Protectia informatica: impunerea standardelor ISO in companiile franceze suscita dezbateri
Monaco, 7 octombrie 2011. Ideea de a impune companiilor franceze standarde in materie de protectie informatica, asa cum se intampla in alte tari, a primit opinii impartite de la expertii reuniti cu ocazia intrunirii la Monaco a Fundatiei pentru Securitate, in ciuda faptului ca toti au considerat necesara mai multa transparenta in gestionarea datelor cu caracter personal.
“Oamenii sunt obligati sa isi ingradesca propriile piscine! Cand traducem asta la nivelul datelor incredintate de terte persoane, pare de inteles sa obligam companiile sa fie certificate. In plus, tehnic vorbind, pare si posibil, deoarece standardele exista deja”, a subliniat Guillaume Lovet, expert in infractiunile cibernetice, reprezentand compania de securitate Fortinet.
Un standard international care poarta numele de ISO 27001 este chiar acela care face referire la protectia sistemelor informatice.
“Insa este destul de restrictiv si, desi multe companii franceze declara ca se inspira din el, numai vreo douazeci dintre ele sunt si certificate”, a mentionat Laurent Heslault, director de strategii de securitate la compania de securitate informatica Symantec.
Peste 7000 de companii sau de organizatii din lume sunt certificate ISO 27001, dintre care 3800 in Japonia si peste 500 in China sau India.
“In acest moment, companiile franceze nici nu au obligatia de a informa persoanele fizice in cazul in care datele lor cu caracter personal au fost furate sau ratacite. De fapt se fac putine eforturi pentru a proteja aceste date sau macar pentru a proteja trasabilitatea schimburilor lor”, a deplans situatia Sylvain Gil, reprezentand compania Imperva.
“In Statele Unite, de pilda, o companie este obligata sa declare daca a pierdur sau daca i-au fost furate informatiile clientilor”, a precizat Laurent Heslault.
In Franta, pe de alta parte, implementarea din luna august a “pachetului telecom”, o directiva data de Bruxelles, obliga numai furnizorii de acces la internet sa declare pierderile informatiilor personale, nu numai celor interesati, ci si Comisiei Nationale de Protectiei a Datelor (CNIL).
In noiembrie 2009, Yves Détraigne si Anne-Marie Escoffier au depus o propunere legislativa prin care se doreste consolidarea protectiei datelor cu caracter personal si impunerea notificarii CNIL in privinta oricarei pierderi a datelor. Ea a fost adoptata in Senat in martie 2010, insa de atunci textul nu a mai avansat in nicio directie.
“Fireste, implementarea standardelor nu presupune ca nu vor mai exista ilegalitati in domeniul cibernetic. Insa asta ar permite companiilor sa detina unele repere in materie de securitate a informatiei. Intalnesc multi responsabili in acest domeniu care sunt complet panicati”, a adaugat Guillaume Lovet.
“Impunerea acestui gen de standarde ar fi mult prea limitativa”, a fost de parere Edouard Jeanson, responsabilul ofertei de securitate din cadrul Sogeti, o filiala a Capgemini. El a estimat ca trebuie “mai intai sa obligam companiile sa isi identifice riscurile si sa isi defineasca o strategie in materie de securitate”.
“Am indoieli asupra impunerii oricarei certificari ca obligatotie”, si-a impartasit opinia si Bernard Ourghanlian, directorul tehnic si de securitate al Microsoft France.
“Adesea, odata ce o companie a reusit sa se certifice, ea este tentata sa se relaxeze. Mari companii sau organizatii, care au la dispozitie mijloace impresionante referitoare la securitate, uita sa faca anumite lucruri de baza, cum ar fi actualizarile”, a subliniat el evocand recentele cazuri de accesare ilegala a retelelor informatice ale ministerului economiei si finatelor sau ale grupului Areva. sursa: www.google.com