spectru infinit de
posibilități: tehnologiile inovatoare și noile piețe
oferă atât oportunități, cât și provocări.
Un mediu în care expertiza dumneavoastră este la mare
căutare. Bucurați-vă de atmosfera de lucru favorabilă din
cadrul grupului nostru global și beneficiați de trasee
internaționale de carieră. Implementați idei durabile în
strânsă cooperare cu alți specialiști și contribuiți la
influențarea viitorului nostru. Vino și alătură-te nouă în
reinventarea luminii în fiecare zi.
Lumina este OSRAM
4
Faceți clic pe anunț pentru a citi mai multe
3 Definirea securității informațiilor 26
3.1 Ce se înțelege prin „securitatea informațiilor” 26
3.2 Diferențele dintre securitatea întreprinderii, securitatea informației și
securitatea tehnologiei informației 27
4 Gestionarea securității informațiilor în întreprindere 31
4.1 Guvernanța securității informațiilor 32
4.2 Componentele guvernanței securității informațiilor 33
4.3 Gestionarea pentru securitate 35
4.4 Ce face un bun Chief Information Security Officer (CISO) 39
4.5 Rolul tău de manager 40
5 Cele patru domenii ale vulnerabilităților 42
5.1 Vulnerabilitatea guvernării 42
5.2 Vulnerabilitatea oamenilor 43
5.3 Vulnerabilitatea procesului 45
5.4 Vulnerabilitatea tehnologiei 48
PERSPECTIVE PROVOCATORII
Oportunități de stagiu
EADS reunește un producător de aeronave de top, cel mai mare furnizor de oportunități de învățare și dezvoltare și tot sprijinul de care aveți nevoie, veți aborda
elicoptere din lume, un lider global în programe spațiale și un lider mondial în provocări interesante cu produse de ultimă generație.
soluții și sisteme de securitate la nivel mondial pentru a forma cel mai mare grup
de apărare și aerospațial din Europa. Peste 140.000 de oameni lucrează la Salutăm peste 5.000 de stagiari în fiecare an din discipline, de la inginerie,
Airbus, Astrium, Cassidian și Eurocopter, în 90 de locații la nivel global, pentru a IT, achiziții și finanțe, la strategie, asistență pentru clienți, marketing și vânzări.
livra unele dintre cele mai interesante proiecte din industrie.
Pozițiile sunt disponibile în Franța, Germania, Spania și Marea Britanie.
Un stagiu EADS oferă șansa de a vă folosi cunoștințele teoretice și de a le aplica

direct în situații și sarcini reale în timpul studiilor. Având în vedere un nivel înalt de Pentru a afla mai multe și pentru a aplica, vizitați www.jobs.eads.com. De asemenea,
responsabilitate, o mulțime de puteți afla mai multe pe pagina noastră de Facebook EADS Careers.
5 Faceți clic pe anunț pentru a citi mai multe

6 Alți factori ai insecurității informaționale 51
6.1 Motive de îngrijorare 51
6.2 Factori externi: peisajul în continuă schimbare 55
6.3 Securitatea informațiilor nu ar trebui să împiedice gândirea inovatoare 56
7 Măsurarea securității 57
7.1 Măsurarea securității informațiilor 57
7.2 Raportarea valorilor de securitate a informațiilor 61
8 Alte subiecte privind securitatea informațiilor 63
8.1 Analiza impactului asupra afacerii (BIA) 63
8.2 Managementul riscului informațional 65
360°
8.3 Planificarea supraviețuirii 69
8.4 Peisajul legislativ 70
gândire.
360°
gândire.
360°
gândire.
Descoperiți adevărul la www.deloitte.ca/careers Di
© Deloitte & Touche LLP și entitățile afiliate.
Descoperiți adevărul la www.deloitte.ca/careers © Deloitte & Touche LLP și entitățile afiliate.

Deloitte & Touche LLP și entitățile afiliate.
Descoperiți adevărul la
6 www.deloitte.ca/careers Faceți clic pe
anunț pentru a citi mai multe

9 Concluzii 71
10 Referințe 72
10.1 Descărcabil gratuit: 72
10.2 Material care necesită achiziție 73
10.3 Subiecte neacoperite în această carte 73
11 Anexă: Mulțumiri 74
12 Note de final 75
Îți vom transforma CV-ul

într- o oportunitate pentru o viață
Îți plac mașinile? Ți-ar plăcea să faci parte dintr-un brand de succes? Trimite-ne CV-ul tău pe
Vă vom aprecia și vă vom recompensa atât entuziasmul, cât și talentul. www.employerforlife.com
Trimite-ne CV-ul tau. Vei fi surprins unde te poate duce.

Securitatea informațiilor pentru managerii non-tehnici Despre autor
Despre autor
Cu aproape 50 de ani de experiență în sectorul privat și public din mai multe țări, Ed a fost activ în securitatea
informațiilor prin publicații, conferințe internaționale, workshop-uri și, de asemenea, ca auditor.
După mulți ani în calitate de manager senior în Tehnologia Informației în British Rail preprivatizat, sa alăturat
Națiunilor Unite în calitate de director al Centrului Internațional de Calcul, o organizație de servicii care
furnizează servicii multor organizații internaționale. După pensionarea sa, a fost invitat să participe la audit
echipele Consiliului de Auditori Externi al Națiunilor Unite și cele ale Oficiului Național de Audit al Franței
(Cour des Comptes), activități pe care le-a continuat câțiva ani.
În prezent, este Senior Fellow al Fundației Diplo, o entitate care oferă formare online diplomaților din
întreaga lume. El este, de asemenea, membru al facultății al Universității Webster, Geneva, Elveția și un
vorbitor invitat la Centrul de Politică de Securitate din Geneva. El rămâne un colaborator la conferințele de
securitate din Europa, Golful Arabic și Africa.
Publicațiile sale includ mai multe cărți și articole în reviste evaluate de colegi. Printre ei:
„Quantifying Information Risk and Security”, Jurnalul ISACA, iulie 2013.
„Demonstrating Due Diligence in management of Information Security, Jurnalul ISACA, ianuarie 2013.
„Strengthening Information Security Governance, Jurnalul ISACA, noiembrie 2012
8
Securitatea informațiilor pentru managerii non-tehnici Despre autor
„Planificarea unui audit IT pentru o infrastructură de informații critice”, capitolul 11 al cărții „Securizarea
infrastructurilor critice și a sistemelor de control critic – abordări pentru protecția împotriva amenințărilor”
editată de Christopher Laing et.al. IGI Global, noiembrie 2012
„Lege și tehnologie – Război cibernetic, terorism cibernetic și imobilizare digitală”, co-autor și co-editat cu
profesorul Pauline Reich, IGI Global, noiembrie 2012
„Integritatea datelor, relația săracă a securității informațiilor”, Jurnalul ISACA, noiembrie 2011
„Crossing the Executive Digital Divide”, Fundația Diplo, Geneva, 2006
„Biblioteca Societății Informaționale”, o colecție de 9 broșuri (3 dintre ele despre securitate), Fundația Diplo,
Geneva, 2003 (în sprijinul primului Summit Mondial al Societății Informaționale)
„Insecuritatea informațiilor”, Sarcina de informare și comunicații a Secretarului General al Națiunilor Unite

Force, septembrie 2002
Ed poate fi contactat la gelbstein@diplomacy.edu
9
Securitatea informațiilor pentru managerii non-tehnici Introducere
Introducere
Scopul acestei cărți
Această carte non-tehnică este destinată celor care doresc o înțelegere mai largă a securității informațiilor și a ceea ce
trebuie făcut pentru a proteja activele informaționale și care ar trebui să le revină.
Aceste scurte capitole își propun să ofere o imagine de ansamblu concisă a motivului pentru care „problema” securității
informațiilor nu a fost rezolvată și ce implică utilizarea sistemelor și rețelelor informatice într-o lume conectată în care
peste 2 miliarde de oameni au acces la internet și peste 4 miliarde au telefoane mobile. Mulți dintre ei au, de asemenea,
suficiente cunoștințe despre modul în care funcționează aceste lucruri pentru a le putea perturba.
În scrierea acestei cărți, autorul a luat în considerare elementele lui 5W1H: Ce, De ce, Cine, Unde, Când și Cum. Un accent
pe „Ce” și „De ce” a fost considerat a fi potrivit. „Cine” se aplică cititorului, precum și furnizorilor de servicii, designerilor
de sistem și tuturor atacatorilor. „Unde” este peste tot la nivel național

limite. „Când” este acum.
Partea „Cum” a acestei discuții depășește intenția și scopul acestei cărți. Multe materiale sunt disponibile, iar unele sunt
menționate în Capitolul 9.
Una dintre numeroasele provocări ale gestionării securității informațiilor în lumea corporativă este cea de scară:
organizațiile mici (de exemplu și echipele IT de mai puțin de 5 până la 10 persoane) pot să nu aibă acces la abilitățile și
experiența necesare pentru a face multe dintre practicile recomandate. și, la celălalt capăt, organizațiile foarte mari, care
pot avea mai multe echipe IT în diferite locații, pot să nu aibă „toch uman” și să se bazeze pe proceduri și tehnologii
birocratice. Abordarea adecvată ar trebui să facă parte din guvernanța securității informațiilor, deoarece nu există un
răspuns corect unic.
Cititorii care nu sunt familiarizați cu o parte din terminologie – se pare că există cuvinte noi inventate tot timpul – sunt
încurajați să consulte o enciclopedie online sau să folosească un motor de căutare.
10
Securitatea informațiilor pentru managerii non-tehnici Introducere
Puncte cheie din diferitele capitole
•„Cyberspace” este în mod inerent nesigur (Capitolul 1).
•Terminologia „ciberspațiului” este ambiguă și poate duce la neînțelegeri și confuzii. Mulți termeni de bază au
definiții și ortografie contestate (de exemplu, război cibernetic și armă cibernetică). Același lucru este valabil
și pentru conceptele de „securitate informațională” și „securitate tehnologiei informației” (Capitolul 2).
•Dependența de sistemele informaționale, serviciile și tehnologiile a devenit ireversibilă.
Există cunoștințe adecvate despre cum să le protejăm prin multe standarde, bune practici și linii
directoare. Cu toate acestea, trebuie făcut mai mult pentru a aplica aceste cunoștințe în practică (Capitolul
2).
• Cei care intenționează să perturbe sistemele informaționale și datele (nume sugerat: „hackeri”) pot fi oricine,
oriunde. Este prudent să presupunem că aceștia sunt talentați, cunoscători, motivați și dedicați, poate mai mult
decât cei responsabili pentru menținerea securității într-o organizație (Capitolul 2).
• Profesioniștii în securitate și conducerea superioară au percepții diferite asupra importanței acestui subiect. Acest
lucru are ca rezultat un dialog slab și o guvernare slabă. Ca urmare, multe organizații nu sunt bine
pregătite pentru a răspunde la un incident de securitate. (Capitolul 5).
•Securitatea 100% a informațiilor este de nerealizat, deoarece ar necesita cele patru componente pe care se
bazează pentru a fi perfectă. Aceste componente sunt: guvernanță, oameni, procese și tehnologie (Capitolul
5).
•Securitatea informațiilor a devenit o profesie stabilă și recunoscută, dar nu este reglementată.
Spre deosebire de un doctor în medicină sau de un pilot de aeronave, oricine poate fi un practician (Capitolul 6).
• Viteza inovației tehnice și entuziasmul pentru noile produse conspiră împotriva
„securitate prin proiectare”, în mare parte absentă în produsele pe care se bazează spațiul cibernetic. În
industria siguranței, accidentele sunt investigate amănunțit pentru a le descoperi cauza principală, care este
apoi eliminată prin proiectare (Capitolul 7).
• Înțelegerea și cuantificarea impactului evenimentelor de securitate asupra unei organizații (numită Analiza
impactului asupra afacerii) este esențial importantă pentru a ne asigura că măsurile preventive și de protecție
sunt aplicate acolo unde contează cel mai mult (Capitolul 8).
•Securitatea informațiilor se ocupă mai degrabă de incertitudine decât de risc, deoarece incidentele sunt vizate, nu
evenimente aleatorii. În plus, riscul (pentru care există mai multe definiții care se suprapun) este în viitor, iar
capacitatea umană de a face predicții are un istoric slab (Capitolul 8).
•Securitatea informațiilor nu este treaba altcuiva: fiecare are un rol. Mulți s-ar putea să nu fie conștienți
din aceasta.
11
Securitatea informațiilor pentru managerii non-tehnici Securitatea informațiilor în context
1 Securitatea informațiilor în context

În acest capitol avem în vedere
•O scurtă istorie a tehnologiilor informaționale, efectele sale secundare și consecințele nedorite

•De ce securitatea informației și securitatea tehnologiei informației au devenit importante
•Ubicuitatea și dependența ireversibilă a tehnologiilor informaționale
Există aspecte tehnice care fac ca spațiul cibernetic să fie inerent

nesigur și sunt practic imposibil de „remediat”.
Alexander Klimburg, Editor și coautor: Manualul Cadru Național de Securitate Cibernetică, NATO CCDCOE, 2013
1.1 O scurtă istorie a tehnologiilor informaționale și a efectelor secundare ale acestora
Aceia dintre noi care am lucrat în laboratoare de cercetare apropiate de vârful inovației tehnice în anii 1960 și 70, privim
tehnologiile de astăzi cu uimire, dacă nu cu neîncredere. Mulți lideri din industrie nu au reușit să anticipeze modul în care
aceste tehnologii vor schimba lumea:
•În 1943, Thomas Watson, pe atunci președinte al IBM, a prezis că: „Cred că există o lume
piață pentru poate cinci computere”.
•În 1977, Ken Olsen, pe atunci președinte al Digital Equipment Corporation a spus că: „Nu există
motiv pentru care orice persoană are un computer acasă”. Compania nu mai exista...
Aceste succese de transformare includ circuite integrate digitale („cipuri”) și DARPANet (precursorul Internetului) de la
mijlocul anilor 1960, computerele personale, rețelele de fibră optică și telefonia celulară din anii 1970. Apoi au apărut
interfețele grafice de utilizator (cum ar fi Apple Mac în 1984 și Windows în 1990), World Wide Web (1991) și Google (1998).
Primul model de iPhone (Apple) a fost lansat în 2007, iar primul model de iPad a urmat în 2010. Această inovație nu s-a oprit
și nu dă semne că va face acest lucru. În orice caz, s-ar putea să accelereze.
Acei suficient de vizionari încât să creadă că aceste tehnologii vor transforma lumea care erau pregătiți să investească în ele
(un adevărat pariu) au devenit uimitor de bogați. Aceia dintre noi care suntem mai conservatori
gânditori și oarecum neaștepți la riscuri ne-am dori.
Pe de altă parte, au existat multe eșecuri – idei, produse și servicii care au arătat un potențial considerabil, dar nu au reușit.
Câți își amintesc de companii precum Wang (lider în procesarea de text și minicalculatoare la sfârșitul anilor 1970 sau
Altavista, un motor de căutare lansat în 1995.
12
Acest val rapid de inovație, pe care unii îl numesc Technami, a adus cu el efecte secundare și consecințe nedorite.
Nesiguranța informațională este una dintre ele și a devenit un motiv de îngrijorare. Technami continuă: inovațiile
recente includ mașini care nu au nevoie de un șofer uman, aparate robotizate de chirurgie (încă controlate de un
om, dar acest lucru se poate schimba), dispozitive flexibile și portabile și noi abordări ale electronicelor militare.
Produsele de tehnologie informațională sunt furnizate „ca atare”, cu garanții limitate și, în cazul software-ului,
licențe care exclud vânzătorul de la răspunderea pentru consecințele funcționării defectuoase sau defecțiunilor.
Majoritatea acordurilor de licență pentru utilizatorul final (EULA) sunt lungi și greu de înțeles de către un
neprofesionist, care trebuie să accepte termenii și condițiile pentru a instala software-ul. Este posibil ca multe
dintre „aplicațiile” concepute pentru smartphone-uri și tablete să nu fi avut o asigurare adecvată a calității, iar unele
s-au dovedit că conțin software rău intenționat (malware).
Acest lucru este spre deosebire de situația industriei farmaceutice: o licență de vânzare a unui produs necesită
testare extinsă, urmând protocoale stricte. La vânzare, produsul include un prospect care descrie posibilele efecte
secundare și contraindicații. Acest proces nu asigură întotdeauna că produsele sunt suficient de sigure și mai multe
au trebuit să fie retrase de pe piață. Cu toate acestea, acest lucru este mai bun decât „l-ai cumpărat, acum succes”.
�e Programul
Programul Absolvent
Absolvent �e �e
Absolventului
M-am alăturat MITAS pentru că pentru Ingineri Geoștiință
ingineri și geoștiințe
Îmi doream responsabilități reale Maersk.com/Mitas
www.discovermitas.com �e
M-am alăturat MITAS pentru că pentru motor
Îmi doream responsabilități reale Ma
Luna 16
Eram
am fost o
unconstructie M
supraveghetor
Am fost
fost un
în supraveghetor
am un
în contra
Marea Nordului super
consiliere si N el
Muncă adevărată el
ajutând maiștrii consiliere
Interna ional
srezolva
Oportunități internaționale �ree
�ree
wor wor
�tree stagii de muncă probleme
să rezolve el
probleme
ajutând
Muncă adevărată
f la
Interna ional
srezolvarea p
wor stagii de muncă
�tree

1.2 De ce securitatea informațiilor este din ce în ce mai importantă
Știm acum că în spațiul cibernetic se întâmplă lucruri nedorite. Lista care urmează nu este exhaustivă, deoarece ingeniozitatea
umană continuă să dezvolte noi moduri de a exploata insecuritatea:
•Pierdere financiară: în 1995 o bancă britanică cu o istorie îndelungată a cedat, apoi în 2008 o bancă franceză a pierdut
peste 6 miliarde de euro. În 2011, o bancă elvețiană care operează la Londra a pierdut 2 miliarde de dolari. În
cele trei cazuri prin abuz sau abuz din interior. Acestea nu erau unice
situatii.
•Atacuri de tip Denial of Service – acestea supraîncărcă un sistem, de obicei un site web sau un serviciu de poștă
electronică, astfel încât acesta să nu funcționeze. Astfel de atacuri sunt destul de ușor de efectuat și de obicei au succes.
•Sabotarea rețelelor sau a sistemelor informatice pentru a interfera cu funcționarea acestora.
• Utilizarea de software rău intenționat pentru a prelua controlul asupra unui computer sau a unui sistem informatic pentru oricare dintre multe
motive posibile.
• Furtul de proprietate intelectuală – inclusiv spionajul industrial.
• Furtul de informații de identificare personală – o încălcare a confidențialității care duce la uzurparea identității.
• Coruperea sau distrugerea datelor corporative sau a software-ului – folosind frecvent programe rău intenționate
software.
Există îngrijorări tot mai mari cu privire la amenințarea atacurilor cibernetice asupra infrastructurilor critice, cum ar fi utilitățile
(energie, apă, comunicații, transport, spitale etc.), precum și cu privire la aplicarea legii și situațiile de urgență.
Servicii.
Politicienii din întreaga lume au acceptat, de asemenea, că există amenințarea că entitățile care joacă un rol critic în securitatea
națională, precum instalațiile militare și operațiunile din teren, ar putea fi ținta unui atac cibernetic.
Persoanele fizice sunt, de asemenea, ținte, de exemplu prin:
• Infectarea unui dispozitiv personal cu software rău intenționat (virus, vierme, cal troian, rootkit,
etc.).
• Pierderea controlului asupra unui dispozitiv personal care este utilizat fără consimțământul lor
diseminați spam sau efectuați o refuz de serviciu (zombie, botnet).
•Uzurparea identității – directorii superiori din Interpol și NATO au avut – fără a lor
cunoștințe sau consimțământ – pagini de Facebook despre acestea create și exploatate pentru a dobândi
„prieteni”. Acestea au fost apoi solicitate să furnizeze informații. Persoanele vizate au fost
inconștient de acest lucru.
14
•Abuz de încredere – un cercetător academic a creat conturi în Facebook, Twitter, Linkedin
și alte rețele sociale pentru o tânără strălucitoare (Robyn Sage) cu acreditări impresionante.
Atât de impresionant încât mulți nu doar că au vrut să fie legați de ea, dar i-au oferit un loc de muncă
(nevăzut) sau au împărtășit documente sensibile pentru a-i cere părerea. În realitate, Robyn nu a existat –
identitatea ei a făcut parte din cercetarea modului în care încrederea este folosită și abuzată în rețelele sociale.
• Furtul de identitate – inclusiv date despre conturi bancare, carduri de credit etc., provocând persoane fizice
pierderi financiare care sunt dificil de rezolvat.
•Santaj – de exemplu prin criptarea datelor dintr-un computer și solicitarea plății pentru a furniza cheia de
decriptare.
•Atacuri asupra telefoanelor mobile cu obiectivul principal de furt financiar. etc.
1.3 Ubicuitate și dependențe ireversibile

S-ar putea imagina un mediu astăzi fără tehnologii informaționale (IT), dispozitive mobile sau internet? Au rămas puține
locuri în care doar câteva persoane privilegiate au mijloacele tehnice și financiare pentru a se folosi de astfel de instrumente,
iar numărul este în continuă scădere.
Statisticile publicate de Internet World Stats estimau că până la jumătatea anului 2012 erau peste 2,4 miliarde de utilizatori
de Internet (ați observat că doar traficanții de droguri și industria IT se referă la clienții lor ca „utilizatori”?). Alte surse oferă
cifre comparabile. Uniunea Internațională a Telecomunicațiilor, o organizație a Națiunilor Unite, a raportat că în octombrie
2012 erau peste 6 miliarde de abonați la telefonie mobilă. La acea vreme, populația lumii era de puțin peste 7 miliarde,
dintre care mulți trăiesc cu mai puțin de 2 dolari pe zi.
În mod clar, informația și tehnologiile care permit accesul la acestea au devenit elemente „must have”, nu numai pentru
indivizi, ci și pentru națiuni și întreprinderi de toate felurile. Entuziasmul pentru noile gadgeturi și servicii sfidează credința.
Lansarea unui nou produs poate determina oamenii să stea la coadă peste noapte pe stradă, așteptând deschiderea
magazinului.
Deși acest lucru poate să nu fie evident pentru publicul larg, tehnologiile nu sunt perfecte. În plus, nici modalitățile în care
utilizatorii își protejează sistemele și datele nu sunt perfecte și nici utilizatorii înșiși – erorile sunt făcute de toată lumea
(capitolul 6 va reveni la acest subiect).
Mulți nu sunt, de asemenea, conștienți de rolul lor în protejarea informațiilor lor personale și a informațiilor corporative ale
angajatorului lor. Restul acestei cărți se concentrează pe necesitatea unei bune securități a informațiilor și pe ce implică
aceasta.
15
Securitatea informațiilor pentru managerii non-tehnici Lecții identificate în ultimii zece ani
2 Lecții identificate în ultimii zece

ani
În acest capitol avem în vedere
•Cât de ambiguitate în limbajul securității informațiilor duce la neînțelegeri și confuzii •Principalele

domenii țintă ale insecurității informaționale: criminalitate, infrastructuri critice, guvern, armata și
indivizii
•De ce multe organizații sunt nepregătite în ciuda standardelor, liniilor directoare și bunelor practici
disponibile •Natura asimetrică a ceea ce a devenit un război de
uzură •Cât de menținerea securității este treaba tuturor
2.1 Semantica securității informațiilor

… încurcă limba lor ca să nu se înțeleagă.
Geneza 11:7, Biblia, Noua versiune internațională, © 2011

Vocabularul securității informațiilor continuă să crească. O parte substanțială constă în jargon tehnic, de exemplu, botnet,
rootkit, cheie publică etc. Acestea sunt destul de semnificative pentru cei inițiați și misterioase pentru restul. Mass-media a
adoptat cuvântul „cyber” și îl folosesc frecvent. Politicienii l-au adoptat și ei, deși există definiții multiple și destul de inconsecvente.
Când William Gibson a creat cuvântul „Cyberspace” în romanul său din 1984, Neuromancer, el a contribuit cu un cuvânt care ar
fi folosit foarte greșit și abuzat fără a pune întrebări. Mai târziu, în viața sa, Gibson a spus că a fost un „cuvânt la moda evocator
și, în esență, fără sens”.
Nu există o definiție agreată pentru „spațiu cibernetic”. Cu siguranță include lumea datelor și a software-ului. Unii susțin că
include și infrastructuri de rețea și de calcul. Cei mai mulți sunt de acord că Internetul face parte din spațiul cibernetic și că
Internetul este doar o componentă a acestuia.
În mod similar, există un acord limitat cu privire la definițiile pentru „război cibernetic” și „terorism cibernetic” și nu există un
acord asupra modului de a le scrie: ca două cuvinte (război cibernetic), cu cratime ca mai sus sau ca un singur cuvânt (război
cibernetic). Lucruri de genul acesta sunt importante pentru legislatori, diplomați și avocați.
Există chiar un consens limitat cu privire la definiția securității cibernetice (indiferent de modul în care este scrisă). Pentru
această carte, conceptele „Securitatea informației” și „Securitatea tehnologiei informației” vor fi folosite pe tot parcursul și sunt
discutate în Capitolul 3.
Ambiguitatea și confuzia lingvistică nu se termină aici, deoarece alte cuvinte sunt, de asemenea, folosite în mod liber, fără
definiții larg acceptate și agreate. Un alt astfel de cuvânt este „hacker” care poate fi oricine, oriunde:
•Un hacker poate fi un programator de computere care combină curiozitatea, cunoștințele, creativitatea și inteligența
pentru a atinge un obiectiv dat. Acesta a fost sensul original al cuvântului „hacker”.
•Un hacker poate fi, de asemenea, cineva care ocolește sau interferează cu securitatea computerului și/sau
software și date.
•Hackerii variază de la tineri individuali cu anumite cunoștințe de calcul (Script Kiddies), folosind instrumente
disponibile online.
• Alții lucrează ca grupuri numite hacktiviști (un astfel de grup se numește ei înșiși
"Anonim";
• Apoi vin mercenari cibernetici, oameni profesioniști de securitate care lucrează cu criminali.
•Există cei din organizațiile militare și de aplicare a legii – la care mass-media se referă adesea
ei ca „armate cibernetice”.
•Există și cei care lucrează pentru actori nestatali („teroriști”).
Pentru a complica lucrurile, o persoană ar putea fi mai multe dintre cei de mai sus la un moment dat.
17
2.2 Principalele domenii țintă în insecuritatea informațională
Un raport publicat de Centrul de excelență pentru apărare cibernetică cooperativă1 (CCD-COE) NATO definește cinci domenii în
care insecuritatea informațională este o problemă și le discută separat, având în vedere că cerințele și acțiunile sunt diferite, dar cu
zone de suprapunere. Aceste domenii sunt:
•Criminalitatea cibernetică
•Protecția infrastructurii critice
•Apărare militară cibernetică
•Inteligenta si Contra-Inteligenta
•Guvernarea Internetului.
Această carte le va explora doar pe primele trei, având în vedere disponibilitatea limitată a informațiilor publice despre informații
și contrainformații și natura complexă a guvernării internetului, deoarece include elemente tehnice, juridice, socio-economice și
politice globale.
2.2.1 Criminalitatea cibernetică
Jefuitorul de bănci Willie Sutton (1901–1980) ar fi spus că a jefuit bănci „pentru că acolo sunt banii”. Pe măsură ce banii s-au
dematerializat în unii și zerourile lumii digitale, nu ar trebui să fie surprinzător că criminalitatea i-a urmat în lumea digitală.
Singurul instrument internațional care abordează acest subiect este Convenția Consiliului Europei privind criminalitatea cibernetică
(2001). Este deschisă aderării tuturor țărilor, iar la începutul lui 2013, doar 39 de țări au ratificat sau au accesat Convenția și încă 10
au semnat convenția, dar nu au ratificat-o. (ONU are 193 de state membre.)
Suma estimată, dar neconfirmată, a infracțiunilor cibernetice se ridică la sute de miliarde de dolari pe an. Este probabil ca unele
infracțiuni cibernetice să nu fie raportate de victime pentru a evita subminarea încrederii publicului și a acționarilor. Astfel de
infracțiuni au loc peste granițe, iar autorii pot, și fac, să pună bariere tehnice și juridice în calea detectării, arestării, extrădării și
judecării lor.
Criminalitatea informatică ia mai multe forme. Din perspectivă corporativă, principalele preocupări sunt furtul de proprietate
intelectuală și frauda. Același lucru este valabil și pentru alte forme de scurgere de date în care informațiile sensibile ajung la părți
care nu ar trebui să le dețină. Alte forme de criminalitate cibernetică corporativă includ sabotajul și/sau extorcarea.
Persoanele fizice sunt, de asemenea, ținta infracțiunilor cibernetice, cum ar fi furtul de identitate, în cazul în care o terță parte
poate colecta suficiente informații despre o persoană pentru a-și putea uzurpa identitatea (și deseori a le falimenta) prin obținerea
de documente, împrumuturi și detalii ale cărților de credit.
18
„Phishing”, vizează indivizi (în privat și la locul de muncă) prin utilizarea de comunicații electronice care se prefac a fi de la o
entitate de încredere, cum ar fi o bancă, fie către informații personale, cum ar fi parole sau detalii ale cărții de credit și/sau îi
determină să facă clic pe un link în mesaj. Această acțiune îi duce la o copie credibilă a site-ului web al entității de încredere,
care le solicită, de asemenea, să „confirme” detaliile personale și, de asemenea, să le infecteze computerul cu malware.
Există și alții care se prădesc pe credincioși care sunt pricepuți să extragă bani de la victimele lor prin înșelăciune. Acestea
variază de la pretinderea a fi o rudă a unei bănci sau a unui oficial guvernamental dintr-o țară îndepărtată care cere asistență
pentru a transfera o sumă uriașă de bani, cu condiția ca victima să facă o plată în avans pentru a facilita procesul...
Apoi mai este soldatul singuratic (sau potențiala mireasă îndepărtată) care are nevoie de bani pentru un bilet, o intervenție
chirurgicală sau alt motiv plauzibil - doar un mic avans care va fi rambursat în cel mai scurt timp. În ciuda publicității pe care
aceștia o primesc, victimele nu lipsesc. Nu este probabil ca criminalitatea cibernetică să se oprească în viitorul apropiat.
2.2.2 Protecția infrastructurii critice
Există multe definiții pentru o infrastructură critică. De exemplu, Agenția Europeană pentru Securitatea Rețelelor și a
Informațiilor (ENISA), parte a Uniunii Europene, le descrie astfel:

„Acele sisteme și rețele interconectate, a căror întrerupere sau distrugere ar avea un impact grav asupra sănătății, siguranței,
securității sau bunăstării economice a cetățenilor sau asupra funcționării efective a guvernului sau a economiei”.
Caracteristicile specifice și esențiale ale unei infrastructuri critice sunt:
• Funcționează 7 zile pe săptămână, 24 de ore pe zi ȘI:
•Operațiunile lor necesită sisteme și rețele informaționale, senzori și alte mecanisme de achiziție de date.
•Infrastructurile critice sunt frecvent necesare pentru a opera dispozitive fizice, cum ar fi distribuitoarele de
numerar (ATM), motoarele (pentru a comuta o cale ferată) și sistemele robotizate (în producție).
•Face parte dintr-un lanț de aprovizionare – nefuncționarea se propagă către/de la alte entități care pot fi, de
asemenea, infrastructuri critice, creând un efect domino.
Această definiție se aplică utilităților (energie electrică, gaz, apă), transport (controlul traficului aerian, operațiuni aeroportuare,
căi ferate), toate producția continuă (rafinării de petrol, prelucrarea sticlei și hârtiei), bancar (rețele ATM și online), telecomunicații
(linie fixă). și telefonie mobilă, furnizori de servicii de internet) și multe altele. Toate acestea sunt „invizibile” atunci când sunt
operaționale. Când eșuează, acest lucru face aproape invariabil titlurile de știri.
Atacurile asupra infrastructurilor critice devin din ce în ce mai sofisticate: un eveniment semnificativ a fost utilizarea software-ului
Stuxnet pentru a perturba instalațiile de procesare a îmbogățirii uraniului din Iran, făcută publică pentru prima dată în iunie 2010.
Experții au descris Stuxnet ca fiind o „rachetă cibernetică de calitate militară”, iar experții în software care au analizat Stuxnet2 au
raportat că: „Cu siguranță nu am mai văzut așa ceva până acum”. Jurnalul Computer World a numit-o „una dintre cele mai
sofisticate și neobișnuite piese de software create vreodată”.
De atunci au existat alte atacuri de succes asupra infrastructurilor critice în multe țări. Un atac din august 2012 a avut ca țintă
Saudi Aramco, unde virusul Shamoon a infectat 30.000 de computere personale, le-a șters datele și le-a înlocuit cu imagini ale unui
steag american arzând. Sursa atacului rămâne neidentificată.
Atacurile cibernetice și perspectiva unui război cibernetic (un eveniment pentru care nu există o definiție agreată până în prezent)
expun operatorii infrastructurilor critice la întreruperi și la corupția sau distrugerea datelor.
20
2.2.3 Securitate și apărare națională
Ca și în cele două secțiuni anterioare, țintele pot fi foarte specifice, iar atacatorii pot fi diferiți. Se vorbește neconfirmat
despre „armate cibernetice” active în mai multe țări. Când astfel de activități sunt discutate în public, ele sunt menționate
ca fiind limitate la „capacități defensive”. Cu toate acestea, în octombrie 2011, generalul R. Kehler, de la Comandamentul
Strategic Militar al SUA, a declarat că: „...trebuie să definească regulile de angajare pentru războiul informatic ofensiv”.
Există speculații mass-media că capabilitățile ofensive sunt deja existente sau sunt dezvoltate în mai multe
ări.
În timp ce din perspectiva securității informațiilor, cele trei domenii discutate aici au multe elemente în comun, una dintre
numeroasele provocări este dacă să extindă sau nu, printre altele, Legile luptei armate (Convențiile de la Geneva și de la
Haga) pentru a include armele cibernetice și definiți ce pot constitui ținte protejate în cazul unui conflict cibernetic.
Cu toate acestea, problema nu va dispărea chiar dacă astfel de legi vor fi actualizate și sunt semnate noi Tratate, deoarece
actorii nestatali ignoră în mod intenționat convențiile sau tratatele.
2.3 Ceea ce trebuie făcut pentru consolidarea securității este bine cunoscut, dar nu este făcut
suficient de bine
Acest subtitlu este o modificare a titlului unui raport publicat de către US General Accountability Office (GAO) în decembrie
2011. Gestionarea securității informațiilor necesită concentrarea pe multe activități disparate, în special:
•Selectarea și adoptarea standardelor, bunelor practici și orientărilor și asigurarea respectării acestora
(Capitolul 4)
• Creșterea gradului de conștientizare a problemelor de securitate a informațiilor în rândul forței de muncă și al serviciului
furnizori (Capitolul 4)
•Identificarea celor mai critice sisteme de informații și date, vulnerabilitățile acestora și măsura în care
expunerile lor la risc necesită acțiuni de atenuare (Capitolele 5 și 8)
•Definirea impactului evenimentelor de securitate asupra proceselor de afaceri și a organizației în ansamblu
(Capitolul 8)
• Definirea a ceea ce organizația consideră a fi un risc acceptabil (Capitolul 8)
• Examinarea tuturor celor de mai sus pentru a fi adecvate.
21
2.4 Certificari
Securitatea informațiilor nu este o profesie reglementată și, prin urmare, nu există nicio cerință pentru nicio formă
de certificare. Acolo unde securitatea informațiilor este critică, poate fi justificată solicitarea unor astfel de certificări.
Acestea se împart în trei categorii: organizaționale, profesionale și personale.
Certificarile organizaționale includ, de exemplu, conformitatea cu ISO 27001 „Sistem de management al securității
informațiilor” și Actul federal de management al securității informațiilor din SUA (FISMA). Unele pot fi opționale (ISO
27001), în timp ce altele pot fi obligatorii în domenii specifice de activitate, cum ar fi Standardul de securitate a
datelor pentru industria cardurilor de plată (PCI-DSS).
Certificarile profesionale sunt opționale pentru persoane fizice, dar angajatorii pot alege să le facă o cerință. Există
mai multe certificări, precum cele de la Asociația de Audit și Control al Sistemelor Informaționale (ISACA): CISA:
Certified Information Security Auditor, CISM: Certified Information Security Manager și CRISC: Certified in Risk and
Information System Control.
Există și cele ale Consorțiului Internațional de Certificare a Securității Sistemelor Informaționale (ISC2 ), inclusiv
CISSP: Certified Information Systems Security Professional și CSSLP: Certified Secure Software Lifecycle Professional
și altele. În plus, furnizorii și companiile de formare oferă și diverse certificări.
Programe excelente de economie și afaceri la:
„Începutul perfect al
unei cariere
internaționale de succes.”
CLICK AICI
pentru a descoperi de ce atât din punct de
vedere social, cât și din punct de vedere
academic, Universitatea din Groningen este
unul dintre cele mai bune locuri pentru un student

www.rug.nl/feb/education

Figura 1: exemplu de certificare personală

figura 1
Cea de-a treia categorie este echivalentă cu un permis de conducere și necesită ca persoanele să finalizeze un program de
formare sau de conștientizare și să treacă un test.
Astfel de certificări au fost dezvoltate și testate de-a lungul multor ani de mai multe organizații. Un exemplu este certificatul
Security in the Field pe care Națiunile Unite le cere celor care călătoresc într-o locație de teren să îl aibă. Această certificare
specială este valabilă timp de trei ani, după care cursul și testul trebuie reluate.
2.5 Asimetrii și consecințe

Ar fi trebuit să devină evident că, atunci când vine vorba de insecuritatea informațiilor, atacatorii au avantaje clare:
•Nu este nevoie să fii prezent fizic la locație pentru a efectua un atac:
•Există excepții – de exemplu, când ținta nu este conectată la o rețea globală, cum ar fi Internetul. Acesta a
fost cazul în Natanz, Iran, unde sistemele care controlau centrifugele de îmbogățire au fost izolate de
internet și unde malware-ul a fost introdus folosind un dispozitiv de memorie flash.
•Fără penalizare pentru eșec: fiecare interacțiune cu apărarea unei rețele sau a unui sistem de calculatoare
oferă atacatorului informații care ajută la pregătirea atacurilor ulterioare.
•Fără obstacole administrative de depășit: resursa cheie a atacatorilor este cunoștințele, iar cerințele lor pentru
instrumente și tehnologie sunt modeste. Procesul lor de achiziție este cu siguranță mai simplu decât achizițiile
corporative, necesitând diferite niveluri de aprobare.
23
•Cei responsabili cu menținerea securității activelor informaționale sunt adesea handicapați
de alți factori, în special:

•Presiune pentru a limita sau reduce costurile
• Incapacitatea de a dezvolta cazuri de afaceri solide pentru cheltuieli și resurse.
2.6 Menținerea securității este treaba tuturor
Progresul tehnic a creat un mediu care permite accesul la resursele informaționale
• Pentru mai multe persoane (interne sau nu ale întreprinderii)
•Din mai multe locații (birouri, case, în mișcare)
• Utilizarea mai multor rețele (corporație, Internet, acasă, wireless comercial, telefon)
• Cu mai multe dispozitive (computere corporative și de acasă, tablete, smartphone-uri)
În acest mediu, multe elemente nu se află sub controlul corporativ și, prin urmare, nu este posibil să ne așteptăm
ca altcineva să fie în întregime responsabil pentru securitatea activelor informaționale. Toată lumea ar trebui să fie
pregătită să aducă o contribuție eficientă.
2.6.1 Conștientizarea relevanței securității informațiilor pentru organizația specifică
Unele contracte de muncă includ clauze specifice securității informațiilor, cum ar fi nedezvăluirea informațiilor de
proprietate, sensibile sau clasificate în alt mod. Departamentele guvernamentale pot solicita semnarea a ceva
echivalent cu un Act privind secretele oficiale.
Criterii similare se pot aplica informațiilor despre clienți, de la nume, adresă și informații de contact până la statutul
clientului, de exemplu, ratingul de credit, soldurile bancare etc. Acestea pot fi supuse legislației naționale, cum ar fi
Protecția datelor și confidențialitatea.
Dezvăluirea a mii de schimburi diplomatice de către un membru al armatei americane, afacerea „Wikileaks” din
2010, a fost o situație în care o persoană cu autoritatea de a accesa informații a folosit abuziv acest privilegiu pentru
a acționa ca avertizor din motive necunoscute, indiferent de consecin ele asupra organiza iei i asupra
individului.
2.6.2 Eroarea umană
Nimeni nu este perfect și acțiunile neintenționate pot afecta securitatea informațiilor. Lucrul pentru a respecta un
termen limită strâns, a fi distras, lipsa de concentrare din cauza multitasking-ului, întreruperile, senzația de rău etc.,
sunt toate cauzele erorii umane. Lipsa de familiarizare cu procedurile și/sau sistemele, precum și dependența de
personal temporar poate duce, de asemenea, la erori umane.
24
Există controale pentru a reduce posibilitatea erorilor umane. Segregarea sarcinilor fiind poate cea mai frecvent aplicată –
până când tendința pentru „Lean Enterprise” a redus numărul de personal până la punctul în care din ce în ce mai multă
responsabilitate a fost pusă asupra indivizilor fără a recurge la o verificare independentă pentru acuratețea și caracterul
adecvat al acțiunilor lor.
2.6.3 Inginerie sociala
Ingineria socială precede „rețelele sociale” cu mulți ani și este cel mai bine descrisă ca „arta hackingului uman”. Înșelăciunea
și manipularea sunt încorporate în natura umană, iar bunii practicieni nu au nevoie de abilități tehnice pentru a sparge
barierele care protejează activele informaționale – ei pur și simplu cer informațiile sau elementele necesare pentru a le accesa.
Cercetările efectuate în Marea Britanie în ultimii ani au arătat că mulți oameni își vor dezvălui identificatorul de acces și parola
în schimbul unui baton de ciocolată. Vă rugăm să continuați să citiți…
Acest capitol a explorat „lecțiile identificate” – aceasta nu este același lucru cu „lecțiile învățate”.
Următorul capitol discută modul în care este definită securitatea informațiilor.

Securitatea informațiilor pentru managerii non-tehnici Definirea securității informațiilor
3 Definirea securității informațiilor

În acest capitol avem în vedere:
•Disponibilitate, Confidențialitate, Integritate și alte concepte
• Diferitele niveluri de securitate și modul în care acestea se raportează la informații
Cele două capitole anterioare au discutat despre „securitate” fără a o defini efectiv, presupunând că este un concept
atât de comun încât toată lumea înțelege ce înseamnă. Din păcate, acest lucru nu este complet adevărat din cauza
ambiguității și confuziei lingvistice discutate mai devreme.
3.1 Ce se înțelege prin „securitatea informațiilor”
În anii 1990, standardele emergente de securitate a informațiilor3 defineau securitatea informațiilor ca fiind formată
din trei elemente:
• Păstrarea confidențialității: asigurarea faptului că informațiile pot fi accesate numai de către aceștia
autorizat să facă acest lucru
• Menținerea integrității: protejarea acurateței și completității informațiilor și că
nu se fac modificări neautorizate
•Asigurarea disponibilității: asigurarea faptului că părțile autorizate pot accesa informații când
necesar.
Această definiție este reflectată în standardul internațional ISO 27000 și este utilizată pe scară largă. Practicienii în
securitate au propus componente suplimentare. În 2002, DB Parker a propus trei elemente suplimentare:
•Autenticitate: asigurarea faptului că părțile într-o tranzacție electronică sunt cine pretind că sunt
și că componentele tranzacției sunt autentice.
• Posesie și control: pierderea posesiei și controlului datelor creează riscul pierderii
Securitate. Exemplu: un laptop uitat și nerecuperat la un punct de securitate al aeroportului.
•Utilitate: capacitatea de a utiliza informațiile. De exemplu, să presupunem că datele criptate sunt
furnizate unui individ împreună cu cheia de criptare, dar destinatarul pierde cheia de criptare.
Datele rămân disponibile, autentice și confidențiale, păstrează integritatea originală și se află în posesia
persoanei vizate. Dar, deoarece nu este utilizabil, nu are nicio utilitate.
Comerțul electronic a adăugat încă un element: Non-Repudierea: Mecanismul care asigură că o parte la o tranzacție
nu poate nega că a primit o tranzacție și nici cealaltă parte nu poate nega că a trimis-o.
26
3.2 Diferențele dintre securitatea întreprinderii, securitatea informațiilor și

Securitatea tehnologiei informației
Managementul securității informațiilor se bazează pe trei domenii distincte de responsabilitate. Acestea nu sunt
întotdeauna bine legate sau coordonate, deoarece managementul lor este plasat în structuri organizaționale
diferite care nici măcar nu vorbesc între ele. Acestea sunt prezentate în Figura 2.
Figura 2
securitate IT Securitatea informațiilor Securitatea întreprinderii
Multe standarde și bune practici Legat de date Aspecte fizice

• Confidențialitate Verificarea angajaților
• Integritate ERM
Managementul vulnerabilităților • Guvernare Răpire
Gestionarea incidentelor Sabotaj
Managementul configurației Sisteme legate Spionaj
Managementul disponibilitatii • Impactul asupra afacerii Fraudă
Managementul schimbării • Permisiuni Violen ă
Backup și restaurare • Continuitate +
Recuperare în caz de dezastru • Cod de securitate
ein
cto
rnateilm
laeițe p
L
+ • SCADA
Centru de servicii • Conformitate
Oameni înrudit
Multe (majoritatea?) • Responsabilități
• Conștientizarea
Multe activități ar
activităților ar putea fi externalizate putea fi externalizate
+
Lista lungă #1 Lista lungă #2 Lista lungă #3

2
Figura 2: pilonii organizaționali ai securității informațiilor corporative
3.2.1 Întreprindere și securitate fizică
Sunt puține organizații care nu au o formă de securitate fizică și cineva responsabil pentru aceasta. Prezența
recepționerilor sau a gardienilor în uniformă pentru controlul accesului este familiară tuturor.
Dar, ei și colegii lor, mulți „în culise”, au responsabilități pentru securitatea informațiilor?
De fapt, o fac, împreună cu alte unități. Aceasta începe cu verificări ale antecedentelor înainte de implicare pentru
sau cu funcția de Resurse Umane. Acestea pot acoperi potențialii angajați și, de asemenea, consultanți, auditori
externi, furnizori și alți vizitatori. Severitatea acestor controale ar trebui să reflecte sensibilitatea mediului
individual.
27
Securitatea fizică monitorizează, de asemenea, controalele de acces și se asigură că zonele sensibile pot fi accesate
numai de cei autorizați în mod special să facă acest lucru. În plus, aceștia iau măsuri pentru a se asigura că echipamentele
și datele deținute de organizație nu sunt eliminate fără autorizare (mai ușor acum, având în vedere miniaturizarea
dispozitivelor) și că orice dispozitive pierdute sau furate sunt tratate în mod corespunzător, inclusiv blocarea și ștergerea
de la distanță. curățați conținutul acestora.
Aceasta este urmată de acreditare, care poate lua forma unei etichete „VISITOR” sau a unei insigne programate să
deschidă uși predefinite și/sau să fie folosită ca simbol pentru a accesa un sistem informatic.
Echipa de securitate fizică este, de asemenea, responsabilă de tratarea încălcărilor suspectate sau reale ale securității și
aceasta poate include investigații, confiscarea și menținerea unui lanț de probe acceptabil din punct de vedere legal și,
atunci când este necesar, colectarea tuturor acreditărilor și articolelor deținute de organizație înainte de a escorta o
persoană sancționată. afară din clădire. Astfel de acțiuni sunt notificate departamentului de resurse umane care apoi
face toate demersurile administrative și de angajare necesare de separare, în special asigurându-se că accesul persoanei
la sistemele informatice și privilegiile de date sunt încetate.
3.2.2 Securitatea informațiilor
O activitate dispersată din punct de vedere organizațional, aceasta se ocupă de activele informaționale reale ale
organizației, indiferent de forma lor (hârtie sau electronică) și oriunde sunt păstrate (arhive, „cloud”, o companie de
outsourcing, domiciliul unui angajat etc. .).
Alăturați-vă celor mai buni la Programe de master de top

• Locul 33 în clasamentul mondial Financial Times: MSc
Universitatea din Maastricht Afaceri internationale

• Locul 1 : MSc International Business
Scoala de Afaceri si • Locul 1 : Master în Economie Financiară

• Locul 2 : MSc Management of Learning
Economie! • Locul 2 : MSc Economics

• Locul 2 : MSc Econometrie și Cercetare Operațională
• Locul 2 : MSc Global Supply Chain Management și
Schimbare
Surse: Clasamentul Keuzegids Master 2013; Clasamentul „Beste Studies” Elsevier 2012;
Clasamentul Global Masters in Management Financial Times 2012
Maastricht
Universitatea este
cel mai bun specialist
universitate în
Vizitează-ne și află de ce suntem cei mai buni! Olanda
(Elsevier)
Ziua porților deschise a masterului: 22 februarie 2014
www.mastersopenday.nl

O cerință de confidențialitate implică faptul că „proprietarul” sau „custodele” informațiilor este singura parte cu cunoștințele
necesare pentru a defini ce ar trebui să fie confidențial și în ce condiții.
Procesul pentru a face acest lucru se numește Clasificarea datelor.
Există multe moduri de clasificare a datelor și organizațiile au propriile criterii pentru a face acest lucru. Este în regulă, atâta
timp cât aceste criterii sunt aplicate în mod consecvent și sistematic. O modalitate „ușoară” (= leneș) este să spui: „Totul este
confidențial” și accesibil doar celor autorizați în mod special să acceseze un anumit articol.
Acest lucru poate suna tentant, dar cantitatea de date deținute de organizații este uriașă: proprietate intelectuală,
comercială, operațională, juridică, financiară, HR, achiziții și multe altele... Într-o organizație mare, alocarea drepturilor de
acces persoanelor și menținerea acestora pe măsură ce își schimbă locul de muncă este nerealistă.
La cealaltă extremă, sunt cei care spun „suntem mândri de transparența noastră și nu avem nimic de ascuns, așa că nu
clasifica nimic”. Acest lucru este naiv. Fiecare organizație, oricât de simplă sau mică are date pe care nu ar trebui să le facă
publice, de exemplu adresa și informațiile bancare ale unui angajat (din motive de confidențialitate), detalii despre
propunerile comerciale în timpul unui proces de licitație (sensibile din punct de vedere comercial), informații de proprietate
valoroase și multe altele .
Există mai multe categorii posibile de clasificare între „Sunt secret” și „Public”, cum ar fi Restricționat la (un grup definit), Sub
embargo până la (o dată) etc. Fiecare categorie este clar definită și susținută de reguli clare. Echilibrul corect între restricții
și deschidere poate să nu fie evident, dar, fără el, organizația este fie legată în noduri, fie expusă.
Există o provocare managerială suplimentară: fiecare parte a organizației se bazează pe rețele și aplicații de computere
specifice. Managementul procesului de afaceri specific și instrumentele sale necesare pentru a le susține sunt responsabile
pentru a se asigura că drepturile persoanelor care accesează aceste sisteme sau „permisiuni” sunt în concordanță cu rolurile
și responsabilitățile lor.
De exemplu, un angajat al unei bănci care lucrează într-o sucursală provincială nu ar avea niciun motiv să acceseze datele
despre clienții din alte locații. Dacă accesul este activat, este necesar să se definească ceea ce persoana are voie să facă cu
datele (numai citire, descărcare, actualizare, creare, ștergere).
Aceasta este o sarcină oneroasă care, atunci când nu este gestionată în mod corespunzător, poate duce la acumularea de
drepturi de acces a oamenilor (denumite de obicei „permisiuni”) pe măsură ce se deplasează prin organizație ca urmare a
promovării sau reorganizării.
În practică, este greu să creezi o listă detaliată și completă de permisiuni atunci când una nu există deja. Există instrumente
care ar trebui să faciliteze acest proces. Sistemele de întreprindere mai noi includ instrumente pentru definirea controalelor
de acces bazate pe roluri (RBAC). Aceste controale și orice excepții temporare de la acestea, necesită atenția conducerii și
validarea regulată.
29
3.2.3 Securitatea tehnologiei informației
Poate cea mai vizibilă și mai discutată componentă, aceasta aparține unui mediu tehnic care are propria cultură și
limba. Esențiale pentru a proteja informațiile împotriva accesului și modificărilor neautorizate, aceste activități pot
să nu locuiască în organizație, așa cum este cazul când operațiunile și serviciile de tehnologia informației sunt
furnizate de un furnizor extern. Astfel de furnizori sunt de obicei furnizori de externalizare, offshoring, servicii terțe ,
personal temporar și altele.
Este obișnuit să găsiți un Manager șef de securitate a informațiilor (3.4) în departamentul IT cu responsabilități și
obiective bine definite.
Niciunul dintre subiectele din această secțiune nu poate avea „un răspuns corect” și există multe cărți în care sunt
discutate.
Următorul capitol examinează provocările manageriale pe care securitatea informațiilor le prezintă unei organizații.
redefiniți
viitorul tau
> Alăturați-vă AXA,

Un lider global
companie de asigurări
Și gestionarea activelor
potsnonotoh©
P-
14_226_axa_ad_grad_prog_170x115.indd 1 25/04/14 10:23

Securitatea informațiilor pentru managerii non-tehnici Gestionarea securității informațiilor în întreprindere
4 Gestionarea securității informațiilor

în întreprindere
Acest capitol examinează
•Componentele guvernanței securității
•Managing pentru securitate: standarde, bune practici și linii directoare
• Ce face un bun Chief Information Security Officer?
•Rolul dumneavoastră de manager
Societatea funcționează pe baza încrederii, un subiect complex cu implicații etice și sociale. Încrederea reprezintă
credința în onestitatea, corectitudinea și bunăvoința părților în cauză. Capitolul 2 a arătat că încrederea în spațiul
cibernetic a fost ruptă în mod deliberat de multe ori de-a lungul multor ani.
Pierderea încrederii a dus la elaborarea de standarde, bune practici, linii directoare, politici de securitate a
informațiilor, legislație și alte măsuri considerate necesare pentru protecția activelor informaționale.
Fidarsi è bene. Non fidarsi è meglio.

(A avea încredere este bine. A nu avea încredere este mai bine)
proverb italian
Atingerea unui nivel satisfăcător de securitate a informațiilor necesită multe lucruri de făcut, iar aceste lucruri
necesită leadership și management pentru a fi realizate suficient de bine. Pentru a ilustra acest lucru, luați în
considerare analogia unei orchestre și a dirijorului ei:
Dirijorul oferă conducere prin clarificarea muzicienilor, fiecăruia dintre profesioniști și „managerului” unui
instrument muzical, ce se așteaptă de la interpretarea lor ca parte a unui grup. Dirijorul nu trebuie să fie capabil
să cânte la fiecare instrument din orchestră, dar trebuie să aibă credibilitate și să câștige respectul jucătorilor.
Un dirijor strălucit poate obține performanțe bune de la o orchestră mediocră. Atunci când un dirijor nu foarte
competent ajunge în fața unei orchestre de primă clasă, membrii acesteia vor cânta de obicei bine ignorând
dirijorul. Când dirijorul și orchestra sunt ambele mediocri, rezultatul va fi, în cel mai bun caz,
mediocru.
31
4.1 Guvernanța securității informațiilor

Scopul guvernanței securității informațiilor este de a evalua, direcționa și monitoriza acțiunile întreprinse
pentru a îndeplini cerințele organizației și cât de bine sunt executate acestea. Scopul acestui lucru este de a
reduce riscurile de afaceri de întrerupere operațională, pierdere de date sensibile, litigii și nerespectarea
cerințelor legale și de reglementare. Guvernanța securității informațiilor (ISG) trebuie să fie realizată la un nivel
care poate decide cu privire la:
• Strategia de securitate a organizației care reflectă riscurile cunoscute și emergente

• Politicile de securitate ale organizației
• Responsabilități pentru securitatea informațiilor în cadrul organizației
•Alocarea resurselor umane i financiare
•Adecvarea performanțelor anterioare.
Figura 3
Figura 3: Guvernarea securității informațiilor ca un joc de masă (jucat cu bani reali)
32
4.2 Componentele guvernanței securității informațiilor

4.2.1 Strategia de securitate a organizației
În ochii directorilor și ai conducerii superioare, securitatea informațiilor este o funcție de susținere a afacerii, fără
îndoială importantă, dar și un element de cost pentru afacere. Prin urmare, o strategie de securitate a informațiilor
descrie cum să migrați dintr-o situație „ca atare” la o destinație țintă. Făcând acest lucru, managementul superior decide
cum să cheltuiască cel mai bine fondurile organizației (invariabil limitate).
Întrucât cheltuielile cu securitatea informațiilor vizează riscuri și rezultate greu de cuantificat, o strategie bună urmărește
să reducă riscul ca ceva cu adevărat rău să se întâmple, ceea ce devine astfel un beneficiu ipotetic.
Compararea proiectelor intangibile de evitare a costurilor (cum ar fi securitatea) cu investiții mai convenționale orientate
spre profit nu are răspunsuri simple.
Nevoile de informații pentru a sprijini o strategie de securitate a informațiilor includ:
•Recomandări relevante de audit și stadiul implementării acestora
•Incidente anterioare de securitate a informațiilor și consecințele operaționale și financiare ale acestora
•Metrici de securitate, cum ar fi indicatorii de performanță și de risc
• O evaluare a amplorii și calității controalelor existente (așa cum sunt furnizate de Auditul Intern);

•Analiza impactului asupra afacerii
• Un registru al riscurilor informaționale, inclusiv stadiul acțiunilor de atenuare planificate
• Informații despre securitatea informațiilor („ce se întâmplă acolo?”)
•Rapoarte de stare privind conformitatea (reglementare, legale și cu politicile interne)
Strategia de securitate a informațiilor trebuie să aibă descrieri suficient de detaliate ale obiectivelor organizației, priorităților
acesteia și modului în care își propune să organizeze și să finanțeze programul.
4.2.2 Politicile de securitate ale organizației
Nu emite niciodată o politică de securitate pe care nu o poți sau nu o vei aplica.
Declarația unui vorbitor (care nu dorește să fie numit) la o conferință de securitate
Acestea constituie un set de documente care descriu cerințe și reguli specifice care trebuie respectate. Pentru claritate și
concizie, fiecare politică ar trebui să acopere un singur domeniu. De exemplu, o politică de „parolă” ar acoperi regulile și
reglementările pentru crearea, menținerea și modificarea acestora.
Un portofoliu corporativ ar conține mai multe politici, de exemplu cu privire la: Utilizarea adecvată a resurselor de informații,
Utilizarea rețelelor Wi-Fi publice necriptate, Instalarea de software pe dispozitive utilizate pentru accesarea datelor
corporative etc. Institutul SANS are liste cuprinzătoare, precum și șabloane de politici ( vezi capitolul 9). Există și alte surse
pentru astfel de șabloane și, de asemenea, consultanți care oferă acest serviciu.
Pentru ca astfel de politici să aibă succes, ele ar trebui să fie revizuite și aprobate de cei care ar putea avea de a face cu
probleme de neconformitate, de obicei funcția de Resurse Umane și consilierul juridic. Consultarea cu reprezentanții forței
de muncă poate fi o mișcare bună.
Emiterea și diseminarea politicilor este o provocare: Cea mai simplă modalitate constă în a postarea politicilor într-un
Intranet corporativ și a se baza pe angajați pentru a le găsi și a le lua notă. Este nerezonabil să ne așteptăm ca o astfel de
abordare să fie eficientă. Proverbul care spune că „poți să duci un cal la apă, dar nu îl poți face să bea” spune totul.
La cealaltă extremă, există modalități de a se asigura că fiecare angajat primește o copie a poliței, confirmă primirea și
semnează un document care declară intenția de a se conforma. Acest document este depus în fișa de resurse umane a
fiecărei persoane. Acest lucru este prea complex.
Abordarea selectată ar trebui să reflecte importanța securității informațiilor pentru organizația specifică
si e cultura.
34
4.2.3 Responsabilități pentru securitatea informațiilor în cadrul organizației
Cel mai simplu mod de a vă asigura că sarcinile cheie nu vor fi îndeplinite este lipsa de claritate cu privire la cine este
responsabil pentru ce. În organizațiile mari, unde dimensiunea și complexitatea necesită proceduri formale,
responsabilitățile sunt, de asemenea, încorporate în fișele postului pentru a evita sindromul „nu în fișa postului meu”
care există în special atunci când avem de-a face cu angajații dezafectați.
În plus, există roluri care trebuie atribuite persoanelor din afara funcției IT (externe sau interne) pentru a defini nevoile
contului de acces, privilegiile de sistem și date, aproba excepții etc., așa cum este descris mai jos.
4.2.4 Alocarea resurselor, umane și financiare
Posibil cea mai critică sarcină de guvernare, necesită decizii în concordanță cu cele evaluate:
•Performanța actuală a securității informațiilor, adică este suficient de bună?
•Cunoștințele, experiența și certificările celor responsabili pentru securitatea informațiilor
• Amploarea și calitatea controalelor existente (auditul intern le consideră adecvate?)
•Securitatea informațiilor face parte din costul de a face afaceri sau o investiție corporativă? Cum
dacă astfel de cheltuieli ar fi justificate
•Adecvarea performanței curente și a controalelor existente
•Resurse umane viitoare trebuie să sprijine activitățile de securitate a informațiilor.
Calitatea acestor decizii va determina dacă strategia de securitate a informațiilor reușește sau nu.
4.3 Gestionarea pentru securitate
Figura 4 ilustrează pașii de bază implicați în gestionarea securității informațiilor într-un mod eficient:
Continuați să puneți aceste întrebări
da
Faci lucrurile da Le faci cum da Le faci destul

corect ? trebuie? de bine ?
Nu Nu Nu
Ce ai de gând să faci în privința asta?
Figura 4: Gestionarea execuției pentru securitate
Figura 4
35
Execuție – revenind la modelul orchestrei simfonice, o performanță bună necesită ca fiecare jucător să dea tot ce e mai
bun pentru aceasta. În securitatea informațiilor, acest lucru necesită o înțelegere clară a rolurilor și responsabilităților,
cunoașterea proceselor de afaceri relevante și a rolului sistemelor și datelor de informare în sprijinirea acestora,
experiență, motivație și angajament.
Cele trei întrebări din figură se aplică la tot ceea ce întreprindem. Succesul presupune ca la toți trei să li se răspundă
„DA”, iar când răspunsul sincer este „NU”, nu va exista nicio îmbunătățire fără acțiune.
Această secțiune își propune să ofere cititorului indicații despre ceea ce sunt „lucrurile potrivite”, „modul corect” și
„destul de bine”. Fiecare organizație poate avea seturi diferite de răspunsuri la aceste întrebări, ceea ce este de așteptat,
deoarece există multe opțiuni din care să alegeți.
4.3.1 Faci lucrurile corect?
„Lucrurile potrivite” includ subiecte precum:
• Având un mecanism eficient de guvernare a securității
• Adoptarea și implementarea standardelor, liniilor directoare și bunelor practici. Nu există o „cea mai bună”
practică – astfel de practici publicate sunt compromisuri ale comitetelor
• Având definiții clare ale obiectivelor, țintelor, resurselor de responsabilitate, metrici etc.
• Având politici de securitate clare și aplicabile
• Stabilirea unui program de briefing-uri și instruire în domeniul securității informațiilor.
Dacă răspunsul la această întrebare este NU, organizația este expusă. În cel mai bun caz, oamenii vor trebui să
ghicească ce se așteaptă de la ei și/sau să nu aibă abilitățile sau resursele necesare pentru a-și face munca.
4.3.2 Faci lucrurile corect în mod corect?
În loc să-și dezvolte și să scrie politicile de securitate (nu este o sarcină banală), există cei care optează pentru o
modalitate mai ușoară de a face acest lucru: cumpărați șabloane standard pentru astfel de documente, faceți o căutare
rapidă și înlocuiți, imprimați documentele și puneți-le într-un dosar. cabinet. Acest lucru creează credința că „s-a făcut”.
Această abordare este departe de a fi o practică bună.
Același lucru este valabil și pentru angajarea consultanților pentru a face acest lucru fără participarea și angajamentul
forței de muncă. Consultanții pot adăuga valoare prin experiența lor, dar, la sfârșitul misiunii, vor pleca pentru a merge
la alt client. După ce au plecat, nimeni din organizație nu se va simți proprietarul acestei lucrări. În cele din urmă,
aceasta va ajunge din nou într-un dulap de dosare.
36
Există și alte activități care trebuie făcute în „modul corect”, în conformitate cu standardele și bunele practici
alese. Aceste alegeri sunt influențate de culturile naționale și organizaționale, de cerințele guvernamentale și
de reglementare și de practicile preferate ale furnizorilor de servicii, externalizatorilor și practicienilor
organizaționali.
Dacă răspunsul la această întrebare este NU, ar fi bine să explorezi de ce nu. Pot fi imaginate multe motive:
lipsă de timp, lipsă de finanțare, lipsă de cunoștințe, aroganță tehnică („știm mai bine”), lipsă de claritate cu
privire la deciziile cui sunt acestea etc.
4.3.3 Faci lucrurile potrivite suficient de bine?
Este posibil ca răspunsurile la cele două întrebări anterioare să fi fost DA și acesta este un lucru bun. Cu toate
acestea, a face lucrurile suficient de bine necesită cunoștințe, dăruire, disciplină și implicarea angajaților.
Când lipsesc oricare dintre acestea, sarcinile vor fi executate într-un mod nesatisfăcător și vor fi susținute de
scuze: „Ne pare rău, nu am avut timp să fac backupul datelor pentru acest sistem critic și datele s-au pierdut
acum” sau „Ne pare rău, Nu am făcut testul acestei modificări pentru că eram sigur că va fi OK” (ghici ce: nu a fost).
Dacă răspunsul la această întrebare este NU, organizația are o problemă de management care poate necesita
injecții de motivație, pregătire și recrutare și, eventual, acțiuni mai drastice.
Am nevoie de ajutor cu dvs

disertație?
Obțineți feedback și sfaturi aprofundate de la experți în
domeniul dvs. Aflați ce puteți face pentru a îmbunătăți
calitatea disertației tale!
Obțineți ajutor acum
Accesați www.helpmyassignment.co.uk pentru mai multe informații

4.3.4 Standarde, linii directoare și bune practici
Au fost produse multe seturi de standarde și bune practici pentru securitatea informațiilor. Acestea sunt munca unor organisme
profesionale, grupuri de lucru de practicieni dedicați. Pe măsură ce tehnologiile se schimbă rapid, niciunul dintre aceste
documente nu poate fi considerat „definitiv”. Unele dintre elementele din lista care urmează
sunt acceptate pe scară largă a fi suficient de bune:
•Familia de standarde ISO 27000 pentru managementul securității informațiilor: Acestea
documentele sunt publicate de Organizația Internațională de Standardizare, revizuite și actualizate periodic.
•Seria de documente NIST SP800, publicată de Divizia de Securitate Calculatoare a Institutului Național pentru
Știință și Tehnologie din SUA. Constând din peste o sută de documente, acestea sunt, de asemenea, actualizate
în mod regulat.
Alte orientări relevante și bune practici acoperă segmente mai specifice ale practicii securității informațiilor. Printre ei:
•Biblioteca de infrastructură a tehnologiei informației (ITIL) acoperă procesele generice
descrieri. Acestea urmăresc să îmbunătățească consistența cu care sunt implementate și executate procesele. ITIL
este utilizat pe scară largă în întreaga lume și a condus la dezvoltarea standardului internațional ISO 20000
privind managementul serviciilor IT.
•Obiectivele de Control pentru Tehnologia Informației (COBIT), emise de Institutul de Guvernare a Tehnologiei
Informației (ITGI) și Asociația de Audit și Control al Sistemelor Informaționale (ISACA). Domeniul său actual de
aplicare acoperă guvernanța, planificarea și organizarea, achiziția și implementarea, furnizarea de servicii și
monitorizarea. COBIT 5, lansat în 2012, include publicații separate dedicate securității informațiilor.
• Corpul de cunoștințe privind managementul datelor (DMBOK) care se ocupă de toate aspectele gestionării
resurse de date.
Această listă este doar „vârful aisbergului”. Care, dacă este cazul, ar trebui adoptată este definită de strategia de securitate a
organizației, cultura și limba acesteia (toate cele de mai sus sunt disponibile în engleză, iar unele au fost traduse în alte limbi).
Adoptarea și implementarea oricăror sau a tuturor celor de mai sus necesită un efort considerabil de învățare și formare, urmat
de angajamentul de a schimba practicile zilnice și de a depune eforturi pentru îmbunătățirea continuă. Schimbarea este aproape
niciodată binevenită și, de cele mai multe ori, i se împotrivită energic.
38
4.4 Ce face un bun Chief Information Security Officer (CISO)

La început... (acum 20-25 de ani) securitatea informațiilor a fost integrată în funcția IT și văzută ca
un rol tehnic. Vremurile s-au schimbat, la fel și multiplele roluri posibile ale profesioniștilor în
securitatea informațiilor.
Pur Pur
operațional strategic
Puternic
Se concentreze pe Concentrați- Abilități soft
livrare vă pe management • Rețele

• Comunicații
• Influență
• Convingere
Cunoștințe de
Limitat afacerea Adânc Slab
Figura 5: Diferite tipuri de CISO
Figura 5
Puterea creierului Până în 2020, vântul ar putea asigura o zecime din necesarul de
energie electrică a planetei noastre. Deja astăzi, know-how-ul
inovator al SKF este esențial pentru funcționarea unei mari
proporții a turbinelor eoliene din lume.
Până la 25 % din costurile de generare sunt legate de întreținere.

Acestea pot fi reduse dramatic datorită sistemelor noastre de
monitorizare on-line a stării și lubrifiere automată. Ajutăm să facem
mai economică crearea de energie mai curată și mai ieftină din aer.
Împărtășindu-ne experiența, expertiza și creativitatea, industriile

pot crește performanța peste așteptări.
Prin urmare, avem nevoie de cei mai buni angajați care pot
face față acestei provocări!
Puterea Ingineriei Cunoașterii
Conectați-vă la Puterea Ingineriei Cunoașterii.

Vizitați-ne la www.skf.com/knowledge

Săgețile din figura 5 pot fi poziționate oriunde de-a lungul liniei dintre punctele care descriu rolul unui ofițer șef de securitate a
informațiilor. Conducerea superioară (inclusiv Chief Information Officer) trebuie să definească ce alegeri sunt cele mai potrivite
pentru organizația lor.
4.4.1 Rolul este operațional sau strategic?
Un rol strategic necesită interacțiunea cu mai mulți manageri, inclusiv Chief Information Officer, Chief Security Officer, Chief Risk
Officer, Audit Intern, Consilier Juridic General și mai multe unități de afaceri – precum și cu conducerea executivă și consiliul de
administrație. Acest lucru necesită ca CISO să aibă o bună cunoaștere a afacerii și abilități soft: comunicare, relații interpersonale,
negocieri și etică. În plus, prezentarea și credibilitatea sunt esențiale.
4.4.2 Concentrați-vă pe livrare sau pe management?
Furnizarea de servicii este o muncă tehnică care necesită cunoștințe despre produse și proceduri. Acești indivizi sunt adesea
invizibili pentru organizație, iar nevoia de abilități soft este mai puțin critică.
Managementul operațional cere CISO să gestioneze activitățile și performanța mai multor specialiști tehnici și să aibă o bună
cunoaștere a disciplinelor conexe precum managementul riscurilor, continuitatea afacerii,
protecția proprietății intelectuale, scurgerile de date și probleme de integritate, conformitatea cu reglementările, confidențialitatea,
criminalistica și investigațiile etc.
4.5 Rolul tău de manager

Este posibil să nu apară în fișa postului, dar securitatea este într-adevăr „treaba tuturor”. Managerii trebuie să:
4.5.1 Dezvoltați conștientizarea securității
Ori de câte ori cineva spune: „Nu știam”, aceasta creează o vulnerabilitate și, prin urmare, un risc pentru organizație.
Persoanele din echipa ta ar trebui să fie familiarizate cu necesitatea menținerii securității și, de asemenea, cu politicile organizației
de securitate a informațiilor și de ce este importantă conformitatea.
4.5.2 Gestionați amenințările interne
Aceasta face parte din responsabilitățile fiecărui manager și include identificarea și abordarea cazurilor de:
•Nerespectarea politicilor;
•Dezangajați și demotivați, angajați;
•Toate formele de sabotaj, pierderi de echipamente sau date, furt de proprietate intelectuală și altele
dezvăluiri neautorizate, fraude etc.
Funcția de Resurse Umane, Consilierul Juridic și Securitatea Corporativă ar trebui consultate cu privire la aceste chestiuni, iar
sfatul lor cu privire la investigații este esențial înainte de a lua orice acțiune.
40
4.5.3 Sponsorizează și practică o bună igienă digitală
Infecțiile spitalicești erau rampante în secolul al XIX-lea și chiar la începutul secolului al XX-lea . Igiena bună și antibioticele au
transformat acest lucru, cu excepția faptului că acum igiena trebuie consolidată din nou din cauza consecințelor nedorite, cum ar
fi apariția bacteriilor rezistente la antibiotice. Următoarele sunt bune practici de igienă:
• Protejarea echipamentelor și a datelor împotriva pierderii sau furtului și raportarea promptă oricând
se întâmplă;
• Menținerea software-ului actualizat (în special echipamentele deținute de utilizatorul final)
•Aplicând parole bine concepute care nu pot fi ghicit și, mai bine, folosirea a doi factori
validare și nu împărtăși niciodată astfel de parole cu alții
• Instalarea și menținerea la zi a instrumentelor pentru a preveni accesul neautorizat (de exemplu, firewall) și pentru
a bloca sau elimina software-ul rău intenționat (de exemplu, antivirus)
•Aveți grijă corespunzătoare de a nu dezvălui informații sensibile prin intermediul rețelelor sociale (de ex
Facebook, Twitter, Linkedin)
• Utilizarea criptării pentru a proteja datele sensibile dacă aceasta este aliniată cu securitatea organizației
politici
• Realizarea de copii ale informațiilor (backup) și păstrarea lor într-o manieră sigură (criptate, dulapuri securizate etc.)
Următorul capitol discută sursele interne de insecuritate prin explorarea a patru domenii de vulnerabilități.

Securitatea informațiilor pentru managerii non-tehnici Cele patru domenii ale vulnerabilităților
5 Cele patru domenii ale

vulnerabilităților
În acest capitol aruncăm o privire mai atentă asupra diferitelor lucruri care creează vulnerabilități care pot duce la
încălcări ale securității informațiilor.
•Guvernarea securității informațiilor

• Oameni (IT, management și alții)
•Procese (în operațiuni IT, aplicații, suport, management de date și proiecte, răspuns la incidente,
recuperarea în caz de dezastru, continuitatea afacerii și managementul crizelor)
•Tehnologii
Vulnerabilitatea se referă la incapacitatea de a rezista unui mediu ostil. Lucrurile care sunt create de om nu sunt
niciodată 100% invulnerabile. În plus, tehnologiile informaționale sunt supuse eșecului și învechirii.
Orice poate merge prost o va face în cel mai rău moment posibil.
Orice lucru care nu ar putea merge prost așteaptă doar ocazia.
Una dintre multele formulări ale Legii lui Murphy
5.1 Vulnerabilitatea guvernării
Guvernarea securității informațiilor (ISG) este adesea mai puțin de succes din mai multe motive:
•Executivii și managerii seniori au multe subiecte diverse de tratat și se confruntă cu cerințe grele în
timpul lor. ISG le sporește volumul de muncă și acoperă un subiect cu care este posibil să nu
fie familiarizat. Prin urmare, este înlocuit de alte priorități.
•Incapacitatea de a aprecia informațiile și datele organizației. Acest lucru inhibă discuția informată
asupra nevoilor de securitate și a resurselor care trebuie alocate acesteia.
•Fiecare organizație are o cultură unică, care include „politica”. Acest lucru poate cauza probleme
când silozurile funcționale caută să-și maximizeze influența și bugetele.
•Lipsa dorinței de a aplica politicile, ceea ce le face inutile.
42
5.2 Vulnerabilitatea oamenilor
Nu ar trebui să fie surprinzător faptul că oamenii de la toate nivelurile organizației sunt cel mai slab element al securității
informațiilor. La urma urmei, oamenii joacă un rol în activitățile de securitate a informațiilor – printre ei:
•Utilizatori finali
• Manageri de proiect și implementatori
•Designeri (de la o foaie de calcul relativ simplă la software și rețele complexe)
• Solicitanți și autorizatori (pentru crearea conturilor și definirea drepturilor și privilegiilor de acces)
•Deținătorii de sisteme și date (sau custozi)
•Roluri tehnice în furnizarea de servicii și suport
• Designeri de strategii și politici (la nivel funcțional, departamental sau de întreprindere)
• Cumpărători (corporate și persoane fizice)

• Consultanți și/sau auditori
•Alte.
Vulnerabilitățile asociate cu aceste roluri se împart în patru categorii:
5.2.1 Lipsa de cunoștințe/conștientizare/instruire
Gestionarea și întreținerea securității informațiilor nu sunt sarcini intuitive. Cu toate acestea, spre deosebire de conducerea
unei mașini, acestea pot fi efectuate fără a fi nevoie să furnizeze o certificare sau un permis.
Unele măsuri de consolidare a securității informațiilor pot fi automatizate și aplicate. Un exemplu este solicitarea unui
utilizator final să-și schimbe parola în fiecare lună. Acest lucru este bine, dar neștiind cum să creeze o parolă adecvată, cineva
poate selecta „123456” sau o dată de naștere. Mai rău, atunci când mai multe parole trebuie să fie create și menținute, este
posibil să fie notate și chiar plasate într-un loc vizibil convenabil.
Plasarea politicilor, ghidurilor și practicilor recomandate undeva într-un intranet corporativ este mai puțin costisitoare decât
oferirea de sesiuni de conștientizare, tutoriale și alte forme de instruire. Cu toate acestea, presiunile de reducere a
cheltuielilor fac din acestea o țintă ușoară pentru reducerile bugetare.
5.2.2 Acțiuni accidentale și neintenționate
Chiar și cu cea mai bună pregătire, oamenii sunt falibili și nu poate fi exclus un incident de securitate cauzat de o eroare
umană. Erorile pot apărea prin presiunea de a respecta un termen limită, stres, oboseală, nerespectarea regulilor și politicilor
etc.
43
Persoanele fizice pot fi, de asemenea, victimele înșelăciunii și pot acționa împotriva intereselor organizației, de exemplu
prin dezvăluirea de informații confidențiale. Servicii precum mesajele text, blogurile și rețelele sociale au făcut acest lucru
ușor de realizat. Ingineria socială sub formă de înșelăciune nu este neobișnuită. Cineva poate pretinde că sună de la
biroul de asistență pentru a cere unei persoane să-și confirme parola. Ei fac.
5.2.3 Acțiuni deliberate
O preocupare bine stabilită: o persoană (angajat, consultant, antreprenor, îngrijitor, agent de securitate etc.) motivată să
acționeze împotriva organizației. Frauda, furtul de proprietate intelectuală, corupția datelor, sabotajul și extorcarea de
drept se întâmplă și uneori nu sunt detectate pentru o perioadă considerabilă de timp.
5.2.4 Lipsa de implicare
O vulnerabilitate greu de tratat: indivizi cărora nu le pasă de securitatea informațiilor, linii directoare sau politici.
Nemotivați sau nemulțumiți pentru nemulțumirile reale sau percepute, acești indivizi ar trebui considerați „toxici”,
deoarece comportamentul lor poate fi contagios.
Când contractele lor de muncă și cultura organizației le face dificil sau imposibil să sancționeze comportamentul, ei pot
deveni exagerați de încrezători – cândva, o astfel de persoană îi spunea șefului: „Nu vreau și tu poți” nu mă face”. Ce a
făcut șeful este o altă poveste.

5.3 Vulnerabilitatea procesului
Există multe definiții a ceea ce este un „proces”. Pentru această carte, un proces este: un set de sarcini conexe,
efectuate de oameni și/sau instrumente care transformă intrările în ieșiri. Procesele trebuie efectuate sistematic
pentru a obține coerență, pentru a elimina erorile și pentru a sprijini îmbunătățirile. Modelul de maturitate a capacității
(CMM) este utilizat pentru a defini nivelul la care a fost formalizat un proces. Această maturitate este definită în cinci niveluri:
1. Inițial: un proces nedocumentat, de obicei irepetabil (denumit și haotic sau ad-hoc);
2. Repetabil: procesul este documentat până la un punct în care este posibil să se repete aceiași pași de
fiecare dată când este efectuat;
3. Definit: procesul este definit în detaliu în termeni de instrucțiuni sau proceduri de lucru) și implementat
în mod consecvent;
4. Gestionat: procesul este gestionat cantitativ cu metrici convenite;
5. Optimizat: procesul este gestionat pentru a include optimizarea sau îmbunătățirea continuă.
În timp ce principiile managementului proceselor sunt destul de simple de înțeles, nivelurile de maturitate mai înalte
sunt greu de atins, deoarece acest lucru necesită un efort susținut pe o perioadă lungă de timp. Operarea la nivelul 1
cere probleme. Nivelul 3 ar trebui considerat o țintă inițială dezirabilă.
Provocarea reducerii vulnerabilităților proceselor începe prin identificarea acelor procese care sunt critice pentru
securitatea informațiilor și, după ce a făcut acest lucru, prin adoptarea standardelor, liniilor directoare și bunelor
practici care se potrivesc cel mai bine cu cultura și cerințele organizației.
Maparea acestor procese cu nevoile de securitate a informațiilor necesită luarea în considerare a:
•Procese deținute de furnizorii de servicii (departamente IT interne și furnizori externi de servicii);
•Procese deținute de proiectanții și implementatorii de sisteme;
•Procese deținute de proprietarii de sisteme și date;
•Procese deținute de utilizatorii finali.
5.3.1 Procese deținute de furnizorii de servicii
Conducerea nu ar trebui să fie preocupată în mod special de care dintre cadrele disponibile, dacă există, a fost
adoptat, cu excepția cazului în care există probleme frecvente de performanță și/sau recomandările de audit
evidențiază domenii specifice de risc.
45
Buna practică stabilește Acorduri formale de servicii cu furnizorii interni de servicii care specifică obiectivele de performanță și modul
în care va fi măsurată performanța. Atunci când furnizorii de servicii sunt externi organizației, astfel de acorduri sunt definite în
contracte obligatorii din punct de vedere juridic. Acestea specifică, de asemenea, obiectivele de performanță, modul în care
performanța va fi măsurată și raportată și prevăd clauze de penalizare atunci când performanța nu atinge nivelurile convenite.
5.3.2 Procese deținute de proiectanții și implementatorii de sisteme
Dezvoltarea software-ului poate să fi început ca un meșteșug și să fi devenit mai formalizată și mai structurată de-a lungul anilor.
Modelul ciclului de viață al dezvoltării software (SDLC) este bine stabilit (există și alte modele, de exemplu programarea agilă). În
esență, SDLC are trei domenii majore:
Planificare: începe cu identificarea nevoii și realizarea cazului de afaceri, apoi specificarea cerințelor, deciderea dacă să cumpere sau
să construiască, solicitarea ofertelor, evaluarea acestora etc., până la luarea unei decizii.
Implementarea: dezvoltarea sau adaptarea software-ului pentru a satisface nevoile definite, documentarea și testarea până la punctul
în care devine posibilă sprijinirea schimbărilor și îmbunătățirilor viitoare.
Implementare: software-ul este aprobat pentru instalare în mediul de producție al unui furnizor de servicii și este supus întreținerii
(înlăturarea erorilor) și sprijinirea utilizatorilor finali.
Realizate de obicei de furnizori sau companii specializate, există mai multe linii directoare și bune practici care descriu numeroasele
procese în detaliu cu obiectivele de a asigura Asigurarea Calității și menținerea viitoare. Un astfel de set de linii directoare este
Software Engineering Body of Knowledge (SWEBOK).
Există, totuși, un „totuși”: mulți utilizatori finali sunt alfabetizați de calculator până la proiectarea și implementarea software-ului
sofisticat, de la foi de calcul complexe la pagini web, fără a se gândi la activități precum proiectarea de software. Ca urmare, bunele
practici pot să nu fie urmate și produsul rezultat poate să nu fie documentat sau testat în mod adecvat. În ciuda acestui fapt, ele sunt
folosite pentru a sprijini activitățile și deciziile critice.
5.3.3 Procese deținute de proprietarii de sisteme și de date
Există o expresie veche despre date și computere: Garbage In Garbage Out (GIGO). Acest lucru este la fel de adevărat astăzi precum a
fost atunci când a fost afirmat prima dată.
Procesul de Identity and Access Management (IAM) este fundamental pentru securitatea informațiilor. Acesta definește persoanele
specifice care au nevoie de un cont pentru a accesa anumite sisteme. Un birou de asistență sau un grup similar va crea astfel de
conturi, dar responsabilitatea pentru solicitarea și aprobarea creării, modificării sau rezilierii acestora rămâne în sarcina proprietarilor
de sisteme. Astfel de aprobări (sau respingeri) ar trebui să fie urmăribile.
46
După ce a creat un cont pentru o persoană, următorul pas este să definiți ce date poate accesa această persoană și ce
operațiuni pot fi efectuate asupra acesteia. De exemplu, un angajat al conturi de plată nu ar trebui să aibă acces la
înregistrările resurselor umane. În mod similar, un angajat de salarizare nu ar trebui să aibă autoritatea de a modifica
plata cuiva fără controale adecvate.
Conturile și permisiunile trebuie gestionate printr-un ciclu de viață care să reflecte mutații în carieră, promovări, acțiuni
disciplinare etc., din ziua în care sunt create și până când persoana părăsește organizația.
Vulnerabilitățile sunt create atunci când aceste activități sunt lăsate „pentru o altă zi” din cauza altor priorități sau a
presiunilor de reducere a costurilor.
Procesele legate de date se împart în trei categorii: calitatea datelor, clasificarea datelor și permisiunile de sistem.
Data Management Body of Knowledge (DMBOK), o carte de aproximativ 500 de pagini, oferă un set detaliat de linii
directoare pentru gestionarea datelor. Calitatea datelor, deși esențială, are un impact limitat asupra securității.
Clasificarea datelor este strâns legată de confidențialitate. Clasificarea cere proprietarilor de date să aloce date unei
categorii dintr-un set care se aplică întregii organizații. Etichetele tipice pentru astfel de categorii includ Secret,
Confidențial, Restricționat, Sub embargo până la și Public. Neclasificarea datelor este o invitație pentru ca aceasta să
părăsească organizația fără control adecvat.

5.3.4 Procese deținute de utilizatorii finali
Popularitatea dispozitivelor mici și puternice (calculatoare ușoare, notebook-uri, tablete și smartphone-uri) și adoptarea lor
rapidă de către populație în general, împreună cu tendința de a utiliza astfel de dispozitive personale în mediul de lucru –
„Aduceți-vă propriul dispozitiv” extinde nevoia pentru ca procesele de securitate să fie deținute de utilizatorii finali ori de câte
ori aceste dispozitive accesează sau stochează date sensibile.
În timp ce elementele de bază, cum ar fi menținerea actualizată a software-ului, utilizarea software-ului antivirus, realizarea de
copii de rezervă ale datelor etc., menționate pe scurt în 4.5, ar trebui să fie bine cunoscute, în practică, acestea pot să nu fie
cazul. Mulți oameni nu par să fie îngrijorați de riscurile de a nu face acest lucru. În plus, rețelele sociale și descărcări gratuite/
cost redus de software, în special aplicații pentru smartphone-uri și tablete, toate au introdus noi riscuri.
5.4 Vulnerabilitatea tehnologiei
Tehnologiile sunt predispuse la eșec. Acest lucru poate fi treptat, ca atunci când coroziunea slăbește un pod, sau brusc: luminile
se sting. Defecțiunile pot fi limitate prin verificări și întreținere, iar unele pot fi reparate.
Nu întotdeauna, deoarece daunele pot fi prea mari pentru a fi reparate (de exemplu, centralele nucleare de la Fukushima) și
devin ireversibile.
Eșecurile în tehnologiile informaționale sunt rareori graduale. Defecțiunile hardware sunt adesea reparabile, dar nu întotdeauna:
un incendiu (sau inundații) într-o sală de calculatoare poate necesita înlocuirea tuturor echipamentelor. Eșecurile software din
cauza erorilor de proiectare (bug-uri) pot fi remediate cu condiția să fie disponibilă timp și expertiză.
Eșecurile din cauza unui atac cibernetic au consecințe imprevizibile: un atac cibernetic asupra sistemelor administrative ale
Saudi Aramco în octombrie 2012 a infectat 30.000 de computere și a șters toate datele acestora.
Curățarea și testarea fiecăruia dintre aceste 30.000 de computere și recuperarea datelor lor (sau cel puțin o parte a acestora)
au fost proiecte majore.
5.4.1 Lipsa securității prin proiectare – lecții de învățat din industria siguranței
Securitatea informațiilor a fost întotdeauna o sursă de îngrijorare. În primele zile ale computerului, s-a concentrat pe controlul
accesului pentru un număr mic de oameni.
Când computerele personale au apărut în anii 1970, acestea erau în primul rând pentru entuziaști, adesea oameni IT, și nu au
fost implementate în organizații decât la mijlocul anilor 1980. Designul de bază al unor astfel de computere nu includea
caracteristici de securitate. Software-ul rău intenționat a apărut câțiva ani mai târziu – cuvântul „virus” a fost folosit pentru
prima dată în 1984 – și la început a fost în esență o pacoste. Calculatoarele personale nu erau încă conectate la rețea, iar
infecțiile s-au răspândit prin schimbul de dischete. Proiectele actuale necesită încă de la utilizator să obțină produse suplimentare
(de exemplu, antivirus, criptare, „seifuri”) pentru documente electronice.
48
Lucrările pentru ceea ce numim acum Internet au început la mijlocul anilor 1960 ca o rețea rezistentă restrânsă.
Proiectanții săi nu se așteptau să devină o rețea globală cu implicații majore de securitate.
Impactul software-ului rău intenționat pe Internet a fost descoperit în 1988, când un program scris de un student
(Viermele Morris) s-a răspândit rapid prin Internet și a făcut ca acesta să se oprească. Designerul acestui vierme este
reputat că a spus „Ar fi trebuit să-l încerc mai întâi pe un simulator”.
Telefoanele mobile au apărut în 1973 ca un dispozitiv portabil pentru a efectua apeluri vocale. S-au dezvoltat în
„smartphone-uri” și „tablete”, dispozitive puternice care, la fel ca computerele personale, nu încorporează securitatea
ca parte intrinsecă a designului lor – în afară de faptul că necesită utilizarea (opțională) a unui număr de identificare
personală (PIN) de patru cifre. ).
Industria siguranței, întâlnită în industriile extractive, construcții, transporturi, producție, îngrijire a sănătății și altele,
învață din experiență. Părerile lor sunt că există practici proaste și duc la aproape rateuri, de exemplu ciocanul care
cade din vârful schelei, dar nu rănește pe nimeni. Aproape incidente sunt rareori raportate. „Norocul” fiind ceea ce
este, nu funcționează întotdeauna în favoarea organizației și incidente minore apar în mod regulat. Acestea sunt
raportate și devin parte din statisticile privind siguranța la locul de muncă.
Din când în când, va avea loc un incident major. Industria siguranței efectuează cu promptitudine investigații pentru a
identifica cauza principală și pentru a lua măsuri pentru a o înlătura. Astfel de modificări sunt testate pe larg înainte de
a deveni operaționale. Un exemplu în 2013 a implicat o întreagă flotă de avioane noi (Boeing 787) care au fost blocate
timp de câteva luni până când o modificare a designului a fost testată spre satisfacția autorităților de certificare. În
prezent, acest lucru nu este cazul în industria IT.
Conceptul de consecințe neintenționate datează de la sfârșitul anilor 1700. Acestea includ beneficii, efecte secundare
negative sau efecte perverse contrare a ceea ce a fost intenționat. Inovația în tehnologiile informaționale le-a adus pe
toate trei, dintre care niciuna nu ar fi putut fi avută în vedere a priori. În lumea IT:
Beneficiile neașteptate includ capacitatea de a interconecta lumea și de a oferi acces ușor la informații și servicii și de a
permite noi forme de divertisment și afaceri.
Efectele secundare negative includ apariția și răspândirea software-ului rău intenționat, o măsură a pierderii
confidențialității și multe oportunități de a pierde timpul.
Efectele perverse numără printre ele toate formele de criminalitate cibernetică, atacurile de succes asupra
infrastructurilor critice, furtul de proprietate intelectuală și, eventual, noi forme de război.
Trei domenii suplimentare de domenii de vulnerabilitate care merită atenția managementului sunt SCADA, cloud
computing și dispozitivele mobile:
49
SCADA este acronimul pentru Systems Control And Data Acquisition: dispozitive și rețele de interfață cu lumea fizică
variind de la controale relativ simple ale condițiilor de aer și ascensoare, TV cu circuit închis și senzori în supraveghere,
bancomate etc. până la sisteme complexe distribuite în controlul procese de fabricație, utilități și transport. Acestea sunt
rareori responsabilitatea unei funcții IT și sunt concepute pentru simplitate și fiabilitate, nu pentru securitate.
Cloud computing este descrierea scurtă a resurselor de calcul furnizate prin Internet.
În acest mediu, hardware-ul și software-ul computerului sunt gestionate de o terță parte și sunt partajate între mai mulți
clienți. Acest lucru oferă simplitate și costuri mai mici prin faptul că nu trebuie să aveți o infrastructură corporativă.
Dacă conexiunea la Internet este pierdută din orice motiv – de la atacuri de refuz al serviciului până la deteriorarea fizică
a liniilor de rețea – toate serviciile furnizate prin Cloud vor fi indisponibile până când întreruperea este remediată.
Lumea mobilă este supusă unor noi provocări, de la software rău intenționat care vizează dispozitive portabile, furtul de
date, pierderea sau furtul dispozitivelor și, din ce în ce mai mult, alte probleme care apar la un moment dat, cum ar fi
capacitatea de a geolocaliza o persoană prin intermediul dispozitivelor lor, creând riscuri care nu sunt încă pe deplin înțelese.
Următorul capitol discută alți factori care contribuie la insecuritatea informațiilor, toți care ar trebui să preocupe
managementul.
www.sylvania.com
Nu reinventăm
roata, reinventăm
lumina.
Iluminatul fascinant oferă un spectru infinit de
posibilități: tehnologiile inovatoare și noile piețe
oferă atât oportunități, cât și provocări.
Un mediu în care expertiza dumneavoastră este la mare
căutare. Bucurați-vă de atmosfera de lucru favorabilă din
cadrul grupului nostru global și beneficiați de trasee
internaționale de carieră. Implementați idei durabile în
strânsă cooperare cu alți specialiști și contribuiți la
influențarea viitorului nostru. Vino și alătură-te nouă în
reinventarea luminii în fiecare zi.
Lumina este OSRAM

Securitatea informațiilor pentru managerii non-tehnici Alți factori ai insecurității informaționale
6 Alți factori ai insecurității

informaționale
În acest capitol luăm în considerare alți factori de care ar trebui să se preocupe managementul.
Managerii buni îndepărtează obstacolele, oferă ajutor și recunosc efortul.
Sfaturi bine cunoscute, dar nu întotdeauna aplicate managerilor (sursa necunoscută)
Menținerea securității informațiilor suficient de bune într-o organizație este un complex. Mulți cred că cineva face
asta și că nu au nicio responsabilitate pentru asta. Acest capitol explorează subiecte care nu sunt acoperite de
standarde, linii directoare sau bune practici și, totuși, pot fi găsite (dacă sunt recunoscute) peste tot.
Atunci când rămân nerecunoscuți și/sau nimeni nu răspunde pentru ei, ele adaugă la insecuritatea informațională a
organizației.
6.1 Motive de îngrijorare
6.1.1 Internă organizației
Detașare executivă: O bună guvernare necesită angajament și sprijin din partea vârfului. Fără el, oamenii nu au de
ales decât să ghicească ce se așteaptă de la ei și să facă tot posibilul pentru a duce lucrurile la bun sfârșit.
La cele mai înalte niveluri ale oricărei organizații, cunoștințele detaliate sunt inevitabil diluate și solicitările de timp
sunt multe. Atragerea atenției lor necesită bune abilități de comunicare, un caz de afaceri clar și capacitatea de a
transmite mesajul într-un timp scurt.
Cultura organizațională și politică: un fapt al vieții. Pentru a juca jocul necesită cunoașterea cine are influență în
organizație și cum să creezi un dialog semnificativ cu aceștia. Nerespectarea acestui lucru va neutraliza cele mai bune
eforturi ale celor al căror rol este de a consolida securitatea.
Mentalitate siloz: Lipsa de cooperare între funcții nu este neobișnuită în organizațiile politizate.
Când acest lucru este înrădăcinat, doar conducerea transformațională poate schimba status quo-ul. Acest lucru este
mai greu de realizat în organizațiile mari decât în cele mai mici. Din perspectiva securității informațiilor, aceasta
înseamnă un lucru: PROBLEME.
51
Digital Natives4 : Articolele publicate în 2001 au introdus termenii „nativ digital” și „imigrant digital”.
Nativii digitali sunt generația care a avut ocazia să interacționeze cu tehnologiile digitale de la o vârstă fragedă, să le
înțeleagă conceptele și să aibă o abordare intuitivă a acestora. Nativii digitali conduc revoluția utilizatorului final discutată
mai jos.
Imigranții digitali păstrează multe elemente ale abordării lor dinainte de era digitală și folosesc lumea digitală cu
oarecare efort. Aceștia sunt oamenii care trebuie să citească manuale...
Eliminarea și reciclarea: O altă problemă de guvernanță se referă la păstrarea și eliminarea datelor pentru a se asigura
că dispozitivele care conțin date corporative nu sunt aruncate. Este prudent să implicați un consilier juridic înainte de a
lua măsuri și apoi să luați măsurile adecvate pentru a șterge toate datele de pe astfel de dispozitive.
6.1.2 Finanțarea cheltuielilor cu securitatea informațiilor
Finanțarea securității informațiilor face parte din guvernanță. Detașarea executivă și politica organizațională pot face
din acest subiect un subiect controversat.
Sunt cei care susțin că protejarea informațiilor organizației necesită investiții. Acest lucru duce la întrebarea „care este
rentabilitatea investițiilor în securitate?” Alții susțin că finanțarea securității face parte din costul de a face afaceri și că
astfel de cheltuieli ar trebui să fie aliniate cu valoarea activelor care trebuie protejate, în același mod ca și primele de
asigurare. Ambele argumente sunt valabile și rămân o dezbatere semifilozofică nerezolvată.
Finanțarea securității informațiilor acoperă activități în diferite părți ale organizației, cum ar fi:
•Achiziții tehnice pentru furnizorul de servicii IT (dacă este intern) și pentru articole asortate în cadrul
organizației (de exemplu, produse antivirus, jetoane pentru autentificarea utilizatorilor finali, upgrade și
întreținere de echipamente și software etc.)
• Servicii de consultanță și audit pentru actualizarea strategiei și politicilor de securitate a informațiilor,
Analize de impact asupra afacerii și evaluări ale riscurilor (Capitolul 8)
•Material de instruire și conștientizare, precum și ateliere și certificări
•Resurse pentru un program continuu de clasificare a datelor
• Asigurarea că cedările sunt efectuate fără a expune datele organizației.
Separarea acelor activități dedicate în mod special securității de alte activități IT operaționale nu este ușoară. Cu toate
acestea, dovezile publicate indică faptul că cheltuielile IT sunt de obicei de ordinul a 3 până la 5% din cheltuielile totale
ale unei organizații și că securitatea informațiilor reprezintă aproximativ 5% din aceasta.
52
Un raport Gartner Group5 pentru anul 2012 arată că cheltuielile medii per angajat pe an în SUA a fost de 13.600
USD. Pentru un an de lucru de 220 de zile, cheltuielile zilnice cu IT per angajat este de 62 USD, din care
aproximativ 3 USD sunt pentru securitatea informațiilor. Acesta este comparabil cu prețul unei cești de cafea.
Presiunea necruțătoare de reducere a cheltuielilor necesită frecvent justificarea financiară a lucrurilor care nu
sunt ușor cuantificate, cum ar fi rentabilitatea investiției (ROI) asupra datelor sau a protejării reputației.
Partea de cheltuieli a unei analize a rentabilității investiției pentru securitatea informațiilor este simplă.
Practicienii cu experiență știu că unele elemente pot fi lăsate în afara calculului, de exemplu, costul achiziției,
taxele de întreținere și costurile de instalare. Partea Beneficii este ca o operă de ficțiune în care este relativ ușor
să vină cu numere „bune”.
Riscul este în viitor și nu sunt disponibile date care să susțină predicții fiabile. Aceasta înseamnă că orice
numere sunt prezentate ca beneficii nu pot fi validate, darămite garantate. Aceste numere sunt condiționate
de mai multe ipoteze (implicite), cum ar fi: că produsul propus funcționează așa cum a promis de către furnizor,
că a fost instalat și configurat corect și că cei care îl folosesc știu ce fac. Acestea nu sunt întotdeauna cazul.
PERSPECTIVE PROVOCATORII
Oportunități de stagiu
EADS reunește un producător de aeronave de top, cel mai mare furnizor de oportunități de învățare și dezvoltare și tot sprijinul de care aveți nevoie, veți aborda
elicoptere din lume, un lider global în programe spațiale și un lider mondial în provocări interesante cu produse de ultimă generație.
soluții și sisteme de securitate la nivel mondial pentru a forma cel mai mare grup
de apărare și aerospațial din Europa. Peste 140.000 de oameni lucrează la Salutăm peste 5.000 de stagiari în fiecare an din discipline, de la inginerie,
Airbus, Astrium, Cassidian și Eurocopter, în 90 de locații la nivel global, pentru a IT, achiziții și finanțe, la strategie, asistență pentru clienți, marketing și vânzări.
livra unele dintre cele mai interesante proiecte din industrie.
Pozițiile sunt disponibile în Franța, Germania, Spania și Marea Britanie.
Un stagiu EADS oferă șansa de a vă folosi cunoștințele teoretice și de a le aplica

direct în situații și sarcini reale în timpul studiilor. Având în vedere un nivel înalt de Pentru a afla mai multe și pentru a aplica, vizitați www.jobs.eads.com. De asemenea,
responsabilitate, o mulțime de puteți afla mai multe pe pagina noastră de Facebook EADS Careers.

Există, de asemenea, riscul implicit ca urmărirea economiilor de costuri să poată duce la anorexie bugetară (sau economisirea banilor
indiferent de cost (SMRC)) care poate ajunge să fie contraproductivă. Acțiunile tipice SMRC includ:
•Aprobari de salam – una câte una, cu accent pe reducerea costurilor
• Selectarea celui mai mic ofertant, indiferent – aceasta nu este întotdeauna o strategie de succes
•Amânarea cheltuielilor ca în: „sigur că asta poate aștepta încă un an”
•Amânați recrutarea ca în: „lucrează mai inteligent, nu mai greu”
• Segregarea sarcinilor limitată sau nu este – o ușă deschisă către modificări incorecte sau netestate
•Remunerație rigidă – care duce la incapacitatea de a recruta și reține talentul necesar.
Când toate acestea sunt utilizate în mod consecvent, este foarte probabil ca personalul cu experiență să caute un loc de muncă în altă
parte și să-l găsească, deoarece astfel de oameni sunt în lipsă.
6.1.3 Revoluția utilizatorului final
Nativii digitali s-au apucat de inovațiile recente cu mare entuziasm, până la punctul de a sta peste noapte la coadă în afara unui magazin
pentru a cumpăra cel mai recent obiect al dorinței. Acest lucru este în regulă în domeniul lor privat, deoarece persoanele sunt libere să
facă orice le place și/sau își permit.
Aceste dispozitive își găsesc drumul în mediul corporativ, deoarece indivizii se simt împuterniciți să conteste standardele corporative și
insistă să li se permită să-și folosească dispozitivul, serviciul sau aplicația.
Acest lucru a dus la mișcarea Bring Your Own Device (BYOD), iar organizațiile se luptă să înțeleagă și să gestioneze implicațiile de
securitate ale acestui lucru. Pe măsură ce BYOD continuă să se extindă, se pare că acolo unde deja a fost stabilit, a devenit ireversibil.
Aceasta înseamnă că oamenii pot accesa (și, de asemenea, pot descărca și stoca) date corporative sensibile cu un dispozitiv din afara
arhitecturii de securitate a organizației. În plus, un astfel de dispozitiv poate conține aplicații (Aplicații) necunoscute organizației. Aceste
aplicații gratuite sau cu cost redus, concepute de persoane necunoscute și fără certificare de securitate, pot include programe malware.
Pentru a spori durerea, aceste date corporative pot fi accesate de oriunde, de exemplu, o cafenea care oferă „Wi-Fi gratuit”, care fiind
necriptat permite unei terțe părți să achiziționeze datele.
La cealaltă extremă, măsurile stricte de securitate încurajează nativii digitali să ocolească restricțiile organizației prin copierea
informațiilor sensibile în conturile lor în Cloud, unde acestea vor fi neprotejate.
Acest lucru face munca unui hacker mult mai ușoară...
Alte noi riscuri generate de nativii digitali includ utilizarea rețelelor sociale pentru a partaja informații sensibile cu colegii lor. Nativii
digitali arată un nivel mult mai mare de încredere în oamenii pe care îi întâlnesc online decât imigranții digitali. Îți amintești povestea
Robyn Sage din capitolul 1?
54
6.2 Factori externi: peisajul în continuă schimbare

Nu există niciun indiciu sau motiv să credem că rata de inovare în sistemele și tehnologia informației va încetini în viitorul apropiat.
6.2.1 Tehnologia va continua să evolueze
Se poate aștepta ca dispozitivele să fie mai rapide, mai mici și mai ușoare, să aibă o durată de viață mai lungă a bateriei și să fie
bazate pe ecran tactil. Ciclul lor de viață de la cumpărare până la percepția de uzură va continua să fie scurt.
Din ce în ce mai mult, electrocasnicele vor conține noi tehnologii și vor fi conectate la Internet. Mulți sunt deja – în ascensoare, sisteme
de aer condiționat, automate etc. și ar putea deveni ținte pentru întreruperi.
Promisiunile viitoare includ mașini și sisteme robotice chirurgicale.
Oamenii creativi vor pune la dispoziție noi servicii online – așa-numitul Web 2.0 a fost o surpriză pentru majoritatea oamenilor, iar
serviciile cum ar fi blogurile, partajarea audio și video, jocurile cu mai mulți jucători, rețelele sociale, licitațiile online și atât de multe
date de la sine să fie completată de oferte inimaginabile în prezent.
6.2.2 Provocări tot mai mari în materie de identitate și confidențialitate
Ca animale sociale, oamenii doresc și trebuie să interacționeze între ei într-un mod care să permită o anumită măsură de control. În
spațiul cibernetic, este important să putem avea încredere în identitatea persoanelor pentru a preveni frauda și pentru a consolida
securitatea națională.
Organizațiile trebuie să se asigure că persoanele cu care au de-a face sunt cine spun că sunt și că sunt autorizate să facă ceea ce fac.
Indivizii doresc să aibă încredere și trebuie să aibă încredere în organizațiile cu care interacționează pentru a-și proteja informațiile
personale.
Pe lângă parole (ceva pe care îl cunoașteți), multe organizații folosesc acum tehnici suplimentare pentru autentificarea persoanelor,
cum ar fi carduri sau jetoane (ceva pe care le aveți) utilizate ca al doilea factor de identificare. La vârf sunt dispozitive care scanează o
amprentă sau un ochi (ceva ce ești).
6.2.3 Malware de calitate pentru arme
De când malware-ul Stuxnet a devenit cunoscut public în 2010, au existat îngrijorări că ar fi o dovadă că atacuri direcționate ar putea
fi lansate împotriva oricui și că a deschis ușa militarizării spațiului cibernetic.
55
Două articole publicate în The Economist, cel mai recent la sfârșitul lunii martie 2013, intitulate „The Digital Arms Trade” și un
articol anterior din aprilie 2008, intitulat „Computer Security: Pain in the aaS” au discutat Crimeware As A Service, evidențiază
existența a unei piețe pentru instrumente de atac software proiectate de experți.
Acestea sunt raportate că se vând pentru sume care, în comparație cu echipamentul militar, sunt mici.
Va deveni ciberspațiul un nou domeniu de luptă? Eventual.
6.2.4 Certificarile de securitate vor crește în importanță
După cum sa menționat mai devreme, securitatea informațiilor este o profesie nereglementată. Mai multe organisme oferă
certificarea conformității fie cu un standard, fie cu un set de bune practici, în timp ce altele eliberează certificate care atestă
cunoștințele și experiența persoanelor în domenii specifice de securitate a informațiilor.
Este probabil ca, pe măsură ce managementul superior apreciază importanța securității informațiilor, va exista o tendință de
a solicita astfel de certificări ca condiție de angajare.
6.3 Securitatea informațiilor nu ar trebui să împiedice gândirea inovatoare
Tehnologiile inovatoare deschid oportunități și aduc cu ele efecte secundare necunoscute și consecințe neprevăzute. A trăi
cu incertitudine și risc este inevitabil, iar provocarea managerială este una de a înțelege capacitatea sa de a gestiona
schimbarea determinată de tehnologie.
Pentru a proteja organizația, ofițerii șefi pentru securitatea informațiilor tind să fie precauți și sunt adesea numiți „Dr. Nu".
Acest lucru funcționează bine în organizațiile care atestă riscul, unde a fi întârziat în tehnologie este considerat un
comportament prudent, dar poate fi frustrant pentru forța de muncă atunci când tehnologiile lor personale sunt mai avansate
decât cele din mediul corporativ.
La celălalt capăt al spectrului, cei cu un apetit mai mare pentru risc și cei care adoptă timpuriu tehnologii inovatoare pot oferi
oportunități de a dezvolta servicii și soluții de afaceri înaintea altora și pot beneficia în consecință. Managementul ar trebui
să recunoască încă de la început că a fi înaintea celorlalți implică învățarea din experiență despre efectele secundare și
consecințele nedorite.
Următorul capitol examinează provocările de a măsura ceea ce poate fi incomensurabil...
56
Securitatea informațiilor pentru managerii non-tehnici Măsurarea securității
7 Măsurarea securității
În acest capitol luăm în considerare posibilitățile de a pune numere unui subiect greu de măsurat:
•Metrici de securitate – poate fi măsurată securitatea și, dacă da, cum?

•Ce ar trebui raportat, când, cui și cum?
7.1 Măsurarea securității informațiilor

Nu ar fi bine dacă organizația dvs. ar putea spune „nivelul nostru de securitate luna trecută a fost de 82,5”? Din
păcate, acest lucru nu este posibil și reprezintă o provocare deoarece nu există o modalitate simplă de a exprima în
cifre un concept complex precum securitatea.
360°
Același lucru este valabil și pentru multe alte lucruri, cum ar fi durerea și dragostea... Poate din acest motiv, biroul lui
Albert Einstein din Princeton avea o pancartă care spunea: „Nu tot ce contează poate fi numărat. Nu tot ce poate fi
gândire.
numărat contează”.
360°
gândire.
360°
gândire.
Descoperiți adevărul la www.deloitte.ca/careers Di
Descoperiți adevărul la www.deloitte.ca/careers © Deloitte & Touche LLP și entitățile afiliate.

Deloitte & Touche LLP și entitățile afiliate.
Descoperiți adevărul
57la www.deloitte.ca/careers pe
Faceți clic
anunț pentru a citi mai multe

Ai putea spune chiar cât de bună este securitatea informațiilor tale în acest moment? Cât de bun ar trebui să fie? Sau ce
zici de a putea afirma că: „nivelul nostru de securitate din ultima lună a fost mai bun decât la această perioadă anul trecut”?
Acest lucru poate fi posibil doar cu condiția ca conceptele de „mai bine” sau „mai rău” să fie clar definite, înțelese și
convenite.
Dar asta nu înseamnă că situația este fără speranță. Acest capitol propune o abordare realistă: utilizarea indicatorilor de
risc (riscul este discutat în capitolul 8).
„Nu poți gestiona ceea ce nu măsori.”
Transformat, inexact și greșit atribuit. Originalul lui Lord Kelvin era substanțial diferit.
În 1893, William Thompson (Lord Kelvin) spunea: „Dacă poți măsura ceea ce vorbești și îl poți exprima printr-un număr,
știi ceva despre subiectul tău; dar dacă nu o poți măsura, cunoștințele tale sunt slabe și nesatisfăcătoare.” Lordul Kelvin a
avut un argument și simplificarea (supra) este înșelătoare, deoarece gestionarea situațiilor complexe implică inevitabil
incomplet, uneori nemăsurabil și/

sau indisponibile, informații.
Există cantități uriașe de informații legate de securitate care ar putea fi colectate. Zonele de vulnerabilități din capitolul 5
și zonele de îngrijorare din capitolul 6 se pot măsura. Același lucru este valabil și pentru chestiunile operaționale, cum ar
fi intruziunile și alte incidente și datele financiare privind cheltuielile de securitate.
Există multe surse care listează posibile metrici de securitate a informațiilor (de exemplu, NIST SP800-53 revizuirea 2 și
COBIT 5 pentru securitatea informațiilor). Colectarea, analiza și raportarea tuturor acestor informații sunt sarcini care
necesită resurse, dar acest lucru nu garantează că toate aceste metrici vor fi utile unei anumite organizații. A ști ce să
măsori, cum să faci asta și cum să comunici rezultatele poate ajuta la îmbunătățirea eficienței, eficacității securității și a
reputației organizației tale.
7.1.1 De ce este logic să existe metrici de securitate
Există multe motive bune pentru a face efortul de a avea un set de metrici de securitate. Poate cel mai important este că,
în absența unor metrici, organizația se bazează pe FUD – Frica, incertitudinea și îndoiala și, așa cum a spus Lordul Kelvin,
cunoștințele dumneavoastră sunt slabe și nesatisfăcătoare. Mai precis, există patru domenii în care astfel de valori sunt
relevante, chiar necesare:
Conformitatea cu reglementările: incidentele de securitate a informațiilor pot determina o organizație să nu îndeplinească
cerințele stabilite de legislație. Acest lucru poate avea consecințe juridice, financiare și reputaționale. Metricurile pot pune
incidentul de securitate în context și pot furniza informații faptice pentru a demonstra că a fost exercitată diligența
corespunzătoare.
58
Management financiar: Investițiile trebuie făcute în mod regulat în diferite aspecte ale securității informațiilor, iar valorile ar
trebui să demonstreze că investițiile anterioare în securitate au fost justificate.
Eficacitatea organizațională: Măsurile pot fi utilizate și pentru a demonstra părților interesate ale organizației eficacitatea
programului de securitate a informațiilor.
Operațional: De interes principal pentru responsabilul șef cu securitatea informațiilor și, de asemenea, pentru proprietarii de
procese, sisteme și date. AVERTISMENT: există multe astfel de metrici, dar de valoare limitată pentru managerii de afaceri.
7.1.2 Ce face utilă o metrică?
Valorile de securitate sunt deosebit de utile atunci când oferă avertizare timpurie despre potențiale hotspot-uri de securitate.
Astfel de valori se numesc „indicatori de conducere”. O măsurătoare de securitate cu siguranță nu este utilă atunci când
răspunsul celor cărora li se raportează este „Și ce?”
Pentru a evita răspunsul „deci ce”, metrica ar trebui să fie capabilă să ilustreze care sunt riscurile, impactul lor potențial și
unde pot apărea evidențiază în detaliu procesele și resursele de afaceri amenințate. Acest lucru permite cuno tin e
manageriale asupra valorii oricăror îmbunătă iri aduse prin atenuarea problemelor înainte ca acestea să apară.
Managerii nu ar trebui să întrebe: „ce ai de gând să faci în privința asta?” practicianul în securitate ar trebui să anticipeze o
astfel de întrebare în raportul lor. În lumea perfectă, managerul ar trebui să întrebe în schimb „Pot să fac ceva?”
Valorile utile au următoarele caracteristici:
Orientare pe afaceri: alegerea valorilor ar trebui să fie astfel încât acestea să se concentreze pe sprijinirea afacerii și să fie
semnificative pentru managerii de afaceri. În mod specific, metricile ar trebui să explice modul în care incidentele de
securitate a informațiilor afectează obiectivele organizației, cuantificând evitarea costurilor sau reducerea riscului programului
general de securitate.
Cuantificabil: cifrele cresc obiectivitatea și validitatea datelor și permit analize și comparații ulterioare.
Obținute: datele de valori nu ar trebui să necesite instrumente complexe sau proceduri complicate pentru a le obține. Acestea
ar trebui să fie colectate cu ușurință prin interviuri sau din datele colectate prin intermediul proceselor de afaceri și IT.
Repetabil: Măsurătorile ar trebui să poată fi repetate într-un mod standard la intervale specificate pentru a identifica
tendințele sau pentru a identifica schimbările care sunt rezultatul acțiunilor de atenuare
59
Tendințe: Măsurătorile repetate evidențiază schimbarea și permit factorilor de decizie să evalueze eficacitatea
strategiei de securitate a informațiilor și modul în care aceasta este executată.
7.1.3 Exemple de indicatori de securitate relevanți
Informațiile istorice, în special rapoartele de audit, pot fi utile. Rapoartele recente care includ recomandări privind
securitatea informațiilor ar trebui luate în serios deoarece:
• Ele se bazează (se presupune că sunt) pe fapte verificabile, nu pe opinii
• Ele reflectă nevoile afacerii mai degrabă decât puritatea tehnică. În mod ideal, recomandările sunt
legate de analiza impactului asupra afacerii și registrul de risc al organizației
• Acestea sunt atinse prin cadre formale stabilite, cum ar fi Obiectivele de Control pentru Tehnologia
Informației (COBIT), Ghidul General de Audit Tehnologic (GTAG) al Institutului Auditorilor Interni și/sau
alte linii directoare.
Alte informații istorice valoroase sunt rapoartele privind investigațiile efectuate după incidente grave de securitate.
Acestea ar trebui să explice cum a avut loc incidentul și care vulnerabilități au fost exploatate.
Toți indicatorii care sprijină comparația și analiza tendințelor sunt valoroși prin definiție. Un exemplu de valoare utilă
ar arăta astfel:
Îți vom transforma CV-ul

într- o oportunitate pentru o viață
Îți plac mașinile? Ți-ar plăcea să faci parte dintr-un brand de succes? Trimite-ne CV-ul tău pe
Vă vom aprecia și vă vom recompensa atât entuziasmul, cât și talentul. www.employerforlife.com
Trimite-ne CV-ul tau. Vei fi surprins unde te poate duce.

Conștientizarea securității: % dintre angajații care au finalizat în mod satisfăcător un program. Definiția unei astfel de metrici ar
trebui completată cu detalii despre:
•Ce dovezi sunt colectate și care este sursa datelor
•Frecventa de masurare
Portofoliul de metrici ar trebui să fie suficient de mare pentru a fi valoros, dar nu atât de mare încât să devină un proiect masiv în
sine, iar rezultatul este prea mare pentru a fi gestionabil.
Subiectele care merită susținute de valori utile ar trebui să includă cele care sprijină raportarea schimbărilor și tendințelor în:
Analiza managementului politicilor
Stadiul implementării recomandărilor de audit
Resurse umane responsabile pentru activitățile de securitate a informațiilor – de exemplu:
Stadiul implementării măsurilor de atenuare a impactului ridicat al Registrului de riscuri
Niveluri de maturitate a proceselor pentru sarcinile legate de securitatea informațiilor
Resurse financiare dedicate activităților de securitate a informațiilor
Gestionarea modificărilor și configurației
Teste ale planurilor de gestionare a incidentelor și de gestionare a crizelor
Amploarea implementării controalelor de acces bazate pe roluri (RBAC)
7.2 Raportarea valorilor de securitate a informațiilor
Având în vedere că există cărți dedicate metricilor de securitate, această discuție nu va merge mai departe. Realitatea este că este
posibil să se colecteze cantități uriașe de date despre securitatea informațiilor, dintre care majoritatea nu vor îndeplini caracteristicile
enumerate mai sus.
Oamenii ocupați cu locuri de muncă funcționale preferă în mod normal rapoartele ad-hoc emise pe baza necesității de a cunoaște.
Acest lucru transferă responsabilitatea de a decide cine ar trebui să știe „ce și când” celor care colectează și analizează datele. Mai
ușor de zis decât de făcut.
Tablourile de bord cu autoservire îngropate într-un Intranet par a fi o idee bună, dar, în practică, nu mulți au timpul sau înclinația să
caute mai multe informații, deoarece deja se îneacă în prea multe.
O abordare sensibilă ar cere celor responsabili pentru diferitele aspecte ale securității informațiilor să fie buni comunicatori și să
decidă ce poate fi acoperit de conversațiile informale din lift sau cantină și ce necesită un raport oficial adresat persoanelor cu
puterea de a autoriza acțiuni.
61
Managementul superior ar trebui să fie actualizat în mod regulat cu privire la trei subiecte:
• Inteligență despre amenințările la securitatea informațiilor și exploatările recente
•Resurse, în special sub formă de indicatori cheie de risc (de exemplu, „o informație cheie
persoana de securitate și-a înmânat anunțul și nu există niciun candidat evident care să-și preia rolul”)
•Nerespectarea politicilor și procedurilor.
Următorul capitol oferă o introducere a două instrumente care oferă mijloacele de identificare a zonelor în care securitatea
are cel mai mare rol de jucat: impactul asupra afacerii și managementul riscului.
�e Programul
Programul Absolvent
Absolvent �e �e
Absolventului
M-am alăturat MITAS pentru că pentru ingineri
Ingineri și geoștiințe
Geoștiință
Îmi doream responsabilități reale Maersk.com/Mitas
www.discovermitas.com �e
M-am alăturat MITAS pentru că pentru motor
Îmi doream responsabilități reale Ma
Luna 16
Eram
am fost o
unconstructie M
supraveghetor
Am fost
fost un
în supraveghetor
am un
în contra
Marea Nordului super
consiliere si N el
Muncă adevărată el
ajutând maiștrii consiliere
Interna ional
srezolva
�ree
wor wor
�tree stagii de muncă
probleme
să rezolve el
probleme
ajutând
Muncă adevărată
f la
Interna ional
srezolvarea p
wor stagii de muncă
�tree

Securitatea informațiilor pentru managerii non-tehnici Alte subiecte privind securitatea informațiilor
8 Alte subiecte privind securitatea

informațiilor
În acest capitol vă prezentăm pe scurt și alte subiecte relevante pentru securitatea informațiilor care merită o carte în
sine
•Analize de impact asupra afacerii – BIA

• Managementul riscului informațional (trei cărți sunt disponibile în colecția Bookboon)
•Continuitatea afacerii și managementul crizelor

•Peisajul legislativ
8.1 Analiza impactului asupra afacerii (BIA)
Întotdeauna „va fi în regulă” atunci când nu ți se întâmplă.
Sursa necunoscută
O BIA, în forma sa cea mai simplă, identifică CE sisteme și servicii de informații sunt vitale pentru supraviețuirea unei
organizații atunci când are loc un eveniment perturbator. De asemenea, ar trebui să identifice cât timp ar dura pentru
ca o astfel de incapacitate de a efectua procese de afaceri să dăuneze afacerii.
În plus, un BIA ar trebui să identifice, de asemenea, CARE persoane interne și externe ale căror cunoștințe și expertiză
sunt esențiale atunci când lucrurile merg prost. Rezultatele unui BIA sunt prezentate în Figura 66 .
Astfel de analize necesită angajamentul și implicarea activă a managerilor familiarizați cu afacerea, cu procesele
acesteia și cu criticitatea acestora. Efectuarea unui BIA este o sarcină managerială care necesită luarea în considerare
a mai multor dimensiuni de impact:
63
Afaceri
Impact
Analiză
Răspuns la incident
Cuantificabil
Deținut de afaceri
Unități:
- Recuperare în caz de dezastru
- Continuitatea afacerii
- Management de criza
Date credibile disponibile
Figura 6: Scopul unui BIA
• Operaționale – factori precum impactul asupra clienților, avantajele concurenților, efectul asupra Figura 6
furnizori și asupra lanțului de aprovizionare al afacerii, consecințe asupra forței de muncă;
• Financiar – de la creșterea cheltuielilor pentru a aborda întreruperea până la pierderea de venituri care
decurge din incapacitatea de a furniza servicii până la pierderea valorii acțiunii;
• Contractuale și juridice – incapacitatea de a îndeplini obligațiile contractuale, de exemplu, servicii sau
livrarea produsului;
• Reputațională – poate cea mai greu de evaluat, dar totuși semnificativă în perioada mai lungă
termen;
• Societăți – în special în cazul infrastructurilor critice și al serviciilor de urgență unde
perturbarea are consecințe semnificative asupra populației în general;
•Și altele potrivite pentru afacerea dvs.
Procesul BIA trebuie revizuit în mod regulat pentru a reflecta schimbările în procesele de afaceri, sistemele și serviciile
informatice și structurile organizaționale.
Odată ce un incident a fost identificat (nu întotdeauna imediat) și raportat furnizorului de servicii IT, răspunsul la incident
implică mai mulți pași, de obicei:
Pasul 1: Izolarea – adică limitarea impactului, de exemplu, prin carantina instalațiilor afectate. Acest lucru necesită ca cei
responsabili de izolare să aibă o bună înțelegere a riscurilor implicate în luarea (sau neîntreprinderea) acțiunilor
Pasul 2: Colectarea și conservarea dovezilor – Când aveți de-a face cu Pasul 1, orice dovezi găsite nu trebuie deranjate
sau contaminate. Acesta poate fi folosit ulterior pentru a identifica cauza și poate fi necesar dacă se intenționează o
acțiune în justiție. Conservarea probelor trebuie să fie în conformitate cu standardele legale naționale.
64
Pasul 3: Comunicarea incidentului celor care trebuie să știe. Nerespectarea acestui lucru poate întârzia rezolvarea
incidentului și poate împiedica orice investigație ulterioară. Incidentele grave de securitate ridică probleme de
confidențialitate care pot fi de natură comercială și legală/de reglementare.
Acest lucru poate să nu fie suficient și poate fi necesar să se invoce alte măsuri, cum ar fi recuperarea în caz de
dezastru, continuitatea afacerii și managementul crizelor. Acestea sunt discutate pe scurt în 8.3.
8.2 Managementul riscului informațional
Unii practicieni susțin că managementul riscului ar trebui să fie pe primul loc. Cu toate acestea, această carte bazată
pe experiență consideră că nu poți merge nicăieri fără să știi mai întâi de unde pleci. BIA este mecanismul care oferă
aceste cunoștințe.
Există multe cărți despre managementul riscului și riscul informațional. Această scurtă secțiune evidențiază cele mai
importante concepte și factori de luat în considerare atunci când se evaluează riscul informațional ca parte a
managementului securității informațiilor.
8.2.1 Risc și incertitudine
Jocurile de noroc cunoscute sub numele de afaceri arată cu o dezamăgire austeră față de afacerea cunoscută sub numele de jocuri de noroc.
Dicționarul Diavolului, de Ambrose Bierce, 1906

Ambiguitatea lingvistică discutată mai devreme îi determină pe mulți să folosească cuvintele „risc” și „incertitudine” în
mod interschimbabil, dar ele înseamnă lucruri diferite:
Riscul are mai multe definiții dependente de context (în finanțe, asigurări, medicină, sisteme informatice etc.). O definiție
generică este aceea că este: „o probabilitate sau amenințare de daune, vătămare, răspundere, pierdere sau orice alt
eveniment negativ cauzat de vulnerabilități externe sau interne și care poate fi evitată printr-o acțiune preventivă”.
Standardele de securitate a informațiilor recunosc că riscurile de securitate a informațiilor sunt greu (dacă nu imposibil)
de cuantificat. Prin urmare, definițiile lor nu se referă la „probabilitate”. Standardul internațional ISO 27005:2008 definește
riscul ca „Potențialul ca o anumită amenințare să exploateze vulnerabilitățile unui activ și, prin urmare, să provoace
prejudicii organizației”.
Termeni precum „potențial” și „probabilitate” invită să se facă judecăți subiective și, prin urmare, orice evaluare a riscului
de securitate a informațiilor nu ar trebui tratată ca un „fapt”, ci ca o presupunere informată.
Este bine de reținut că evaluările de risc în alte domenii – expunerile la valută străină, modificările prețului acțiunilor și
alte domenii economice, de asemenea, nu sunt robuste și se bazează pe aceleași cuvinte, „potențial” sau „probabilitate”.
Acestea maschează incertitudinea – încercând să abordăm lucruri pe care nu le înțelegem pe deplin.
Acest lucru nu este nimic nou, după cum se crede că Aristotel (384–322 î.Hr.) a spus: „este posibil să se întâmple ceva puțin
probabil”. Acest lucru rămâne adevărat și astăzi și este denumit „necunoscute cunoscute” și „necunoscute necunoscute”.
Acțiunea preventivă necesită capacitatea de a prezice viitorul cu un anumit grad de acuratețe, având în vedere că
amenințările pot apărea din forțele naturale (de exemplu, cutremurul de la Fukushima și tsunami), acțiuni umane
accidentale, cum ar fi accidente de circulație, incendii domestice, dezvăluiri de informații confidențiale în rețelele sociale și
acțiune umană deliberată (fraudă, sabotaj, terorism și restul).
Acțiunile deliberate nu sunt evenimente aleatorii și acest lucru le face imprevizibile. Incertitudinea poate fi redusă, printre
care informațiile (în sens militar), obținute din surse evaluate ca fiind suficient de demne de încredere. Cu toate acestea,
au existat exemple de inteligență considerată a fi bună la momentul respectiv, care, în cele din urmă, s-au dovedit a fi
proaste.
Un altul este planificarea scenariilor (sau jocurile de război) în care un grup de participanți cunoscători și experimentați
explorează situații „ce-ar fi dacă” folosind creativitatea (și unii ar spune paranoia) pentru a descrie modul în care acțiunile
deliberate s-ar putea dezvolta și încearcă să aibă o serie de răspunsuri la 5W1H. Această abordare poate funcționa destul
de bine și este aplicată pe scară largă. Totuși, nu este perfectă.
66
În ambele cazuri, există mai mulți factori care trebuie evaluați cu informații incomplete, cum ar fi intenția amenințării
(natura, accidentală sau intenționată), capacitatea acesteia, în special dacă este uman și deliberat, de exemplu, hacker
amator versus profesionist din armata cibernetică și tot ce este între ele, precum și oportunitatea, cum ar fi accesul de la
distanță versus insider autorizat.
8.2.2 Managementul riscurilor: scop și activități principale
Scopul managementului riscului este de a proteja o organizație de amenințările care îi pot perturba activitățile.
Figura 77 prezintă principalele elemente ale managementului riscului și domeniile de informații necesare pentru a le
desfășura.
Capacitate
Risc Amenințare
Forțele naturii
Oportunitate
Ignora Accident uman
Evita Om deliberat
Intenție
Accept
Atenuează Probabilitate/probabilitate
Transfer Vulnerabilitatea activelor
Impactul asupra afacerii
Figura 7: componentele riscului
Există mai multe cadre pentru evaluarea managementului riscului informațional. Autorul este cel mai familiarizat cu
ISACA IT Risk Framework și cu OCTAVE (Operational Critical Threat, Asset, and Vulnerability Figura 7
Evaluare). Informații despre ambele pot fi găsite în capitolul 9.
8.2.3 Rezultatele managementului riscului
O inițiativă de management al riscului informațional ar trebui să adauge valoare organizației. Pentru a face acest lucru, rezultatele
unor astfel de inițiative ar trebui să includă:
•Un program detaliat pentru managementul și atenuarea riscurilor informaționale;
•Integrarea riscurilor în programul Enterprise Risk Management folosind

definiții comune;
• Un registru de risc care include descrieri ale strategiei care trebuie aplicată fiecăruia: ignora, evita, accepta,
atenuează sau transferă;
•Determină și implementează contramăsuri eficiente la aceste riscuri;
•Acolo unde este necesar, evaluați rentabilitatea investiției a contramăsurilor.
67
informație
Risc
management
Prognoza incidentelor
Riscul greu de cuantificat
Deținut de afaceri
Unități:
- Registrul de risc
- Planuri de atenuare
- Revenirea securității
Calcule de investiții
Se bazează pe presupuneri
Figura 8: rezumă cele de mai sus.

Figura 8

8.3 Planificarea supraviețuirii
Dacă nu te pregătești, te pregătești să eșuezi
Origine incertă – atribuită lui Benjamin Franklin, Winston Churchill și alții
Chiar și optimiștii cu experiență acceptă că un incident de securitate a informațiilor este inevitabil, deoarece securitatea
100% este irealizabilă – și, după cum sa discutat în Capitolul 7, valorile de securitate sunt insuficiente. Pregătirea este
singura alternativă la improvizația atunci când are loc un incident.
Există mai multe niveluri de pregătire începând cu sistemele informaționale și furnizorii de servicii.
Domeniile lor de responsabilitate ar include în mod normal:
•Mecanisme de sprijinire a raportării, analizei, izolării și soluționării incidentelor
•Acolo unde impactul unui incident este evaluat a fi mare, acest lucru poate necesita înființarea unei echipe
de răspuns în situații de urgență capabilă să ofere acoperire 24/7.
• Sprijin pentru o echipă de investigații și cunoștințe despre cum să colectați și să păstrați probe
•Planuri de urgență pentru a permite sistemelor și serviciilor să continue să funcționeze
• Planuri de recuperare în caz de dezastru. Acestea sunt menite să ofere infrastructură și operațiuni
capabilități într-o altă locație. Aceste planuri presupun că astfel de operațiuni nu pot continua în locația
inițială din cauza forțelor naturii (de exemplu, cutremure, condiții meteorologice) sau acțiuni deliberate
precum sabotaj, atacuri teroriste etc.
Trebuie remarcat faptul că planurile de recuperare în caz de dezastru se concentrează pe infrastructura fizică și vor fi de
folos limitat dacă software-ul sau datele au fost corupte printr-o formă de atac cibernetic.
Următorul nivel de planificare pentru continuarea operațiunilor este cel al Planificării Continuității Afacerii și abordează
posibila indisponibilitate a birourilor, accesul la clădiri sau întreruperile semnificative ale utilităților. Planificarea
continuității afacerii nu este responsabilitatea furnizorilor de sisteme informatice și de operațiuni IT.
Managementul crizelor este a treia componentă majoră a răspunsului la evenimentele de securitate a informațiilor.
Diferă de cele două de mai sus în măsura în care implică părți din afara organizației, adică părți interesate, mass-media
și alții, în funcție de natura organizației.
69
8.4 Peisajul legislativ

După cum sa menționat mai devreme, Convenția Consiliului Europei privind criminalitatea cibernetică este un instrument
stabilit care abordează natura transfrontalieră a criminalității cibernetice. Există și Directiva Uniunii Europene 95/46/CE
privind protecția datelor, din care un proiect destinat să o înlocuiască a fost făcut public la începutul anului 2012.
Acestea completează portofoliile naționale de legislație. Întrucât inovația tehnică este mai rapidă decât stabilirea legislației,
rămân multe zone gri. Acestea variază de la o țară la alta. Consilierul juridic corporativ este cel mai bine calificat pentru a
identifica legislația aplicabilă și pentru a informa cei responsabili cu implementarea și operarea sistemelor și serviciilor
informatice despre acestea.
Programe excelente de economie și afaceri la:
„Începutul perfect al
unei cariere
internaționale de succes.”
CLICK AICI
pentru a descoperi de ce atât din punct de
vedere social, cât și din punct de vedere
academic, Universitatea din Groningen este
unul dintre cele mai bune locuri pentru un student

www.rug.nl/feb/education

Securitatea informațiilor pentru managerii non-tehnici Concluzii
9 Concluzii
Concluzia, in care nu se incheie nimic.
Samuel Johnson, în „Istoria lui Rasselas”.
S-ar părea că Securitatea Informației este una dintre problemele care nu are nicio soluție, iar practicienii săi
continuă să-și exprime îngrijorarea cu privire la aproximativ aceleași subiecte pe care le-au discutat de mulți ani, și
anume:
•Lipsa unor metrici adecvate pentru a descrie securitatea și riscul
•Viteza inovației tehnice care obligă pe toată lumea, de la practicieni la utilizatori, să fie în modul de
învățare și de recuperare din urmă
• Consecințele necunoscute ale adoptării timpurii a tehnologiilor inovatoare
• Provocările conștientizării modului de păstrare în siguranță a datelor corporative între ambele
management și forța de muncă
•Abilitățile unor persoane asortate (hackeri) care intenționează fraudă, spionaj, furt de intelectual
proprietate sau pur și simplu întrerupere
•Aparenta lipsă de interes față de subiect manifestată de managementul superior și directori
• Căutarea constantă a resurselor pe măsură ce noile tehnologii își găsesc drum în fiecare domeniu al
activitate și joacă un rol din ce în ce mai critic.
Se va schimba acest lucru în viitorul apropiat – poate, dar ar fi un lucru bun dacă s-ar face și ar face acest lucru în
bine.
Este bine să ne amintim povestea din mitologia greacă a cutiei Pandorei. Pandora i s-a spus în mod expres de către
Zeus să nu o deschidă, dar a făcut-o. Făcând acest lucru, tot răul din lume a fost eliberat înainte ca ea să-l poată
închide din nou și singurul lucru care a rămas în cutie a fost speranța.
Acțiunile mici – descărcarea unui software pe un dispozitiv personal – pot părea simple și inocente, dar se pot
dovedi a avea consecințe grave. Acest lucru nu este ajutat de revistele populare pentru pasionații de IT, care sunt
pline de „sfaturi” despre descărcări, gadgeturi și modificări ale configurației dispozitivelor (cum ar fi frânarea
închisorii sau modificarea unui registru), care pot fi OK pentru o persoană, dar dezastruoase. la o întreprindere.
Noroc!
71
Securitatea informațiilor pentru managerii non-tehnici Referințe
10 Referințe
Există multe publicații despre securitatea informațiilor. Începând cu aproximativ 25 de ani în urmă, include cărți, cercetări
academice, lucrări ale conferințelor, standarde și bune practici, literatură de la furnizor și multe reviste și site-uri web. Există,
de asemenea, rețele profesionale și numeroase bloguri.
Lista de mai jos nu încearcă să fie cuprinzătoare și se concentrează pe publicațiile despre care autorul consideră că ar putea
fi utile celor interesați de subiect care nu sunt practicieni în domeniul securității.
10.1 Descărcabil gratuit:
Ghid pentru securitatea informațiilor pentru consiliile de administrație și conducerea executivă, ediția a 2-a , 2006 Asociația
de Audit și Control al Sistemelor Informaționale (ISACA) www.isaca.org
Convenția privind criminalitatea cibernetică (2001), Consiliul Europei www.coe.int
Îndrumările privind securitatea cibernetică sunt disponibile, dar trebuie făcute mai multe pentru a promova utilizarea sa,
GAO 12-92, decembrie 2011 NB: Oficiul pentru responsabilitatea guvernului SUA are peste 350 de documente privind
aspectele securității computerelor, la: http://www.gao.gov /browse/topic/Information_Security/
Institutul Național pentru Știință și Tehnologie (SUA), Centrul de resurse pentru securitatea calculatoarelor,
http://csrc.nist.gov/publications/PubsSPs.html
Seria Publicații Speciale SP 800 este o colecție de peste o sută de documente despre bune practici
Institutul SANS: Politica de securitate a informațiilor – un ghid de dezvoltare pentru organizațiile mari și mici
SANS Institute: Security Policy Roadmap – proces pentru crearea politicilor de securitate
http://www.sans.org/security-resources/policies/
Manualul cadru național de securitate cibernetică, 2013, Centrul de excelență pentru apărare cibernetică cooperativă
NATO, http://www.ccdcoe.org/publications/books/NationalCyberSecurityFrameworkManual.pdf
Evaluarea amenințărilor, activelor și vulnerabilităților critice din punct de vedere operațional (OCTAVE), un set de
instrumente și tehnici pentru evaluarea și planificarea securității informațiilor bazate pe riscuri www.cert.org/octave
Există, de asemenea, sute, dacă nu mii de site-uri web care acoperă securitatea informațiilor. Cel de la
www.csoonline.com este considerată de încredere.
72
Securitatea informațiilor pentru managerii non-tehnici Referințe
10.2 Material care necesită achiziție
Business Model for Information Security (BMIS), 2010, ISACA poate fi achiziționat de la ISACA
Librărie (gratuit pentru membrii ISACA)
Obiectivele de Control pentru Tehnologia Informației (COBIT) pentru Securitatea Informației și aferente
Ghidul practicienilor, versiunea 5, 2012, ISACA
Seria de standarde ISO 27000 privind diverse aspecte ale managementului securității informațiilor. www.iso.org
Ghid general de audit al tehnologiei (GTAG) 15: Guvernanța securității informațiilor, IIA GTAG 15, 2011, Institutul Auditorilor
Interni (http://www.theiia.org)
Managing the Human Factor in Information Security, de David Lacey, 2009, Wiley
10.3 Subiecte neacoperite în această carte
Pentru a menține această carte la o lungime rezonabilă, mai multe subiecte au fost excluse cu totul, inclusiv
•Orientări și bune practici pentru „igiena digitală” personală – cum să reduceți securitatea
riscuri ale spațiului cibernetic (software rău intenționat, fraudă, pierderea confidențialității, furtul de identitate, dezvăluiri și
multe altele)
• Un ghid al terminologiei – mai multe enciclopedii online oferă informații demne de încredere
•Discuții despre modul în care software-ul rău intenționat (virus, vierme, rootkit etc.) și instrumentele de atac
(botnet, dispozitive zombie, injecție SQL etc.) – enciclopediile sunt, din nou, o sursă bună
• Audituri de securitate și hacking etic
73
Securitatea informațiilor pentru managerii non-tehnici Anexă: Mulțumiri
11 Anexă: Mulțumiri
Autorul este îndatorat multor oameni și organizații pentru răbdarea, sprijinul și disponibilitatea de a colabora la multe
proiecte, inclusiv la pregătirea acestei cărți. În special:
Organizatii:
IGI Global, editori de cărți academice, inclusiv Drept și tehnologie și Securizarea infrastructurilor critice, pentru
îndrumările și comentariile lor editoriale.
Jurnalul ISACA și echipa sa editorială, pentru îndrumarea editorială și permisiunea de a cita selectiv din articolele
publicate.
Centrul de Politică de Securitate de la Geneva pentru că mi-a permis să mă alătur la atelierele și discuțiile lor care au
dus la publicarea NATO CCD COE „Cadru pentru Strategiile Naționale de Securitate Informațională” publicat în martie
2013.
Institutul de Formare MIS pentru Europa, Orientul Mijlociu și Africa, pentru oportunitatea de a vorbi la conferințele lor,
se întâlnește și discută aceste subiecte cu sute de practicieni cunoscători.
Webster University Geneva, pentru că mi-a oferit acces la Gartner Research și pentru că am procesat acest text prin intermediul serviciului
Ithenticate pentru a mă asigura că toate materialele protejate prin drepturi de autor au fost recunoscute în mod adecvat.
Grafică:
Fundația Diplo (www.diplomacy.edu) pentru permisiunea lor de a modifica și utiliza Figura 3
The Hemera 1 Million Box of Art – clip artă fără drepturi de autor folosită în Figura 4
Jurnalul ISACA, așa cum se menționează în notele de final.
Mulți indivizi au oferit comentarii sincere valoroase cu privire la proiectul acestei cărți, iar contribuția lor este
recunoscătoare. Autorul își cere scuze pentru eventualele erori din această carte. Sunt neintenționate și în întregime
ale mele. Cititorii dornici să ofere comentarii și corecții ar permite îmbunătățirea oricăror posibile ediții noi.
74
Securitatea informațiilor pentru managerii non-tehnici Note de final
12 Note de final
1. National Cybersecurity Framework Manual, Editat de Alexander Klimburg, NATO CCDCOE, 2013 2. The Future of Cyberwar,
de James P. Farwell; Rafal Rohozinski, Supraviețuire, politică și strategie globală,
ianuarie 2011.
3. Seria ISO 27000, Managementul Securității Informaționale, Organizația Internațională de Standardizare.
4. „Digital Natives, Digital Immigrants”, de Mark Prensky, de la „On the Horizon”, Universitatea NBC
Press, 2001.
5. „IT Metrics: Staffing and Expenditure Report”, Gartner Research Note G00248502, februarie 2013.
6. Sursa: Jurnalul ISACA, Volumul 4, © 2013, ISACA, Toate drepturile rezervate. Folosit cu permisiunea.
7. Sursa: Jurnalul ISACA, Volumul 4, © 2013, ISACA, Toate drepturile rezervate. Folosit cu permisiunea.
8. Ca nota de subsol 7.

Information-Security-For-Non-Technical-Managers ROM

Încărcat de

Informații document

Titlu original

Drepturi de autor

Formate disponibile

Partajați acest document

Partajați sau inserați document

Opțiuni de partajare

Vi se pare util acest document?

Este necorespunzător acest conținut?

Drepturi de autor:

Formate disponibile

Information-Security-For-Non-Technical-Managers ROM

Încărcat de

Drepturi de autor:

Formate disponibile

Machine Translated by Google

Securitatea informațiilor pentru managerii netehnici

Descărcați cărți gratuite de la

Dr. Eduardo Gelbstein

Securitatea informațiilor pentru managerii

Descărcați cărți electronice gratuite de pe bookboon.com

Securitatea informației pentru manageri non-

Descărcați cărți electronice gratuite de pe bookboon.com

Securitatea informațiilor pentru managerii non-tehnici Cuprins

1 Securitatea informațiilor în context 12

1.1 O scurtă istorie a tehnologiilor informaționale și a efectelor secundare ale acestora 12

1.2 De ce securitatea informațiilor este din ce în ce mai importantă 14

1.3 Ubicuitate și dependențe ireversibile 15

2 Lecții identificate în ultimii zece ani 16

2.1 Semantica securității informațiilor 16

2.2 Principalele domenii țintă în insecuritatea informațională 18

dar nu este făcut suficient de bine 21

2.5 Asimetrii și consecințe 23

2.6 Menținerea securității este treaba tuturor 24

Lumina este OSRAM

Descărcați cărți electronice gratuite de pe bookboon.com

Securitatea informațiilor pentru managerii non-tehnici Cuprins

3 Definirea securității informațiilor 26

3.1 Ce se înțelege prin „securitatea informațiilor” 26

3.2 Diferențele dintre securitatea întreprinderii, securitatea informației și

securitatea tehnologiei informației 27

4 Gestionarea securității informațiilor în întreprindere 31

4.1 Guvernanța securității informațiilor 32

4.2 Componentele guvernanței securității informațiilor 33

4.3 Gestionarea pentru securitate 35

4.4 Ce face un bun Chief Information Security Officer (CISO) 39

4.5 Rolul tău de manager 40

5 Cele patru domenii ale vulnerabilităților 42

5.1 Vulnerabilitatea guvernării 42

5.2 Vulnerabilitatea oamenilor 43

5.3 Vulnerabilitatea procesului 45

5.4 Vulnerabilitatea tehnologiei 48

Pozițiile sunt disponibile în Franța, Germania, Spania și Marea Britanie.

Un stagiu EADS oferă șansa de a vă folosi cunoștințele teoretice și de a le aplica

Descărcați cărți electronice gratuite de pe bookboon.com

5 Faceți clic pe anunț pentru a citi mai multe

Securitatea informațiilor pentru managerii non-tehnici Cuprins

6 Alți factori ai insecurității informaționale 51

6.1 Motive de îngrijorare 51

6.2 Factori externi: peisajul în continuă schimbare 55

6.3 Securitatea informațiilor nu ar trebui să împiedice gândirea inovatoare 56

7.1 Măsurarea securității informațiilor 57

7.2 Raportarea valorilor de securitate a informațiilor 61

8 Alte subiecte privind securitatea informațiilor 63

8.1 Analiza impactului asupra afacerii (BIA) 63

8.2 Managementul riscului informațional 65

8.4 Peisajul legislativ 70

Descoperiți adevărul la www.deloitte.ca/careers Di

© Deloitte & Touche LLP și entitățile afiliate.

Descoperiți adevărul la www.deloitte.ca/careers © Deloitte & Touche LLP și entitățile afiliate.

Descărcați cărți electronice gratuite de pe bookboon.com

© Deloitte & Touche LLP și entitățile afiliate.

Securitatea informațiilor pentru managerii non-tehnici Cuprins

10.1 Descărcabil gratuit: 72

10.2 Material care necesită achiziție 73

10.3 Subiecte neacoperite în această carte 73

Îți vom transforma CV-ul

Descărcați cărți electronice gratuite de pe bookboon.com