Securitatea informației și ziua de mâine a afacerii

Au fost mai întâi roadele spontane din natură. Apoi sălbăticiunile și instrumentele pentru a le vâna. Au urmat animalele domesticite. A venit apoi rândul pământului deținut să marcheze puterea în societate. Acestuia i-au urmat mijloacele de producție agricolă și, după ele, cele de producție industrială. Undeva printre acestea s-au strecurat pe rând cuprul, cositorul, fierul, argintul, aurul, petrolul, hârtiile de valoare. În era informatică, însă, toate resursele valoroase s-au golit de materialitate, s-au eliberat de tradiționalele trei dimensiuni și de materia densă cuprinsă între ele; ușurându-se de hectare, kilograme, barili și număr de capete, resursele și chiar și banii au atins sublimarea finală iar acum se tranzacționează numai ceea ce contează cu adevărat: nu vreuna din ele ci informații despre ele, despre resurse, despre bani, oameni, firme ca și despre multe, multe altele.

Informația este acum putere. Informația este la putere. Informația este singura cea mai valoroasă resursă a oamenilor de azi, adică a ta, a mea, a lor, indiferent dacă suntem considerați ca indivizi independenți sau colectivități unite de interese economice, culturale, etnice, politice sau de orice alt fel ți-ar trece prin minte. Preocuparea pentru a completa, a actualiza, a păstra în siguranță și a prelucra cu cele mai performante instrumente informația ne ocupă cea mai mare parte din timp, energie și imaginație. Și e normal să fie așa.

Dell EMC anunța recent rezultatele celei de-a treia ediții a studiului Global Data Protection Index, studiu în cadrul căruia au fost intervievați decidenți din organizații publice și private provenind din 18 țări și activând în 11 domenii, care indică un ritm exploziv de creștere a volumului de date: 569% (!) în ultimii doi ani și a conștientizării pe scara largă a valorii acestora. Volumul de date în sine și importanța acestora pentru operațiunile comerciale fac ca protecția datelor să fie tot mai dificilă. Incidentele perturbatoare apar frecvent dar și mai alarmantă este creșterea cantității de date pierdute ireversibil. Peste trei sferturi (76%) dintre respondenții din toată lumea s-au confruntat cu un tip de incident de securitate într-o perioadă de 12 luni, iar 27% nu au reușit să își recupereze informațiile prin intermediul soluțiilor de protecție a datelor pe care le aveau și le considerau suficiente, un procent aproape dublu față de în urmă cu doi ani.

Hoțul și prostul

”Securitatea informației” denumește domeniul de activitate care își propune să prevină sau să minimizeze impactul privind accesul, utilizarea, transmiterea sau distrugerea în mod neautorizat a celui mai de preț activ al tău, infomația. Denumit între specialiști și InfoSec, domeniul beneficiază de atenția și eforturile reunite ale celor care îl studiază și al celor care îl practică în vederea alcătuirii și actualizării de standarde, norme, politici și ghiduri de bune practici pentru a perfecționa continuu și a face cât mai ușor aplicabile măsurile necesare protecției datelor.

Protecția este necesară pentru măcar două motive. Pe de o parte, nu au existat hoți de cai înainte ca animalele respective să devină un activ util și valoros, dar imediat după cai au apărut și hoții și foarte repede ei și-au perfecționat și multiplicat intruziunile în bunul mers al lucrurilor. Înlocuiește calul cu activul ”fierbinte” al momentului, informația, și iată o primă nevoie de protecție. Pe de altă parte, încă o amenințare îngrijorează pe cei chemați să vegheze asupra integrității informațiilor, una mai puțin luată în serios, cel puțin până când stricăciunile provocate sunt cuantificate și se constată că atârnă tot atât cât cele cauzate de atacuri cibernetice: prostia omenească. Politically correct ar fi să vorbim de human error și inefficient communication dar prostul tot prost rămâne și acțiunile sale asupra informațiilor tale atât de prețioase și insuficient protejate pot avea efecte devastatoare.

Principalele trei provocări în asigurarea securității informațiilor, relevate la nivel global de studiul menționat, sunt:

1. Pe primul loc, cu 46%, s-a situat complexitatea alegerii și configurării soluțiilor de protecție a datelor și creșterea exponențială a costurilor cu stocarea și gestionarea copiilor de rezervă, mai ales datorită creșterii rapide a volumului și a caracterului critic al datelor.

2. Absența soluțiilor de protecție a datelor adecvate pentru tehnologiile noi și emergente și nevoia de adaptare continuă la acestea s-a clasat pe locul al doilea, cu 45%.

3. Asigurarea conformității cu reglementările de bază, și de multe ori obligatorii, privind InfoSec precum GDPR și ISO 27001, s-a plasat pe locul al treilea, cu 41%.

Fericiți cei norocoși

Regulile esențiale privind parole, antivirus, firewall, criptare, drepturi de acces și administrare, acces fizic, backup și recuperare, disaster recovery și planuri de continuitate operațională, analize de risc, audituri de securitate și conformitate cu standarde și norme, corect aplicate și eficient susținute de soluții tehnice dedicate (software și hardware) au aceeași importanță pentru informațiile tale precum are importanță plasa pentru acrobat, oxigenul pentru scafandru și coarda pentru alpinist. Fiecare zi fără ele e încă o zi în care te aventurezi să te arcuiești la înălțime, să te scufunzi prea adânc sau să te cațeri la liber. Ca să te simți în siguranță făcând asta trebuie să fii ori foarte, foarte, foarte norocos, ori super-campion la sporturi periculoase; și, să fim serioși, câți dintre noi suntem super-campioni la ceva?

De cealaltă parte, agresorii sau abuzatorii de date sunt în fiecare zi mai mulți și mai abili, cadrul normativ și autoritățile de supraveghere sunt tot mai drastice și aplică amenzi mai apăsătoare, valorile datelor compromise - cu intenție sau din ignorarea unor reguli elementare - și ale penalităților aplicate sunt tot mai mari. Într-un climat marcat de nesiguranță și provocări, a devenit o obișnuință să ne alegem furnizorii (de aproape orice) inclusiv după criteriul măsurii în care aceștia se comportă responsabil cu datele la care vor avea acces în timpul colaborării noastre.

În Europa ai de unde alege

Expunerea la riscuri va fi redusă substanțial prin transpunerea în realitatea organizației tale - integral și autentificat prin certificarea respectivă sau măcar parțial pentru aspectele identificare drept cele mai vulnerabile sau critice - a prevederilor cuprinse în standarde de InfoSec locale, europene sau internaționale ca ISO/EC 27001, 27002, 27005, 22301, 27552, 31000, standardul BS EN ISO 22301:2014 pentru redresarea după incidente de securitate și asigurarea continuității operaționale, în norme de industrie si/sau specifice pe domenii de activitate precum normele InfoSec ale MCSI și BNR pentru domeniul bancar, normele eIDAS privind semnăturile electronice, GDPR pentru datele cu caracter personal, ePrivacy și directiva PSD2 pentru plăți electronice, directiva NIS privind securitatea rețelelor, coduri de bune practici precum COBIT, CSV, NIST, CSF etc.

Serviciile profesioniștilor în InfoSec care îți vor asigura liniștea se pot grupa astfel, în funcție de interesul principal al firmei beneficiare:

securitateainformatiei

Depinde de tine să stabilești care dintre cele de mai sus ar trebui să constituie primele priorități pentru organizația ta.

Ziua de mâine, azi

Riscurile asociate accesului neautorizat sau pierderii de informații sunt minimizate și sub control atunci când organizația și-a definit și implementat un sistem bine articulat de management al securității infomației, și-a instruit personalul, a aplicat măsuri de securitate oraganizatorice, software și hardware adecvate și are o abordare sistematică a prevenirii incidentelor. Odată rezolvate acestea, se vede imediat, atât în interior cât și în exterior.

Pe lângă faptul că unele seturi de măsuri sunt obligatorii prin lege, încrederea clienților în tine ca un furnizor care demonstrezi preocuparea pentru informațiile tale și ale lor, inclusiv prin conformitatea sistemului de management al securității informației cu bunele practici din domeniul tău de activitate, este ceea ce îți dorești și ceea ce te va deosebi mâine într-o piață aglomerată cu competitori altfel prea asemănători între ei, încă de azi.

În plus, numai 35% dintre cei intervievați pentru actualizarea Global Data Protection Index s-au declarat ”foarte încrezători” în faptul că infrastructura și procesele lor actuale de protecție a datelor respectă reglementările la nivel de regiune. Această percepție începe să se traducă și în acțiune spre a corecta starea de lucruri, având în vedere că 12% dintre respondenții ale căror companii au înregistrat pierderi sau întreruperi neplanificate ale activității datorită unor incidente de securitate a informațiilor în ultimele 12 luni au declarat că organizațiile lor au plătit, în plus, și amenzi ca urmare a acestor incidente.

Pentru a-ți face mai ușoară stabilirea priorităților de acțiune în ceea ce privește organizația ta, vom reveni cu detalii și exemple pentru fiecare dintre domeniile de interes privind securitatea informațiilor.