Conceptul de securitate internă în organizaţii are la bază trei idei generale, adevărate principii ale securităţii, care sunt luate întotdeauna în considerare simultan atunci când se proiectează un sistem de securitate, şi anume:
– securitatea fizică, care înseamnă protecţia personalului şi activelor împotriva oricăror circumstanţe sau evenimente de natură fizică (incendii, dezastre naturale, acces neautorizat, spargeri, furt, vandalism, agresiune fizică, terorism);
– securitatea logică, care reprezintă controlul accesului la resursele şi serviciile unui sistem informatic (parole de acces, autentificare, drepturi de acces, niveluri de autoritate);
– securitatea juridică, care reprezintă starea de normalitate (de drept) obţinută prin aplicarea prevederilor legale sau regulamentare.
Aceste „securităţi” se completează unele pe celelalte pentru că, de exemplu, nicio parolă de acces nu-l va putea împiedica pe un răuvoitor să scoată calculatorul din priză şi să iasă cu el pe poarta organizaţiei, şi s-ar putea simţi chiar încurajat să facă acest lucru dacă în punctele de control nu există controale fizice sau dacă prevederile legale ori normele interne nu prevăd sancţiuni aspre pentru astfel de fapte. De asemenea, un sistem de securitate fizică şi logică trebuie astfel proiectat încât să descurajeze, detecteze etc. evenimentele nedorite, dar şi să permită utilizarea unei eventuale analize post-eveniment ca „probă” în realizarea securităţii juridice ş.a.m.d.
După natura activelor, securitatea poate fi împărţită în:
– Securitatea activelor tangibile (fizice, materiale, corporale, cum ar fi clădiri, infrastructură, mijloace de transport, reţele şi echipamente etc.);
– Securitatea activelor intangibile (active fără formă materială, cum ar fi dreptul de autor, procedee, licenţe, brevete, mărci, diverse documentaţii ori, în sens extins, date şi informaţii ca obiecte de drepturi şi obligaţii etc.).
Pentru un serviciu de informaţii sau o forţă militară ori o structură guvernamentală specială, preocupate în mod deosebit de conspirarea activităţii curente, securitatea datelor şi informaţiilor ca obiecte de drepturi şi obligaţii are o importanţă primordială. De aici şi interesul deosebit pentru securitatea informaţiilor (INFOSEC), securitatea transmisiunilor (TRANSEC), securitatea comunicaţiilor (COMSEC) sau securitatea interceptărilor (SIGSEC).
Ce se întâmplă însă cu informaţiile din cadrul organizaţiei care nu sunt purtătoare de drepturi şi obligaţii, aşa cum este cazul informaţiile neclasificate? Este nevoie să fie protejate? Sunt eventualele costuri justificate?
Realitatea tragică a teatrelor de operaţiuni arată că protejarea datelor neclasificate dar sensibile este la fel de importantă ca şi cea a informaţiilor clasificate.
Aici intervine securitatea operaţiunilor (OPSEC).
Securitatea operaţiunilor
Securitatea operaţiunilor reprezintă procesul prin care se identifică informaţiile critice referitoare la acţiunile proprii sau ale partenerilor organizaţiei, se determină dacă informaţiile obţinute de adversari pot fi utile acestora, se întreprind măsuri care să elimine sau să reducă posibilitatea adversarilor de exploatare a informaţiilor critice obţinute.
Procesul OPSEC constă în cinci acţiuni distincte:
– Identificarea informaţiilor critice este deosebit de importantă deoarece pentru a fi efectiv, OPSEC este necesar să se concentreze pe protejarea informaţiile vitale, fără să încerce să protejeze toate informaţiile sensibile. OPSEC se ocupă în principal de protejarea informaţiilor sensibile neclasificate, cele clasificate fiind protejate prin măsuri specifice de securitate.
– Analiza ameninţărilor implică evaluări şi cercetări realizate de structurile de informaţii, contrainformaţii şi surse deschise destinate identificării adversarilor potenţial interesaţi de operaţiunea planificată.
– Analiza vulnerabilităţilor presupune examinarea fiecărui aspect al operaţiunii planificate pentru a identifica indicatorii OPSEC care pot dezvălui informaţii critice şi apoi compararea acestor indicatori cu informaţiile deţinute de adversari, identificate în operaţiuni anterioare.
Indicatorii OPSEC reprezintă acţiunile, proprii sau ale partenerilor organizaţiei, detectabile de către adversari, precum şi informaţiile din surse deschise care pot fi interpretate sau coroborate de către adversari pentru a obţine informaţii critice.
Poate fi amintit aici cazul clasic al unui ordin de deplasare sau al unei foi de parcurs, documente neclasificate care, aruncate neglijent la gunoi, pot indica adversarilor informaţii vitale privind personalul, unitatea (departamentul), poziţia, autorizările de securitate, scopul şi destinaţia dislocării unor forţe de menţinere a păcii în teatrele de operaţiuni. În astfel de situaţii, acest gen de scăpări sau indiscreţii se traduc, de regulă, în pierderi de vieţi omeneşti.
– Evaluarea riscurilor implică, mai întâi, analiza vulnerabilităţilor identificate şi stabilirea măsurilor OPSEC adecvate fiecărei vulnerabilităţi, apoi selectarea măsurilor OPSEC specifice pe baza analizei de risc efectuate de managementul (comandamentul) general.
– Aplicarea măsurilor OPSEC înseamnă, pentru operaţiunile în derulare, implementarea de către managementul general a măsurilor OPSEC selectate, iar pentru operaţiunile sau activităţile viitoare (planificate), includerea acestor măsuri în planul OPSEC.
La acestea se adaugă evaluarea procesului OPSEC, realizată de o echipă interdisciplinară de experţi, absolut necesară pentru completarea sau modificarea măsurilor deja adoptate.
Pentru a preveni diseminarea accidentală a unor informaţii critice sau sensibile, specialiştii OPSEC şi cei ai departamentului de comunicare publică din cadrul unei organizaţii este necesar să conlucreze pentru a dezvolta aşa-numitele elemente esenţiale ale informaţiilor amicale, adică ale informaţiilor proprii şi ale partenerilor (EEFI, Essential Elements of Friendly Information).
Practic, EEFI reprezintă un set de întrebări pe care este foarte probabil ca partea adversă (oficiali, servicii de informaţii ş.a.) să şi le pună cu privire la intenţiile, activităţile şi capacităţile organizaţiei sau ale partenerilor acesteia, pentru a obţine răspunsuri de importanţă critică pentru propria eficienţă operaţională.
În loc de concluzii
Procesul de securitate internă în organizaţii are în vedere protejarea integrităţii pentru toate categoriile de active, inclusiv datele şi informaţiile de interes, indiferent de suport, mod de obţinere sau transmitere.
Deopotrivă în domenii civile şi militare, oamenii sunt atenţi, de obicei, cu informaţiile clasificate, dar sunt mai neglijenţi sau uită „să-şi ţină gura” când este vorba de aspecte neclasificate, aparent periferice, iar o vorbă scăpată în anturaj sau în public ori o hârtie cu însemnări uitată printre documentele personale, poate compromite rezultatul unei operaţiuni pregătite luni în şir sau poate costa viaţa unui camarad ori a unui agent în teatrele de operaţiuni.
Nu uita: duşmanul ascultă!
Autor: Octavian Răducan