Limite epistemologice în evaluarea riscurilor

Nu sunt eu vocea care ar putea revoluționa domeniul. Mă frământ însă ori de câte ori, ajuns în fața amfiteatrului trebuie să transmit auditoriului ce se întâmplă în acest domeniu. Pe blog mi-am exprimat de mai multe ori opinia cu privire la matematizarea greșită, sau mai bine spus incorect aplicată domeniului securității sistemelor informaționale. Aceleași…

De la CIA la CNP sau cum securitatea informațiilor este de multe ori o formă fără fond

Bătălia dusă cu ocazia referendumului pentru destituirea președintelui țării mi-a dat ocazia să identific un exemplu cât se poate de real pentru „securitatea informaţiilor”. Real, banal, dar cu implicaţii importante. Cu atât mai mult cu cât în ultimii 10 ani în România s-au cheltuit peste 100 sute de milioane de euro cu „informatizarea” (sau miliarde…

Conformitatea cu reglementările

  ISACA a publicat recent un studiu cu titlul Top Business/Technology Issues Survey Results 2011. Studiul are la bază un sondaj realizat în perioada octombrie – noiembrie 2010 la care au răspuns 2405 membri (126 de ţări) din cei 46101 care au primit invitaţia. Rata de participare nu este prea strălucită. Chiar şi aşa însă,…

Cultura securității

  Pe măsură ce timpul trece toți mai mulți încep să accepte că securitatea tehnică, de una singură, nu te apară de pericole. Altfel spus, securitatea unui sistem informațional este în primul rînd o problemă umană și abia apoi una tehnică. ISACA pune la dispoziția membrilor săi două lucrări ce tratează securitatea informațiilor din această perspectivă: BMIS – Business Model for Information Security, respectiv titlul din imaginea alăturată. Cînd am lecturat prima dată volumul acesta, zîmbeam amar pentru că prin minte îmi fugeau amintiri despre ISO 27001, audituri de securitate și altele de pe plaiurile mioritice. Cît de departe sîntem…. În BMIS cultura securității este definită ca un model de comportamente, convingeri, ipoteze, atitudini şi moduri în care lucrurile ar trebui făcute. Cultura aceasta evoluează ca un tip de istorie comună prin care…

Ce trebuie să știe un CISA? (Partea a V a – Protecția activelor informaționale)

  Tehnici cu privire la proiectarea, implementarea și monitorizarea controalelor de securitate, inclusiv programele de conștientizare a securității informațiilor Procesul de monitorizare și răspuns la incidentele de securitate (proceduri de escalare, reacșie rapidă….) Controlul accesului logic cu privire la identificare și autentificare și restricționarea utilizatorilor la funcțiile și datele autorizate de management controale de securitate…