Pe măsură ce timpul trece toți mai mulți încep să accepte că securitatea tehnică, de una singură, nu te apară de pericole. Altfel spus, securitatea unui sistem informațional este în primul rînd o problemă umană și abia apoi una tehnică. ISACA pune la dispoziția membrilor săi două lucrări ce tratează securitatea informațiilor din această perspectivă: BMIS – Business Model for Information Security, respectiv titlul din imaginea alăturată.

Cînd am lecturat prima dată volumul acesta, zîmbeam amar pentru că prin minte îmi fugeau amintiri despre ISO 27001, audituri de securitate și altele de pe plaiurile mioritice. Cît de departe sîntem….

În BMIS cultura securității este definită ca un model de comportamente, convingeri, ipoteze, atitudini şi moduri în care lucrurile ar trebui făcute.

Cultura aceasta evoluează ca un tip de istorie comună prin care un grup trece printr-un set de experienţe comune.

“A culture cannot be effected quickly, as may the mechanics of security. There is no appliance to install or software to implement. It involves the creation of a mindset
among the people who make up the enterprise and among those with whom it
comes in contact—vendors, customers, other stakeholders and the society at large.
That mindset, the outlook and attitudes that drive behavior, is the substance of a
culture, one that must be implanted, nurtured and accepted gradually. It cannot be
imposed from above, although organizational leadership can lead the way.”

Cred că cele de mai sus se aplică nu doar securităţii ci CULTURII în general.