CCT Consultants

Mihai Dascălu

De la ce plecăm? Raportat la societatea actuală, webul a devenit un concept foarte răspândit și popular, parte integrată vieții noastre de zi cu zi, a cărui componentă socială ajunge chiar să surclaseze modalitățile clasice de relaționare și comunicare. Primul lucru pe care trebuie să-l avem în vedere sunt multitudinea de medii sociale disponibile online: bloguri, rețele sociale, forumuri, partajări de poze și de video-uri, podcasts și fluxuri de știri RSS. Accentul cade pe rețelele sociale care au ajuns să joace un rol central și a căror dezvoltare a fost cea mai impresionantă în ultima perioadă prin formarea de comunități, relații de interacțiune și noi canale de comunicație și informare.

Acum, ce definește o comunitate? În primul rând membrii fără de care nu am putea vorbi de existența unei comunități, caracterul individual al fiecăruia, aspirațiile și interesele similare, și liantul tuturor acestor elemente – comunicarea prin diverse canale, partajarea de idei, opinii. Ce se schimbă cu adevărat este percepția unitară a grupului, rezonanța sau dimpotrivă disonanțele dintre diversele opinii și idei care duc la o perspectivă holistică atribuită comunității. Acum partea interesantă derivată este posibilitatea evaluării acestor comunități, roluri și implicarea fiecăruia, modele matematice utilizate în analiza rețelei sociale obținute, inclusiv adaptarea unor algoritmi cunoscuți precum Google Ranking în vederea evaluării centralității și importanței aferente.

Totuși ce se schimbă având de-a face cu un domeniu în care viteza modificărilor crește conform legii lui Moore? Raportat la anul precedent se constată o schimbare din perspectiva scopului utilizării rețelelor sociale: de la dorința regăsirii vechilor prieteni s-a produs trecerea, o dată cu maturizarea rețelelor existente, la mesagerie și partajare de poze între membrii. Chiar daca în ultima perioadă se remarcă o diminuare a creșterii înspre serviciile online de relaționare și o tendință de saturație a numărului total de utilizatori, dimensiunea universului online capătă proporții din ce în ce mai impresionante din prisma faptului că în ultimele 12 luni numărul de persoane cu care interacționăm prin mijloace informatice a crescut cu 40% conform UM ”Power to the People” Wave4. Conform aceleași surse numărul de persoane din România care dețin un profil într-o comunitate online este de aproximativ 2,5 milioane de oameni, lucru care demonstrează că peste 10% din populație are deja o imagine online și care accentuează importanța fenomenului chiar și la noi.

Întrebarea naturală – de ce acest fenomen? Evoluția curentă este strâns legată de răspândirea și disponibilitatea lățimi de bandă a conexiunilor la Internet, precum și de natura umană de autopromovare, astfel ajungând chiar la preconcepții de tipul ”Dacă nu exiști online, atunci ai o problemă serioasă.”, sau ce impresie faci relativ la prietenii tăi dacă tu ești singurul care nu ai un profil pe Facebook. Acum, în altă ordine de idei, relativ la motivele accesării și utilizării webului, numărul de oportunități și varietatea posibilităților existente joacă un rol esențial. Indiferent de dorință sau de experiență, trebuie să existe cineva, oriunde pe glob, care să fie interesat și cu cine să o împărtășești. Mai mult, din perspectivă psihologică, pe lângă sentimentul de apartenență la o comunitate, următoarele motive asigură extinderea acestor comunități: dorința de a te exprima, de a-ți promova o imagine, de a-ți pune la încercare creativitatea, de a câștiga respect sau doar pentru a te relaxa și destinde, de a împărtăși cunoștințe și implicit de a învăța de la alții; toate acestea fundamentează baza automotivării personale care promovează și augmentează evoluția curentă a webului.

Paradoxul webului: Unul din cei mai crunți dușmani ai epocii noastre îl reprezintă timpul: multitudinea de alegeri, imposibilitatea satisfacerii tuturor aspectelor duc la orientarea către mijloace de comunicare cât mai eficiente. Webul asigură mijloacele unei interacțiuni deschise, pe multiple căi, astfel corelând persoane indiferent de poziția lor geografică. Paradoxal, timpul petrecut online crește progresiv în vederea eficientizării activităților curente, dar timpul rămas liber scade în continuare datorită noilor relații sau surse de informații descoperite. În acest context, contează și interpretarea atribuită timpului petrecut online în vederea relaționării sau a informării, întrucât acesta este fundamental diferit față de cel petrecut în cadrul relaționării directe. Totuși, în prezent, numărul de contacte în cadrul rețelelor sociale online depășește pe cel a relaționării față în față, al emailului, al instant messanger-ului, precum și al telefonului.

Ce s-a mai schimbat raportat la webul 1.0? Clar experiența aferentă și feedbackul primit: avem de-a face cu interfețe din ce în ce în ce mai evoluate, un design care încântă privirea, efecte video deosebite, o varietate covârșitoare de subiecte, direcții și oportunități. Toate acestea duc spre ideile de conținut personalizat, de interfețe adaptive și spre un grad cât mai mare de satisfacție din partea utilizatorului. Dar depinde foarte mult ce își dorește fiecare, însă probabilitatea de a nu găsi informații sau persoane cu aspirații asemănătoare în cadrul universului online este infimă. Mai mult, o altă perspectivă care trebuie luată în considerare este cea financiară, asigurată prin promovarea și publicitatea online. Astfel în vederea creării obiectului social trebuie identificat publicul țintă, urmând apoi procesul de cosmetizare în vederea obținerii unei imagini reprezentative în cadrul comunității identificate. Totodată bugetele puse la dispoziție de firme pentru marketing online capătă o pondere din ce în ce mai semnificativă în fiecare an, corelat cu câștigurile din ce în ce mai spectaculoase din publicitatea online

Din ce perspectivă trebuie să vedem rețele sociale? Doar fun relaxare, și reîntâlnire cu fostele cunoștințe? Un caz particular îl reprezintă ”rețelele de profesioniști” (ex. LinkedIn) care demonstrează perfect dualitatea perspectivei asupra rețelelor sociale: pe deoparte se pot determina informații valoroase despre trecutul profesional și experiența unei persoane, inclusiv recomandări, dar pe de altă parte toate informațiile prezentate reprezintă o sursă perfectă pentru începerea unui atac de tip ”social engineering”. Astfel se conturează o problemă accentuată la nivelul comunităților online: încrederea aferentă în informațiile prezentate, impersonarea mult mai ușor de realizat

Încotro ne orientăm? Direcțiile pe termen scurt ale comunităților virtuale tind spre integrarea diverselor servicii, între unele existând deja interconectări directe la nivel de mail, chat în vederea facilitării colaborării (Google Wave). Pe termen lung se dorește realizarea tranziției de la webul social la unul semantic, în cadrul căruia și calculatorul să poată oferii informații contextuale relevante. Primii pași s-au realizat din prisma ontologiilor create, a metadatelor existente, a noilor canale de comunicaţii devenite alternative viabile la modalităţile clasice de învăţare - „Computer Supported Collaborative Learning”,a instrumentelor dezvoltate în vederea prelucrării limbajului natural, dar analiza semantică și cercetările din domeniu sunt departe de a ajunge la rezultate palpabile în vederea interpretării limbajului natural. Astfel, prezentul este orientat în continuare pe modelarea relațiilor prin intermediul rețelelor sociale, pe oferirea de mijloace alternative de comunitare și pe accentuarea efectului sinergic al interacțiunii într-un mediu colaborativ.

Ce ne lipsește? Cel mai simplu este să plecăm de la viziunea lui Tim Berners Lee, persoana care a inventat webul, și anume: avem mai multe date decât putem citi într-o viață online, avem multiple surse, informații redundante, informații personale. Ce ne lipsește cu adevărat e integrarea acestor date, legarea conceptelor, unificarea perspectivelor asupra aceluiași obiect de interes: avem cont pe Hi5, Facebook, LinkedIn, cel mai probabil cu nume diferite, dar în spate aceeași entitate se ascunde. La nivelul informațiilor tehnice, al diverselor obiective, datele contradictorii, lipsa de structurare, imposibilitatea accesării unor cunoștințe derivate imediat din datele deja disponibile sunt direcții în care trebuie aduse îmbunătățiri majore. Alte probleme majore presupun lipsa cunoașterii unei încrederi aferente informațiilor postate (modelată doar social în prezent), posibilitățile de impersonare, caracterul privat al informațiilor sau a drepturilor de autor frecvent încălcate, surse de informații pentru atacuri de tip social engineering, precum și breșele de securitate datorate informațiilor publicate.

Noi cu ce venim? O înțelegere profundă a domeniului, capacitatea de adaptarea și surclasare a noilor challenge-uri, posibilitatea de identificare de noi oportunități, toate cu un strop de inovație și creativitate din partea noastră.

Iniţial, aceste sisteme alternative au venit în întâmpinarea nevoilor comunităţilor sau instituţiilor care nu beneficiau de infrastructura necesară iluminatului public convenţional, însă pe parcursul timpului, datorită evoluţiei rapide a acestor tehnologii, iluminatul public alimentat solar a devenit un trend natural şi modern, spre care se îndreaptă cei ce doresc implementarea unei soluţii eficiente, atât din punctul de vedere financiar, ecologic şi tehnologic, dar şi din punctul de vedere al serviciilor adiţionale pe care aceste soluţii le oferă. Este o concepţie greşită faptul că principalul avantaj al iluminatului “verde” este acela că, la scurt timp după implementare, soluţia ajută la reducerea costurilor de operare ale sistemului de iluminat, in special cheltuielile asociate cu costul energiei electrice. Deşi aceste cheltuieli sunt reduse considerabil, într-adevăr, evoluţia tehnologică oferă posibilitatea ca astăzi, sistemul de iluminat să înglobeze o serie de avantaje multiple, integrate:

Costul de alimentare cu energie electrică este zero. Acest lucru este posibil datorită mai multor factori: acumulatorii de mare capacitate sunt capabili sa înmagazineze o cantitate mare de energie electrică; tehnologia LED folosită pentru emiterea razelor de lumină oferă un consum redus spre deosebire de dispozitivele convenţionale de iluminat; spectrul de captare al celulelor fotovoltaice moderne este extins, acestea fiind capabile sa reîncarce la maxim acumulatorii, într-un interval redus de timp (4-5 ore de funcţionare, la o intensitate solară moderată).

Costul pentru administrarea şi mentenanţa sistemului este redus semnificativ. Tehnologia LED oferă o durată de viaţă mai mare a dispozitivelor de iluminat (becurile au o durată de viaţă de 22 de ani), crescând astfel intervalele de timp între care este necesară înlocuirea acestor dispozitive.  Durata de viaţă a acumulatorilor de mare capacitate este extinsă (4-15 ani, in funcţie de model), iar durata de viaţă a panoului solar propriu-zis ajunge la un interval de 20-30 de ani.

Uşurinţa în implementarea soluţiei. Echipamentele ce compun soluţia sunt prefabricate, integrate modern în stâlpi. Singura operaţiune necesară pentru instalarea sistemului este operaţiunea de amplasare a stâlpilor. Pentru acest lucru, nu este nevoie de lucrări de anvergură (săpături, şanţuri, trasare de cabluri, etc.). De asemenea, nu este necesară racordarea la reţeaua de energie electrică.

Gama largă de produse personalizate, oferite în compunerea soluţiei. Conform cerinţelor beneficiarului şi în urma unei analize on-site, stâlpii sunt aleşi pentru a răspunde optim cerinţelor clientului. Aceştia sunt selecţionaţi în funcţie de scopul şi locaţia de amplasare, dintr-o gamă largă de produse personalizate: stâlpi concepuţi pentru iluminatul drumurilor publice (inclusiv produse special concepute pentru iluminatul autostrăzilor), stâlpi concepuţi pentru iluminatul de parcuri, grădini, obiective turistice, sau stâlpi concepuţi pentru iluminat public pietonal.

Recuperarea investiţiilor într-un interval de timp scurt. Cerinţa pentru tehnologia verde creşte exponenţial. Acest lucru a condus la creşterea numărului de producători de echipamente şi implicit la scăderea costurilor. Pe de cealaltă parte, progresul tehnologic din acest domeniu a condus la creşterea eficienţei acestor sisteme. Necesarul de timp aferent recuperării investiţiei este variabil, în funcţie de serviciile incluse în sistem şi de dimensiunea acestuia. Pentru o analiză detaliată a acestei perioade, adresaţi-vă experţilor CCT.

Mihnea Călin

Cum nici România nu este ocolită de criza economică, efectele negative au început deja să apară, dificultăţile mediului de afaceri conturându-se în special în incapacitatea de a asigura cheltuielile operaţionale. Motivul apariţiei acestei dificultăţi cu tendinţe de extindere pe toate palierele de activitate este acela al scăderii capacităţii de finanţare a cheltuielilor operaţionale.

Dilema multor manageri este legată de domeniile în care ar fi oportun să investească în prezent, pentru a-şi putea scădea în timp aceste cheltuieli. Impasul pare şi mai mare, atunci când constată că deşi au idei, nu au banii cu care să le pună în practică.

CCT oferă clienţilor săi atât consultanţă în optimizarea proceselor de business, în special prin informatizarea sau, după caz,  regândirea infrastructurii informatice a companiei în cauză, cât şi o soluţie integrată de finanţare a implementării, utilizând experienţa pe care o are în elaborarea documentaţiei privind accesul la fondurile europene. Avantajul clientului este acela că, dacă îşi aduce un minim aport în sprijinul propriei investiţii, sub forma unei cofinanţări, CCT îl poate asista în obţinerea unei finanţări de la Uniunea Europeană, astfel încât  să reuşească o reducere reală a cheltuielilor operaţionale.

În contextul economic actual, creşterea productivităţii companiilor în care operăm devine factorul vital în asigurarea continuităţii acestora. Astfel, investiţiile în instrumente ce pot reduce timpi/costuri/resurse devin obligatorii în companiile unde managementul intern, capacitatea de producţie, managementul clienţilor trebuie permanent să lucreze la maximă capacitate, fără nici o întârziere.

Pentru accesarea fondurilor europene este necesară realizarea unei documentaţii de proiect specifice, care să dezvolte documente precum: cerere de finanţare,  studiu de fezabilitate, proiect tehnic, plan de afaceri. Odată ce documentaţia este pregătită iar proiectul este depus la organismul intermediar, se poate considera reuşit. Dar nu! Odată ce proiectul este depus şi acceptat, contractarea furnizorului şi asistenţa la implementare reprezintă activităţi adiţionale şi diferite faţă de activitatea curentă a companiei în cauză. În cadrul acestui managent de proiect, pe lângă urmărirea derulării în parametrii corecţi ai implementării, este necesară şi realizarea relaţionării cu organismul intermediar pentru dosarele de rambursare, raportări şi orice clarificări solicitate pe durata proiectului de către aceasta.

Având în vedere toate complicaţiile de mai sus care pot apărea, foarte mulţi oameni sunt tentaţi să creadă că este un proces prea dificil, iar conceptul de oportunitate îşi pierde esenţa în acest hăţiş.

CCT a creat un concept al serviciilor de consultanţă integrat care include realizarea tuturor paşilor necesari în vederea obţinerii finanţării, de la încadrarea pe programul eligibil, creerea proiectului cu toate documentaţiile necesare, asistenţa la depunerea acestuia, precum şi asigurarea calităţii şi managementul de proiect.

Astfel, dezvoltarea unui proiect prin accesarea fondurilor europene nu afectează procesele şi resursele companiei solicitante, întreaga activitate fiind realizată de CCT.

CCT a înregistrat deja succese în acest domeniu, având la activ peste 30 de proiecte de finanţare depuse de o echipă certificată pe toate ariile necesare de compentenţe.

Numeroase sondaje naţionale situează ”Accesul la finantare” în capul listei preocupărilor pe care le au IMM-urile. Ca urmare a unui sondaj efectuat de Consiliul Naţional al Întreprinderilor Mici şi Mijlocii din România 86% din modalităţile de finanţare folosite de IMM - uri sunt reprezentate de autofinanţare, 60% de credite şi numai 17,73% de finanţări nerambursabile. Motivele pentru care este preferată autofinanţarea sunt reprezentate de problemele întâmpinate în obţinerea creditului, un cost prea mare al finanţării sau lipsa timpului necesar pentru obţinerea banilor.

Una dintre problemele majore percepută de companiile din România care au idei de proiecte sau de afaceri este lipsa banilor. Încercând să rezolvăm această problemă dar şi beneficiind de experienţa acumulată în decursul celor 5 ani în care ne-am ajutat clienţii să acceseze diverse surse de finanţare interne sau externe, putem promova capacitatea consultanţilor CCT de a-şi ajuta clienţii în continuare în demersul accesării liniilor de finanţare existenţe în prezent dar şi în implementarea cu succes a proiectelor finanţate. Având în vedere cele de mai sus, putem prezenta în cele ce urmează un program finanţat de Guvernul României, program prin care firmele din domeniul producţiei pot accesa finanţare într-un timp scurt, costurile alocate co-finanţării fiind relativ mici.

Printre activităţile care se pot finanţa, enumerăm:

• implementarea şi certificarea sistemelor de management a calităţii 9001:2000, a sistemelor de management de mediu 14001:1997, a sistemelor de management a sănătăţii şi siguranţei ocupaţionale 18001:1999 sau / şi a sistemelor de management al securităţii informaţiei 27001:2005;
• dotarea şi / sau amenajarea laboratoarelor de testare şi etalonare, precum şi acreditarea acestora;
• instruirea personalului pe tematici din cele mai diverse cum ar fi: management, marketing, strategie, planificare şi în alte domenii prioritare pentru desfăşurarea activităţii întreprinderilor;
• consultanţă pentru elaborarea unui business plan, unui plan de marketing sau în domeniul sistemelor de standardizare, certificarea calităţii, accesarea surselor de finanţare;

Considerăm că, în contextul actual, în care bugetul majorităţii firmelor este calculat şi dedicat supravieţuirii pe piaţă, accesarea acestui program finanţat integral din bugetul naţional, poate ajuta la promovarea pe piaţă, la îmbunătăţirea managementului producţiei şi poate duce în final la creşterea competitivităţii firmelor româneşti pe piaţa liberă din Uniunea Europeană.  

Andrei Sanmarghiţan

Una dintre cele mai dificile sarcini de îndeplinit  în relaţiile interumane, de la apariţia limbajului structurat, a constat în a aduce cuiva la cunoştinţă o veste neplăcută. De ce este atât de dificil?

În principal, cel care transmite vestea neplăcută este „prins” între mai multe „presiuni”, printre care :

• posibilitatea de nu face faţă reacţiei celuilalt; 
• alegerea „corectă” a momentului de timp;
• eventualitatea de a nu avea răspunsul potrivit la întrebările primite;
• frica de a fi învinovăţit pentru consecinţe;
• frica de necunoscut în general;
• frica de a nu fi rănit sau de-a suporta consecinţe iremediabile;
• modificări nedorite ale stării personale sau ale familiei.

Ce este o veste neplăcută?

Dimensiunea filozofică atât de largă ne obligă să ne dăm seama că este o întrebare la care s-ar răspunde în multe feluri, de la banalul “nu ştiu”,  până la explicaţii elaborate, dar oamenii sunt de acord cu faptul că vestea neplăcută este foarte subiectivă şi depinde mult de percepţia şi/sau capacitatea de înţelegere a celui care o primeşte.

Cum pot apărea “veştile neplăcute” într-un proiect?  În special din zona riscurilor, identificate sau neidentificate, cuantificate sau nu, pentru care avem măsuri de contracararea sau nu.

Rolul managerului de proiect este de-a comunica, în permanenţă, cu toţi cei implicaţi în proiect, atât la nivelul echipelor (furnizorului şi ale beneficiarului), cât şi la nivelul managementului celor care aprobă, în ansamblu, proiectul. În tot acest proces de comunicare (verbală, non verbală, explicită sau implicită, oficială sau amicală), veştile neplăcute au un rol aparte.

Succesul sau eşecul au teoretic aceeaşi pondere, dar impactul unui eşec parţial sau total asupra evoluţiei proiectului este, prin natura umană, subiectivă,  mult mai mare decât cel al unui “succes” de aceeaşi anvergură.  Un insucces, sau doar conturarea lui, apare mult mai repede în preocupările membrilor echipelor, decât soluţia potrivită pentru anularea / contracararea lui şi de aici o multitudine de reacţii şi stări de spirit la care un Manager de Proiect trebuie să se aştepte din partea oamenilor implicaţi. Evident, implicaţiile ar trebui să se restrângă la nivelul proiectului sau a celor direct interesaţi de buna desfasurare a lui, dar acest lucru nu se întâmplă aproape niciodată.

Veştile neplăcute conduc imediat la evaluări personale sau de grup a “distanţei” faţă de propria persoană sau de situaţia grupului şi se caută imediat căi de evitare a asocierii cu “situaţia negativă respectivă”.

Managerul de Proiect va trebui să prezinte situaţia neplăcută într-un mod cât mai explicit , chiar dacă acest lucru nu a fost cerut explicit de membrii comitetului de conducere a proiectului. El va avea responsabilităţi de la comunicarea oficială, strictă şi imparţială, până la modalitatea de adaptare a mesajului pentru fiecare nivel de implicare în proiect, fie că este manager şi un eşec în proiect poate să-i pericliteze locul de muncă, fie că e simplu participant şi poate să obţină un nivel de recunoaştere în plus, pentru viitor.

Discuţiile din ultimii ani ale PMI (Project Management Institute – USA) cu mai mult de 500 de project manageri au relevat faptul că: Schimbarea este inevitabilă !

A face faţă schimbărilor şi a face faţă la schimbarea priorităţilor

sunt percepute ca fiind cele mai importante  probleme cu care se confruntă o echipă de proiect şi deci şi un Manager de Proiect.

                Scopul unui sistem de control al schimbărilor este:

• Să “dezvăluie” toate schimbările necesare proiectului (atât de conţinut cât şi de procedură);
• Să identifice impactul noilor cerinţe asupra elementului din proiect în cadrul căruia se aplică;
• Să analizeze acest impact în performanţa proiectului, costuri şi plan de proiect;
• Să evalueze beneficiile şi eforturile schimbărilor cerute;
• Să identifice schimbările alternative care ar putea avea acelaşi efect;
• Să accepte sau să respingă schimbările cerute;
• Să comunice schimbările tuturor părţilor implicate;
• Să se asigure că schimbările sunt bine implementate;

Strategii pentru managementul comunicării schimbărilor:

În faza de negare a schimbării:

• Oferă informaţii în cât mai multe moduri posibile incluzând:
  • Întâlniri de grup;
  • Discuţii unul la unul;
  • E-mailuri, memorii şi scrisori;
  • Reclame, comunicate, reviste de specialitate;
• Explică ce se întâmplă, ce este de făcut şi motivele raţionale din spatele schimbării.

În faza de rezistenţă la schimbare:

• Oferă sprijin direct şi indirect:

Managerul de proiect ascultă şi ia cunoştintă despre sentimentele şi preocupările celui în cauză;

• Încurajează oamenii “să se descarce de prejudecăţi şi supoziţii”;
• Comunică fără să emită judecăţi pripite;
• Se implică în efortul de a-i face să se despartă cât mai repede de ideile vechi şi de obiceiuri preconcepute din trecut;

 În faza de explorare:

• Îşi canalizează energia în direcţii pozitive;
• Furnizează informaţii şi surse de documentare;
• Încurajează şi sprijină “brainstormingul” şi discuţiile de strategie;
• Oferă răspunsuri pozitive;

 În faza de implicare:

• Recunoaşte realizările prin:
  • Simboluri care demonstrează implicarea într-o nouă acţiune sau efort;
  • Publicare a rezultatelor muncii efectuate;

Recompensează succesele prin:

• Felicitări pentru provocările care au fost depăşite;
• Recompense măsurabile;

 CONCLUZIA:

    Percepţia asupra evenimentelor negative nu trebuie amplificată de o modalitate defectuoasă de comunicare, de o atitudine distantă şi rece sau de un moment de timp ales greşit pentru informare.

Mircea Mihail Petrov, CISA, CISM

“You cannot fix problems with the same line of thinking that created them.”

                                                                                - Albert Einstein

Doresc în acest articol să prezint un set de măsuri clasice pentru a asigura securitatea sistemelor informatice, acele măsuri care, deşi aparent sunt binecunoscute şi considerate obligatorii, de multe ori sunt ignorate. Am ales să prezint un număr de 10 principii de bază, de multe ori fiind prezentate ca „cele 10 porunci ale securităţii”.

Cele zece elemente de mai jos nu se doresc a epuiza exhaustiv problematica securităţii informatiilor, dar cel puţin reprezintă un minim necesar. Sunt convins că alţi specialişti în domeniu vor putea indica şi alte norme la fel de importante. Dar dacă ignorăm vreuna dintre aceste „directive”, este cazul să ne reanalizăm serios poziţia pe care o avem cu privire la securitatea informaţiilor.

„Porunca” nr. 1: Protecţia împotriva viruşilor

Cu câţiva ani în urmă, recomandările erau să „scanăm” orice fişier venit din exterior, şi abia apoi să executăm sau să deschidem fişierul. Graţie tehnologiilor moderne, în zilele noastre este suficient să citeşti un mail, sau să vizitezi o pagină de web pentru a te infecta. Utilizatorul nu se mai poate apăra singur, de cele mai multe ori constată că accesul la reţea este din ce în ce mai greoi sau pur şi simplu administratorul îl deconectează, spunându-i că este infectat, neavând practic nicio vină.

Ca masură de protecţie, instalarea unui program antivirus pe fiecare calculator a devenit necesară. Complementar se recomandă de asemenea instalarea unui antivirus şi pe serverul de email, acesta reprezentând principala poartă de intrare. Şi pentru a fi şi mai siguri, bineînţeles se recomandă ca cei doi antiviruşi, cel de desktop şi cel de email să fie de la producători diferiţi – în cazul în care unul dintre producători întârzie cu actualizarea semnăturilor să mai avem totuşi o şansă.

„Porunca nr. 2”: Actualizările software

Mulţi viruşi exploatează vulnerabilităţi ale unor programe, pentru care există patch-uri învechite de luni de zile, conducând la blocarea activităţii unor întregi companii. Şi asta  pentru că serverele şi staţiile de lucru nu erau actualizate cu patch-urile emise de producator.

Decât să căutăm un vinovat, mai bine ne asigurăm că suntem la zi cu toate patch-urile. Sau şi mai bine, să existe o politică de reţea care să facă actualizările automat.

„Porunca nr. 3”: Clasificarea şi backup-ul datelor

Dacă considerăm că avem în reţeaua companiei date importante pentru afacerea noastră, atunci ar trebui să avem în primul rând un inventar al acestora, adică ce reprezintă, unde se găsesc şi cui aparţin. După ce am înregistrat toate aceste date, trebuie să le clasificăm din punctul de vedere al importanţei şi al securităţii. Această clasificare trebuie facută de persoane competente, şi trebuie să aibă aprobarea conducerii superioare, întrucât  numai acest nivel are viziunea completă şi strategică asupra companiei, nemaivorbind de autoritate.

Scala clasică de clasificare a datelor este de obicei din trei trepte:  publice – pot fi difuzate oricui, de obicei constând în broşuri şi pagini de web; confidenţiale – destinate uzului intern în companie, date de obicei aparţinând unor clienţi sau parteneri, care nu trebuie folosite decât în relaţia cu aceştia; secrete (a nu se confunda cu secretele de stat) – date de importanţă strategică pentru companie, a căror divulgare, chiar internă poate conduce la discontinuităţi majore ale afacerii (bineînţeles toată lumea este de acord, salariile din sectorul privat cad în această categorie).

Pe baza inventarului, fiecare persoană, sau fiecare şef de departament trebuie să decidă ce date sunt importante şi ce date merită a fi salvate. Pentru a ne putea hotărâ, cel mai simplu este să ne gândim că mâine  toate calculatoarele şi serverele vor fi  dispărut. Ce date ne-ar trebui pentru a ne putea continua activitatea de unde am rămas? Ce date din urmă ne-ar trebui peste 6 luni când va trebui să facem un bilanţ?

„Porunca nr. 4”: Restricţionarea accesului la informaţiile confidenţiale şi secrete

În mod evident orice informaţie este secretă atâta timp cât nu o spunem tuturor. Aşa că accesul la informaţiile confidenţiale şi secrete trebuie permis numai persoanelor care au dreptul şi necesitatea de a le cunoaşte.

Aici exemplul cel mai bun este un proces intentat unei foarte cunoscute agenţii de ştiri internaţională pentru că a publicat date din raportul financiar al unei companii, înainte ca acesta să fie emis către public în mod oficial. Cum a intrat agenţia în posesia acestor date? În orice caz nu au „spart” reţeaua, ci au folosit o metodă mult mai simplă. Acel raport se publică anual pe pagina de web a companiei în cauză, link-ul către raport apărea însă numai după lansarea oficială a raportului, astfel încât cineva care rasfoia site-ul nu ar fi putut ajunge la el. În schimb jurnaliştii au făcut un lucru foarte simplu: în adresa din anul precedent au înlocuit numărul anului anterior cu cel curent şi au ajuns la raportul încă neemis, care fusese pus fizic pe serverul de web. Apărarea agenţiei de ştiri a invocat simplul fapt că datele erau disponibile pe un server public, şi aveau dreptate!

„Porunca nr. 5”: Criptarea comunicaţiilor

Standardele moderne de protecţie a datelor vehiculate în reţea, asigură atât confidenţialitatea informaţiilor prin criptare, dar şi autenticitatea părţilor care comunică, precum şi integritatea mesajelor.

O a patra caracteristică, de obicei mai greu de îndeplinit este non-repudierea – adică un mesaj odată trimis de către sursă, va fi luat în consideraţie ca atare, sursa neputând nega trimiterea sa. Caracteristica de non-repudiere se obţine de obicei prin utilizarea certificatelor digitale.

Dacă există totuşi cineva care se mai întreabă încă dacă are nevoie de criptare, să ne gândim dacă există cineva din exteriorul organizaţiei interesat de datele care circulă prin reţea în interior sau între sucursale. Răspunsul cu siguranţă nu poate fi „nu”. Să ne gândim care ar fi impactul dacă cineva ar modifica câteva cifre – sume de bani sau un număr de cont într-o tranzacţie bancară.

„Porunca nr. 6”: Securitatea conexiunii la Internet

În mod clasic, Internetul este privit ca poarta de acces în reţea. Aşa şi este. Utilizarea unui firewall şi separarea serverelor de web şi mail de reteaua internă sunt un minim strict necesar.

Ce înseamnă acea separare? Serverul de web şi serverul de mail sunt accesibile de oricine din Internet prin natura serviciilor oferite de ele. Dacă ar fi conectate direct în reţeaua internă, împreună cu staţiile de lucru şi serverele interne, şi presupunând prin absurd, că un hacker din Internet ar reuşi să evite măsurile de securitate şi să obţină controlul asupra acestui server, atunci el ar avea acces direct, prin reţea la datele stocate pe servere sau orice staţie de lucru.

Ca atare, recomandările generale sunt ca serverul de web şi serverul de mail să fie conectate pe un segment separat, de obicei numit reţea demilitarizată (DMZ), traficul între acest DMZ şi reţeaua internă să fie filtrat de un firewall.

„Porunca nr. 7”: Securitatea fizică

Ar fi păcat ca după ce am aplicat măsuri severe de securitate logică şi de protecţie a reţelei, să poată intra cineva în sediul companiei şi să ne ia de pe masă hârtiile sau şi mai rău, chiar calculatorul.

Există chiar şi în zilele noastre destule firme sau instituţii în care poţi intra lăsând la poartă o legitimaţie, care practic se poate falsifica oricând şi să scriem orice pe ea. După ce am intrat, nu ne insoţeşte nimeni, putem să ne plimbăm cât vrem, până găsim un birou deschis sau ceva dosare interesante, aşteptând practic să fie ridicate.

Chiar şi pentru firmele mici, montarea unei alarme şi înscrierea la un serviciu de monitorizare al unei companii de securitate reprezintă costuri insignifiante faţă de prejudiciile ce pot fi aduse de o efracţie.

„Porunca nr. 8”: Politica de parole

Tot mai multe companii beneficiază din plin de posibilităţile oferite de tehnologie: acces total, de acasa sau din hotel, în reţeaua companiei, citirea mesajelor electronice prin WebMail, accesarea unor servicii cu plată puse la dispoziţie de companie, şi nu în ultimul rând relaţia electronică cu banca, la nivel personal sau reprezentând compania.

De obicei securitatea acestor servicii stă numai într-un nume de utilizator şi o parolă. În cazurile fericite, de obicei, în mediul bancar, mai sunt necesare un certificat digital sau un token care furnizează o parolă de unică folosinţă „One Time Password” (OTP).

Susţinând cu tărie că doua cuvinte, oricât de complicate ar fi ele – nume utilizator şi parolă – nu pot asigura o reală securitate, trebuie să avem grijă ca măcar acestea să fie cât mai complicate şi cât mai greu de urmărit de cineva care stă langă noi când le tastăm.

În plus trebuie evitat pe cât posibil ca parolele cu adevărat importante, cu care se pot accesa acele informaţii clasificate ca secrete, să nu le tastăm decât la calculatoare în a căror securitate suntem siguri. Programele care înregistrează tastele apăsate („keylogger”), sunt foarte uşor de instalat şi folosit, şi pot fi găsite pe Internet doar cu un pic de efort.

„Porunca nr. 9”: Schimbarea setarilor implicite

Vechea zicală că un calculator şi aplicaţiile de pe acesta au fost gândite pentru maximizarea facilităţilor şi a caracteristicilor de colaborare în detrimentul securităţii nu trebuie uitată. Unii producători, printre care Microsoft se remarcă detaşat, au început să prefere o instalare mai sigură începând să încline balanţa în favoarea securităţii.

Cu toate acestea la instalarea unui nou server, sau a unei noi aplicaţii, trebuie aplicate cu stricteţe recomandările de securitate ale producatorului, de obicei existente sub forma unui „checklist” (listă de verificări)– setări ce trebuie făcute pentru a creşte securitatea sistemului, dar cum este şi normal cu implicaţii asupra posibilităţilor de colaborare.

Şi trăgând învăţăminte din viaţa de zi cu zi, dacă nu îmbraci o haină timp de un an, doi, mai bine o arunci. Vom dezinstala în acelasi spirit toate programele şi serviciile de care nu avem nevoie. Un serviciu în plus reprezintă o modalitate în plus pentru un răuvoitor de a ne accesa calculatorul de la distanţă.

„Porunca nr. 10”: Auditul independent

După ce am luat o sumedenie de măsuri de securitate şi am investit o sumă de bani importantă, nu trebuie să ne închipuim că s-a terminat. Amintindu-ne de motto-ul articolului, trebuie să recunoaştem că este greu, dacă nu imposibil, să determinăm singuri gradul de securizare la care am ajuns. Aşa că este bine să apelăm la un expert, un auditor independent, care îşi poate crea o opinie obiectivă despre nivelul de securitate existent.

Un audit trebuie realizat anual, cel mult o dată la doi ani, dar cu condiţia să se acopere întregul sistem informatic, iar în intervalul dintre audituri să existe cu adevărat dorinţa şi mijloacele de a aplica recomandările şi a îndrepta neconformităţile identificate. Din acest moment se încheie un ciclu al securizării şi începe altul; aşadar, a securiza un sistem informatic, nu este o activitate singulară, de sine stătătoare ci este un proces recurent, integrat.

Ceea ce este important în cazul auditului este ca acesta să fie efectuat de persoane independente de administrarea sau dezvoltarea sistemului informatic, pentru a nu exista conflicte de interese, şi să existe încredere în calităţile auditorului de a identifica eventuale probleme sau disfuncţionalităţi prin raportarea la standarde sau la „best practices”.