CyberTM 2025 | Strategia & cadrul legal: bazele rezilienței cibernetice pentru IMM-uri
De ce ar depinde supraviețuirea IMM-ului tău de înțelegerea principiilor de bază cybersecurity?
„Un atac reușit poate însemna sfârșitul unui IMM” – declarația de deschidere a lui Ioan Codrea la CyberTM 2025 a fost menită să trezească, nu să sperie pe cineva.
Ioan Codrea de la infinilink și Andrei Savin de la BRINEL | IQANTO, co-organizatorii evenimentului, au pornit de la o realitate dură: peste 78% din IMM-urile românești nu au niciun fel de consultant digital. Nu au infrastructură IT, protocoale de securitate cibernetică sau cunoștințe specializate. Nu din alegere – pur și simplu nu au timpul, bugetul sau resursele pentru a aborda aceste nevoi.
Andrei Savin a subliniat că această provocare poate fi transformată în oportunitate printr-o colaborare strategică. BRINEL | IQANTO – partener de transformare digitală cu experiență de 35 de ani în piața din România și peste 200 de profesioniști, oferă servicii end-to-end, de la Data Center sustenabil, servicii cloud & app development, AI, implementare ERP, consultanță și managed services – în timp ce Infinilink contribuie cu expertiza specializată în protecția cibernetică avansată. „Împreună, asigurăm tehnologia și protejăm datele la cel mai înalt nivel.”
Dar primul modul al CyberTM a arătat și că reziliența cibernetică nu înseamnă să ai cel mai mare buget sau cea mai avansată tehnologie. Înseamnă să faci lucrurile de bază corect.
Certificare TISAX în timp record
Litens Automotive, un furnizor global cu venituri de peste 1 miliard de dolari și 1.900+ de angajați, avea nevoie de certificarea TISAX pentru a lucra cu clienții din industria auto germană. Deadlines? Cererea a venit în noiembrie, pentru certificare cel târziu în iulie. Opt luni pentru a transforma modul în care o întreagă companie gestionează securitatea informațiilor.
Alin Baltaru-Agud de la infinilink, care a ghidat Litens prin acest proces, a fost clar cu privire la prima greșeală pe care o fac companiile în această situație: „Securitatea informației nu ține de IT”.
„Când mergi la HR, ei sunt cei care gestionează datele angajaților. Când mergi la departamentul financiar, ei gestionează inventarele financiare. Nu poți să împingi asta doar spre departamentul IT”, a explicat el. Implementarea TISAX a necesitat contribuția din partea managementului, HR, departamentul financiar, juridic – fiecare departament care creează, gestionează sau transmite informații.
Așadar, procesul nu a fost (doar) despre tehnologie. Litens a trebuit, de exemplu, să revizuiască politicile de parole de la rotații la trei luni la parole unice cu 12 caractere. Au eliminat accesul la USB-uri și hard disk-uri externe. Au implementat platforme de training KnowBe4 pentru a educa utilizatorii despre riscurile de securitate cibernetică, inclusiv noile amenințări legate de AI, cum ar fi scurgerile de date prin ChatGPT.
Cadrul legal: de la prevenție la managementul Incidentelor
Diana Fofiu de la MPPL a prezentat participanților evoluția legislației în securitatea cibernetică. Schimbarea nu este subtilă – am trecut de la reglementări axate pe prevenție la cerințe de management și răspuns la incidente.
„Ce vreau să fie foarte clar este că [sub NIS2] proporționalitatea este cheia și nu protecția absolută.”
Acest lucru contează pentru IMM-uri: înseamnă că nu trebuie să implementezi securitate la nivel de întreprindere pentru riscuri cu probabilitate mică. Dar trebuie să evaluezi și să documentezi corespunzător abordarea ta de management al riscurilor. Datele ENISA arată că anumite categorii de incidente apar mai frecvent – atacuri de denial of service, anumite tipuri de breșe. Dacă politica ta de securitate nu abordează amenințările cele mai probabile cu măsuri adecvate, ai o problemă de conformitate.
Cerința de documentare este practică: inspectorii vor să vadă dovezi ale sesiunilor de training, înregistrări semnate de prezență, măsuri de securitate documentate. „Nu ai să poți să chemi departamentul de IT și să le dai un test” pentru a demonstra că știu securitate cibernetică.
Lanțul de aprovizionare: cea mai slabă verigă nu este unde crezi
Discuția despre lanțul de aprovizionare a adus un detaliu important: „Se descoperă atacuri prin vector numit Third Party Supply Chain. Poți să fii oricât de asigurat – toți avem o poartă unde trebuie să lăsăm ‘medii de încredere’. Dacă aceea sunt compromise, cade tot castelul.”
Certificarea TISAX (de exemplu) abordează această realitate. Nu este vorba doar despre securitatea ta internă, ci și despre a demonstra clienților și partenerilor că poți fi de încredere ca parte a lanțului lor de aprovizionare. Devine un diferențiator pe piață, demonstrând că protecția, disponibilitatea și integritatea informațiilor sunt integrate în cultura companiei tale.
Modelul de parteneriat: tehnologie + securitate
Viziunea comună dintre infinilink și BRINEL | IQANTO s-a tradus, în primul modul al CyberTM, prin prezentarea unui model de lucru integrat. În loc să gestioneze multiple relații cu furnizorii, IMM-urile primesc acces la consultanță, tehnologie și suport specializat într-un singur loc.
Cu 34 de ani de experiență în piață, BRINEL | IQANTO oferă fundamentul tehnologic solid, iar infinilink aduce expertiza în securitate cibernetică și managementul riscurilor. Rezultatul este o abordare holistică care integrează securitatea cibernetică încă de la primii pași ai transformării digitale.
Ce înseamnă pentru afacerea ta
Concluzia noastră la modulul de strategie & juridic al CyberTM? Securitatea informațiilor este strategie de business, nu doar implementare tehnică. De aceea:
- Începe cu evaluarea: înainte de a implementa orice măsuri de securitate, înțelege unde te afli. Efectuează o pre-analiză pentru a identifica lacunele și a crea un plan de implementare realist.
- Implică întreaga organizație: Politicile de securitate afectează fiecare departament. Obține acordul și contribuția de la HR, departamentul financiar, management – nu doar IT.
- Răspuns proporțional: Abordează amenințările cele mai probabile cu măsuri adecvate. Apoi documentează totul.
- Ia în considerare expertiza externă: Un CISO extern cu normă parțială oferă adesea o expertiză mai bună decât încercarea de a gestiona securitatea intern fără cunoștințele adecvate.
- Gândește-te la lanțul de aprovizionare: Securitatea ta este doar la fel de puternică ca și cel mai slab partener al tău. TISAX sau certificări similare demonstrează încrederea către clienți și parteneri.
- Bugetează realist: Bugetele de securitate includ costuri financiare, investiție de timp și resurse umane. Planifică în consecință.
La infinilink și BRINEL | IQANTO, credem că fundația rezilienței cibernetice nu este neapărat tehnologia complexă. Este înțelegerea că securitatea informațiilor este o disciplină de business care necesită angajament la nivel de companie, evaluarea adecvată a riscurilor și răspuns proporțional la amenințările identificate.
CyberTM 2025 a fost organizat de infinilink și BRINEL | IQANTO, cu sprijinul partenerilor: Palo Alto Networks, HPE, Nokia, UPT, UVT, ADR Vest, DigiVest, 4PAY și MPPL.
Următorul modul al CyberTM s-a concentrat pe implementări practice și studii de caz.
