Securitatea cibernetică a organizațiilor prin standarde
Autor: Andreea Tărpescu, redactor ASRO
De mai bine de un an am început să petrecem tot mai mult timp în case și să ne desfășurăm activitățile în mediul digital (împinși de pandemie, a trebuit să ne obișnuim să lucrăm, să învățăm, să socializăm sau să ne facem cumpărăturile online). Așa cum s-a observat, traficul pe internet și tranzacțiile online au atins recorduri fără precedent în anul 2020, însă a crescut, în același timp, și rata atacurilor cibernetice tot mai complexe și cu consecințe mai dăunătoare ca niciodată, care au exploatat teama și incertitudinea cauzate de situația social și economică creată de izbucnirea pandemiei de coronavirus.
Păstrarea în siguranță a informațiilor și a datelor cu caracter personal în cadrul unei organizații, indiferent de domeniul sau dimensiunea acesteia a reprezentat nu numai o practică esențială în această perioadă, ci și o prevedere legală, iar multe dintre companii au apelat la standarde pentru a diminua orice risc de ordin cibernetic care le putea amenința integritatea și securitatea.
Securitatea digitală a reprezentat dintotdeauna o prioritate pentru comunitatea de standardizare internațională. Deoarece atacurile rău intenționate din mediul online s-au regăsit printre cele mai mari riscuri cu care se poate confrunta o organizație, elaborarea unor standarde și sisteme de management care să mențină informațiile în siguranță nu se putea să fie mai importantă. Acesta este motivul și pentru care seria de standarde ISO/IEC 27000 dedicată managementului securității informației a fost elaborată și revizuită periodic pentru a ține pasul cu dezvoltarea continuă din domeniul TIC în cadrul unuia dintre cele mai mari și mai prolifice comitete tehnice din domeniul standardizării internaționale, și anume ISO/IEC JTC 1 – Tehnologia informației.
Cel mai cunoscut standard al seriei este SR EN ISO/IEC 27001:2018 privind sistemele de management al securității informației (SMSI). Acesta furnizează cerințele pentru stabilirea, implementarea, întreținerea și îmbunătățirea continuă a unui sistem de management al securități informației într-o organizație. Standardul include, de asemenea, și cerințe pentru evaluarea și tratarea riscurilor de securitate a informației potrivit nevoilor organizației. Adoptarea unui sistem de management al securității este esențială pentru orice fel de organizație și demonstrează angajamentul său pentru protejarea datelor și continuitatea activității. Acest sistem de management este direct influențat de nevoile și obiectivele organizației, de către cerințele sale de securitate, mărimea și structura organizației etc.;
Seria este completată și de:
• Standardul SR EN ISO/IEC 27002:2018 – Tehnologia informației. Tehnici de securitate. Cod de bună practică pentru managementul securității informației, ce oferă un set de linii directoare pentru standardele de securitate a informației şi practicile de management al securității informației ale organizației, inclusiv alegerea, implementarea şi managementul mijloacelor de control, cu luarea în considerare a mediului (ilor) de risc de securitate a informației al(le) organizației. Standardul ajută organizațiile să înțeleagă mai bine riscurile cu care se confruntă în mediul digital și să încerce să le atenueze;
• SR ISO/CEI 27003:2013 – Tehnologia informației. Tehnici de securitate. Îndrumări privind implementarea unui sistem de management al securității informației, care se concentrează pe aspectele critice ce sprijină elaborarea planului de implementare a unui sistem de management al securității informației într-o organizație, în conformitate cu SR ISO/IEC 27001;
• SR ISO/IEC 27007:2020, care furnizează îndrumări pentru conducerea auditului unui sistem de management al securității informației și efectuarea unor audituri interne și externe în conformitate cu SR EN ISO/IEC 27001, precum și îndrumări privind competențele și evaluarea auditorilor SMSI, care se recomandă a fi utilizate împreună cu îndrumări conținute în SR EN ISO 19011.2018 referitor la auditarea sistemelor de management.
În plus, există deja elaborate la nivel internațional standarde aplicabile anumitor sectoare de activitate, ca SR EN ISO/IEC 27011:2020, care prezintă un cod de bună practică pentru controalele de securitate a informației bazate pe ISO/IEC 27002 pentru organizațiile de telecomunicații SR EN ISO/IEC 27017:2021, ce facilitează dezvoltarea și extinderea sistemelor de cloud computing sigure sau ISO/IEC 27019:2017 care privește controlul securității informației pentru sectorul energetic.
În prezent, marea majoritate a organizațiilor, companiilor și instituțiilor din întreaga lume utilizează sisteme și produse tehnologice, interconectate și acest fapt este demonstrat de recentele investiții masive în securitatea informației și în tehnologiile digitale.
Pandemia de coronavirus a accentuat în ultimul an și jumătate nevoia de securitate și protecție a datelor în cadrul organizațiilor, companiilor și instituțiilor din întreaga lume. Investițiile masive în domeniul securității informației au fost sprijinite de aplicarea standardelor pentru tehnologia informației, dar și a celor referitoare la inteligența artificială, internetul lucrurilor, orașe inteligente, sau la inginere de software și tehnologia Blockchain. Astfel, au fost minimizate, înțelese și contramandate atacuri cibernetice, au fost dezvoltate produse și servicii tehnologie conform celor mai bune practici internaționale, compatibile cu componente și sisteme din întreaga lume, consumatorii s-au bucurat de o protecție sporită a datelor lor și de produse tot mai performante și sigure.
Mii de experți din întreaga lume contribuie anual la elaborarea sau revizuirea standardelor publicate de comitetul tehnic comun ISO/IEC JTC 1 pentru ca acestea să rămână competitive, să răspundă nevoilor pieței de tehnologie a informației și să ofere siguranța în online atât de necesară din prezent.
Revista Standardizarea, ed. nr. 6/2021.