Întrebări frecvente
Ce este un GRC?
Un software GRC (Guvernanță, Risc și Conformitate) de ultimă generație nu este doar o aplicație, ci reprezintă o platformă integrată și robustă. Ea este concepută special pentru a oferi organizațiilor un cadru structurat și proactiv, axat pe securitatea cibernetică și pe buna funcționare operațională. Această soluție esențială este utilizată pentru a centraliza și gestiona eficient toate activitățile critice:
- definirea și aplicarea politicilor interne,
- identificarea și atenuarea riscurilor de securitate și operaționale,
- executarea auditurilor interne și externe,
- menținerea conformității cu o varietate de pachete de reglementare și standarde internaționale.
Printre cele mai solicitate standarde pe care le acoperim se numără ISO 27001, regulamentul european GDPR, NIST, și noile cerințe impuse de directiva NIS2. Un sistem GRC modern permite, de asemenea, vizualizarea în timp real a posturii de risc a companiei.
Pe de altă parte, deși soluțiile GRC open source sunt adesea promovate ca fiind gratuite pentru versiunile lor comunitare, ele vin cu dezavantaje semnificative. Aceste implementări necesită, de regulă, cunoștințe tehnice aprofundate nu doar pentru instalare și configurare, ci și pentru întreținere și actualizare pe termen lung. Mai mult, ele sunt, în general, mai simpliste în funcționalități, adică nu reușesc să acopere toate nevoile complexe și scalabile ale unei companii moderne, lăsând lacune serioase în managementul riscului și al conformității reglementare. Alegerea unei platforme GRC comerciale, dedicate, asigură acoperirea integrală a cerințelor și reduce dependența de resurse tehnice interne masive.
Ce este Directiva NIS2?
Directiva UE 2016/1148 privind securitatea rețelelor și a sistemelor informatice (Directiva NIS - Network and Information Security) este implementată în România prin Legea nr.362/2018 (Legea NIS). Scopul este îmbunătățirea securității cibernetice în spațiul UE. NIS2 a fost actualizat în decembrie 2024 prin OUG nr. 155/2024, aprobată și modificată prin Legea nr. 124/2025. Implementarea Legii NIS2 la nivelul României intră în atributul Centrului Național de Răspuns la Incidente de Securitate Cibernetică, CERT-RO, prin Autoritatea competentă la nivel național pentru securitatea rețelelor și sistemelor informatice, denumită în continuare ANSRSI. Pentru mai multe detalii: Directiva NIS.Ce înseamnă Managementul Vulnerabilităților?
Evaluarea vulnerabilității (Vulnerability Assessment) stă la baza managementului vulnerabilităților. Managementul vulnerabilităților (Vulnerability Management) este un proces continuu, în timp ce evaluarea vulnerabilitățiilor este o evaluare unică a unui dispozitiv sau a unei rețele.
Managementul vulnerabilităților este procesul de identificare, evaluare, tratare și raportare a vulnerabilităților de securitate din sisteme și software-ul care rulează pe acestea.
Managementul vulnerabilităților bazat pe risc este procesul de reducere a vulnerabilităților pe suprafața de atac prin prioritizarea eforturilor de remediere în funcție de risc. Înțelege riscurile și află ce vulnerabilități să remediezi mai întâi.
O vulnerabilitate (Vulnerability), așa cum este definită de Organizația Internațională pentru Standardizare (ISO 27002), este „o slăbiciune a unui activ sau a unui grup de active care poate fi exploatat de una sau mai multe amenințări”.
O amenințare (Threat) este ceva care poate exploata o vulnerabilitate.
Un risc (Risk) este ceea ce se întâmplă atunci când o amenințare exploatează o vulnerabilitate. Este prejudiciul care ar putea fi cauzat de vulnerabilitatea deschisă exploatată de o amenințare.
Cu un software de management al vulnerabilitățiilor obți un management al vulnerabilităților cu o vizibilitate completă asupra activelor și vulnerabilităților din organizație. Astfel, identifici, investighezi și prioritizezi în mod activ vulnerabilitățile.
Pentru a alege software-ul potrivit, consultă un specialist.
Ce înseamnă și la ce folosește un CMDB?
CMDB (Configuration Management Database) este mult mai mult decât o simplă bază de date; este inima strategică a oricărui sistem modern de Management al Serviciilor IT (ITSM). Această Bază de Date pentru Gestionarea Configurației este concepută pentru a stoca înregistrări precise, detaliate și actualizate în timp real despre toate Activele de Configurație (CIs) din cadrul organizației.
Scopul fundamental al implementării unui CMDB profesional este de a oferi o singură sursă de adevăr (Single Source of Truth) privind infrastructura IT. Acesta stochează informații esențiale despre activele hardware (servere, echipamente de rețea, stații de lucru) și software (aplicații, sisteme de operare, licențe), dar, crucial, înregistrează și relațiile de dependență dintre acestea.
Prin utilizarea unui CMDB eficient, echipa ta poate:
Evalua rapid impactul oricărei schimbări sau incidente asupra serviciilor esențiale ale companiei.
Optimiza gestionarea activelor (Asset Management) și a licențelor.
Îmbunătăți procesele de management al incidentelor și al problemelor, reducând timpul de nefuncționare (downtime).
Asigura o viziune de ansamblu necesară pentru guvernanță și conformitate.
Un CMDB integrat este vital pentru a menține stabilitatea, securitatea și eficiența întregii infrastructuri IT, indiferent de complexitatea operațiunilor tale.
Care este diferența dintre IT și IT&C?
Diferența dintre IT și IT&C: IT înseamnă Tehnologia Informației, iar IT&C înseamnă Tehnologia Informației și a Comunicațiilor. Se referă la tehnologia necesară pentru prelucrarea informației (procurare, procesare, stocare, convertire și transmitere).
Dacă avem o rețea locală (LAN) sau un software de prelucrare locală, atunci putem să ne referim la tehnologie doar cu termenul de IT. În momentul în care ne conectăm la o rețea externă, atunci avem nevoie și de un mediu de transmitere a informației, fie că este cablu, fibră optică sau radio și ne vom referi la tehnologie cu termenul de IT&C.
În ziua de astăzi este puțin probabil ca o afacere să-și desfășoare activitatea doar local, fără să existe un mediu de transmitere al datelor, cel mai banal exemplu fiind email-ul.
Care este diferența dintre NAS și SAN?
SAN (Storage Area Network) este un echipament de stocare mult mai scump decât un NAS (Network-Attached Storage).
SAN se atașează la servere, iar accesul este mult mai rapid deoarece se face la nivel de block. NAS este un echipament conectat în rețea (LAN), accesul facându-se la nivel de fișier.
Instalarea și configurarea unui NAS este mult mai facilă. Instalarea unui SAN necesită reconfigurarea infrastructurii, iar pentru configurare sunt necesare cunoștințe avansate despre Storage. Ambele soluții sunt scalabile.
Pentru a stabili care tip de echipament ți se potrivește afacerii tale este bine să consulți un expert.
Ce înseamnă SaaS, PaaS, IaaS?
Când vorbim de servicii găzduite la furnizor (Cloud) întâmpinăm următorii termeni:
SaaS (Software as a Service) înseamnă software livrat ca și serviciu. Reprezintă o aplicație găzduită în infrastructura furnizorului, iar beneficiarul nu trebuie să-și bată capul cu instalarea sau configurarea aplicației, ci doar cu administrarea intefeței de utilizator. Aplicația este licențiată pe bază de subscripție (lunară, anuală, etc.). Exemple de SaaS: Google Apps, Dropbox, MailChimp, Salesforce, Cisco WebEx, Concur, GoToMeeting.
PaaS (Platform as a Service) înseamnă platforma livrata ca și serviciu. Această platformă este gazduită în infrastructura furnizorului și permite beneficiarului să dezvolte, să ruleze și să administreze aplicațiile proprii, fără ca beneficiarul să-și bată capul cu achiziția și administrarea infrastructurii fizice. Platforma este licențiată pe bază de subscripție anuală. Exemple de PaaS: Windows Azure, AWS Elastic Beanstalk, Google App Engine, Heroku, Magento Commerce Cloud, Force.com, Apache Stratos, OpenShift.
IaaS (Infrastructure as a Service) înseamnă infrastructură livrată ca și serviciu. Este o metodă prin care beneficiarul închiriază o infrastructură virtuală gazduită de furnizor (servere, echipamente de rețea, echipamente de stocare și backup). Infrastructura este licențiată pe bază de subscripție anuală. Exemple de IaaS: Amazon Web Services, Microsoft Azure, Google Compute Engine, DigitalOcean, Linode, Rackspace, Cisco Metapod.
Ce înseamnă SECaaS?
SECaaS (Security as a Service) înseamnă securitate IT livrată ca și serviciu. Este utilă atunci când beneficiarul dorește o securitate avansată folosită la nivelul unei corporații, mult prea scumpă dacă ar fi achiziționată doar pentru uz propriu. Astfel, beneficiarul închiriază serviciul de la o corporație care a implementat deja acest sistem.Ce înseamnă SLA?
SLA (Service-Level Agreement) este un acord privind nivelul serviciilor furnizate realizat între un furnizor de servicii și beneficiar. De obicei este sub forma unei anexe la contract și cuprinde câteva elemente esențiale cum ar fi: indicatorii de performanță și calitate ai serviciilor oferite (timpul de răspuns la incident, timpul de remediere și alți parametrii măsurabili), disponibilitatea serviciilor, responsabilitățile părților contractante, persoane de contact ale ambelor părți, penalitățile pe care le suporta furnizorul atunci când nu sunt îndeplinite înțelegerile din acord. Este indicat ca beneficiarul care verifică acordul să înțeleagă corect serviciile prestate de către furnizor și ce impact au ele asupra afacerii.Cum se alege un UPS?
Un UPS (Uninterruptible Power Supply) este o sursă neîntreruptibilă de alimentare cu energie electrică. Se folosește la echipamentele critice care nu trebuie să se oprească la întreruperea alimentării cu energie electrică. O bună practică din domeniu este ca toate echipamentele critice din camera tehnică (Server Room) să fie protejate cu un UPS pentru cel puțin 30 minute de lucru. Un astfel de echipament trimite alertă către administratorul IT ce are timp să se conecteze local sau de la distanță pentru a opri echipamentele în siguranță și în ordinea corectă. Se pot alege UPS-uri care să țină 8 ore (1 zi de lucru) pentru anumite echipamente de care depinde bunul mers al unei afaceri.
Alegerea unui UPS se face în funcție de sarcina pe care trebuie să o protejeze (puterea totală) și de timpul dorit pentru susținere (autonomie).
În cazul în care numărul echipamentelor este mare, ori sunt implicate echipamente cu motor (aer condiționat, ventilatoare, mașini industriale, roboți industriali), atunci se va folosi un generator electric. În plus, un UPS mai protejează consumatorii și față de fluctuațiile din rețeaua electrică.
Pentru a stabili ce tip de echipament pentru protecție la căderea sursei de alimentare primare ai nevoie, este bine să consulți un specialist.