Politica de Securitate
Politica de Securitate
Politica de Securitate
Planificare
Politica de
Elaborare
Punere in
securitate
practica
Implementare
Planul de securitate asigura securitatea si confidentialitatea datelor institutiei,
informatiile de interes privat, responsabilitatile atat la nivelul departamentelor cat si la
nivelul fiecarei persoane fizice pentru astfel de date.
SCOP
Masurile de securitate in domeniul IT sunt menite sa protejeze informatiile
(vazute ca bunuri) si sa conserve intimitatea tuturor angajatilor, furnizorilor,
sponsorilor, partenerilor, elevilor / studentilor, precum si a oricaror alte entitati asociate
cu institutia in cauza.
Politicile de securitate servesc drept linii directoare generale pentru utilizarea,
prelucrarea si managementul informatiilor.
Scopul planului de securitate este sa asigure confidentialitatea, integritatea si
disponibilitatea datelor, sa defineasca, sa dezvolte, si sa documenteze politicile si
procedurile de informare ce vin in sprijinul scopului si obiectivelor institutiei precum si
sa permita institutiei sa indeplineasca din punct de vedere legal si etic responsabilitatile
cu privire la resursele IT.
Controalele interne ofera un sistem de control si echilibrare in scopul de a
identifica nereguli, de a previni acumularea de deseuri de date, fraude si abuzuri
aparute sau alte discrepante introduse accidental in operatiunile IT curente.
Prin aplicarea in mod consecvent, fara exceptii a politicilor si procedurilor de
securitate se asigura protejarea si/sau disponibilitatea informatiilor, se asigura si se
contribuie la continuitatea si dezvoltarea afacerii, la cresterea profitabilitatii.
Utilizarea necorespunztoare a politicii sau planului de securitate expune
institutia la riscuri al caror cost este foarte greu de calculat ( atacuri ale virusilor,
compromiterea sistemelor de calcul, a serverelor, a retelei de comunicatii, a altor
servicii IT). DIn pacate, astfel de incidente, pe langa latura financiara si de incredere
mai pot avea o latura legala.
DOMENIUL DE APLICABILITATE
Politicile si planul de securitate se pun in aplicare de catre toti membrii acelei
comunitati, fara discriminari pozitive, inclusiv presedintele / directorul general, rectorul,
decanii, directorii / sefii de departament, angajatii, angajatii temporar, profesorii,
2
DEFINITII
ANGAJAMENTE SI RESPONSABILITATI
Persoanele interesate de realizarea si implementarea politicilor de securitate ar
trebui sa fie managerii executivi si managerii IT.
Toti angajatii dar si celelalte tipuri de utilizatori ai informatiilor institutiilor sunt
obligati sa ia la cunostinta politicile si planul de securitate si sa-si asume respectarea
intocmai a celor prevazute pentru departamentul sau categoria de personal din care fac
parte.
ANALIZA RISCURILOR
O analiza a riscurilor este un proces de identificare a resurselor informatice ce
au nevoie de protectie, de intelegere si documentare a riscurilor potentiale la nivelul IT
sau la alte niveluri si care pot duce la pierdere confidentialitatii, a integritatii sau a
disponibilitatii informatiilor.
Scopul evaluarii riscurilor este de a ajuta managementul sa creeze strategii si
controale adecvate pentru o buna gestionare a bunurilor informationale. Pentru ca
exista unii factori in continua schimbare trebuie sa gaseasca mecanisme de identificare
si rezolvare a acestor riscuri asociate schimbarilor.
CLASIFICAREA INFORMATIILOR
in primul rand informatiile prin care acea institutie isi face publicitate;
ii.
informatia care desi nu este diseminata public, este destinata publicului larg
(Ex.: statutul de student / angajat al unor persoane sau de partener al acelei
institutii)
Acest tip de informatie (publica) poate fi accesata atat din interiorul institutiei cat si
din afara ei, indiferent de suportul pe care ea este prezentata. Accesul la acest tip de
informatii nu provoaca pierderi financiare sau de reputatie si nici nu pune in pericol
activele institutiei.
Datele din categoria celor publice pot fi supuse procedurilor de revizuire pentru
reducerea riscului pentru ca ele sa fie diseminate sau divulgate intr-un mod inadecvat.
5
politica de securitate
o phishing
o fraude online
o falsi antivirusi
o spyware, adware, malware in general
o software malitios
o cererea de date de identitate prin telefon
daca accesul de la distanta este permis, asigurati-va ca este sigur (Ex. VPN +
autentificare in doi pasi)
dispozitive mobile
o utilizarea programelor de securitate
o actualizari la zi
o criptarea datelor
o utilizarea unor parole de acces puternice
o proceduri in cazul pierderii / furtului
o asigurati-va ca toate dispozitivele sunt curate (wiped) inainte de a fi
eliminate din uz
8
angajatii
o asigurarea trierii la angajare
o controale de fond si de acces
o relatiile cu tertii
o instruiri periodice
o checklist-uri
securitatea facilitatilor
o protejarea materialelor tiparite cu informatii sensibile
o securitatea corespondentei clasice (posta, firme de curierat)
o distrugerea deseurile ce contin date sensibile (hartie, alte medii de
stocare, echipamente electronice, etc.)
proceduri operationale
o identificarea informatiilor critice
o analiza si evaluarea riscurilor
o analiza vulnerabilitatilor
raspunsul la incidente
o notificarea autoritatilor daca este necesara
o coerenta intre echipele tehnice si de conducere
o inceperea procedurilor de recuperare
o tinerea unei sedinte pentru a se invata din greseli
CONCLUZII
Daca persoanele incluse in politica de securitate vor constientiza de ce
politica de securitate a institutiei respective este atat de importanta, ele o vor
accepta si o vor pune in aplicare cu o mult mai mare usurinta.
DE CE ?
i.
luarea deciziilor
Care este cel mai de pret ajutor pe care il pot obtine managerii in luarea
deciziilor ? Informatii potrivite (la momentul potrivit)
Este nevoie ca mai intai informatiile sa fie colectate iar mai apoi
protejate.
ii.
10
COST
COSTURI TOTALE
COSTUL MASURILOR DE SECURITATE
Cuantificarea costurilor
Cum masuram costurile masurilor de securitate ?
- ce trebuie protejat ?
Stabilirea
obiectivului
- cunoasterea amenintarilor
- valoarea bunurilor informationale
O abordare eficienta:
11
Scrierea politicii
- controlul costurilor
Implementarea politicii
- schimbari de tehnologii
Auditarea politicii
Administrarea politicii
12
Rezultatele asteptate !
13