De ce este important să ai o politică de securitate cibernetică și cum să o implementezi corect

• Antreprenoriat
• Articole
• IT

5 minute • Tanasa Oana • 04 august 2023

---

Evoluția digitală a contribuit inevitabil la creșterea amenințărilor cibernetice, iar realizarea, implementarea și menținerea securității cibernetice s-a transformat într-un sport extrem. 

Un scurt context 🕵️

Transformarea digitală a venit la pachet cu mai multe tipuri de amenințări cibernetice, iar un raport al Agenției UE pentru securitate cibernetică (Enisa) aducea în atenția publicului principalele amenințări cibernetice ale anului 2022, printre acestea fiind: ransomware, malware, ingineria socială, amenințările la adresa datelor, amenințările la adresa disponibilității, dezinformarea. Dacă te-am făcut curios, mai multe detalii despre acestea poți regăsi în cadrul articolului publicat pe aici.

❓ Ce reprezintă securitatea cibernetică și cum definim amenințările și atacurile cibernetice?

📚 Definițiile securității cibernetice, respectiv amenințărilor cibernetice le putem regăsi în Regulamentul (UE) 2019/881.  În timp ce securitatea cibernetică reprezintă suma activităților prin care se asigură protejarea rețelelor, sistemelor informatice și a utilizatorilor, amenințarea cibernetică înseamnă orice împrejurare care ar putea cauza o daună acestora.

De ce este necesară o politică de securitate cibernetică?

Amenințările cibernetice pândesc din umbră și poți ajunge victima unui atac cibernetic printr-un simplu click. Cele mai întâlnite situații sunt cele în care un angajat primește un e-mail, care pare a fi transmis de către directorul general al companiei și prin care se solicită accesarea unui anumit link sau fișier malițios. Prin accesarea acestuia oferă acces atacatorului la informații confidențiale din interiorul organizației, iar atacatorul poate șantaja organizația pentru răscumpărarea acestora. Un atac cibernetic poate paraliza întreaga activitate a unei organizații. Din acest motiv, protejarea sistemului informatic trebuie să reprezinte o prioritate.

📛 Îți poți proteja organizația împotriva amenințărilor și atacurilor cibernetice prin implementarea unei politici de securitate cibernetică. 

Te-ai întrebat ce presupune politica de securitate cibernetică?

Atunci când vorbim despre asigurarea securității cibernetice este important să ținem cont de:

• păstrarea în siguranță a datelor și accesarea fișierelor/utilizarea sistemului informatic doar de către personalul autorizat;
• prevenirea alterării datelor și a modificării acestora fără o permisiune în acest sens;
• posibilitatea de a dispune de date și a accesa sistemul informatic atunci când se impune. 

Spre exemplu, probleme ar putea să apară atunci când atacatorul blochează accesul la sistemul informatic al companiei, modifică registrele contabile ale organizației sau fură datele clienților. 

Repararea daunelor produse de un atac cibernetic, nu doar că va presupune costuri ridicate pentru o companie, dar va diminua considerabil încrederea clienților. Astfel, indiferent de domeniul de activitate, pentru orice organizație este extrem de important să adopte politici/proceduri de prevenire și combatere a amenințărilor și atacurilor cibernetice.

⛔ Politica de securitate cibernetică presupune reglementarea modului în care organizația ta se apară împotriva amenințărilor și atacurilor cibernetice. 

Câteva elemente-cheie

Atunci când realizezi și implementezi o politică de securitate cibernetică este important să ții cont cu precădere de: obiectul de activitate și legislația aplicabilă, tipul sistemului informatic utilizat, resursele/echipamentele din dotare, nevoile organizației. Este necesar să implici toate departamentele cu roluri de risc și să identifici corect riscurile la care este supusă organizația. 

1. Realizează un inventar al datelor, echipamentelor și sistemelor/aplicațiilor folosite și concepe reguli de acces și utilizare.
2. Realizează un audit de securitate. Identifică punctele tari și slabe ale infrastructurii IT din cadrul organizației.
3. Pregătește un plan de acțiune și de raportare în cazul incidentelor de securitate. Spre exemplu, în cazul în care se produce o încălcare a securității datelor cu caracter personal și există probabilitatea generării unui risc pentru drepturile și libertățile persoanelor vizate, operatorul datelor trebuie să notifice incidentul ANSPDCP, în termen de 72 de ore.  
4. Realizează copii de siguranță a datelor.
5. Asigură un nivel ridicat de securitate în rândul echipamentelor folosite (precum: tablete, telefoane, PC-uri) prin mijloace precum: protecție antifurt (spre exemplu: deblocarea dispozitivului pe baza unei parole complexe/pin/amprentă, blocarea accesului la distanță sau ștergerea datelor), actualizarea periodică a aplicațiilor utilizate/sistemelor de operare și verificarea permisiunilor de acces la diferite resurse ale dispozitivului (precum: cameră, microfon, locație), asigurarea unor conexiuni securizate de date etc. Folosește doar programe/ aplicații licențiate și verificate.
6. Implementează soluții de criptate a informațiilor.
7. Monitorizează accesul terților (de exemplu: colaboratori, parteneri de afaceri) la rețeaua internă. Oferă acces doar la ceea ce este absolut necesar.
8. Utilizează doar medii de stocare verificate.
9. Implementează autentificarea în doi factori. Folosește parole complexe și puternice.
10. Instalează o soluție antivirus, aplicație de tipul firewall. Utilizează doar conexiuni securizate de date.
11. Folosește o soluție de securitate pentru e-mail. Utilizează soluții de filtrare a e-mailurilor pentru a recunoaște elementele malițioase.
12. Realizează instrucțiuni de lucru și sesiuni periodice de instruire și conștientizare în rândul angajaților.

Concluzie

O politică de securitate cibernetică adaptată nevoilor organizației va reprezenta un scut împotriva amenințărilor și atacatorilor. Aceasta trebuie să reunească toate acțiunile și măsurile adoptate pentru a face față amenințărilor și a răspunde prompt în cazul unui incident de securitate.  Managementul și securitatea sistemelor informatice, a bazelor de date, a aplicațiilor utilizate trebuie să reprezinte o prioritate în cadrul organizației, indiferent de domeniul de activitate în care se activează.

---

Fotografie de Philipp Katzenberger pe Unsplash

Lasă un răspuns Anulează răspunsul

Adresa ta de email nu va fi publicată. Câmpurile obligatorii sunt marcate cu *

Comentariu *

Nume *

Email *

Site web

Salvează-mi numele, emailul și site-ul web în acest navigator pentru data viitoare când o să comentez.

Δ