Revista si suplimente
MarketWatch
Inapoi Inainte

Managementul Riscului – Strategie, Politica, Plan – consultanta

24 Septembrie 2004



Am prezentat anterior cum poate fi abordata securitatea IT sau cum trebuie facuta o analiza de securitate in scopul reducerii constiente a riscurilor. Toate aspectele avute in vedere isi gasesc in mod logic si firesc locul in cadrul proceselor de management. Din punctul de vedere al securitatii IT, aceste procese pot fi atribuite managementului organizational, respectiv managementului operativ-tehnologic. Daca managementul operativ-tehnologic se refera la administrarea efectiva a componentelor hardware/ software ale unui sistem de securitate IT, managementul organizational este cel care cuprinde instrumentele gestiunii protectiei datelor si informatiilor critice. Orice organizatie trebuie sa defineasca propria strategie de securitate, politica de securitate si sa urmeze un plan de securitate adecvat.


Strategia de Securitate este cea care defineste liniile generale si obiectivele unei organizatii din punct de vedere al protectiei tuturor resurselor critice. Reprezinta o gandire pe termen lung si urmareste indeaproape interesul managementului pentru asigurarea protectiei propriilor date si informatii, intretinerea unui nivel de protectie adecvat, adaptarea acestuia la provocarile mediului inconjurator si imbunatatirea permanenta a sistemului de securitate. Trebuie stabilite de la inceput obiectivele si mijloacele de masurare a rezultatelor. Astfel, putem alege sa dezvoltam un sistem de securitate propriu si sa realizam propriile evaluari, putem beneficia de experienta cuprinsa in security best practices sau putem urmari conformitatea cu unul dintre standardele in domeniu. Strategia de securitate trebuie exprimata clar si sustinuta de management, ca expresie incotestabila a vointei conducerii organizatiei de a proteja resursele informationale.


Politica de Securitate este instrumentul care preia principiile exprimate in strategie si le distribuie catre intreaga organizatie, in mod cat mai explicit. Politica de securitate consta dintr-un set de reguli si practici care regleaza modul in care o organizatie foloseste, administreaza, protejeaza si distribuie propriile informatii sensibile. Rolul politicii de securitate este de a informa pe toti cei ce activeaza intr-o organizatie asupra modului in care trebuie sa se comporte privind o anumita tema; care ar trebui sa fie pozitia managementului referitor la acea tema si care sunt actiunile specifice in functie de situatiile aparute. Mai clar, politica de securitate reprezinta o „lege“ interna a fiecarei organizatii, menita sa impuna vointa managementului de a proteja resursele informationale critice. O astfel de „lege“ trebuie dedicata activitatii fiecarei organizatii in parte, explicata intregului personal, mentinuta si permanent adaptata activitatilor specifice organizatiei respective. Politica de securitate trebuie sa aiba in vedere toate activitatile din cadrul organizatiei si reglementeaza modul in care sunt tratate datele si informatiile sensibile, atat la modul general, cat si in fiecare departament, pentru fiecare post de lucru. Pentru a beneficia de o politica eficienta, este necesar sa definim proceduri si alte instrumente de masurare a gradului de respectare a regulilor incluse. in functie de activitatea fiecarei organizatii, de interactiunile cu organisme ale statului si cu alte institutii, parteneri, clienti, furnizori, sau reglementari legislative, politica de securitate trebuie sa fie conforma cu unul sau mai multe standarde.


Planul de Securitate descrie in mod concret procesele si activitatile ce trebuie desfasurate pentru a indeplini obiectivele strategiei si a realiza sistemul de protectie necesar. Cuprinde o parte tehnica, o parte administrativa si una economica. Se definesc etape, costuri si responsabilitati. Activitatile definite intr-un plan de securitate pot fi grupate si desfasurate in cateva etape: Agregarea informatiilor existente; Documentarea unui sistem de clasificare a informatiei; Evaluarea riscurilor; Implementarea masurilor tehnice; intretinerea sistemului. Toate aceste activitati sunt dublate de activitati destinate promovarii strategiei si politicii de securitate catre angajati, dezvoltarea competentelor pentru utilizarea noului sistem; apelarea la consultanta privind modalitati de imbunatatire si actualizare a sistemului.


Atat Strategia, cat si Politica si Planul de securitate trebuie alcatuite in deplina cunostiinta de cauza, fiind de o importanta deosebita pentru dezvoltarea sistemului de protectie. Parametrii avuti in vedere variaza de la o organizatie la alta, necesitatile de protectie sunt diferite, legislatia difera de la un domeniu la altul. Nevoia de consultanta este evidenta. Apelarea la consultanta specializata confera claritate si duce mult mai rapid la obtinerea rezultatelor dorite, iar costurile sunt mult mai mici fata de cele presupuse de descoperirea, pas cu pas „prin forte proprii“.



Parerea ta conteaza:

(0/5, 0 voturi)

Lasa un comentariu



trimite