SECURITATEA INFORMAŢIILOR, IDENTITATEA VIRTUALĂ ŞI

MANAGEMENTUL CREDIBILITĂŢII

FUNDAMENT AL ÎNCREDERII ÎN eBUSINESS

Cuprins
• Introducere
• Valoarea activelor ICT
• Valoarea ICT aspectelor de securitate (confidenţialitate, integritate
disponibilă)
• Ameninţări la securitatea ICT
• Posibile căi de intruziune
• Instrumente comune pentru asigurarea securităţii ICT
• Cum să ne comportăm sigur?
• Imbunatatirea sistemelor de management pentru sistemele informatice.
Introducere
Stabilirea încrederii necesare între partenerii de afaceri este în mare măsură
un aspect subiectiv afectat de reputaţia şi imaginea organizaţiilor sau
întreprinderilor în discuţie. Acest fapt se referă la credibilitatea globală, care este
esenţială în afacerile tradiţionale şi în cele cu o puternică penetrare ICT şi
vizibilitate în reţea. Înţelegerea posibilelor ameninţări şi instrumentelor comune de
asigurare a securităţii ICT este importantă pentru un mediu sigur de eBusiness.
Sarcina acestui obiectiv de învăţare constă în descrierea valorii activelor ICT şi
celor mai comune aspecte de securitate ICT. eBusiness constă în mod esenţial în
implementarea proceselor comerciale prin utilizarea ICT şi serviciilor internet
(vânzarea şi cumpărarea de bunuri prin internet). În cazul eBusiness, toate
procesele comerciale vor opera prin internet şi în mediul web. Toate procesele
comerciale trebuie să fie conectate şi disponibile prin internet pentru utilizatori.
Calitatea constă în disponibilitatea persoanelor şi claritatea managementului. Pentru
analizarea proceselor de comerţ se recomandă documentarea tuturor proceselor şi
păstrarea posibilităţii verificării ulterioare. Există posibilităţi de transferare a
tuturor proceselor comerciale în mediu bazat pe internet: comunicare şi forum, e-
mail, evaluare, stoc, cumpărare, management documente, management de proiect,
management de program, etc.
Valoarea securităţii.
Instrumentele ICT trebuie să asigure accesul, disponibilitatea, controlul şi
confidenţialitatea datelor. Pentru evitarea erorilor şi actualizarea datelor datele
trebuie sincronizate periodic. Pentru asigurarea securităţii ICT într-o întreprindere,
politica de securitate ICT trebuie menţionată pentru întreaga organizaţie. Politica de
securitate ICT este o documentaţie care prevede managementul ICT în organizaţie
şi în sistemele informatice.
Proprietăţile ICT sunt:
• Date (informaţii, cunoştinţe)
• Dispozitive ICT: computere, hardware etc
• Canale de comunicare date
• Software
Implementarea şi adoptarea ICT.
Implementarea politicii de securitate ICT impune activităţi sistematice în
întreaga întreprindere. Asigurarea securităţii ICT presupune cooperarea
specialiştilor ICT, directorilor ICT, directorilor comerciali şi celor financiari.
 La asigurarea securităţii sistemului este foarte importantă alegerea soluţiilor
ICT adecvate (eBusiness este bazată pe sisteme informatice). La selectarea soluţiei
ICT ar trebui avute în vedere:
• Poate fi continuată dezvoltarea sistemului?
• Ce tip de soluţii este cel mai bun pentru întreprindere?
• Cât costă toate resursele (hardware, software, instalare, integrare, instruire, etc.)
cost?
• Cum să se integreze sistemul eBusiness în software-ul existent (există diferite
platforme de software: pentru stoc, vânzări, contabilitate, etc.)?
• Care sunt cerinţele suplimentare de autentificare, încriptare, securitate a datelor,
etc.?
• Proiectarea şi programarea sistemului informatic ar trebui să ţină seama de
securitate.
Valoarea activelor ICT ca fiind critice pentru activitate.
Un sistem critic este orice sistem a cărui performanţă sigură este crucială
pentru succesul performanţei organizaţiei în care este folosit, de ex serverul web al
unui magazin virtual ar fi considerat critic iar un procesor word folosit ocazional nu
ar fi.
În general putem suporta erorile din sistemele informatice. Putem reporni,
soluţiona problema sau chiar ne putem opri. Din nefericire, aceste răspunsuri nu
sunt acceptabile dacă se aplică următoarele:
• Defecţiunea pune în pericol viaţa oamenilor.
• Defecţiunea generează mari daune economice.
• Incapacitatea sistemului de a funcţiona ar fi social iresponsabilă.
Particularitatea acestui tip de sistem constă în faptul că misiunea sistemului
constă în motivul pentru care a fost creat. Defecţiunea acestuia este inacceptabilă.
Aceste sisteme sunt critice pentru sistem. Este posibilă recunoaşterea valorii
sistemului dacă adresăm următoarele întrebări:
• Ce se întâmplă dacă sistemul nu funcţionează corect timp de 1 minut / 1 oră / 1
zi / 1 săptămână (cât de repede trebuie corectat sistemul pentru evitarea daunelor)?
• Ce se întâmplă dacă se pierd datele de sistem?
• Ce se întâmplă dacă datele de sistem devin accesibile publicului?
Dacă o organizaţie poate derula activităţi dar este afectată termen limitat în
cazul producerii celor de mai sus, atunci sistemul nu este critic. Viteza şi acurateţea
sistemelor care furnizează informaţiile necesare sunt esenţiale pentru luarea
deciziilor.
Valoarea aspectelor de securitate ICT (confidenţialitate, integritate,
disponibilitate).
O relaţie de afaceri eficientă se bazează pe încrederea dintre partenerii de
afaceri, iar asigurarea securităţii este un element cheie. Aceasta se aplică oricăror
activităţi şi mai mult chiar în cazul derulate prin Internet precum eBusiness.
Confidenţialitatea este esenţială, nu oricine poate citi orice, de exemplu
facturi electronice, condiţii de vânzare, preţuri, etc.
Integritatea este cel mai important aspect în securitatea eBusiness. Este
necesară pentru câştigarea încrederii. Integritatea, legată de securitatea sistemului,
înseamnă că informaţiile pot fi accesate numai de persoanele autorizate. Datele cu
integritate nu sunt modificate sau distruse fără autorizare.
Datele adecvate trebuie să existe. Disponibilitatea datelor este de exemplu
dependentă de stabilitatea şi timpul de operare al sistemelor şi de posibilitatea
localizări mesajelor electronice. Este de încredere dacă societăţile (sau sistemele)
pot solicita confirmarea de primire şi notificarea primirii mesajelor de către
destinatar.
 Ameninţări la securitatea ICT.
Infracţiunile virtuale constau în infracţiuni specifice legate de computere şi
reţele şi de facilitarea infracţiunilor tradiţionale prin intermediul computerului (şi
anume pornografie juvenilă, furt de identitate şi conturi de card de credit). Separat,
mai există şi infracţiunile asistate de computer care se referă la utilizarea
computerelor de infractori pentru comunicare sau stocare de documente sau date. În
timp ce aceste activităţi în sine nu sunt ilegale, sunt deseori de valoare în
investigarea infracţiunilor. Tehnologia informatică prezintă multe noi provocări de
politică socială privind intimitatea, aceasta referindu-se la investigaţiile penale.
Furtul de identitate şi frauda de identitate sunt termeni utilizaţi pentru toate
tipurile de infracţiuni în care o persoană obţine nelegal şi utilizează datele
personale ale altei persoane prin fraudă sau înşelăciune, în general pentru câştiguri
materiale.
Spargerea de coduri este utilizarea neautorizată sau tentativa de a evita
mecanismele de securitate ale unui sistem informatic sau unei reţele. Poate fi şi o
ameninţare la computerul unui utilizator deoarece acesta îi poate asigura
spărgătorului de coduri control totala supra sistemului din care poate sustrage
informaţii delicate sau clasificate, distruge sau derula activităţi ilegale într-o reţea
sau sistem informatic.
Un keylogger sau dispozitiv de introducere coduri, sau sistem monitor, este
un hardware sau program care monitorizează fiecare cheie introdusă de utilizatori
pe tastatura unui anumit computer. Ca dispozitiv hardware, este un dispozitiv cu
baterie care serveşte drept conector între tastatura utilizatorului şi computer.
Deoarece seamănă cu o mufă de tastatură, este relativ uşor să fie ascuns la vedere.
Informaţiile tastate de utilizator sunt salvate ca text pe un hard drive în miniatură.
Ulterior, persoana care l-a instalat se poate întoarce şi îndepărta dispozitivul pentru
a avea acces la informaţiile stocate. Un astfel de program nu necesită accesul fizic
la computerul utilizatorului. Cineva care doreşte să monitorizeze activitatea unui
anumit computer îl poate descărca în acest sens sau poate fi descărcat accidental ca
parte a virusului Troian. Programul înregistrează fiecare tastă accesată de utilizator
şi încarcă informaţiile prin Internet în mod periodic.
Ameninţările instrumentelor de comunicare: MSN, Skype, etc. – recomandarea este
să nu accesaţi fişierele suspecte. Ameninţări de la navigatoare web: spy ware,
cookies etc. – configuraţi navigatorul web astfel încât să nu accepte cookies.
Posibile căi de intruziune.
Există canale posibile de intruziune care trebuie asigurate, tehnic şi uman:
• Wi-Fi - Wi-Fi este o tehnologie fără fir destinată perfecţionării interoperabilităţii
reţelelor locale fără fir. Aplicaţiile comune Wi-Fi includ accesul Internet şi VoIP,
jocurişi conectivitatea reţelei pentru electroinice de larg consum precum
televiziune, DVD player.
• VPN – reţeaua privată virtuală este o reţea de comunicaţii accesată prin altă reţea
şi destinată unei anumite reţele. O aplicaţie comună constă în asigurarea
comunicaţiilor prin Internetul public, dar o VPN nu trebuie să deţină trăsături
explicite de securitate, precum autentificarea sau încriptarea conţinutului.
• WLAN - LAN fără fir sau WLAN este o reţea locală fără fir, care leagă două sau
mai multe computere fără fir.
• Bluetooth - Bluetooth este specificaţia industrială pentru reţelele personale fără fir
(PAN). Bluetooth asigură conectarea şi schimbul de informaţii între dispozitive
precum telefoane mobile, uri, PC-uri, imprimante, camere digitale şi console de
jocuri video.
• Altele (şi anume angajaţii).
 Instrumente comune pentru asigurarea securităţii ICT.
Posibile instrumente de perfecţionare a securităţii ICT şi evitare a atacurilor
sunt următoarele soluţii:
• Antivirus software – este importantă actualizarea periodică.
• Firewall.
• Filtru Spam.
• Identificare/certificate electronice.
• Autentificare încriptată.
• Semnătură electronică sau identificare.
• Evitarea spy ware prin internet.
Cum să ne comportăm sigur?
Pentru asigurarea securităţii ICT în organizaţie, politica de securitate ICT
trebuie specificată. Se recomandă determinarea principalelor obiective de
implementare a proprietăţilor ICT. Politica de securitate ICT trebuie considerată
politică de informaţii şi de marketing. Se mai recomandă stabilirea metodelor de
rezolvare a securităţii în anumite cazuri (inclusiv analize de risc). O parte
importantă a politicii de securitate ICT este responsabilitatea fiecărui angajat.
Politica de securitate ICT include şi se referă la:
• Securitatea hardware şi software, care presupune şi include:
- Identificarea şi autentificarea.
- Ajustarea accesului.
- Infrastructura reţelei.
- Ştergerea activităţilor, software dubios (modificarea informaţiilor).
- Securitatea computerelor (desktop şi laptop).
• Securitatea comunicării de date include:
- Infrastructura reţelei.
- Securitatea accesului la internet.
- Încriptarea şi autentificarea telecomunicaţiilor.
- Nu se recomandă localizarea serverelor web în spaţiile societăţii.
• Securitatea fizică include:
- Securitatea clădirii, inclusiv protecţia serviciilor.
- Acces la computere şi surse de date (baze de date, sisteme informatice, etc.).
- Descoperirea şi raportarea ameninţărilor.
- Protecţie dispozitiv (ameninţări).
- Reglementarea serviciilor şi întreţinerii.
• Securitatea documentelor şi surselor de date (toate tipurile de transportator de
date) include cerinţe privind:
- Stocarea datelor.
- Livrarea datelor.
- Ştergerea datelor.
• Siguranţa procedurii eBusiness trebuie reglementată de reguli interne:
- Crearea copiilor de siguranţă.
- Crearea strategiei pentru situaţii specifice, planuri principale pentru cazuri
specifice.
- Instrucţiuni şi documentaţie pentru documentaţia politicii de securitate ICT.
- Instruirea şi asigurarea cunoaşterii de către angajaţi. Stabilirea modului de
reglementare a anunţării incidentelor de securitate (intruziuni, scurgeri de date) .
- Modalitatea sigură de utilizare a e-mail-ului – cerinţa principală este să nu se
deschidă sau acceseze ataşamentele dubioase. Nu publicaţi adresa de e-mail pe
situri web.
- Utilizarea şi păstrarea parolelor– reţineţi toate parolele (accesul la reţea şi
sistemele eBusiness).
- Identificare electronică – închideţi sesiunea.
- Stergerea sigură a datelor (nu trimiteţi fişierul numai la Recycle Bin)
 Imbunatatirea sistemelor de management pentru sistemele informatice.
Această lucrare este o scurtă informaţie referitoare la importanta securităţţii
sistemelor informatice pentru activitatea oricărui tip de organizaţie. Securitatea
informaţiei este caracterizată ca fiind cea care asigura şi menţine următoarele:
confidenţialitatea: asigurarea faptului că informaţia este accesibilă numai celor
autorizaţi să aibă acces; integritatea: păstrarea acurateţei şi completitudinii
informaţiei precum şi a metodelor de procesare; disponibilitatea: asigurarea faptului
că utilizatorii autorizaţi au acces la informaţie şi la resursele asociate atunci când
este necesar.
Lucrarea îşi propune prezentarea pe scurt a importanţei managementului
sistemelor informatice în contextul în care amploarea dezvoltării societăţii
informaţionale impune reglementarea legilor şi drepturilor pentru dezvoltarea
comerţului electronic, societăţii informaţionale revenindu-i rolul îmbunătăţirii
productivităţii şi calităţii vieţii. Potenţialul societăţii informaţionale (impactul
instaurării erei informatice constituie pentru epoca modernă ceea ce au însemnat
cronologic pentru omenire, descoperirea focului, fierului, petrolului etc) este în
continuă creştere datorită dezvoltării tehnologice şi a căilor de acces multiple.
În acest context, desfăşurarea în bune condiţii a activităţii securităţii
sistemelor informatice impune existenţa unui sistem IT funcţionabil.
Managementul securităţii sistemelor IT constituie un factor hotărâtor in buna
desfăşurare a activităţii unei companii, pentru asigurarea protecţiei datelor şi a
efectuării de tranzacţii electronice în condiţiile în care activitatea celor mai multe
instituţii, întreprinderi depinde în proporţie de circa 67 % de propriul lor sistem
informatic. Se pot enumera printre principalele mijloace tehnice implementate de
întreprinderile societăţii moderne a căror activitate nu se poate desfăşura optim fără
un sistem informatic bine pus la punct: programe antivirus, salvare a datelor,
instruire referitoare la importanţa implementării şi urmăririi măsurilor de securitate.
 În lucrare sunt prezentate pe scurt elemente de standardizare internatională in
domeniul managementului securităţii sistemelor informatice, standardizarea
internaţională constituind un factor important în stabilirea şi managementul
securităţii informaţiei.
Deci societatea informaţională impune:
• reglementarea legilor şi drepturilor pentru dezvoltarea comerţului electronic
• îmbunătăţirea productivităţii şi calităţii vieţii.
Impactul instaurării erei informatice constituie pentru epoca modernă ceea ce
au însemnat cronologic pentru omenire, descoperirea focului, fierului, petrolului
etc) este în continuă creştere datorită dezvoltării tehnologice şi a căilor de acces
multiple.
Desfăşurarea în bune condiţii a activităţii securităţii sistemelor informatice
impune existenţa unui sistem IT funcţionabil
Managementul securităţii sistemelor IT constituie un factor hotărâtor în buna
desfăşurare a activităţii unei companii, pentru asigurarea protecţiei datelor şi
efectuarea de tranzacţii electronice în condiţiile în care activitatea celor mai multe
instituţii, întreprinderi depinde în proporţie de circa 67 % de propriul lor sistem
informatic.
Întreprinderile societăţii moderne nu-şi pot desfăşurea activitatea optim fără
un sistem informatic bine pus la punct, ceea ce implică: programe antivirus;
programe de salvare a datelor ; instruire referitoare la importanţa implementării;
urmărire a măsurilor de securitate.
Elemente de standardizare internatională în domeniul managementului
securităţii sistemelor informatice sunt cuprinse în :
– standardul ISO/CEI 13335: Information technology- Guidelines for the
management of IT-Security – cuprinde recomandări cu privire la analiza riscului
pentru companii (Common Criteria);
– standardul ISO/CEI 17799: Information technology- Code of practice for
information security management – se referă la implementarea politicii de
securitate (SMSI) şi la managementul acestuia;.
– standardul ISO/CEI 17799:2000 – se referă la codul practicilor SMSI;
– standardul britanic BS 7799-2:2002 – se referă la cerinţe şi la managementul
sistemului de securitate.
– standardul ISO/CEI 17799:2000 – precizează recomandări pentru managementul
securităţii informaţiei pentru a putea fi folosite de către cei responsabili cu iniţierea,
implementarea sau menţinerea securităţii în organizaţia lor pentru a exista control
asupra tehnicii şi procedurilor;
– seria de standarde ISO 15408: Information technology- Evaluation criteria for IT
security – se referă la evaluarea securităţii sistemelor informatice prin mijloace
tehnice adecvate, standardul definind criterii de evaluare şi certificare pe baza
cărora vor fi evaluate şi certificate profilurile de protecţie.
Sunt de menţionat următoarele:
–existenţa politicii de securitate trebuie dovedită printr-un document obiectiv care
explică ce se aşteaptă de la organizaţie;
–informaţia este un un bun economic care trebuie protejat şi securizat. Nu există
cerinţe absolute;
–TŰVIT-Germania este singura organizaţie acreditată pentru certificarea sistemelor
de securitate în domeniu.
Securizarea sistemului de Tehnologia Informaţiei este importantă pentru:
–dezvoltarea încrederii ceea ce dă posibilitatea întocmirii unor contracte economice
pentru tranzacţiile on-line;
–identificarea informaţiilor critice şi stabilirea claselor de criticitate;
–optimizarea costurilor într-o companie care lucrează în regim securizat;
– asigurarea cerinţelor legale referitoare la securitatea informaţiilor.
–educaţia şi instruirea;
– raportarea incidentelor;
– planificarea continuă.
În continuare se vor sublinia câteva din cele mai importante aspecte din
standardul ISO/CEI 17799. Acest standard asigură un cadru comun pentru
dezvoltarea standardelor organizaţionale de securitate şi pentru o practică efectivă
de management al securităţii informaţiei .
Standardul precizează pentru început:
– Ce este securitatea informaţiei?
– De ce este necesară securitatea informaţiei?
– Cum se stabilesc cerinţele de securitate
– Evaluarea riscurilor de securitate
– Selectarea controalelor
– Punct de plecare pentru securitatea informaţiei
– Factori critici de succes
– Dezvoltarea propriilor linii directoare
Un aspect important al securităţii sistemelor informatice îl constituie
stabilirea politicii de securitate, care este documentul prin care se specifică politica
de securitate a informaţiei şi care trebuie permanent supusă unei politici de:
revizuire şi evaluare.
Referitor la securitatea organizaţională sunt importante de avut în vedere
următoarele aspecte:
–infrastructura securităţii informaţiei;
–constituirea unei comisii pentru managementul securităţii informaţiei ;
–coordonarea securităţii informaţiei;
–alocare a responsabilităţilor pentru securitatea informaţiei;
–procesul de autorizare pentru utilităţile de procesare a informaţiei;
–consilierea din partea unui specialist în securitatea informaţiei ;
–cooperarea între organizaţii;
–revizuirea independentă a securităţii informaţiei;
–securitatea accesului terţilor;
–identificarea riscurilor în cazul accesului terţilor;
–cerinţele de securitate în contractele cu terţii.
O instituţie în care urmează a se implementa sistemul de management al
securităţii informaţiei trebuie să înceapă cu clasificarea şi controlul activelor, ceea
ce înseamnă:
– stabilirea responsabilităţii pentru active;
– realizarea inventarului tutor activelor din organizaţie;
– clasificarea informaţiei;
– stabilirea de îndrumări pentru clasificare;
– etichetarea şi gestionarea informaţiei.
Asigurarea securităţii personalului implică:
– securitate în definire;
– instruire utilizatori;
– răspuns la incidente de securitate sau acţiuni.
Managementul comunicaţiilor şi funcţionării implică:
– proceduri şi responsabilităţi operaţionale;
– planificarea şi acceptabilitatea sistemului;
– protecţia împotriva software-ului maliţios.
Alte aspecte importante de care trebuie să se ţină cont în implementarea
managementului securităţii sistemelor informatice sunt cele privind: mentenanţa;
managementul reţelei; operarea şi securitatea mediilor de stocare; schimburile de
informaţie şi software; controlul accesului.
 Îmbunătăţirea calităţii managementului sistemelor informatice implică:
asigurarea securităţii sistemelor informatice pentru domeniul financiar; asigurarea
sănătăţii; telecomunicaţii; furnizarea de soluţii soft; activitatea organizaţiilor
guvernamentale precum şi a celor non-profit şi în menţinerea siguranţei naţionale
Securitatea informaţiei este vectorul care integrează axele principale:
confidenţialitate; integritate; disponibilitate.