SharePoint 2010 – Metricii SMSI – ISO27001

Așa cum spuneam într-un articol de mai demult, SharePoint poate fi folosit ca instrument pentru implementarea ISO 27001:2005 Standardul de Management al Securității Informaționale.

În articolul curent vă voi prezenta o implementare a Indicatorilor de evaluare a eficienţei SMSI folosind tehnologiile SharePoint 2010 Enterprise edition și InfoPath. Din păcate funcțiile pentru formulare și completarea formularelor InfoPath în format Web Client nu sunt accesibile în SharePoint Foundation 2010, ediția gratuită de SharePoint.

Ce sunt metricii?

Metricii sunt de fapt indicatorii generali de evaluare a eficienței implementărilor standardului ISO 27001. Criticam în articolele anterioare, faptul că în România din ce în ce mai multe companii, firme vor un carton cu certificarea SMSI, pentru că este la modă sau pentru că este diferențiator în licitații. Din păcate sunt foarte puține companii care acceptă valoarea unor astfel de implementări, dată în primul rând de conștientizarea personalului și gestionarea centralizată a riscurilor de securitate, rezultate din exploatarea sistemelor informaționale actuale.

Fiind un standard managerial, un rol important în acest standard îl au indicatorii de performanță, care pot reprezenta un tablou general de bord pentru management. În mod mai exact reprezintă raportul care se prezintă anual conducerii în materie de securitate a sistemului informațional din cadrul companiei. Atenți nu am spus informatic pentru că mulți dintre noi cunosc diferența terminologiilor.

Principalele categorii de indicatori se referă la domeniile:

  • Managementul riscului
  • Controale de securitate
  • Ciclului de viaţă al dezvoltării sistemelor
  • Planul de Securitate
  • Securitatea resurselor umane
  • Protecţia fizică şi a mediului de lucru
  • Controlul datelor de intrare – ieşire
  • Continuitatea afacerii
  • Întreţinerea sistemelor hardware şi a software-ului
  • Integritatea datelor
  • Documentaţia
  • Instruirea, educarea şi conştientizarea utilizatorilor
  • Capacitatea de răspuns la incidentele de securitate
    Fiecare domeniu poate avea la rândul său mai mulți indicatori și diferite metode de calcul sau surse de date. În modul, să spunem, mai clasic, metricii se pot gestiona într-un document Word cu formulare prestabilite și câmpuri calculate.
    Exemplu de pagină Word cu câmpuri:

Metrici SMSI Word

Implementare în SharePoint

Pentru a centraliza activitățile de completare a acestor formulare, dar și pentru a beneficia de funcțiile de colectare și agregare automatizată a datelor cea mai bună soluție pe care am identificat-o este aceea a utilizării SharePoint Server 2010.

Într-o formă puerilă, o pagină asemănătore celei din imagine poate fi reprezentată printr-un simplu formular InfoPath. Detalii despre funcționalitate și modul de completare în video următor:

Formular simplu in InfoPath

 

Într-un mod mult mai avansat, putem implementa toți indicatorii într-o singură bibliotecă SharePoint de tip Forms prin utilizarea funcțiilor de Content type.

O biblitecă de formulare cu content type activat trebuie să conțină mai multe template-uri, câte unul pentru fiecare indicator. Important pentru o reprezentare globă a tuturor indicatorilor este să păstrăm numele câmpului rezultat la fel pentru fiecare indicator.

În următorul video vă expunem o altă formă de prezentare, care o considerăm mai practică, din punct de vedere al managementului centralizat al indicatorilor de securitate. În mod concret vom activa Content types, vom asigna un template pentru unul din indicatori si vom crea un nou template pentru alt indicator.

Bibliotecă de formulare cu Content Type diferit.

 

Versiunea și mai avansată este aceea prin care în formularul InfoPath se preiau automat informații din diferite liste salvate în SharePoint. În articolul de mai demult povesteam despre asset inventory și alte tipuri de liste stocate.

Dintr-un formular InfoPath ne putem conecta la diferite surse de date pentru a extrage informații sau chiar a transmite informații:

DCW

Probabil că se pot găsi și diferite alte metode de completare și raportare centralizată a indicatorilor de performanță ai securității unei organizații.

Dar…

 

Tehnologia este cu adevărat frumoasă dacă știi să-i găsești utilitatea și să-ți faci viața mai ușoară cu ajutorul ei. La ora actuală, în România, domeniul certificărilor de securitate și a companiilor care pot/vor/au cu ce să implementeze astfel de soluții și nu hărtii și cartoane, este destul de limitat.

Dezbatere: Percepția centrului

Din sistemică… din teoria sistemelor, știm că reprezentarea grafică a unui sistem este realizată prin intermediul unui Cerc. În același timp un sistem poate fi descompus în alte sisteme.

Priviți cu atenție imaginea de mai jos:

Problema cu cercuri

Analizați, comparați, specificați și motivați întrebarea: Care este centrul cercului meu?

Sunt permise orice tipuri de interpretări, mai puțin cele explicit cu conotații Tabu!

Jocurile au reguli si principii

Mesaj pentru studenții mei. Acest articol nu este o concluzie sau o apostrofare. Este pur si simplu o autoevaluare pe parcurs si trebuie tratat ca atare, fără implicații emoționale.

De multe ori vorbim despre jocuri și reguli. Dar cred că este foarte important ca orice joc să aibă și principii.

Educația, învățământul academic, nu e o joacă, dar poate fi tratat ca un joc din punct de vedere al regulilor și principiilor. Există două părți… poate trei sau patru dar două sunt concrete: studenți vs profi.

În mare parte de la generație la generație, regulile și principiile se pot schimba, sau îmbunătăți, sau ajusta, în funcție de participanți. O generalizare aplicabilă tuturor generațiilor, profesorilor sau cursurilor este imposibilă datorită influiențelor culturale, schimbărilor de mentalități, accepțiuni, idealuri și de ce nu de idoli.

 

Cunoașterea adversarului

Ca să poți stipula regulile jocului de la început, trebuie să-ți cunoști ”adversarul”. I-am rugat pe studenți să-mi răspundă la un set de întrebări formulate pe rând, în mod deschis și anonim, pentru a putea avea o reprezentare mai fidelă a realității.

Prima întrebare era: Cine credeți că sunteți?. Majoritatea nu au înțeles exact sensul imaginativ al întrebării așa că au răspuns: Un student/O studentă. Și mai trist este să te crezi că ești în timpul unui curs: O fată. :) Sper ca autoarea răspunsului să nu se supere pentru acest mic rânjet, dar mi s-a părut un răspuns mai altfel decât celelalte.

Următoarea întrebare era legată de componentele unui curs. Ce cred cu adevărat studenții că înseamnă un curs. Au fost și aici răspunsuri interesante… printre care amintesc componenta de teorie, cuprins, introducere, conținut, recapitulare și bibliografie! Total comunist cum tot ei au lăsat de înțeles.

Următorul set de întrebări a încercat să-i forțeze puțin să se pună în posturi incomode trecându-i prin sentimente de jenă, umilință mergând apoi spre zona de satisfacție intelectuală, exultare și definirea unui scop în viață.

Sinteza rezultatelor în imaginea de mai jos.

Siteză rezultate test deschis

Se pot trage foarte multe concluzii din ceea ce au spus ei.

Printre cele mai importante: Soluția problemelor sau sentimentelor care-i fac pe studenți să nu mai vină la un curs următor, sau să vină doar din obligație se regăsește în partea de satisfacție intelectuală. Studenții au nevoie de recunoaștere, interactivitate, apreciere și implicare.

De asemenea, ceea ce le-ar oferi studenților satisfacția intelectuală în timpul unui curs se regăsește în ceea ce nu le place. Exemplu: Le place ca un curs să fie interactiv, dar nu le place să li se pună întrebări la care nu știu să raspundă, obținând satisfacții în momentul în care știu să răspundă la acea întrebare.

Pare simplu dacă privești per ansamblu. Ca să poți face un curs interactiv ai nevoie de comunicare cu studenții. Aceștia trebuie să citească anterior ceva legat de topicul cursului pentru a putea colabora și a răspunde corect. Soluția ar fi să ai un suport de curs cadru pe care să-l pui la dispoziție de la începutul semestrului sau de la o săptămână la alta, după care la fiecare sfârșit de curs să anunți tematica cursului viitor și ceva surse de inspirație.

Foarte interesante mi s-au părut răspunsurile legate de rezolvarea unor puzzle-uri intelectuale. Tehnica este să forțezi limitele și să conduci cursul și studenții către cazuri aproape imposibile și totuși să apară undeva o soluție, o rezolvare sub o formă sau alta, poate la care nici tu nu te-ai gândit anterior. Totul trebuie să se rezolve gradual și spre zona din ce în ce mai “sefe”.

Din păcate au fost și studenți care au considerat exultarea intelectuală un apect negativ :) dar majoritatea răspunsurilor au în vedere punerea în dificultate a cadrului didactic. Adică studentul să știe mai mult decât profesorul. Pare destul de simplu de rezolvat și acest aspect, dacă studenții ar citi ultimele noutăți pe un anumit topic de curs și tu nu le-ai citit încă sau… poți recunoaște că NU stăpânești suficient acea informație de ultimă oră… cu riscul de a te discredita dar a le oferi lor satisfacția intelectuală de care au nevoie pentru a li se însămânța ideea că pot fi buni… și mai buni… și să citească mai mult de fapt. Nu trebuie să pierzi în schimb controlul oferind permanent senzația că stăpânești situația.

 

Aplicabilitatea principiilor

Principiile nu trebuie să fie foarte multe, dar trebuie să fie clare și fără interpretări sau neclarități. Din punctul meu de vedere în educație unul din principiile de bază este evaluarea corectă.

De obicei principiile se aplică în momentul în care o regulă de joc este încălcată.

În cazul articolului de față vizez regula conform căreia fiecare student trebuie să susțină în mod individual un examen pe parcurs și să nu partajeze răspunsurile cu alți colegi sau să nu încerce în orice formă să trișeze la un examen. Într-un singur cuvânt regula de bază a jocului de-a școala este să nu-ți consideri studenții hoți!

În momentul în care această regulă este încălcată trebuie să aplici acțiunile coercitive stipulate de principiu, în vederea asigurării evaluării corecte. Orice excepție de la regulă intră sub incidența principiului lingurii de ciorbă: Dacă într-o oală plină cu apă de canal pui o lingură de ciorbă, nu se întâmplă nimic. Dar dacă într-o oală de ciorbă pui o lingură de apă de canal s-a stricat toată ciorba.

E greu să schimbi regulile de evaluare pe parcurs, sau și mai rău spre final. Dar trebuie să acceptăm efectul coercitiv al principiilor. Mai ales dacă una din reguli este încălcată de cealaltă parte decât cel care le-a stipulat.

 

Concluzii?

Nu există așa ceva. Educația modernă nu are finalitate statutară. Este un ciclu care se schimbă permanent, flexibilitatea, adaptibilitatea și chiar acceptarea fiind calitățile pe care trebuie să le aibă un cadru didactic al timpurilor prezente. Și pe lângă acestea… principii!

Blog la WordPress.com.

SUS ↑