De-a lungul timpului am cititi/revizuit cîteva BCP/DRP/IRP. Am mai și scris unele. Aproape toate aveau și teste documentate, dar majoritatea doar despre componenta IT (DRP). Spun că un astfel de test nu trebuie să fie anunțat iar scenariul trebuie să fie unul cît mai real posibil. Inclusiv exercițiile de evacuare din clădiri în caz de…
Să încep cu o primă concluzie pe care o dezvolt în continuare: GDPR este o reglementare necesară dar a apărut cînd „pacientul„ era deja în comă. Dată(e)+Semnificație=Informație Teoria despre care tot spun și scriu că este bună dacă, după ce o înțelegi, o aplici corespunzător spune așa:datele sînt niște”chestii” brute fără prea mare însemnătate pentru…
Omul. Așa a fost dintotdeauna. Angajații, fie din neglijență, fie din naivitate sau din răutate (fără a exclude și cerințele operaționale explicite, care de cele mai multe ori transformă un KPI/target în principalul obiectiv al angajatului), sunt cea mai frecventă cauză a incidentelor de securitate. Ce soluții sînt pentru a rezolva cauza? Pe de o…
Prin comparație cu vremurile de acum 5 sau 10 ani, organizațiile de astăzi nu se mai pot baza pe modelul de securitate cunoscut ca „in depth/layered/castle-and-moat,„. Declanșatorul care le(-a) forțează să se adapteze la complexitatea/realitatea prezentului (forța de muncă mobilă, dispozitive, aplicații și date aflate oriunde/cloud) a fost pandemia de Covid. Securitate IT fără să…
Fie că privim lucrurile din perspectiva auditului fie din perspectivă operațională, „măsuri de securitate„ înseamnă „control„. iar obiectivul oricărui control este să ofere asigurări cu privire la atingerea obiectivelor procesului pentru care au fost proiectate. Pentru a obține aceste asigurări, măsurile de securitate trebuie testate. MITRE ATT&CK MITRE ATT&CK este un cadru deschis și o…
Pe 16.12.2020 Comisia Europeană a adoptat propunerea de directivă revizuită privind securitatea rețelelor și a sistemelor informatice (Directiva NIS 2). Propunerea va face obiectul negocierilor dintre colegislatori, în special Consiliul UE și Parlamentul European. Odată ce propunerea este convenită și adoptată în consecință, statele membre vor trebui să transpună Directiva NIS2 în termen de 18…
Din perspectiva auditului, „indicatorii de control„ menționați în Normele emise de CERT reprezintă „probe„ prin care se dovedește îndeplinirea cerințelor minime. Anul acesta nu a fost nevoie de audit. Dar va veni și acel moment. Este posibil să apară din nou scuza cu „nu am avut timp„/„nu am știut„/„nu am avut buget„. Exemplu 1: Articolul…
DA! Strategia de securitate cibernetică a României, așa cum a fost ea scrisă, datează din anul 2013! Pentru domeniul IT o perioadă de 5 ani este deja prea mult. Strategia a rămas un document cvasiformal pentru că aproape nici un obiectiv de acolo nu a devenit realitate! Nu am identificat pe nicăieri un document din…
Scriu cele ce urmează după ce am lecturat de 3 ori propunerea de OG privind înființarea Directoratului Național de Securitate Cibernetică și pentru modificarea și completarea unor acte normative (la această oră nu știu dacă a fost aprobabtă). Am rezonat de prima dată de cînd am citit despre această inițiativă: este nevoie de un singur…
Astăzi s-au publicat Normele tehnice privind cerințele minime de asigurare a securității rețelelor și sistemelor informatice aplicabile operatorilor de servicii esențiale. De la bun început remarc clarificarea în ceea ce privește responsabilitatea managementului cu privire la guvernanța securității IT (aș fi preferat guvernare ca termen): angajamentul managementului de nivel înalt al organizației în asigurarea sistemului…
