Dan Cristian MATEI
Dan Cristian MATEI este Lead auditor ISO 9001, 27001 al organismului de certificare RINA. Este absolvent al Universității Politehnica București și al unui program de masterat în domeniul managementului calității. A fost implicat în implementarea unui proiect complex legat de monitorizarea rețelei de emițători radio TV aparținând SN Radiocomunicații. Ulterior, a ocupat funcția de Technical Quality Coordinator al Departamentului Technology din ORANGE Romania, apoi QEHS Manager al Huawei Technologies Romania pentru toate operațiunile şi proiectele locale. Având peste 16 ani de experiență în industria telecom, aria sa de expertiză include redesign şi optimizare de procese, eTOM framework, conformitate SOX, TL9000, GDPR, implementarea și dezvoltarea de proiecte de infrastructură complexe, cloud computing, cybersecurity, IT governance, security și audit. Opiniile prezentate în acest articol reprezintă recomandările personale, în calitate de auditor ISO27001 şi nu reflectă în nici o circumstanță poziția oficială a RINA.
Organizațiile care au studiat prevederile GDPR şi sunt în plin proces de intrare în conformitate cu cerințele acestuia sunt deja conștiente de faptul că standardele de bună practică sunt un motor al dezvoltării. Inclusiv Regulamentul sugerează pe termen mediu elaborarea codurilor de conduită, aplicabile unor diferite industrii.
Deși aparent cadrul de reglementare a rămas în urma dezvoltării tehnologiei societății informaționale, în opinia mea activitatea de standardizare tehnică, în plină desfășurare la acest moment pe diferite verticale (exemplu cloud, tranzacții distribuite, etc) va acoperi şi sprijini în viitorul apropiat necesitățile de dezvoltare a diferitelor industrii precum şi dezvoltarea susținută a unor noi tehnologii.
Standardul internațional de securitate a informațiilor EN ISO/IEC 27001 este un standard care ajută companiile să se conformeze unor modele internaționale de bune practici. Standardul acoperă trei componente cheie ale securității datelor – persoane, procese și tehnologie. Atunci când se iau măsuri pentru protejarea informației considerând aceste trei axe, companiile sunt mai bine pregătite pentru a proteja informațiile, pentru a diminua riscurile și pentru a își îmbunătăți constant procesele interne. Ca atare, se menține tendința ultimilor ani din sectorul corporativ de a considera implementarea şi certificarea EN ISO/IEC 27001 drept o decizie strategică care a adus beneficii certe.
Un Sistem de Management implementat conform EN ISO/IEC 27001 asigură punerea în aplicare a cerințele GDPR relevante, prin implementarea măsurilor tehnice adecvate pentru diminuarea riscurilor legate de securitatea informației. Prin abordarea sa cuprinzătoare, un Sistem de Management al Securității Informației – SMSI certificat EN ISO/IEC 27001 poate ajuta o organizație să-și protejeze toate resursele informaționale, inclusiv asupra atacurilor cibernetice şi nu doar datele cu caracter personal. Conformitatea ISO 27001 înseamnă că o companie a luat măsuri pentru a își gestiona în mod continuu riscurile de securitate a datelor. În acest fel, este capabil să țină pasul cu amenințările în continuă evoluție ale securității datelor.
Cum ne poate ajuta EN ISO/IEC 27001 în demersul de conformare? Valoarea adăugată este certă:
A. Dacă standardul a fost deja implementat de către o companie, compania respectivă are deja asigurată conformitatea cu o mare parte din cerințele Regulamentului, mai precis la nivel de articole (în ordinea relevanţei): 32, 25, 5, 19, 33, 34, 24, 2, 1, 3. Având în vedere că există domenii din Regulament care nu sunt acoperite în totalitate de EN ISO/IEC 27001 şi aici ne referim de exemplu la dreptul la portabilitatea datelor, dreptul de a fi uitat; în vederea implementării tuturor cerințelor RGPD, o companie care deține un SMSI certificat ISO 27001 ar trebui să parcurgă o analiză a decalajelor (GAP) față de cerințele Regulamentului.
B. Pentru o companie care nu are deja implementat un SMSI conform EN ISO/IEC 27001, implementarea acestuia va oferi un cadru pe care se poate construi structura cerută de Regulament, începând de la alocarea responsabilităților şi a demonstrării aderenţei la Principiile legate de prelucrarea datelor cu caracter personal, o desfășurare integrată a cartografierii proceselor şi datelor prelucrate, evaluării riscurilor, s.a.m.d.
Deoarece în Regulament singurele referiri la măsurile tehnice şi organizatorice adecvate în vederea asigurării unui nivel de securitate sunt criptarea și pseudonimizarea, în lipsa unor alte precizări standardul EN ISO/IEC 27001 precum şi alte standarde înrudite pot ajuta la identificarea „stadiului tehnicii” precum şi celor mai bune practici.
De un real ajutor pot fi EN ISO/IEC 27002 – Cod de bună practică pentru tehnici de securitate, aplicabil tuturor industriilor, ISO/IEC 29151 Cod de buna practica pentru protecția informațiilor de identificare personală (PII), iar în contextul orientării spre serviciile din cloud, revizia unor standarde tehnice din familia ISO27000 cum ar fi ISO/IEC 27018 asigur-a alinierea organizațiilor la ultimele cerințe.
Trebuie avut însă în vedere că fără un program cuprinzător de securitate a informațiilor care să ia în considerare așa cum s-a menționat mai sus şi factorul uman, nivelul de securitate şi gradul de protecție vor scădea. Procesele de business nemenținute în parametrii planificați, lipsa unui angajament pentru securitatea informațiilor în întreaga organizație precum și problemele legate de personal se numără printre cele mai frecvente cauze ale incidentelor legate de securitatea datelor.
cloudmania2013.com 