Managementul bazat pe cunoaştere (KM - Knowledge Management) este definit în literatura de specialitate ca fiind activitatea de gestionare inteligentă a procesului POCC (Planificare-Organizare-Comandă-Control).[1]
Nevoia de cunoaştere (“Need-to-Know”), este esenţială în activitatea de management, fie că este vorba de managementul informaţiilor cu regim comun (informaţii libere, accesibile din punct de vedere legal pentru public) sau de cel al informaţiilor clasificate, în cazul acestora din urmă, principiul nevoii de a cunoaşte, poate primi şi o interpretare în sens restrictiv, atunci când este vorba de activitatea de protecţie a informaţiilor clasificate, în sensul că se justifică autorizarea accesului persoanelor la informaţii clasificate, doar în măsura în care acest acces este indispensabil pentru îndeplinirea atribuţiilor de serviciu (permiţându-se accesul doar la acele informaţii utilizate efectiv pentru îndeplinirea atribuţiilor de serviciu).
Aşa cum s-a arătat, funcţiile managementului bazat pe cunoaştere sunt: planificarea, organizarea, comanda şi controlul.[2]
Planificarea este activitatea prin care sunt evaluate, cuantificate şi repartizate resursele materiale şi umane, bunurile tangibile şi intangibile ale organizaţiei, prin intermediul planurilor pe termen scurt, mediu si lung.
Organizarea este activitatea de analiză, proiectare, implementare şi adaptare permanentă a compartimentelor interne, precum şi a reţelei interne de informare şi comunicare ale organizaţiei, la factorii externi în scopul realizării planului şi a strategiilor de dezvoltare durabilă.
Comanda presupune procesul de analiză, pregătire, elaborare, luare şi transmitere a deciziilor prin intermediul sistemului de informare şi comunicare al organizaţiei.
Controlul presupune analiza, verificarea, raportarea şi securizarea activităţilor tuturor sectoarelor organizaţiei.
Aceste funcţii ale managementului bazat pe cunoaştere sunt validate şi în domeniul informaţiilor clasificate, cu respectarea specificului acestui domeniu. Un exemplu în acest sens este programul de prevenire a scurgerii informaţiilor clasificate[3], document de strategie aplicată, pe care fiecare unitate/organizaţie deţinătoare de informaţii clasificate trebuie să-l întocmească anual sau ori de câte ori factorii interni sau externi fac necesară această operaţiune, în scopul adaptării apărării organizaţiei în faţa riscurilor scurgerilor de informaţii.
Întocmirea, punerea în practică şi actualizarea permanentă a programului de prevenire a scurgerii informaţiilor clasificate reflectă, prin prisma protecţiei informaţiilor clasificate, nivelul şi modalitatea de manifestare a funcţiilor managementului bazat pe cunoaştere, la respectiva organizaţie deţinătoare de informaţii clasificate.
Din perspectiva sistemului de protecţie a informaţiilor clasificate putem constata existenţa unui tip de outsourcing, în sensul că statul, prin organismele sale specializate, asigură anumite servicii legate de protecţia informaţiilor clasificate, atât cu privire la probleme de concepţie şi strategie (reglementând domeniul prin emiterea de acte normative şi prin crearea de structuri şi instituţii specializate) cât şi prin asigurarea asistenţei directe (ex. cu ocazia întocmirii de către unitatea utilizatoare a programului propriu de măsuri pentru prevenirea scurgerilor de informaţii clasificate), la cererea organizaţiei utilizatoare de informaţii, prin efectuarea activităţii de transport a corespondenţei clasificate pe suport material (SRI), prin asigurarea căilor şi serviciilor de telecomunicaţii pentru corespondenţa clasificată (STS), ori prin efectuarea activităţilor de control (ORNISS, SRI etc.) cu privire la respectarea regulilor de protecţie a informaţiilor clasificate (activitate care se poate desfăşura de structurile specializate chiar şi din oficiu, în lipsa unei sesizări).
Autorii de specialitate au arătat că Managementul Documentelor şi Conţinutului presupune procesul de gestionare a documentelor de-a lungul ciclului de viaţă al acestora (idea-concepţia, crearea-formalizarea, stocarea, compactarea, regăsirea, recuperarea, securizarea, protecţia, controlul, distrugerea, utilizarea, transferul etc.).[4]
Recuperarea documentelor, care presupune operaţiunea de căutare şi găsire cu rapiditate şi uşurinţă a oricărui document, într-un sistem; distrugerea documentelor, care este operaţiunea prin care un e-DOC poate fi şters; controlul accesului, care presupune monitorizarea şi intervenţia automată în cazul în care nu se respectă regulile de creare-editare-accesare-salvare-modificare-copiere-compactare-,tergere-securizare a e-DOC; principiul potrivit căruia bun sistem trebuie să furnizeze utilizatorilor diferite nivele de acces, fără compromiterea confidenţialităţii şi a securităţii; să permită administratorului de sistem să controleze ce dosare şi ce documete pot să fie văzute de utilizatori, precum şi ce fel de acţiuni pot să întreprindă ei asupra acestora, toate aceste operaţiuni şi principii se regăsesc şi în sistemul protecţiei informaţiilor clasificate (cu precădere în legătură cu INFOSEC).
Diferenţierea dintre activităţile şi tehnicile de management al cunoştinţelor neafectate de restricţii şi cele specifice managementului informaţiilor clasificate este dată de nivelul accentuat de reglementare şi normativizare formală a activităţilor cu informaţii clasificate precum şi de implicarea structurilor de stat ca actori activi în domeniul protecţiei informaţiilor clasificate.
Electronic Security Management sau e-Security este definită în literatura de specialitate ca fiind un ansamblu de soluţii soft-hard-networking menite să confere infrastructurii de informare-comunicare atât securitatea cât şi protecţia necesară în timp real, necesitând în acest sens un aport de specialişti, echipamente, programe, aplicaţii şi protocoale. [5]
Implementarea conceptului de e-Security în domeniul informaţiilor clasificate se realizează prin sistemul INFOSEC, cu menţiunea că activitatea cu informaţii clasificate presupune anumite restricţii suplimentare faţă de activităţile curente cu informaţi şi cunoştinţe care nu au acest caracter special. Astfel trebuie respectate anumite prevederi cuprinse în acte normative specifice iar personalul trebuie autorizat pentru acces la informaţii clasificate, conform prevederilor legale cuprinse în actele normative în vigoare.
O cerinţă suplimentară de securitate este dată de “regula celor doi”, potrivit căreia pentru orice modificare aplicată unui sistem sau pentru orice operaţiune mai importantă cu privire la sistemul informatic este obligatorie colaborarea a cel puţin două persoane.
Ca neajunsuri ale sistemului informaţiilor clasificate pot fi identificate reglementarea legală stufoasă şi oarecum greoaie, precum şi un anumit nivel de birocraţie, în special în legătură cu activitatea funcţionarilor/structurii de securitate şi cu autorizarea accesului persoanelor la informaţii clasificate, cu menţiunea că aceste rigori birocratice au fost concepute tot în scopul protejării informaţiilor clasificate, prin instituirea unui control cât mai riguros cu privire la activitatea de gestionare a acestor informaţii.
În concluzie se poate aprecia că principiile de bază ale managementului bazat pe cunoaştere sunt valabile şi în domeniul informaţiilor clasificate, cu anumite nuanţe impuse de specificul activităţilor cu informaţii clasificate şi de reglementările aplicabile acestui domeniu.
[1] Radu Adrian MLEŞNIŢĂ, op.cit;
[2] Idem;
[3] A se vedea H.G. nr.585/2002, Anexa 10;
[4] Radu Adrian MLEŞNIŢĂ, op.cit;
[5] Idem;