Unul dintre obiectivele pe care le-am avut cînd am început acest blog a fost să verific în timp cît din ceea ce scriu este corect, valabil și cît se vor dovedi ”cai verzi pe pereți”. În vara lui 2014 scriam: Și totuși, care ar fi ”lucrurile” care ne afectează și ne vor putea afecta viitorul…
Chiar dacă mai durează pînă se vor audita entitățile conform noilor cerințe NIS 2, organizațiile trebuie să știe cum să se pregătească. Au chiar obligația de a-și face propria evaluare a maturității. Am scris de mai multe ori despre importanța BIA și că de fapt este ”coloana vertebrală” peste care se construiește corect un program…
Audit / Guvernare / Securitate
AI este prezentată din ce în ce mai mult ca o soluție rapidă pentru validare, analiză, documentare și automatizare. În zona de securitate cibernetică, această tentație este și mai mare: frameworks, standarde, controale, politici, proceduri, riscuri, audituri, gap analysis – toate par, la prima vedere, candidaturi perfecte pentru „a fi trecute prin AI”. AI-ul nu…
Guvernare / NIS / Securitate
Cybersecurity Fundamentals/Cyfun (adaptarea NIST CSF2.0) aduce ca noutate, așa cum am mai scris, introducerea domeniului Guvernare în cadrul cerințelor de securitate. Nu știu cîte dintre ”organele de conducere” au fost informate cu privire la două contravenții care apar în OUG155/2024: Mai jos urmează o explicație/exemplu de implementare a controalelor din subcategoria GV.OC plecînd de la…
Audit / Guvernare / NIS / Risk management
Cine nu știe ce este ”asset inventory”? Cine nu are așa ceva?….dar cît de corect se lucrează de fapt? Cum se pregătește o organizație să dovedească ”maturitatea” care va fi cerută în curînd? ISO 27001:2022 ”5.9 Inventory of information and other associated assets Control An inventory of information and other associated assets, including owners, should…
Preambul Cyfun 2025 (Cybersecurity Fundamentals) este cadrul de lucru care stă la baza ”măsurilor de gestionare a riscurilor de securitate cibernetică aferente rețelelor și sistemelor informatice utilizate de entitățile esențiale și importante”. La rîndul său Cyfun are la bază NIST CSF 2.0. Printre noutățile cu care vine acum legislația noastră (Cyfun) este și ”autoevaluarea maturității…
Legislația secundară ”NIS2” (Cyfun care are la bază NIST CSF2.0) aduce o schimbare majoră: GUVERNAREA devine fundamentul securității IT/cibernetice. 1. Ce înseamnă Guvernarea în contextul Cyfun? În cadrul Cyfun, Guvernarea (GOVERN) acoperă tot ceea ce ține de contextul organizational, politicile interne, rolurile și responsabilitățile în materie de securitate, gestionarea riscurilor la nivel strategic și supravegherea…
Sub incidența OUG155/2024 au intrat și organizații care au infrastructuri SCADA sau medii OT. În Cyfun (aflat în consultare publică pe situl DNSC) subiectul are prevederi explicite (spre deosebire de legislația anterioară). De cîte controale de securitate este însă nevoie în acest caz? Functia PROTECȚIE conține cel mai mare număr de controale specifice OT (19…
”Doamne, ajută!”. Așa este intitulat un capitol din cartea publicată anul trecut. Acolo este o prezentare a categoriilor de instrumente hardware și software folosite în domeniul securității dar fără a le alinia cu cele 6 funcții ale Cyfun. După ce se proiectează sau se cumpără 🙂 controalele administrative (=politici și proceduri) mai trebuie demonstrată și maturitatea…tehnică.…
Voi începe cu ce scrie în Proiectul de Ordin al DNSC: Funcția Guvernare (GV) stabilește strategia, politicile și modul în care organizația prioritizează riscurile de securitate în contextul misiunii sale și conține categoriile: Contextul organizațional (GV.OC), Strategia de gestionare a riscurilor (GV.RM), Roluri, responsabilități și autorități (GV.RR), Politică (GV.PO), Supraveghere (GV.OV), Gestionarea riscurilor în lanțul…
ADRIAN B. MUNTEANU 