Amenintarile cibernetice continua sa aiba un impact negativ asupra guvernelor si mediului de afaceri la nivel mondial. Aceste amenintari cunosc o tentinta de crestere pe masura ce criminalii cibernetici devin din ce in ce mai mai bine pregatiti iar actiunile lor devin din ce in ce mai sofisticate. Aceasta problema impune o reactie internationala concertata.
Standardul ISO/IEC 27001 ofera un cadru de management pentru evaluarea si eliminarea riscurilor din domeniul cibernetic sau de alta natura; daca aceste riscuri nu ar fi eliminate, mediul de afaceri, guvernele sau chiar intraga infrastructura a unei natiuni s-ar putea afla in situatia de colaps.
Incidentele legate de securitatea informatiei cunosc o crestere sustinuta, pe masura ce criminalii cibernetici se orienteaza catre afacerile mari dar si spre cele mai mici. Un studiu detaliat cu privire la situatia securitatii informationale efectuat de Divizia de afaceri si inventica, a subliniat amploarea amenintarilor de securitate in Marea Britanie. Studiul intitulat “Sondaj cu privire la vulnerabilitatile legate de securitatea informationala” arata ca atacurile cibernetice impotriva afacerilor mici au cunoscut o crestere de 10 % in ultimul an, implicand costuri de pana la 6% din cifra proprie de afaceri.
Nu ar trebui sa fim surprinsi de aceste cifre. Gama de amenintari legate de securitatea informatica a dispozitivelor mobile cunoaste o evolutie exponentiala. Criminalii cibernetici din domeniul dispozitivelor mobile sunt din ce in ce mai numerosi, cooperand cu alti infractori din domeniu pentru a transmite informatii private sau secrete de afaceri. Mai mult, amenintarile din domeniul echipamentelor mobile devin din ce in ce mai complexe si greu de reperat.
In conformitate cu o serie de rapoarte elaborate de CNN Hong Kong si NQ Mobile, cresterea dramatica din domeniul virusilor dedicati echipamentelor mobile cunoaste o noua intensificare, fiind estimata la un procent de 163%. Fara indoiala, o cifra uluitoare.
Activitatea hotilor de identitate a cunoscut o dezvoltare importanta, dupa cum reiese dintr-un sondaj efectuat in anul 2013 de firma de investigare a fraudelor Javelin Strategy&Research. Rapoartele cercetarilor anuale ale firmei arata ca in anul 2012, fraudele legate de furturile de identitate au facut peste un milion de victime, fiind sustrase sume de peste 21 de miliarde de dolari, cea mai mare suma din anul 2009.
Din ce in ce mai multe organizatii se folosesc de oportunitatile online pentru a-si promova afacerile si pentru a-si solidifica pozitia pe piata prin folosirea echipamentelor si aplicatiilor mobile, fara a mai mentiona site-urile de relationare sociala. Prin aceste actiuni, aceste companii amplifica numarul si gradul de sofisticare a amenintarilor cu care se confrunta. Companiile din ziua de azi nu au alta optiune decat aceea de a se proteja prin implementarea standardului ISO/IEC 27001.
Fiind uzitat la nivel international inca din anul 2005, ISO/IEC 27001 a ajutat mii de organizatii sa-si amplifice gradul de securitate informationala. Popularul standard de management de sistem a fost actualizat recent, fiind acum disponibil intr-o forma noua si imbunatatita – ISO/IEC 27001:2013. Cea de a doua editie tine cont de experientele trecute ale utilizatorilor, integrand imbunatatiri in aplicatiile de control al securitatii, in special furturile de identitate, diminuand riscurile specifice echipamentelor mobile si vulnerabilitatile asociate mediului virtual, aliniindu-se in acelasi timp si altor sisteme de management.
Securitatea cibernetica nu reprezinta doar o provocare a mediului IT, fiind critica in procesul de derulare a oricarei afaceri. In opininia domnului Prinya Hom-anek, presedinte al organizatiei CIS din Tailanda, beneficiile aduse de folosirea unui cadru pentru gestionarea riscurilor cibernetice nu pot fi supraevaluate: “Pentru a aborda problema cibernetica nu avem nevoie doar de solutii tehnice robuste, avem nevoie de solutii de management pentru a imbunatati procesele de afaceri pentru a tine sub control riscurile cu privire la confidentialitate, integritate si disponibilitatea informatiei. Un alt aspect extrem de important este si acela legat de imbunatatirea gradului de constientizare a pericolelor si a aptitudinilor personalului si utilizatorilor.”
De asemenea, domnul Prinya Hom-anek face urmatoarea observatie:” ISO/IEC 27001 ne-a ajutat sa ne imbunatatim apararea impotriva atacurilor cibernetice, pemitandu-ne sa oferim o mai buna securitate a serviciilor prestate clientilor nostri. In consecinta, clientii nostri au o mai mare incredere in noi, percepandu-se drept un partener de afaceri sigur.”
Riscurile cibernetice cauzeaza o multitudine de efecte negative pietelor online prin compromiterea tranzactiilor electronice si prin provocarea de incidente costisitoare. In opinia domnului José Renato Hopf, administrator GetNet, unul din furnizorii de solutii tehnologice gestionate si servicii pentru mediul de afaceri pentru tranzactiile electronice din America Latina, este important ca organizatiile sa fie cu un pas inainte in ceea ce priveste securitatea cibernetica: “GetNet a decis sa implementeze un sistem eficient de management al securitatii informationale, bazat pe specificatiile ISO 27001:2013, pentru a-si proteja centrul de date situat in Campo Bom, Rio Grande do Sul (Brazilia), impotriva amenintarilor si vulnerabilitatilor si pentru a conserva confidentialitatea, integritatea si disponibilitatea informatiilor stocate. In plus fata de adoptarea celor mai bune practici legate de securitatea informatica, ISO 27001:2013 va ajuta la crestrea increderii propriilor clienti si parteneri in capabilitatile organizatiei noastre.”
Crearea si mentinerea increderii clientilor reprezinta un element crucial pentru orice afacere de succes. Organizatii precum CINDA, una din cele patru mari companii de gestionare a activelor, reprezentand organizatiile financiare din China, au beneficiat din punct de vedere comercial de cresterea increderii clientilor prin utilizarea combinata a unui sistem de management al securitatii informatice bazat pe ISO/IEC 27001 si a unui sistem de management al serviciilor IT bazat pe ISO/IEC 20000-1.
Domnul Jioa Yuan, manager general in cadrul departamentului IT al CINDA, comenteaza: ”In cadrul sectorului financiar, CINDA a fost prima companie care a dobandit doua certificari pentru standarde de management de sistem, atat din partea unor organisme de certificare nationale cat si din partea unor entitati internationale similare. Sistemul de management al securitatii informationale a fost imbunatatit in mod continuu pentru a face fata dezvoltarii afacerii si pentru a se adapta la cultura corporativa. Cu elaborarea si punerea in operare a sistemului de management al securitatii informationale, compania si-a imbunatatit in mod constant securitatea managementului informational corporativ, ajutand la castigarea increderii clientilor si organelor de reglementare.”
Domeniul larg de aplicare si utilitatea standardului ISO/IEC 27001 ofera oportunitati nelimitate de afaceri pentru gestionarea riscurilor si pentru cladirea increderii clientilor. In opinia domnului Brendan Smith, ofiter sef pentru securitatea informatica in cadrul corporatiei Fujitsu, beneficiile utilizarii sistemelor integrate de management permit o serie de avantaje duble: “Fujitsu Australia foloseste ISO/IEC 27001 pentru managementul securitatii interne, concomitent cu integrarea acestuia cu ISO/IEC 20000, pentru a oferi servicii de securitate pentru clientii pe care-i gestionam. Apreciam situatia de a avea un cadru care sa acopere ambele scenarii, care permite o singura verificare a starii nivelui de implementare a managementului securitatii.”
“In calitate de organizatie globala, prestam servicii din diverse locatii. Un avantaj esential pentru utilizarea unui standard international precum ISO/IEC 27001 este acela ca ofera clientilor nostri asigurarea faptului ca am implementat managementul securitatii la toate nivelurile organizatiei.”
Exista si alte avantaje. Fujitsu pune bazele unor comunitati de profesionisti in domeniul securitatii la nivel executiv si de conducere, intr-un cadru comun definit de ISO/IEC 27001. Pe termen lung, Fujitsu Australia va continua sa imbunatateasca implementarea si modalitatea de utilizare a ISO/IEC 27001 (si a standardelor similare) in cadrul tuturor domeniilor in care activeaza ca organizatie, incluzand serviciile de furnizare a informatiilor si cloud computing.
Organizatiile care isi gestioneaza riscurile legate de securitatea inromationala cu ajutorul certificarii ISO/IEC 27001 sunt bine primite de catre comunitatea de afaceri. Domnul Tonny Plummer din cadrul organizatiei Stratfors UK explica modalitatea in care ISO/IEC 27001 asigura credibilitate si permite companiei implementatoare sa se diferentieze in fata competitorilor.
“Certificarea ISO/IEC 27001 a inceput sa fie privita ca o necesitate pentru vasta majoritate a clientilor existenti si potentiali. Simplu spus, obtinerea certificarii ISO/IEC 27001 ne asigura “lozul castigator”. Acest lucru poate fi evidentiat prin faptul ca certificarea este obligatorie pentru organizatii precum Stralfors, care intentioneaza sa tipareasca si sa personalizeze cecuri. Nu exista nicio indoiala ca obtinerea conformitatii fata de specificatiile ISO/IEC 27001 ne-a imbunatit abordarea in cazul tuturor aspectelor legate de securitatea fizica si cea a informatiilor. In plus fata de aceste aspecte, au fost observate o serie de beneficii particulare, cum ar fi cresterea gradului de constientizare al colegilor, al managementului si imbunatirea modalitatii de selectie a furnizorilor.”
ISO/IEC 27001 a devenit sinonim cu securitatea informatiei. Standardul a cunoscut un succes rasunator in cadrul comunitatii de afaceri, reusind sa aigure protectie si sa aduca beneficii organizatiilor din toate sectoarele, indiferent de marime si de domeniul in care activeaza.
Opiniile reprezentantilor mediului de afaceri, prezentate mai sus, nu reprezinta decat varful icebergului. Mii de organizatii de pe intreg mapamondul folosesc ISO/IEC 27001 pentru a-si gestiona riscurile legate de securitatea informatiilor. Iar intr-o lume lovita de atacuri cibernetice, orice alta optiune ar fi de neconceput. (dupa un comunicat de presa al Organizatiei Internationale pentru Standardizare)