Skandali i rrjedhjes së listës me të dhëna personale të qytetarëve nga serverat e AKSHI-it tronditi jetën sociale të vendit. Numrat e kartës së identitetit, informacione mbi pagat, targat e makinave dhe numrat e telefonit, qarkullojnë të gjitha në telefonat e qytetarëve.
Prokuroria e Tiranës në hetimet e saj zbuloi se dy ekspertë të nivelit të lartë të IT në Tatime kishin marrë të dhënat dhe ua kishin shitur kompanive private, të cilët më pas i përdornin në aktivitetin e tyre.
Sipas ekspertit të IT, Edvin Reçi, institucionet kanë treguar papërgjegjshmëri sa i përket sigurisë së informacionit, ndërsa mbrojtja aktuale ka dështuar.
Sipas tij: “Argumenti se, meqënëse je i pajisur me certifikimin ISO 27001:2013, atëherë je në rregull me sigurinë, është papërgjegjshmëri. Zotërimi i këtij çertifikimi nuk përjashton mundësinë e një incidenti të sigurisë së informacionit.
Çdo certifikim i këtij lloji tregon se ke përmbushur kërkesat në momentin e kryerjes së kontrollit, por jo që këto procedura zbatohen nga institucioni në çdo moment. Pse nuk janë zbatuar procedurat e sigurisë?
Sepse, sipas standardit ISO 27001 (Aneksi A.16.1), në rast të zbulimit të një incidenti të sigurisë, organizata/institucioni duhet të njoftojë autoritetet përkatëse për rastin.
Nëse incidenti nuk është zbuluar nga institucioni, do të thotë që standardi ISO 27001 nuk është respektuar.
Nëse incidenti është zbuluar, por nuk janë njoftuar autoritetet përkatëse, do të thotë që standardi ISO 27001 nuk është respektuar. E vërteta është që standardi i sigurisë nuk matet me ISO, por me numrin e incidenteve që të kanë ndodhur të shtrira në kohë dhe me reagimin ndaj tyre”.
Sipas tij, më pak fajtorët në këto raste janë departamentet e teknologjisë së informacionit, ndërsa është paaftësia e drejtuesve ajo që shkakton këto ngjarje, “Më pak fajtorët në këto raste janë departamentet e IT. Injoranca e drejtuesve të institucioneve në raport me teknologjinë e informacionit është shkaku kryesor i këtyre ngjarjeve. Mungesa e buxhetit për trajnime, mungesa e stafit të IT, pagat e ulëta në krahasim me sektorin privat, auditime sipërfaqësore të sigurisë dhe shumë arsye të tjera sjellin këto pasoja. Departamentet e IT duhet të konsiderohen si departamente me rëndësi të veçantë. Askush më shumë se një administrator sistemi nuk ka akses në të dhënat sensitive e një institucioni apo kompanie”.
Një institucion që trajton të dhëna personale, sipas tij, duhet të ketë minimalisht një departament auditi të brendshëm, të kryejë audite periodike të jashtme (audite serioze dhe jo auditet standarde të KLSH), një sistem të patjetërsueshëm, ku ruhen gjurmët (loget) e çdo veprimi, i cili nuk menaxhohet nga i njëjti departament IT dhe një departament të sigurisë së informacionit. “Drejtuesit politikë janë të paaftë, të painformuar, injorantë dhe pa vizion në këtë drejtim”, thekson ai.
Që nga viti 2015 nxisim shpirtin sipërmarrës, inovacionin dhe rritjen personale duke ndikuar në zhvillimin e një mjedisi motivues dhe pozitiv tek lexuesit tanë. Kjo punë që e bëjmë me shumë dashuri nuk ka të paguar. Ne jemi platforma e vetme e cila promovon modelin pozitiv të sipërmarrjes së lirë. Përmes kësaj platforme mbështesim edukimin gjatë gjithë jetës si mjet për zhvillimin personal dhe profesional të brezave. Kontributi juaj do të na ndihmojë në vazhdimin e këtij misioni në gjithë trevat shqipfolëse.
Mund të kontribuoni KETU. Falemnderit.
