miercuri, 29 iunie 2011

Informația – punct de vedere

Ne-am obișnuit să vedem, de la mediile academice până la medii sociale, cum este promovată, pe toate canalele media societatea informațională. Există numeroase organizații care se angajează în realizarea acestei societăți informaționale. Sunt emise teorii, se crează programe, se finalizează obiective, se evaluează riscuri și nu în ultimul rând se definește utilitatea societății informaționale. Se dezvoltă un întreg glosar de termeni și funcții asociate care cu scopul de a contribui la realizarea unor obiective stabilite. Toate acestea pentru a sluji dezvoltarea economică, crearea unei valori adăugate și obținerea în acest fel a unei justificări pentru toate aceste eforturi.

Utilizarea informației doar pentru profit economic imediat nu conduce, așa cum se dorește, la societatea informațională. Poate că în unele domenii societatea va beneficia de tehnologizare la nivel înalt dar acest lucru, repet, nu conduce la societatea informațională. Din acest motiv economicul va fura startul și pentru un profit imediat va utiliza tehnologii înalte, își va crea un avantaj competitiv, iar societatea nu va beneficia de acest avantaj în timp real.

Societatea informațională are o șansă să devină realitate numai dacă va fi independentă de factori economici, sociali sau de altă natură și să se proiecteze construcția ei pornind de la elementul de bază și anume informația. Pentru moment societatea încă nu a emis o definiție a informației care să fie unanim recunoscută. Fiind produsul unei anumite pregătiri tehnice și pe baza unei experiențe profesionale, împreună cu dorința mea de a promova o anumită profesie, următoarea definiție a informației s-ar putea dovedi corectă sau cel puțin este utilă demersului meu.

informația = un concept abstract, cu caracter universal, dar care are un înțeles, o semnificație.

Cu alte cuvinte, pot spune că, informația este prezentă în jurul nostru la nivel universal, este independentă de anumiți factori și are o semnificație care o face utilă.

Pentru  a fi mai explicit voi expune următoarea situație. În jurul meu există o mulțime de informații. Un producător îmi oferă un traductor (pe care îl denumește termometru), o scară cu unități de măsură, manual de utilizare, etc. Utilizând acest traductor constat că semnificația informației este că in jurul meu temperatura este de 38. Un alt producător îmi oferă un alt traductor (pe care îl denumește termometru) împreună cu o altă scară cu unități de masură. După utilizare temperatura indicată pe al doilea traductor este de 5. De asemenea personal dispun de propriul meu traductor, propria mea scara cu unități de măsură și propriul meu rezultat indicat. În consecință după utilizarea propriului traductor rezultatul a fost “cald”.

Din perspectiva profesiei de auditor independent, pe care mai mult o promovez dar pe care o exercit prea putin, am să expun un punct de vedere la situația prezentată mai sus. Putem considera informația pe care o analizăm că este unica și dintr-un anumit punct de vedere este. Pe baza unui standard (ISO 27001) și a unui cadru de lucru (COBIT) consider în continuare că informația are următoarele caracteristici sau criterii de evaluare:
- integritate având în vedere exactitatea și completitudinea informației inclusiv sub aspectul validității ei
- disponibilitate având în vedere posibilitatea de a accesa informația în orice moment inclusiv sub aspectul asigurării echipamentelor necesare, continuității funcționării și a siguranței cum este procesată informația
- încredere având în vedere furnizarea de informații adecvate care să conducă la o înțelegere corectă a semnificației pentru a lua decizii corecte
- realitatea existenței având în vedere că informația există este pertinentă și relevantă inclusiv sub aspectul furnizării ei în timp real într-o formă corectă, consistentă și utilizabilă
- confidențialitate având în vedere autorizarea accesului la informație inclusiv sub aspectul protejării, dezvăluirii sau funizării neautorizate a informațiilor
- eficiență având în vedere realizarea criteriilor pe baza utilizării optime de resurse
- conformitate în vederea respectării legislației, standardelor, normelor, etc.

În continuare să identificăm procesele care au loc. Primul proces este cel prin care informația din starea inițială (starea naturală) este procesată automat/electronic (tehnologia informației/information technology/IT) și prezintă informația, într-o anumită formă. Al doilea proces este citirea informației, procesarea ei și conștientizarea informației. Al treilea proces este luarea unei decizii. Procesul numărul patru este cel de înregistrare, protejare și furnizare a informației.

Indiferent că analizăm un sistem informațional complex sau o funcție, tranzacție, operație simplă din cadrul unui sistem observăm că informația este procesată și că i se pot asocia 2 stări. Informația de intrare ca stare înainte de procesare și informația de ieșire ca stare după procesare. Idiferent de numărul de procesări informația trebuie să păstreze intacte cele 7 caracteristici ale informației. Dacă analiza unui proces conduce la identificarea unor riscuri asociate, este necesară o metodă de tratare a riscurilor pentru reducerea acestor riscuri.

Fără a intra în detalii, care fac deliciul acestei profesii, pot fi implementate numeroase soluții pentru ca riscurile reziduale să fie la un nivel care să nu fie suspectat că poate conduce la nerealizarea unor obiective ale organizației sau luarea unor decizii eronate.

Informația, indiferent de starea in care se află, indiferent de formă, indiferent de suportul pe care se găsește, pentru a determina existența unei societăți informaționale trebuie să îndeplinească cele 7 caracteristici/criterii. Pentru ca societatea informațională să capete contur este necesară procesarea de volume mari de informații, din domenii diverse.

O altă definiție, care încă nu și-a găsit recunoșterea globală, este a termenului “date”. O definiție pe care o consider utilă ar putea fi următoarea:

date = un volum de informații care beneficiază de un criteriu de filtrare sau este asociat un criteriu de filtrare

În situația de mai sus dacă asociem timpul informației cu semnificația temperaturii și creăm un volum de date pe o perioadă de 10 ani, putem extrage, în sensul previzionării ori în sensul deducției, o nouă informație.
Cu certitudine putem clasifica informațiile în funcție de o multitudine de puncte de vedere. Astfel identificăm noi criterii de filtrare, putem crea noi volume de informații, putem dezvolta noi suporturi sau forme de existență a informațiilor.

Societatea informațională, sistemele informaționale au ca element constitutiv informația care este strâns legată de suportul său ori forma ori starea sa. Protecția informației include protecția suportului, formei, stării sau  a oricărui aspect în care informația există. Acesta este motivul pentru care standardul ISO 27001 consideră informația un activ al organizațiilor, activ care trebuie protejat.

La fel vă recomand și eu. Protejați informația. Este extrem de volatilă. Și nu întotdeauna veți reuși să o recuperați.

miercuri, 4 mai 2011

Nivel maxim de alertă

Începutul anului 2011 pentru profesioniștii în domeniul continuității afacerilor și recuperării dupa dezastre (Busines Continuity & Disaster Recovery) s-au confruntat cu adevărate provocări. Acei profesioniști care au identificat imediat pericolul și au acceptat că probabilitatea ca un eveniment catastrofal să se întâmple au inițiat deja acțiuni corective sau mai degrabă protective. Cu siguranță se pun mai multe întrebări la care este necesar să se raspundă sincer, în mod profesional și cu responsabilitate maximă față de cei care vor fi implicați.

Care este nivelul maxim de alertă ?

La această întrebare deja avem raspunsul. Nivelul maxim de alertă este atins în momentul în care este declarată starea de catastrofă pandemică. Termenul poate fi imprumutat în toate domeniile de activitate și definit în funcție de identificarea acelor riscuri majore care ar putea conduce la neîndeplinirea obiectivelor propuse. Tipul organizațiilor și domeniul de activitate al organizațiilor care sunt afectate la un asemenea nivel de alertă este foarte greu de enumerat. Poate ar fi mai ușor să fie identificate acele organizații care nu ar avea de suferit sau care nu sunt influențate de catastrofele de nivel pandemic.

Dacă până în 2011 acest tip de eveniment “Alerta de pandemie” a fost privit cu oarecare scepticism, constatăm că odată cu evenimentele de la Fukushima, printre profesioniștii domeniului, se exprimă opinii autocritice dar mai ales sunt evidențiate meritele japonezilor cu privire la pregătirea pentru catastrofe de nivel maxim. Avem de învățat din aceste evenimente tragice care s-au petrecut în ultima perioadă de timp. Japonia se dovedește a fi campioana recuperărilor după dezastre, iar în această calitate oferă exemple de urmat pentru toți.

Sunt pregătite organizațiile care ne afectează viața să răspundă la asemenea provocări?

Răspunsul cert este că organizațiile din jurul nostru nu sunt pregătite și că nu vor depune eforturi suplimentare pentru a se pregăti. De unde ca și concluzie logică rezultă că pe de o parte vom spera în continuare ca aceste catastrofe să nu se întâmple, iar pe de altă parte vom acționa instinctiv amplificând efectele unui eventual dezastru.

Primul pas spre certificare

În cazul în care, ca membru al unei organizații, considerați că aceasta își desfășoară activitatea la un nivel ridicat de profesionalism, sunteți membru al managementului superior și considerați că organizația poate urmări principiile guvernanței corporatiste sau vă doriți implementarea unui sistem de management (oricare dintre cele cunoscute) ori în ultimă instanță vă doriți confirmarea de către o terță parte a nivelului la care vă desfășurați activitatea, aveți nevoie să știți de unde să începeți.

Puteți să angajați o firmă sau persoană specializată ori să încercați prin propriile resurse să treceți de fiecare etapă necesară pentru atingerea obiectivului stabilit. De recomandat este ca organizația să-și îndeplinească singură sarcinile, să își folosească capacitatea de organizare astfel încât să poată introduce în activitatea curentă noi proccese și operațiuni pe care să le planifice și execute periodic.

Pentru început este benefică determinarea în cadrul tuturor sectoarelor sau domeniilor de activitate din cadrul organizației a legilor, regulamentelor, normelor, procedurilor, standardelor sau a oricăror altor prevederi relevante în domeniu care se aplică sau trebuiesc respectate în desfășurarea activității.

Apoi, introduceți în ordinea importanței într-o listă, fiecare dintre reglementările stabilite mai sus astfel încât să întocmiți un tip de clasament. Stabiliți în continuare un nivel până la care nerespectarea reglementărilor produce efecte negative sau se asociază unor riscuri care în opinia dvs. sunt inacceptabile.

Următorul moment important este luarea deciziei de achiziționare a acestor reglementări, legi sau standarde. Această decizie este importantă nu numai prin prisma unor cheltuieli financiare dar și prin faptul că astfel completați, cel puțin parțial, două sau mai multe capitole din programul de certificare. Aceste capitole se referă la drepturile de proprietate intelectuală precum și la drepturile de utilizare sau legislația care guvernează activitatea.

Experiența mi-a confirmat că în foarte puține cazuri, nu al dvs., reglementările nu sunt supuse unor clauze legate de respectarea unor drepturi sau impunerea unor obligații legate de utilizarea sau reproducerea acestor reglementări. Desigur că puteți consulta un specialist în domeniu dar în opinia mea este cel mai ieftin să cumperi reglementarea de la un titular de drepturi și astfel se îndeplinesc cel puțin parțial anumite reglementări în vigoare. Veți avea cel puțin dreptul de a folosi terminologia sau dreptul de reproducere astfel încât în orice moment corespondența tehnică și comercială să poată fi opozabilă în anumite situații.  Un exemplu este momentul în care doriți să demonstrați că aplicați un anumit standard sau patent în activitatea legată de anumite procese dar nu puteți prezenta (mă refer în mod legal) desene, schițe, norme sau proceduri pentru a vă sprijini demonstrația. Un alt exemplu este necesitatea de a cumpăra un abonament la Monitorul Oficial. Doar în acest fel veți putea reproduce în sprijinul afirmațiilor dvs. părți din legislație.

Pentru a completa toate aceste acțiuni, este necesar să arhivați într-un mod cât mai eficient toate aceste documente astfel încât să fie disponibile într-un timp rezonabil. De asemenea este necesar să înregistrați în evidențele contabile, gestiune, etc. toate tranzacțiile/activele astfel rezultate.

Subliniez încă odată că aspectele mai sus menționate, vă pot conduce la completarea unor capitole din programul de certificare. Desigur că modul în care veți decide să puneți în practică aceste aspecte depinde numai de dvs., iar acest fapt vă motivează în luarea celor mai eficiente și productive decizii pentru îndeplinirea obiectivelor pe care le aveți planificate, iar certificarea este unul dintre ele.

Link:
AUDIT OFFICE GALATI