”Doamne, ajută!”. Așa este intitulat un capitol din cartea publicată anul trecut. Acolo este o prezentare a categoriilor de instrumente hardware și software folosite în domeniul securității dar fără a le alinia cu cele 6 funcții ale Cyfun. După ce se proiectează sau se cumpără 🙂 controalele administrative (=politici și proceduri) mai trebuie demonstrată și maturitatea…tehnică.…
Voi începe cu ce scrie în Proiectul de Ordin al DNSC: Funcția Guvernare (GV) stabilește strategia, politicile și modul în care organizația prioritizează riscurile de securitate în contextul misiunii sale și conține categoriile: Contextul organizațional (GV.OC), Strategia de gestionare a riscurilor (GV.RM), Roluri, responsabilități și autorități (GV.RR), Politică (GV.PO), Supraveghere (GV.OV), Gestionarea riscurilor în lanțul…
Predau, scriu și practic auditul sistemelor informaționale de peste 25 de ani. Pe baza acestor experințe pot afirma fără teamă: auditul sistemelor informaționale, așa cum este (încă) explicat în manuale (de la cele academice la CISA Review Manual) a murit. Auditul nu mai este o fotografie din trecut a sistemului informațional al unei organizații. Sau…
Indiferent dacă este o resursă internă sau externă (inclusiv ”ca serviciu”), CISO are rolul de a implementa și supraveghea măsurile de gestionare a riscurilor de securitate cibernetică la nivelul entității conform Art. 14(3),(4) din OUG 155/2024 – (Proiect DECIZIE pentru aprobarea standardului de pregătire a membrilor organelor de conducere ale entităţilor esenţiale şi importante și…
”Conformitatea” poate fi însă o bază (printre altele) pentru managementul riscurilor. Lebedele negre ne deturnează gîndurile, făcîndu-ne să avem senzația că gîndurile „oarecum„ sau „aproape„ le-am prevăzut, pentru că sînt explicabile restrospectiv. Din cauza iluziei că ar fi predicitibile, nu realizăm impactul acestor Lebede în viața noastră. Viața este cu mult mai labirintică decît ne arată memoria; gîndirea noastră transformă istoria într-o chestie netedă și liniară, care ne face să subestimăm aleatoriul. Iar atunci cînd îl vedem, ne temem de el și reacționăm în mod exagerat. Din cauza acestei frici și a acestei obsesii pentru ordine, unele sisteme umane, sfîșiind invizibilul sau logica nu prea vizibilă a lucrurilor, tind să se expună la vătămarea provocată de Lebedele Negre și nu benefciază aproape niciodată de pe urma lor. Cînd cauți ordine, capeți o pseudo-ordine; nu obții o cotă de ordine și control decît atunci cînd accepți aleatoriul – Antifragil, N.N Taleb Starea naturală a lumii/universului în care trăim este ”bezna/întunericul”. ”Lumina” este ”evenimentul ” excepțional de fapt. Cu toate acestea, cei mai mulți dintre noi considerăm că intervalul ”cît este…
(Acesta este un exemplu de exercițiu, în rezumat, care poate fi folosit pentru a testa nivelul de înțelegere al ”membrilor organului de conducere” al unei organizații cu privire la riscurile IT/Cybersec în condițiile Legii 124/2025 – ”NIS2”) Timp de lucru: 90 minute Scenariu Un eveniment cibernetic semnificativ amenință operațiunile comerciale, conformitatea cu reglementările și încrederea…
După 3 ani de ”NIS 1” și în vremurile lui ”NIS 2” fac un scurt bilanț dezordonat despre lucrurile pe care le-am întîlnit. 1. Tratarea managementului riscurilor ca pe o activitate realizată o singură dată Multe organizații fac o evaluare anuală de risc (”cel puțin odată pe an”), formală, și nu o mai actualizează. În…
Plecînd de la ”cazul Paltinu”, reamintesc ce am scris de-a lungul timpului: activarea planului de continuitate a afacerii este de obicei rezultatul unui dezastru, iar activarea managementului crizelor este rezultatul unei crize. Definiții. Incident: un incident este descris în ISO 22301 ca un „eveniment care poate fi sau ar putea duce la o perturbare, pierdere, urgență…
Pentru început, să ne întoarcem puțin în timp, la momentul apariției GDPR. Sîntem în anul 2016, anul publicării. Au fost la dipoziție 2 ani pentru conformare: 2018 este promulgată și legea 190. Reiau ce am mai scris în timp despre acest subiect: ”operatorul și persoana împuternicită de acesta implementează măsuri tehnice și organizatorice adecvate în…
(Cîteva detalii comprimate despre subiectul intervenției de pe Linkedin: lupta cu dezinformarea trebuie să înceapă din școală. Altfel nu vor exista rezultate.) În urmă cu peste 70.000 de ani, Pămîntul nu era dominat de oameni. Youval Noah Harari spune (într-o prezentare Tedex, după ce a scris Sapiens) că am ajuns să dominăm planeta pentru că…
ADRIAN B. MUNTEANU 