Procesele economice și securitatea informațiilor: lipsește o verigă?

(O completare la articolul anterior)

În puține cazuri am întîlnit „IT risk assessment„, „vulnerability assessment„ sau „pen test„ care să fi fost privite altfel decît izolat, la nivelul unor echipamente/subsisteme. Rezultatul obținut în urma unor astfel de activități nu oferă însă recomandări pentru protejarea afacerii. Afli ceva, dar nu știi cu exactitate/suficient de detaliat impactul acelui „ceva„ dincolo de „insula„ evaluată.

Nu îmi amintesc să fi întîlnit firme care să aibă o „hartă a proceselor„ altfel decît sub forma unei singure diagrame (să îi spun de nivel înalt): niște dreptunghiuri, de obicei cu numele unităților funcționale, legate între ele prin săgeți…..(în ISO 9001)

Dacă se dorește administrarea riscurilor și de aici asigurarea securității informațiilor, atunci punctul de început îl reprezintă procesele afacerii! Știu că în practica firmelor există o mulțime de constrîngeri legate de resursa umană și timp, dar efortul trebuie făcut: identificarea proceselor economice critice și ulterior infrastructura (inclusiv aplicațiile) care sprijină acele procese. (BIA tot asta cere….)

Că așa trebuie lucrat o spune, în cazul sistemului bancar, PSD2:

Prestatorii de servicii de plată trebuie să identifice, să stabilească și să actualizeze regulat inventarul activelor informaționale, spre exemplu, sistemele TIC, configurațiile acestora, alte infrastructuri, precum și interconexiunile cu alte sisteme externe și interne, în vederea gestionării activelor care sprijină procesele și funcțiile esențiale aferente activității acestora.

(…) Prestatorii de servicii de plată trebuie să se asigure că monitorizează permanent amenințările și vulnerabilitățile și că revizuiesc regulat scenariile de risc, cu impact asupra funcțiilor aferente activității, asupra proceselor esențiale și asupra activelor informaționale.

Ceva mai „diluat„, dar în fapt același lucru, prevede și Art. 30 – Evidențele activităților de prelucrare din GDPR.

În articolul de ieri am pomenit de „security program„. O firmă este vie motiv pentru care toate „zonele„ trebuie luate în considerare dacă dorim un „program de securitate„. Nu doar IT-ul! Fără a cunoaște relațiile dintre „participanți„, procese și sisteme vom avea „o bucată de securitate„. Nu putem înțelege ce se întîmplă fără a ști cum sînt legate „insulele„ (procesele) între ele pentru că nu putem crea un mediu economic în care „lucrul X nu se întîmplă„. Dacă am ști că se (nu) întîmplă nu am mai discuta despre riscuri ci despre certitudini.

În fapt procesul economic este cel care „cere„ disponibilitate, integritate, confidențialitate și nu IT-ul! Procesul economic are nevoie de email sau site web. La nivelul procesului economic se nasc riscurile. La nivelul procesului economic trebuie să existe prima dată controale. La nivelul procesului economic se naște prima dată „responsabilitatea„. Procesul economic consumă resurse, se bazează pe oameni și pe tehnologie. Angajații afecteză procesul și viceversa. Procesul economic determină (ar trebui?) tehnologia folosită dar în același timp tehnologia influențează procesul economic.

Procesul economic prelucrează date (inclusiv cu caracter personal) și chiar poate fi supus unor reglementări (de exemplu zona financiar contabilă). Dar nu toate procesele sînt critice; ce este critic pentru o organizație poate fi acceptabil pentru alta.

În concluzie: securitatea IT este în primul rînd despre procese economice și apoi despre oameni și tehnologie. Avem procese IT? Bineînțeles, dar ele trebuie să fie aliniate cu obiectivele economice.


Mulţumesc.

Completează mai jos detaliile tale sau dă clic pe un icon pentru a te autentifica:

Logo WordPress.com

Comentezi folosind contul tău WordPress.com. Dezautentificare /  Schimbă )

Fotografie Google+

Comentezi folosind contul tău Google+. Dezautentificare /  Schimbă )

Poză Twitter

Comentezi folosind contul tău Twitter. Dezautentificare /  Schimbă )

Fotografie Facebook

Comentezi folosind contul tău Facebook. Dezautentificare /  Schimbă )

Conectare la %s

Acest site folosește Akismet pentru a reduce spamul. Află cum sunt procesate datele comentariilor tale.