Om de afaceri care se gandeste la Directiva NIS

Directiva NIS în România. Ghid în pași pentru companii

Ai nevoie de o echipă de traineri pentru angajații tăi?

1.8 Gestionarea activelor

Ar trebui să ții un inventar (o listă) și să clasifici toate activele, procesele IT, sistemele și elementele componente ale rețelelor și sistemelor informatice din compania ta. Îți va fi necesar pentru a putea face actualizări și patch-uri și. După caz, îți va permite inclusiv să stabilești ce elemente din componența rețelelor și sistemelor informatice sunt afectate de noi probleme de securitate.

În plus, va trebui să elaborezi o procedură pentru etichetarea și clasificarea datelor și informațiilor pentru a reflecta sensibilitatea acestora. Este imperios necesar să te asiguri că datele/informațiile sunt gestionate corespunzător.

Pasul 2 – De unde te poți aștepta la un atac cibernetic? Cartografierea ecosistemului

Fie că acționează intern, ca angajați, fie că sunt colaboratori ai companiei tale precum furnizorii de servicii software sau companii cărora le-ai externalizat diverse activități, persoanele fizice sau juridice cu care organizația ta are legături pot reprezenta un factor de risc pentru sistemele și rețelele tale informatice.

De aceea, normele de aplicare ale legislației ce transpune Directiv NIS te obligă să stabilești o “cartografiere a ecosistemului”. Este practic o listă cu riscurilor potențiale identificate și evaluarea acestora în furnizarea serviciilor esențiale ale companiei tale. Riscurile sunt reprezentate de relațiile cu părțile interesate ale ecosistemului, fie ele interne sau externe, incluzând, dar fără a se limita la furnizori – în special cei cu acces la gestionarea activelor critice ale companiei.

Pentru elaborarea liste, vei avea în vedere 4 parametrii majori:

  • maturitatea. Care sunt capacitățile tehnice ale părților interesate cu privire la securitatea cibernetică?
  • încrederea. Poți presupune că intențiile părților interesate față de tine sunt fiabile?
  • nivelul de acces. Care sunt drepturile de acces ale părților interesate la rețelele și sistemele informatice?
  • dependența. În ce măsură relația cu părțile interesate este critică pentru activitatea mea?

Pasul 3 – Stabilirea relațiilor ecosistemului

Legat de pasul numărul 2, va trebui să elaborezi și să implementezi și o procedură de stabilire a relațiilor ecosistemului. Aceasta va include interconexiunile (relațiile externe) între propriile rețelele și sisteme informatice și terți. În general, cerințele de securitate trebuie luate în considerare pentru componentele rețelelor și sistemelor informatice operate de terți.

Trebuie să te asiguri, prin acorduri la nivel de serviciu (SLA) și/sau mecanisme de audit, că și furnizorii tăi stabilesc măsuri de securitate adecvate. În acest sens elaborează și păstrează o listă cu acorduri la nivel de serviciu și/sau mecanisme de audit.

Punerea în acord cu legislația privind securitatea rețelelor și a sistemelor informatice nu este un lucru ușor. Implică timp, resurse umane care să gestioneze tot procesul și resurse financiare pentru ca strategia de securitate să fie implementată.

Cu toate acestea, nu ar trebui să privești această provocare ca pe un lucru eminamente nou. Ca și în cazul GDPR, legislația europeană se aliniază de cele mai multe ori la diverse standarde internaționale. În cazul acesta, putem aminti de standardul ISO/IEC 27001 privind Sistemul de Management al Securității Informației, cel mai important standard de securitate a informațiilor la nivel mondial pe care îl poate dobândi o companie din domeniul IT și nu numai.

În plus, poți apela la specialiști în domeniul securității informației care să te ghideze pe tot parcursul procesului în urma căruia compania va fi în acord cu legislația și va putea face față oricăror atacuri cibernetice.

Magnetic IT Services te poate asista în procesul de implementare a Directivei NIS prin servicii de:

  • Audit IT, Penetration Testing & Social Engineering
  • Security Operation Center
  • Networking Operation Center
  • Scanare Periodică Vulnerabilități
  • Colectarea logurilor de securitate
  • Implementare Politică de Backup
  • Creare plan de Disaster Recovery & Business Continuity