Securitatea informatiei este un concept mai larg care se refera la asigurarea integritatii, confidentialitatii si disponibilitatii informatiei. Dinamica tehnologiei informatiei induce noi riscuri pentru care organizatiile trebuie sa implementeze noi masuri de control. De exemplu, popularizarea memoriilor portabile de capacitate mare, induce riscuri de copiere neautorizata sau furt de date. Lucrul in retea si conectarea la internet induc si ele riscuri suplimentare, de acces neautorizat la date sau chiar frauda.
Dezvoltarea tehnologica a fost acompaniata si de solutii de securitate, producatorii de echipamente si aplicatii incluzand metode tehnice de protectie din ce in ce mai performante. Totusi, in timp ce in domeniul tehnologiilor informationale schimbarea este exponentiala, componenta umana ramane neschimbata. Asigurarea securitatii informatiilor nu se poate realiza exclusiv prin masuri tehnice, fiind in principal o problema umana.
Majoritatea incidentelor de securitate sunt generate de o gestiune si organizare necorespunzatoare, si mai putin din cauza unei deficiente a mecanismelor de securitate.
Este important ca organizatiile sa constientizeze riscurile asociate cu utilizarea tehnologiei si gestionarea informatiilor si sa abordeze pozitiv acest subiect printr-o constientizare in randul angajatilor a importantei securitatii informatiilor, intelegerea tipologiei amenintarilor, riscurilor si vulnerabilitatilor specifice mediilor informatizate si aplicarea practicilor de control([1]).
I.1 Politica de securitate
Obiectivul politicii de securitate este sa ofere managementului institutiei sprijinul necesar asigurarii securitatii informatiilor din cadrul organizatiei.
Conducerea oricarei institutii trebuie sa ofere suportul necesar prin elaborarea unui document intitulat Politica de Securitate, document care trebuie adus la cunostinta tuturor angajatilor.
Fara un astfel de document exista riscul ca rolurile si responsabilitatile relative la asigurarea securitatii informationale sa fie gresit intelese. Nedezvoltarea unui astfel de document si neaducerea la cunostinta angajatilor a politicii de securitate a companiei induce de cele mai multe ori o stare de superficialitate in tratarea acestor aspecte.
Existenta unei viziuni clare a conducerii si o comunicare efectiva a acesteia catre angajati este fundamentala pentru asigurarea eficientei oricaror proceduri si masuri de securitate specific([1]).
I.2 Organizarea securitatii
Intr-o companie, managerul general are responsabilitatea securitatii informatiilor. Angajatii au obligatia de a respecta regulile impuse de management prin anumite politici si proceduri.
In functie de specificul de activitate al firmei si de obiectivele acesteia, conducatorului firmei ii revine sarcina de a stabili o politica de securizare a informatiilor. Ca urmare, trebuie sa decida modalitatea in care se vor clasifica informatiile.
Informatiile pot fi clasificate in:
- informatii neconfidentiale;
- informatii confidentiale;
- informatii strict confidentiale.
In functie de clasificarea informatiilor, se stabileste nivelul de acces al angajatilor la fiecare categorie de informatii. Fiecare angajat trebuie sa aiba acces doar la acele informatii care ii sunt stric necesare pentru indeplinirea sarcinilor. Contractele de munca trebuie sa contina clauze de confidentialitate foarte bine definite pentru fiecare post.
Nivelul de acces al utilizatorilor la informatii trebuiesc stabilite in functie de modalitatile de control al accesului la informatii. Controlul nu inseamna numai accesul la resursele informatice ale companiei, ci trebuie controlat si accesul fizic, deoarece nu toate informatiile sunt pe suport electronic. De exemplu, nu mai are importanta daca calculatorul este parolat, daca biroul este plin de hartii care contin informatii sensibile referitoare la contractele in derulare. Ca urmare, este necesara o procedura de stabilire a controlului accesului in retea si a controlului accesului fizic.
In vederea asigurarii protectiei informatiei
]. Securitatea sistemelor informatice. Note de curs, http://bogdanelb.files.wordpress.com/2009/12/curs_securit_sist_inf.pdf
[2]. Securitatea datelor, http://oeconomica.upm.ro/OE_VI/119-127StefanIleana.pdf
[3]. Solutii de control al accesului fizic la resurse, http://www.classit.ro/solutii-externalizare-it-solutii-de-control-al-accesului-fizic-la-resurse.php
[4]. Solutii de securizare a resurselor companiei. Solutii de control al accesului fizic la resurse, http://www.teamit.ro/companie/solutii/solutii-de-securizare-a-resurselor-companiei/
[5]. Securitatea sistemelor informatice si de comunicatii. Cod de bune practici, http://www.cert-ro.eu/files/doc/729_20130401030415043075400_X.pdf
Pentru a descărca acest document,
trebuie să te autentifici in contul tău.