Descriere
Sumar
Despre autori
Ediție online: volumul este disponibil gratuit aici.
Cartea a fost publicată sub egida Directoratului Național pentru Securitate Cibernetică din subordinea Guvernului României.
Niciun alt aspect al unei organizații nu este susceptibil de a fi mai puțin de înțeles imediat de un director executiv dintr-o organizație tipică decât infrastructura și sistemele IT. Indiferent de denumire, toate metodele de analiză a riscurilor se bazează pe concepte-cheie: amenințări, vulnerabilități, măsuri de control și strategii de răspuns. Managementul riscurilor de securitate cibernetică este o rețetă complexă, cu multiple ingrediente. Iar înainte de a le procesa, trebuie să le cunoaștem foarte bine. Această carte are la bază experiențele practice ale autorilor, adunate în peste 20 de ani de lucru în diferite domenii.
Cuvânt-înainte
Reflecții din comunitate
Introducere
1. Ce avem în meniu?
1.1. Ingrediente și condimente
1.2. Ierarhii
1.3. Rețeta riscului
1.4. Estimarea riscurilor
1.5. Răspuns și redresare
1.6. Continuitate
1.7. Analiza riscurilor și impactului
1.8. Tipologia riscurilor
1.9. Reziliența operațională și riscurile
1.10. Rezumat
2. Unde căutăm rețete?
2.1. NIST SP 800-30rev1
2.1.1. Evaluarea riscurilor
2.1.2. Atenuarea riscurilor
2.1.3. Evaluarea și analiza riscurilor
2.2.ISO 27005:2022
2.2.1. Definirea contextului
2.2.2. Identificarea riscurilor
2.2.3. Evaluarea și analiza riscurilor
2.2.4. Tratarea riscurilor
2.2.5. Monitorizare și revizuire continuă
2.3. Rezumat
3. Bijuteriile coroanei
3.1. Evaluarea riscului
3.2. În căutarea informațiilor
3.3. Cât costă halatul?
3.4. Dorința-i gata
3.5. Nothing else matters
3.6. CIA te urmărește peste tot
3.7. Matrix
3.8. Rezumat
4. La apus de soare, vor să mi te-omoare
4.1. Care-s oile cornute?
4.2. A venit un lup din crâng
4.3. Poștașul bate de două ori
4.4. Rezumat
5. Fragil
5.1. Unde scrie?
5.2. Toate drumurile duc la Roma
5.3. Cât de tare doare
5.4. Rezumat
6. La Hollywood
6.1. Scenarii și amenințări
6.2. Dumnezeu nu joacă zaruri
6.3. Mare sau 3?
6.4. Rezumat
7. Cum să îți dresezi dragonul
7.1. Cum faci cu dragonii tăi
7.2. Punguța cu doi bani
7.3. Strategii de reducere
7.4. Rezumat
8. Apără-mă, doamne!
8.1. Garduri digitale
8.2. Porți, câini și clopoței
8.3. Prea multe hârtii
8.4. Rezumat
9. La cumpărături
9.1. Ce cumpărăm?
9.2. NIST CSF 2.0
9.2.1. Funcții
9.2.2. Categorii
9.2.3. Profiluri și niveluri
9.2.4. CORE ‒ Nucleul
9.3. ISO 27001:2022
9.4. Rezumat
10. Flori de soc și CSIRT
10.1. Acronime
10.2. Toate-s vechi și nouă toate
10.2.1. Pregătirea
10.2.2. Detectare și analiză
10.2.3. Limitare, eradicare și recuperare
10.2.4. Activități post-incident
10.3. Anatomia lui Grey
10.3.1. Faza 1 ‒ Pregătirea
10.3.2. Faza 2 ‒ Detectare și analiză
10.3.3. Faza 3 ‒ Limitare
10.3.4. Faza 4 ‒ Eradicare și recuperare
10.3.5. Faza 5 – Lecții învățate
10.4. Rezumat
11. Marțianul
11.1. Planul de continuitate a afacerii / activităților
11.2. Testare
11.3. Recuperarea în urma dezastrelor
11.4. Copii de rezervă / siguranță
11.5. Redundanță și toleranță
11.6. Bani și decizii
11.7. Rezumat
12. Cel bun, cel rău și cel urât
12.1. Testare și scanare
12.2. Testare de penetrare
12.3. Audit
12.4. Remediere
12.5. Rezumat
13. Nu avem template
13.1. Nu este rabla, ci ERAMBA
13.2. Asistentul
13.3. MONARC
14. Antrenament
14.1. Exercițiul 1
14.2. Exercițiul 2
Bibliografie
Adrian Munteanu este profesor universitar doctor în cadrul Facultății de Economie și Administrarea Afacerilor, Universitatea „Alexandru Ioan Cuza” din Iași, unde predă cursuri despre securitatea informațiilor, auditul sistemelor informaționale, guvernare și managementul serviciilor IT. Auditor de securitate cibernetică atestat DNSC, expert ENISA în domeniul managementului riscurilor, deține certificări relevante, cum ar fi CISA, CRISC, CDPSE, CIPM, ISO27001LA, COBIT, ITIL. Are o experiență de 20 de ani în misiuni de audit, consultanță și instruire în industrii diferite. A fost co președintele filialei din România a IAPP (International Association of Privacy Professionals), membership director al ISACA Romania Chapter și instructor pentru cursurile CISA (Certified Information Systems Auditor) și CIPM (Certified Information Privacy Manager).
Ilie Voinea este specialist în protecția datelor și securitatea informației, cu peste 10 ani de experiență în management IT într un mare grup de firme. În ultimii ani a activat ca Data Protection Officer și consultant GRC, oferind expertiză în implementarea și auditarea sistemelor de management al securității informației conform standardelor internaționale. Este auditor de securitate cibernetică atestat DNSC și a participat la audituri tehnice și organizaționale, inclusiv evaluări de risc și analize de conformitate cu reglementările în vigoare. Deține certificări din partea IAPP, ISACA și PECB: CISM, CDPSE, CIPP/E, CDPO, ISO 27001 LA.
Larisa Găbudeanu este un profesionist în domeniul protecției datelor și securității informației. Autorul / coautorul mai multor volume, inclusiv despre gestionarea riscului în domeniul tehnologiei informatice și a datelor personale, cadru didactic asociat și lector în numeroase conferințe naționale și internaționale. Având experiență academică în domeniul dreptului și al securității informațiilor, activitatea sa se axează pe aspecte privind dreptul informatic, criminalitatea informatică, infracțiuni în cadrul afacerilor, securitatea informației și protecția datelor personale. De asemenea, a susținut examinări și deține certificări relevante în aceste domenii, precum, CDPSE, CISA; CRISC, CISM, CIPM, CIPP/E. Are o experiență vastă într o firmă de avocatură internațională, acordând consultanță clienților internaționali și coordonând proiecte în drept bancar, drept informatic, infracțiuni privind afacerile și protecția datelor personale, precum și experiență în protecția datelor și securitatea informatică în cadrul unui grup regional bancar.
George Drăgușin este un profesionist cu o experiență de peste 15 ani în domeniul securității IT, având o carieră solidă în sectorul bancar, unde a activat atât în zona operațională, cât și în cea de guvernanță. De a lungul carierei sale, a deținut poziții de leadership, inclusiv funcția de președinte al comisiei de Securitate IT din cadrul Asociației Române a Băncilor (ARB). În prezent este Cyber Advisor într o companie de profil și participă frecvent ca speaker la diverse evenimente de specialitate. Deține un master în Securitate Cibernetică și diverse alte certificări de securitate: GCTI, GCIH, CISA, CRISC, CDPSE.
