Integrarea informațională și (in)securitatea

.

De la descoperirea focului şi pînă în prezent, omenirea este într-o continuă căutare informaţională. Orice nouă descoperire făcută de om a fost păzită cu străşnicie: avantajul de a şti ceva la care nimeni altcineva nu are acces a însemnat cîstigarea unor războaie, conducerea unor state sau pur şi simplu o viaţă mai bună

Pentru o întreprindere, informaţia înseamnă BANI. În zilele noastre, avuţia naţiunilor nu mai este aceea de pe vremea lui Adam Smith. De la baconianul „Knowledge is power” pînă la contemporanul „Information at your fingertips” s-a scurs ceva vreme, iar oamenii au devenit din ce în ce mai dependenţi de informaţie. Optica însă s-a păstrat: a cunoaşte și a fi înțelept înseamnă întrucîtva a fi puternic.

Într-o „lume digitală”, managementul eficient al informaţiei, al sistemelor informaţionale şi al celor de comunicaţii capătă o importanţă deosebită pentru succesul şi supravieţuirea unei organizaţii. De unde această importanţă? Întîi, din dependenţa crescîndă a organizaţiilor de informaţie, de sistemele care o culeg, prelucrează, gestionează, distribuie. În al doilea rînd, din costul şi dimensiunile investiţiilor prezente şi viitoare în domeniul tehnologiilor informaţionale. În al treilea rînd, din posibilitatea de schimbare a organizaţiilor, a practicilor de afaceri, pe care noile tehnologii o oferă.

Care sunt informaţiile confidenţiale? Cine le creează? Cui îi este permis accesul la ele? Care ar fi consecinţele furtului de date sau compromiterii acestora? Cît ar supravieţui compania dacă n-ar mai dispune de aceste date?

Informaţia trebuie privită din mai multe puncte de vedere.

În primul rînd, cum poate fi obţinută informaţia de care are nevoie organizaţia ta? În orice domeniu de activitate este nevoie de informaţii pentru satisfacerea anumitor necesităţi: planuri strategice, evaluarea performanţelor, raportarea rezultatelor etc. Cînd ne referim la obţinerea informaţiilor avem în vedere punctele, sursele – fie ele interne sau externe – prin care informaţia ajunge la dispoziţia organizaţiei. Dar nu orice informaţie este în mod automat utilă organizaţiei. Pentru a-şi proba utiliatatea, informaţia trebuie să fie într-o cantitate suficientă, să fie de calitate şi bineînţeles să fie obţinută la momentul oportun.

În al doilea rînd, trebuie avute în vedere modalităţile de protejare a informaţiiilor odată obţinute. Trecerea cu vederea a vulnerabilităţii sistemului informaţional al oricărei organizaţii este o greşeală strategică.

În al treilea rînd, putem avea în vedere dezinformarea sau războiul informaţional care se poartă dincolo de măsurile obişnuite de protecţie informaţională. Împrumutată de la tacticienii militari şi serviciile de informaţii, dezinformarea a devenit una din tehnicile cele mai folosite în luptele duse de marile firme: atacarea directă a sistemului informaţional al adversarului şi “bombardarea” acestuia cu informaţii eronate sau inducerea în eroare prin denaturarea anumitor informaţii.

În al patrulea rînd, odată ce valoarea informaţiilor este în continuă creştere, ne punem problema modului în care aceste informaţii sînt gestionate. Nu avem aici în vedere doar modul în care informaţiile circulă la nivelul organizaţiei, ci toate aspectele legate de managementul informaţional, de la introducerea celor mai noi tehnologii şi pînă la implementarea unor metode noi de control sau arhivarea informaţiilor, astfel încît să poată fi citite de echipamente din generaţiile viitoare.

Dar, dacă nu este distribuită, dacă nu este valorificată, informaţia nu are nici o valoare. Nu trebuie să uităm modul în care se realizează această distribuire, atît în interiorul organizaţiei, cît şi în exteriorul său. Spuneam că, pentru a nu îşi pierde din valoare, informaţia trebuie exploatată la momentul oportun, iar organizaţia să reacţioneze cit mai rapid la condiţiile generate de noua situaţie. Din acest moment, calculatorul, sau mai bine zis reţelele de calculatoare şi de comunicaţie devin actorii prinipali. Dar organizaţia se confrunta în continuare cu probleme. Cît de eficient este sistemul informaţional? Cum poate fi controlat? Cum poate fi protejat împotriva atacurilor? Ce strategie trebuie să aplice organizaţia?

Există o mare discrepanţă între ceea ce prezintă literatura de specialitate şi ceea ce se face practic în acest domeniu în organizaţiile româneşti.

Afacerile de astăzi sînt dependente de evoluţia tehnologiilor. Justiţia caută să adapteze continuu cadrul legal economic în care afacerile se pot manifesta. Organizaţia de astăzi nu mai este atacată cu bîta sau pistolul. Un laptop sau telefon conectat la reţeaua acesteia este de ajuns.

Dar securitatea informaţională nu trebuie văzută ca un element distinct ci ca parte componentă a structurii organizaţiilor moderne. Răspunsul la întrebări de genul: De ce are nevoie firma mea de aceste măsuri/echipamente de securitate? Şi dacă nu iau aceste măsuri, care sînt riscurile la care mă supun? Ce/cît pierd eu şi ce/cît cîstigă concurenţa dacă integritatea informaţiilor mele este compromisă? Cum mă vor ajuta aceste măsuri să-mi “salvez” investiţiile? ar putea avea ca efect reconsiderarea opiniilor managerilor cu privire la riscurile la care este supusă afacerea pe care o conduc.

Ar if  necesar să se respecte cîteva principii minimale:

  • Responsabilitatea explicită. Securitatea informaţiilor necesită o împărţire clară a responsabilităţilor între proprietarii/creatorii datelor, cei care le prelucrează, furnizorii de tehnologie informaţională şi utilizatori.
  • Conştientizarea riscurilor. Pentru a garanta confidenţialitatea informaţiilor, toate persoanele ce solicită acces la informaţii trebuie să devină conştiente de riscurile la care este expusă organizaţia, precum şi de iniţiativele sale în domeniul securităţii.
  • Multidisciplinaritate. Securitatea informaţională nu înseamnă doar tehnologie, ci vizează şi aspecte administrative, organizaţionale, operaţionale, juridice , psihologice.
  • Eficienţă din punct de vedere al costurilor. Costul asociat implementării unor măsuri de securitate trebuie să fie compatibil cu valoarea informaţiilor ce trebuie protejate (principiul importanţei relative). Investițiile în mecanisme de protecție nu se recuperează niciodată! Sînt doar costuri!
  • Integrare cu celelalte politici organizaţionale. Măsurile, practicile şi procedurile securităţii informaţionale trebuie să facă parte integrantă din ansamblul politicilor organizaţiei.
  • Revizie periodică. Sistemul de securitate trebui revizuit periodic şi adaptat evoluţiei riscurilor la care este supusă organizaţia.
  • Oportunitate. Pentru a fi eficiente, măsurile de securitate trebuie să răspundă în timp util la ameninţările reale sau potenţiale, mai ales în condiţiile actuale, cînd interconectarea sistemelor de calcul face să sporească vulnerabilitatea informaţiilor.
  • Spirit etic. Nici o măsură de securitate nu trebuie să încalce drepturile şi interesele legitime ale altora, ca o condiţie pentru existenţa unei societăţi democratice.

Primul principiu este cel mai important, implicînd eforturi din partea mai multor părţi. Astfel, conducerea organizaţiei va formula responsabilităţile de ordin general, iar specialiştii în tehnologia informaţiei vor proiecta, implementa, conduce şi revizui politica securităţii informaţionale. Proprietarii datelor vor clasifica informaţiile în funcţie de importanţa pe care le-o atribuie, asigurînd acurateţea şi integritatea tuturor datelor vehiculate în sistem. Cei care prelucrează datele vor respecta la rîndul lor regulile de securitate instituite. Furnizorii de echipamente informatice ar trebui să sprijine implementarea măsurilor de securitate la companiile-client. Utilizatorii sunt datori să respecte aceleaşi reguli. În fine, auditorii interni vor furniza conducerii informaţii despre modul cum au fost sau nu atinse obiectivele politicii de securitate.

În viitorul apropiat, nevoia de informaţii sigure nu poate decît să fie în creştere. Ne aflăm în mijlocul unei revoluţii informaţionale în care toate echipamentele electronice vor fi conectate la reţeau globală a “pînzei de paianjen” –  Internet of Things. Pentru a rămîne competitive, organizaţiile trebuie să își schimbe atitudinea.

Ignoranța este costisitoare în orice domeniu.

Mulţumesc.

Completează mai jos detaliile despre tine sau dă clic pe un icon pentru autentificare:

Logo WordPress.com

Comentezi folosind contul tău WordPress.com. Dezautentificare / Schimbă )

Poză Twitter

Comentezi folosind contul tău Twitter. Dezautentificare / Schimbă )

Fotografie Facebook

Comentezi folosind contul tău Facebook. Dezautentificare / Schimbă )

Fotografie Google+

Comentezi folosind contul tău Google+. Dezautentificare / Schimbă )

Conectare la %s