Importanta si valoarea certificarilor ISO 27001 si ISO 20000 pentru o securitate mai buna
Integrarea si implementarea ISO coordonata a proceselor de management al serviciilor ofera un control continuu, o eficienta sporita si oportunitati de imbunatatire continua. Toate acestea converg pentru a detine o securitate mai buna a informatiei in organizatii, pentru a reduce riscurile si pentru a forma profesionisti care sa fie parte a solutiei, si nu a problemei. In America Latina, guvernele care sunt cele mai constiente de beneficiile securitatii informatiei sunt Brazilia, Columbia, Argentina si Chile.
Standardele la care ne referim sunt reprezentate in primul rand de ISO 27001 / 2005, care este standardul pentru sistemele de management al securitatii informatiei. Cadrul sau ajuta organizatiile sa isi organizeze procesele de securitate a informatiei si sa isi reflecte actiunile posterioare care permit organizatiilor sa isi implementeze masuri de control al securitatii care pot fi personalizate in functie de nevoile specifice ale fiecarei afaceri.
Standardul ISO 20000 ( ISO/IEC 20000-1:2005 ) promoveaza adoptarea unui cadru de procese integrate cu scopul de a gestiona eficient serviciile prestate, ceea ce ajuta la indeplinirea cerintelor companiei si pe cele ale clientilor. Pentru ca o organizatie sa functioneze in mod eficient, ea trebuie sa isi identifice si sa isi gestioneze numeroasele activitati asociate.
In Peru, organizatiile financiare si bancare au inregistrat progrese rapide in domeniul securitatii informatiei, deoarece nivelul lor de maturitate IT este cu mult mai ridicat. Aici organizatiile sunt guvernate de circularele SBS (organism de supraveghere a bancilor si companiilor de asigurare din Peru), ca No. G-140-2009, care stabilesc liniile directoare care trebuie sa fie urmate si implementate de aceste organizatii, care sunt supravegheata si controlate.
Organizatiile sau institutiile statului, pe de alta parte, nu poseda un nivel satisfacator de maturitate IT, in ciuda rezolutiei ministeriale Nº 246-2007- PCM care stabileste ca entitatile care tin de adminstratia publica trebuie sa isi implementeze un plan privind securitatea informatiei conform standardului tehnic peruvian (NTP- ISO/ IEC 17799:2007 EDI. Tehnologia informatiei. Cod de bune practici pentru managementul securitatii informatiei).
Toate aceste se afla in stransa legatura cu cultura securitatii care exista sau trebuie sa existe in organizatiile de stat sau in companiile publice. In cazul statului, birocratia si constrangerile bugetare pot duce la amanari si la dificultati intampintate de organizatii in a-si actualiza certificarile dupa cum cere legea.
Certificarile ISO trebuie sa creasca nivelul productivitatii, solutiilor si performantei companiei sau organizatiei, fara nicio distinctie. De aici rezulta ca este necesar si de mare importanta detinerea unui plan de actiune in favoarea angajatilor, pentru ca ei sa participe impreuna la indeplinirea acestuia.
Numai in acest mod organizatiile de stat sau companiile private isi pot demonstra seriozitatea, printr-un grup de persoane care lucreaza zi de zi pentru obtinerea certificarilor, deoarece aceasta presupune o preocupare constanta de a oferi solutii clientilor la un nivel profesional international.
Certificarile profesionale ca CISSP (Certified Information Systems Security Professional) sau CISM (Certified Information Security Manager), sunt importante deoarece garanteaza ca profesionistii sunt in conformitate cu o serie de cerinte ale cunostintelor academice si practice orientate spre securitatea informatiei, astfel incat este ridicat nivelul abilitatilor tehnologice, al proceselor si practicilor dictate de standarde care se ocupa de aceste probleme, rezultand avantaje in privinta dezvoltarii profesionale si a organizatiilor care beneficiaza de sprijinul acestor experti.
In cazul companiilor, certificarile ISO/IEC 27001:2005 si ISO 20000-1:2005 atesta conformitatea cu standardele internationale din industria IT, ca si angajamentul de a furniza clientilor, partenerilor si angajatilor cele mai inalte niveluri ale securitatii si calitatii serviciilor in termeni de tehnologie a informatiei.
Este necesar ca guvernele sa inteleaga ca acum mai mult decat oricand este esentiala contracararea amenintarilor virtuale care devin mai puternice zi de zi, ducand la nevoia crearii unor centre de aparare cibernetica.
(Un articol de Manuel Caldas Nuñez, PMP ® / ITIL ®, director de solutii tehnologice, INGENIUM Soluciones Informáticas Perú)