Legislația secundară ”NIS2” (Cyfun care are la bază NIST CSF2.0) aduce o schimbare majoră:

GUVERNAREA devine fundamentul securității IT/cibernetice.

1. Ce înseamnă Guvernarea în contextul Cyfun?

În cadrul Cyfun, Guvernarea (GOVERN) acoperă tot ceea ce ține de contextul organizational, politicile interne, rolurile și responsabilitățile în materie de securitate, gestionarea riscurilor la nivel strategic și supravegherea continuă a conformității. Concret, Guvernarea răspunde la următoarele întrebări:

• Cine este responsabil de securitatea cibernetică în organizație?
• Care sînt activele critice care trebuie protejate și de ce riscuri?
• Există politici clare, aprobate și comunicate?
• Cum se iau decizile privind investițiile în securitate?
• Cum se aliniază securitatea la strategia generală a organizației?

Aceste întrebări par de cele mai multe ori abstracte față de provocările tehnice imediate (un patch neaplicat, o vulnerabilitate CVE, un firewall greșit configurat). Dar tocmai această percepție greșită — că securitatea este în primul rînd un exercițiu tehnic — este una dintre cauzele principale ale eșecurilor securității la nivel organizațional.

2. Fără Guvernare, securitatea este un accident fericit

2.1 Securitatea cibernetică ca provocare pentru managementul riscului

Securitatea cibernetică este, înainte de orice, un exercițiu de management al riscului. Riscul cibernetic nu există în vid — el există în contextul specific al unei organizații: sectorul de activitate, dimensiunea, modelul de afaceri, partenerii, clienții și jurisdicțiile în care operează. O politică de securitate copiată dintr-un template generic, fără ancorare în realitatea organizației, va fi cu siguranță incompletă sau irelevantă.

Prin componenta de Guvernare, Cyfun impune ca organizațiile să-și definească explicit contextul de risc. Aceasta înseamnă inventarierea activelor critice, identificarea amenințărilor relevante pentru sectorul propriu, evaluarea impactului potențial și stabilirea apetitului de risc — adică a nivelului de risc rezidual pe care conducerea îl acceptă în mod conștient. Fără această ancorare la nivelul conducerii superioare, echipele tehnice vor opera în absența unor priorități clare, cheltuind resurse limitate pe vulnerabilități cu impact scăzut, în timp ce riscurile majore rămân neabordate.

2.2 Rolul conducerii și responsabilitățile explicite

Cyfun subliniază că securitatea cibernetică nu poate fi delegată în totalitate echipei IT sau CISO-ului (Chief Information Security Officer). Ea trebuie asumată la cel mai înalt nivel al organizației — Consiliul de Administrație, Comitetul Executiv sau Managerului Executiv în Guvernanța Securității Cibernetice — deoarece impactul unui incident cibernetic semnificativ depășește cu mult granițele tehnice: afectează reputația, finanțele, conformitatea legală, continuitatea afacerii și în unele cazuri populația.

Fără o structură clară de guvernanță, responsabilitatea pentru securitate este adesea difuză. Toată lumea crede că altcineva se ocupă. IT-ul crede că managementul a aprobat riscul. Managementul crede că IT-ul (inclsuiv furnizorul de servicii) a rezolvat problema tehnic. Acest cerc al responsabilității neasumate este unul dintre cele mai comune modele care preced breșele de securitate majore.

Cyfun, prin funcția de Guvernare, impune definirea explicită a rolurilor și responsabilităților: cine aprobă politicile, cine monitorizează conformitatea, cine decide în caz de incident major, cine raportează autorităților etc. Această claritate structurală nu este birocrație — este condiția de bază a unei reacții eficiente în momente de criză.

2.3 Politicile ca instrument de scalare a securității

O organizație cu 10 angajați poate să funcționeze fără politici formale de securitate — comunicarea directă și supervizarea/micromanagementul pot compensa. Dar deja la cîteva zeci sau sute de angajați în sus sau în organizații mari sau distribuite geografic, absența politicilor formale devine o vulnerabilitate structurală.

Politicile de securitate nu sînt însă doar ”hîrtii” așa cum se percepe la noi ci mecanismul prin care cunoașterea și comportamentul securizat se scalează în întreaga organizație. O politică privind gestionarea vulnerabilităților, una privind utilizarea dispozitivelor personale (BYOD), una privind reacția la e-mailuri suspecte etc. transformă securitatea dintr-un efort individual al echipei IT într-un comportament sistemic, distribuit.

Politicile devin apoi baza auditului și a conformității. ISO27001, GDPR, NIS2 etc. toate cer dovezi documentate ale existenței și aplicării politicilor de securitate. Fără Guvernare, organizația nu poate demonstra conformitatea!

3. Cyfun și maturitatea organizațională: Guvernarea diferențiază nivelurile

Există două dimensiuni complementare ale Cyfun care creează puțină confunzie la noi: nivelurile de asigurare (assurance levels) și nivelurile de maturitate (maturity levels). Nivelurile de asigurare — (Small) Basic, Important și Essential — determină cîte controale de securitate sînt aplicabile unei organizații, în funcție de profilul său de risc, dimensiune și sectorul de activitate. Nivelul de maturitate, în schimb, descrie cît de bine sînt implementate și gestionate acele controale, indiferent de nivelul de asigurare ales.

Cyfun utilizează un model de maturitate pe cinci niveluri, inspirat din CMMC (Cybersecurity Maturity Model Certification) și aliniat cu practicile internaționale de evaluare a maturității proceselor:

• Nivelul 1 — Inițial (Performed): măsurile de securitate sînt implementate ad-hoc, fără documentație formală sau procese standardizate. Organizația reacționează la incidente, dar nu anticipează.
• Nivelul 2 — Repetabil (Documented): există documentație formal aprobată și politici de bază, dar procesele rămân informale sau inconsistente. Guvernarea începe să prindă contur.
• Nivelul 3 — Definit (Managed): documentația este actualizată, procesele sînt aplicate consecvent cu dovezi clare și un număr redus de excepții (sub 5%). Guvernarea este funcțională și activă.
• Nivelul 4 — Gestionat (Measured): organizația dispune de metrici de performanță în securitate, procese bine definite și excepții sub control (sub 5%). Deciziile de management al riscului sînt bazate pe date.
• Nivelul 5 — Optimizat (Optimizing): maturitate maximă — procesele sînt standardizate la nivelul întregii organizații, continuu îmbunătățite, cu excepții sub 1%. Guvernarea este pe deplin integrată în cultura și strategia organizației.

Această progresie ilustrează că avansul în securitate cibernetică nu este determinat în primul rând de cantitatea sau costul tehnologiei achiziționate, ci de maturitatea proceselor de guvernanță. O organizație poate fi la nivelul de asigurare Essential — adică a implementat toate cele 140 de controale (N.B. sper că am numărat bine) — și totuși să funcționeze la maturitate de nivel 2, dacă politicile există doar pe hârtie, nu sînt aplicate, monitorizate, revizuite și susținute de tehnologie acolo unde este cazul. Tocmai de aceea, auto-evaluarea Cyfun măsoară ambele dimensiuni separat, cu scoruri țintă minime diferite: de exemplu, un scor de 2,5/5 pentru nivelul Basic și 3,5/5 pentru Essential.

Guvernarea este factorul determinant al progresiei pe scara maturității. Nu există salt de la nivelul 1 la nivelul 4 prin simpla cumpărare de politici, software și hardware: fiecare nivel necesită structuri de decizie, responsabilități asumate, politici aplicate și mecanisme de revizuire. Toate acestea sînt atribute ale Guvernării.

4. Guvernarea – puntea între securitate și continuitatea afacerii

Guvernarea securității cibernetice este, de fapt, o formă de management al continuității afacerii (Business Continuity Management). Atacurile cibernetice — ransomware, perturbarea serviciilor critice, furtul de date — au consecințe directe asupra capacității organizației de a funcționa. Recuperarea după un astfel de atac nu este în primul rând o problemă tehnică, ci una organizațională și decizională.

Cyfun abordează explicit această intersecție: planurile de răspuns la incidente (Respond) și de recuperare (Recover) nu pot fi activate eficient fără o structură de Guvernare care să fi definit în prealabil: cine activează planul, care sînt sistemele prioritare pentru recuperare, cum se comunică intern și extern în timpul incidentului, ce autorități trebuie notificate și în cît timp.

5. Guvernarea și cultura organizațională

Ultimul argument privește dimensiunea culturală. Studiile publice (*) arată că factorul uman rămâne una dintre cele mai importante cauze ale incidentelor de securitate: click pe link-uri de phishing, parole slabe, neglijarea procedurilor, utilizarea neautorizată de aplicații externe… Nicio soluție tehnică nu poate elimina complet această vulnerabilitate.

Cyfun include în funcția de Guvernare cerințe explicite privind conștientizarea și formarea angajaților în materie de securitate. O politică de training anual, exerciții de phishing simulat, proceduri clare de raportare a incidentelor suspecte — toate acestea sînt elemente de Guvernare, nu de tehnologie.

Cultura de securitate nu se instalează prin cumpărarea unui software. Ea se construiește printr-un lidership vizibil (managementul respectă și promovează politicile), prin reguli clare și aplicate consecvent, prin comunicare transparentă despre riscuri și incidente și prin recunoașterea comportamentelor securizate.

Toate acestea sînt atribute ale unei Guvernări mature.

___________________________

(*)

• Conform ediției 2025 a Verizon DBIR, factorul uman este cel mai frecvent vector de atac, cu 60% din breșe implicînd un element uman nemalițios.
• Mimecast — Human Risk Report (2024)  constată că eroarea umană a contribuit la 95% din breșele de date în 2024, prin amenințări interne, utilizarea abuzivă a credențialelor și erori ale utilizatorilor. Un detaliu semnificativ: doar 8% dintre angajați sînt responsabili de 80% din incidente. 
• World Economic Forum — Global Cybersecurity Outlook – 95% incidente în care factorul uman joacă un rol, iar de peste un deceniu factorul uman este identificat drept cea mai mare sursă de risc cibernetic.