1. Cerințele ISO 27001:2013
4. Contextul organizatiei
4.1 Intelegerea organizatiei si a contextului acesteia
Organizaţia trebuie să stabileasca aspectele externe si interne care sunt relevante pentru scopul sau si care influenteaza capacitatea acesteia de a obtine rezultatul(ele) scontat(e) de pe urma sistemului de management al securitatii informatiilor.
NOTA Determinarea acestor aspect se refera la stabilirea contextului extern si intern al organizatiei avand in vedere Clauza 5.3 din ISO 31000:2009.
4.2 Întelegerea cerintelor si asteptarilor partilor interesate
Organizatia trebuie sa stabileasca:
- partile interesate care sunt relevante pentru sistemul de management al securitatii informatiei; si
- cerintele acestor parti interesate, relevante pentru securitatea informatiilor.
NOTA Cerintele partilor interesate pot include cerinte legale si de reglementare, cat si obligatii contractuale.
Citind și ISO 31000 vom descoperi că această cerință este cu adevărat cea mai provocatoare și în același timp cea care va conduce la „victorie„ (o evaluare realistă a riscurilor) sau „eșec„ (o evaluare teoretică).
Cînd abordez subiectul „managementul riscurilor„ afirm de fiecare dată că modelul sau cadrul de referință pe care dorim să le folosim nu sînt importante. Determinante sînt „atitudinea„, față de riscuri și „înțelegerea„ acestora. Le spun mai pe scurt „cultura riscurilor„.
Revenind la ISO 31000, clauza menționată prevede:
Before starting the design and implementation of the framework for managing risk, it is important to understand both the internal and external context of the organization since these can influence significantly the design of the framework. Aspects of the organization’s external context include, but not limited to:
— the cultural, political, legal, regulatory, financial, technological, economic, natural and competitive environment, whether international, national, regional or local;
— key drivers and trends having impact on the objectives of the organization; and
— perceptions and values of external stakeholders.
Aspects of the organization’s internal context include, but not limited to:
— the capabilities, understood in terms of resources and knowledge (e.g. capital, time, people, processes, systems and technologies);
— information systems, information flows, and decision making processes (both formal and informal);
— internal stakeholders;
— policies, objectives, and the strategies that are in place to achieve them;
— perceptions, values and culture;
— standards and reference models adopted by the organization; and
— structures (e.g. governance, roles and accountabilities).
2. COBIT 5
Catalizatorii sunt factori care, în mod individual și colectiv, influențează modul în care funcționează lucrurile – în acest caz guvernarea și managementul IT în cadrul organizației. Catalizatorii sunt determinați de succesiunea obiectivelor, de ex. obiectivele IT și conexe de nivel înalt definesc diferite tipuri de instrumente ce ar trebui folosite.
Cadrul de referință COBIT 5 descrie șapte categorii de catalizatori:
• Principiile, politicile și cadrele de referință sunt vehiculul ce transformă comportamentul dorit în ghiduri practice pentru managementul cotidian.
• Procesele descriu un set organizat de practici și activități cu scopul de a atinge anumite obiective și produce un set de rezultate care sprijină atingerea obiectivelor IT generale.
• Structurile organizatorice reprezintă entitățile decizionale din cadrul organizației.
• Cultura, etica și comportamentul indivizilor și a organizaţiei ca factori de succes ai guvernării și managementului sunt de cele mai multe ori subestimate.
• Informațiile sunt omniprezente în orice organizație și includ toate informațile produse și utilizate de către organizație. Informațiile sunt necesare pentru a menține funcționarea și guvernarea organizației dar sunt folosite și la nivel operațional unde pot fi produsul de bază la întreprinderii.
• Serviciile, infrastructura și aplicațiile includ infrastructura, tehnologia și aplicațiile care oferă organizației prelucrări automate și servicii.
•Resursele umane, abilitățile și competențele sunt necesare pentru a îndeplini cu succes toate activitățile, pentru a lua decizii corecte și a aplica acțiuni corective.Unii dintre catalizatorii definiți anterior sunt și resurse ale organizației și din acest motiv trebuie administrate și guvernate
și ele. Acest lucru se aplică în cazul:
• Informațiilor, care trebuie gestionate ca resurse. Anumite informații, cum sunt rapoartele managementului și informațiile tip “business intelligence” sunt instrumente importante pentru managementul şi guvernarea întreprinderii.
• Serviciile, infrastructura şi aplicaţiile
• Resursele umane, abilităţile şi competenţele
3. Rezolvare
După cum se poate observa „Contextul organizației„ din ISO 27001 poate fi înțeles cu sprijinul catalizatorilor COBIT 5. Cu multă răbdare și efort, dacă se pornește cu „Structurile organizatorice„ și se continuă cu ceilalți catalizatori se va obține un „context„ și o „înțelegere„ foarte apropiate de realitate și nicidecum cîteva pagini de documente lipsite de realism!
Factorii contextuali ai riscurilor care ar trebui avuți în vedere, minimal:
- Externi:
- specifici pieții și domeniului
- rata schimbării în ciclul de viață al pieții/produselor
- industria/competiția
- situația geopolitică
- gradul de reglementare
- gradul de evoluție al tehnologiei
- amenințări
- Interni:
- obiectivele organizației
- importanța strategică a IT
- complexitatea mediului IT
- complexitatea organizației și a schimbărilor
- capabilitățile de management al schimbării
- modelul de funcționare
- prioritățile strategice
- cultura organizațională
- capacitatea financiară
Am scris însă ceva mai sus că unii dintre catalizatorii COBIT 5 sînt și capabilități! Și acestea vor fi „factori ai riscurilor„
Mai multe detalii în COBIT 5 for Risk.
ADRIAN B. MUNTEANU 