Për kë është ky doracak?

Ky doracak është përpiluar me një qëllim të thjeshtë: të ndihmojë parlamentin tuaj që të zhvillojë një plan të kuptueshëm dhe të zbatueshëm të sigurisë kibernetike. Ndërsa bota po lëviz gjithnjë e më shumë në internet, siguria kibernetike nuk është vetëm fjalë kryesore, por paraqet një koncept kritik për suksesin e parlamenteve, dhe siguria e informacionit (si në internet ashtu edhe jashtë internetit) është një sfidë që kërkon fokus, investim dhe vigjilencë.

Parlamenti juaj ka gjasa ta gjejë veten – nëse nuk e ka bërë tashmë – si objektiv i një sulmi të sigurisë kibernetike. Qëllimi kësaj nuk është të duket alarmante; por paraqet realitet edhe për parlamentet që nuk e konsiderojnë veten si objektiva të veçantë.

Në një vit mesatar, Qendra për Studime Strategjike dhe Ndërkombëtare, e cila mban një listë të vazhdueshme të asaj që ata i quajnë "Incidente të rëndësishme kibernetike", katalogon qindra sulme serioze kibernetike, shumica prej të cilave synojnë dhjetëra, nëse jo qindra organizata në të njëjtën kohë. Përveç sulmeve të tilla të raportuara, ka gjasa të ketë qindra sulme të tjera më të vogla çdo vit që nuk zbulohen ose nuk raportohen, shumica prej tyre synojnë institucione qeveritare, organe legjislative dhe organizata politike.

Sulmet kibernetike si këto kanë pasoja të rëndësishme. Nëse qëllimi i tyre është të prishin operacionet parlamentare, të dëmtojnë reputacionin tuaj, apo edhe të vjedhin informacione që mund të çojnë në dëmtim psikologjik ose fizik për anëtarët ose stafin tuaj, kërcënimet e tilla duhet të merren seriozisht.

E mira është se nuk keni nevojë të bëheni kodues apo teknolog për të mbrojtur veten dhe parlamentin tuaj kundër kërcënimeve të zakonshme. Megjithatë, duhet të jeni të përgatitur për të investuar përpjekje, energji dhe kohë në zhvillimin dhe zbatimin e një plani të fortë parlamentar të sigurisë. 

Nëse kurrë nuk keni menduar mbi sigurinë kibernetike të parlamentit tuaj, nuk keni pasur kohë të përqendroheni në të, ose dini disa informata themelore për këtë temë, por mendoni se parlamenti juaj mund të përmirësojë sigurinë e vet kibernetike, ky Doracak është për ju. Pavarësisht se nga vini, ky Doracak synon t'i japë parlamentit tuaj informacione thelbësore që i nevojiten për të vendosur një plan të fortë sigurie - një plan që shkon thjesht përtej vendosjes së fjalëve në letër dhe që ju mundëson juve të vini në veprim praktikat më të mira.

Kush menaxhon Sigurinë Kibernetike Parlamentare?

Një parlament efektiv dhe i sigurt kërkon staf me aftësi dhe autoritet të duhur për të zbatuar rekomandimet e përfshira në këtë Doracak. Me këtë, ata që janë përgjegjës për sigurinë kibernetike në parlamente mund të ndryshojnë shumë, dhe nuk ka një model "të duhur" se kush duhet të merret me sigurinë kibernetike. Në disa raste, mund të jetë ekip i përkushtuar për sigurinë kibernetike brenda njësisë suaj të TI-së, dhe në të tjera një grup stafi të ndryshëm administrativ dhe të anëtarëve. Sidoqoftë, mbani në mend se ndërkohë që është e rëndësishme të keni ekip të mirë në krye të sigurisë kibernetike të parlamentit tuaj, është gjithashtu përgjegjësi e të gjithëve brenda dhe rreth parlamentit të respektojnë politikat dhe procedurat e nevojshme për të mbajtur parlamentin të sigurt. Më poshtë janë disa shembuj të modeleve të ndryshme të personelit për menaxhimin e sigurisë kibernetike parlamentare:

Dhoma e Përfaqësuesve e Shteteve të Bashkuara

Në Dhomën e Përfaqësuesve të Shteteve të Bashkuara, zyra të anëtarëve individual angazhojnë administrator sistemesh që është përgjegjës për menaxhimin e të gjithë sistemeve kompjuterike të harduerit dhe softuerit të përdorur nga zyra - përfshirë menaxhimin e konsideratave të sigurisë kibernetike - dhe trajnon anëtarët e stafit për praktikat më të mira. Në nivel institucional, zyrtari kryesor administrativ i Dhomës së Përfaqësuesve angazhon ekip të burimeve të informacioneve, që përfshin një departament përkushtuar sigurisë së informacioneve.

Asambleja Kombëtare e Zambisë

Asambleja Kombëtare e Zambisë mbështetet në departamentin e teknologjisë së informacionit dhe komunikimit (TIK) për një sërë funksionesh, përfshirë menaxhimin e softuerit, harduerit dhe infrastrukturës së informacionit të parlamentit, trajnimin e anëtarëve ose parlamentit dhe stafit mbi sistemet e teknologjisë dhe sigurimin e infrastrukturës së informative të parlamentit nga kërcënimet kibernetike të brendshme dhe të jashtme.

Parlamenti i Malajzisë

Parlamenti i Malajzisë ka departamentin e teknologjisë së informacionit nën kryeadministratorin e parlamentit, i cili e lejon t'i shërbejë të dy dhomave të parlamentit. Kjo ndarje përfshin një post specifik për sigurinë e rrjetit, i cili e lejon atë të sigurojë që sistemet e rrjetit, qendrat e të dhënave dhe infrastruktura TIK janë të përditësuara dhe sa më të sigurta që të jetë e mundur.

Çfarë është plani i sigurisë dhe pse parlamenti im duhet ta ketë një të tillë?

Plani i sigurisë është grupi i politikave, procedurave dhe udhëzimeve të shkruara për të cilat parlamenti juaj ka rënë dakord për të arritur nivelin e sigurisë që ju dhe ekipi juaj mendoni se është i përshtatshëm për të mbajtur njerëzit, partnerët dhe informacionin tuaj të sigurt. 

Një plan sigurie organizative i hartuar mirë dhe i përditësuar mund t'ju mbajë të sigurt dhe t'ju bëjë më efektiv, duke ofruar qetësinë e nevojshme për t'u fokusuar në punën e rëndësishme të përditshme të parlamentit tuaj. Pa menduar për një plan gjithëpërfshirës, është shumë e lehtë të jeni të verbër ndaj disa lloje kërcënimesh, duke u fokusuar shumë në një rrezik ose duke injoruar sigurinë kibernetike derisa të paraqitet ndonjë krizë.

Kur filloni të zhvilloni një plan sigurie, ka disa pyetje të rëndësishme që duhet t'ia parashtroni vetes, dhe këto pyetje formojnë një proces të quajtur vlerësim të rrezikut. Përgjigjja e këtyre pyetjeve ndihmon parlamentin tuaj të kuptojë kërcënimet unike me të cilat përballeni dhe ju lejon të tërhiqeni dhe të mendoni në mënyrë gjithëpërfshirëse për atë që duhet të mbroni dhe nga kush duhet ta mbroni. Vlerësues të trajnuar, të ndihmuar me sisteme si SAFETAG nga Internews, për kornizë revizioni, mund të ndihmojë në udhëheqjen e parlamentit tuaj nëpërmjet një procesi të tillë. Nëse mund të keni qasje në atë nivel të ekspertizës profesionale, ia vlen, por edhe nëse nuk mund t'i nënshtroheni një vlerësimi të plotë, duhet të takoheni me palët e interesuara në të gjithë parlamentin për të shqyrtuar me kujdes këto pyetje kyçe:

Mund të filloni t'u përgjigjeni këtyre pyetjeve duke krijuar një katalog të të gjitha aseteve të parlamentit tuaj. Informacione të tilla si mesazhet, postat elektronike, kontaktet, dokumentet, kalendarët dhe vendndodhjet janë të gjitha pasuritë e mundshme. Telefonat, kompjuterët dhe pajisjet e tjera mund të jenë asete. Edhe njerëzit, lidhjet dhe marrëdhëniet mund të jenë gjithashtu asete. Përpiloni një listë të aseteve tuaja dhe përpiquni t'i katalogoni sipas rëndësisë së tyre për organizatën, ku i mbani ato (ndoshta vende të shumta digjitale ose fizike) dhe çfarë i pengon të tjerët që t'i qasen, t'i dëmtojnë ose t'i prishin ato. Mbani në mend se jo gjithçka është njëlloj e rëndësishme. Nëse disa nga të dhënat e parlamentit janë çështje publike ose informacione që ju tashmë i publikoni, ato nuk janë sekrete që ju duhet t'i mbroni. 

"Kundërshtar" është një term që përdoret shpesh në sigurinë organizative. Me fjalë të thjeshta, kundërshtarët janë aktorët (individët ose grupet) që janë të interesuar të synojnë parlamentin tuaj, të prishin punën tuaj dhe të kenë qasje ose të shkatërrojnë informacionin tuaj: të këqijtë. Shembuj të kundërshtarëve të mundshëm mund të përfshijnë mashtrues financiarë, qeveri kundërshtare ose hakerë të motivuar ideologjikisht ose politikisht. Është e rëndësishme të përpiloni një listë të kundërshtarëve tuaj dhe të mendoni në mënyrë kritike se kush mund të dëshirojë të ndikojë negativisht në parlamentin dhe stafin tuaj. Ndërsa është e lehtë të përfytyrosh aktorë të jashtëm (si një qeveri e huaj ose një grup i caktuar politik) si kundërshtarë, mbani në mend gjithashtu se kundërshtarë mund të jenë njerëz që ju i njihni, si p.sh. punonjësit e pakënaqur, ish-stafi dhe anëtarët ose partnerët që nuk ju mbështesin. 

Kundërshtarë të ndryshëm paraqesin kërcënime të ndryshme dhe kanë burime dhe aftësi të ndryshme për të ndërprerë operacionet tuaja dhe për të fituar qasje ose për të shkatërruar informacionin tuaj. Për shembull, qeveritë shpesh kanë shumë para dhe aftësi të fuqishme, përfshirë mbylljen e internetit ose përdorimin e teknologjisë së shtrenjtë të mbikëqyrjes; rrjetet celulare dhe ofruesit e internetit ka gjasa të kenë qasje në regjistrimet e thirrjeve dhe historitë e shfletimit; Hakerat e aftë në rrjetet publike Wi-Fi kanë aftësinë të përgjojnë komunikime ose transaksione financiare dobët të siguruara. Ju madje mund të bëheni kundërshtari i vetes, për shembull, duke fshirë aksidentalisht skedarë të rëndësishëm ose duke dërguar mesazhe private te personi i gabuar. 

Motivet e kundërshtarëve ka gjasa të ndryshojnë së bashku me kapacitetin, interesat dhe strategjitë e tyre. A janë të interesuar të diskreditojnë parlamentin tuaj? Ndoshta ata synojnë të heshtin mesazhin tuaj ose të pengojnë punën e parlamentit? Është e rëndësishme të kuptoni motivimin e një kundërshtari, sepse duke vepruar kështu mund ta ndihmoni parlamentin tuaj të vlerësojë më mirë kërcënimet që mund të paraqiten.

Ndërsa identifikoni kërcënimet e mundshme, ka gjasa të përfundoni me një listë të gjatë e cila mund të jetë dërrmuese. Ndoshta do mendoni se çdo përpjekje do të ishte e kotë, ose nuk dini se ku të filloni. Për të ndihmuar fuqizimin e parlamentit tuaj për të ndërmarrë hapa të ardhshëm produktiv, është e dobishme të analizoni çdo kërcënim bazuar në dy faktorë: gjasat që kërcënimi të ndodhë; dhe ndikimi nëse ndodh. 

Për të matur mundësinë e një kërcënimi (ndoshta "i ulët, i mesëm ose i lartë", bazuar në faktin nëse një ngjarje e caktuar nuk ka gjasa të ndodhë, mund të ndodhë ose ndodh shpesh), mund të përdorni informacionin që dini për kapacitetin dhe motivimin e kundërshtarëve tuaj, analizën e incidenteve të kaluara të sigurisë, përvojat tjera të ngjashme të parlamenteve dhe sigurisht praninë e ndonjë strategjie zbutëse ekzistuese që keni vendosur.

Për të matur ndikimin e një kërcënimi, mendoni se si do të dukej bota juaj nëse kërcënimi do të ndodhte në të vërtetë. Bëni pyetje të tipit: “Si na ka dëmtuar kërcënimi si parlament dhe si njerëz, fizikisht dhe mendërisht?”, “Sa i gjatë është efekti?”, “A krijon kjo situata të tjera të dëmshme?”, dhe “Si e pengon kjo aftësinë tonë për të arritur qëllimet tona tani dhe në të ardhmen?”. Derisa u përgjigjeni këtyre pyetjeve, kini parasysh nëse kërcënimi është me ndikim të ulët, mesatar ose të lartë.

Për t'ju ndihmuar të menaxhoni këtë proces të vlerësimit të rrezikut, merrni parasysh përdorimin e një flete pune, si kjo e zhvilluar nga Electronic Frontier Foundation. Mbani në mend se informacioni që zhvilloni si pjesë e këtij procesi (si një listë e kundërshtarëve tuaj dhe kërcënimet që ata paraqesin) vetvetiu mund të paraqesin informacione të ndjeshme, prandaj është e rëndësishme t’i mbani të sigurt.

Pasi të keni kategorizuar kërcënimet tuaja sipas gjasave dhe ndikimit, mund të filloni të bëni një plan veprimi më të informuar. Duke u fokusuar në ato kërcënime që kanë më shumë gjasa të ndodhin DHE që do të kenë ndikime të rëndësishme negative, ju do të kanalizoni burimet tuaja të kufizuara në mënyrën më efikase dhe efektive të mundshme. Qëllimi juaj është gjithmonë të zbusni sa më shumë rrezikun, aq sa të jetë e mundur, por askush – as qeveria apo kompania me burime më të mira në tokë – nuk mund ta eliminojë plotësisht rrezikun. Dhe kjo është në rregull: Mund të bëni shumë për të mbrojtur veten, kolegët dhe parlamentin tuaj duke u kujdesur për kërcënimet më të mëdha