Opinii

De câțiva ani asist în România la o efervescență în zona promovării serviciilor de tip SOCaaS (Security Operations Center as a Service). Fiecare conferință, fiecare webinar și multe campanii de marketing digital transmit ideea că SOCaaS este soluția supremă și universală la problemele de securitate cibernetică ale companiilor românești, în special pentru conformitatea cu cerințele Directivei NIS2.

Însă, este aceasta direcția corectă?

Din experiența mea directă ca și consultant în securitatea cibernetică, pot afirma că acest trend duce audiența într-o direcție profund greșită, din două motive majore.

1. Audiența greșită și neînțelegerea pieței

În primul rând, cine cumpără realmente SOCaaS în România? Marile organizații și cele intens reglementate, cum ar fi băncile sau companiile multinaționale, au deja echipe interne mature, dedicate în zona de guvernanță (GRC - Governance, Risk, Compliance), IT Security Operations și SOC. Aceste organizații nu sunt clienții principali ai unui serviciu SOC externalizat; ele dispun deja de…

Sunt Mădălin Bratu, iar după peste 20 de ani petrecuți în vânzări, acum 4 ani, am decis să îmi regândesc direcția profesională. Nu pentru că domeniul vânzărilor nu mi-ar fi adus satisfacții – dimpotrivă. Dar pentru că am înțeles, în timp, că valoarea reală pe care o pot aduce într-o organizație depășește granițele unui simplu proces comercial. Am ales să mă dedic complet unei misiuni mult mai profunde: aceea de a fi consultant și advisor în securitate cibernetică, cu specializare pe implementarea sistemelor de management conform cerințelor Directivei NIS2 – dar nu numai.

Este un efort mai mare, fără îndoială. Complexitatea rolului este ridicată, iar drumul nu este pentru oricine. Dar este și o alegere care vine cu o altă dimensiune a valorii. Am învățat că într-un ecosistem organizațional, cel mai important capital este capacitatea de a înțelege relațiile subtile dintre oameni, dinamica puterii, fricile ascunse și motivele reale din…

Urmăresc de ceva timp spațiul virtual referitor la Directiva NIS2.

Și, din prisma experienței mele de audit și consultant în securitatea cibernetică în spațiul românesc, revin cu câteva concluzii mai realiste și cu câteva recomandări furnizorilor de servicii și soluții specifice de securitate cibernetică. Pentru că, pe lângă DNSC, și ei formează piața.

Pornim de la audiența vizată de NIS 2. O mică parte este formată din organizații mai mature, care fac parte din grupuri mai organizate (așa-numitele companii reglementate de către BNR sau de către compania mamă). Cea mai mare parte a potențialei clientele pentru serviciile și soluțiile legate de Directiva NIS este formată din companii pentru care managementul securității informației este un subiect cvasi-necunoscut sau chiar total necunoscut. Am făcut un calcul scurt, luând primele 20-30 de companii din fiecare domeniu vizat de Directiva NIS 2, și am ajuns doar în România la un număr de aproximativ 1.000…

În calitate de consultant și auditor de securitate informațională, am avut ocazia să lucrez cu diverse organizații din România în implementarea cerințelor Directivei NIS. De-a lungul timpului, am colaborat cu companii din sectoare variate, de la operatori de apă și energie, la instituții financiare și alte organizații din industrii critice.

Un aspect crucial pe care l-am observat în implementarea Directivei NIS este că succesul depinde în mod esențial de aplicarea unui cadru de bune practici și procese bine structurate, iar acesta este locul unde ITIL (Information Technology Infrastructure Library) joacă un rol determinant. Fără un set de procese bine definite și fără digitalizarea fluxurilor de lucru critice, implementarea NIS nu poate fi realizată eficient.

Evoluția mea profesională în lumina Directivei NIS

Încă de la începuturi , am fost atras de ideea de a deveni auditor. Auditul este un proces clar, cu reguli stricte și linii directoare bine definite, care oferea…