ACADEMIA ROMN INSTITUTUL NAIONAL DE CERCETRI ECONOMICE Centrul de Foresight i Management de Proiecte i Programe de Cercetare

V. Program interdisciplinar de prevenire a fenomenelor cu risc major la scar naional. Program fundamental al Academiei Romne - coordonator Acad. Florin Gheorghe Filip -

Tema 48. Riscuri asociate utilizrii inadecvate a tehnologiilor societii informaionale

Subtema 48.3. Riscuri ale utilizrii inadecvate a sistemelor informatice
Asist. drd. ing. Ana Maria Suduc

INTRODUCERE ......................................................................................................................3 1. CLASIFICRI ALE RISCURILOR UTILIZRII INADECVATE A SISTEMELOR INFORMATICE.......................................................................................................................4 2. RISCURILE UTILIZRII INTENIONAT INADECVATE A SISTEMELOR INFORMATICE.....................................................................................................................11 2.1. 2.2. 2.2.1. 2.2.2. 2.2.3. 2.2.4. 2.2.5. 2.2.6. ACTE NORMATIVE ........................................................................................................ 12 ASPECTE ETICE ALE UTILIZRII SISTEMELOR INFORMATICE ................................................ 14 OBLIGAIILE FA DE SOCIETATE .................................................................................. 15 OBLIGAIILE FA DE ANGAJATOR ................................................................................. 16 OBLIGAIILE FA DE CLIENI....................................................................................... 16 OBLIGAIILE FA DE COLEGI ....................................................................................... 17 OBLIGAIILE FA DE ORGANIZAIE ............................................................................... 17 OBLIGAIILE FA DE PROFESIE .................................................................................... 18

3. RISCURILE UTILIZRII NEINTENIONAT INADECVATE A SISTEMELOR INFORMATICE.....................................................................................................................20 PROBLEME LEGATE DE UTILIZATOR ................................................................................ 20 ERORILE UMANE.......................................................................................................... 20 RISCURI DE COMPORTAMENT ........................................................................................ 24 PROBLEME DE SISTEM .................................................................................................. 26 UTILIZAREA INADECVAT A SISTEMELOR INFORMATICE DATORIT INTERFEELOR CU UTILIZATORUL NECORESPUNZTOARE ........................................................................................... 28 3.3.1. UTILIZABILITATE ......................................................................................................... 29 3.3.2. TEHNICA THEA .......................................................................................................... 30 3.4. ALTE RISCURI .............................................................................................................. 31 3.1. 3.1.1. 3.1.2. 3.2. 3.3. 4. MSURI I ACIUNI PREVENTIVE I DE CONTROL..............................................34 4.1. 4.1.1. 4.1.2. 4.1.3. 4.1.4. 4.1.5. 4.2. 4.3. 5. MSURI PREVENTIVE I DE CONTROL .............................................................................. 34 POLITICI DE SECURITATE .............................................................................................. 35 INSTRUIRE I INFORMARE ............................................................................................. 36 MONITORIZARE I CONTROL .......................................................................................... 37 IMPLEMENTAREA DE TEHNOLOGII PREVENTIVE DE SECURITATE ......................................... 38 COOPERARE ............................................................................................................... 39 MANAGEMENTUL RISCULUI ........................................................................................... 39 INTEGRAREA MANAGEMENTULUI RISCULUI N CICLUL DE VIA A SISTEMULUI INFORMATIC ... 41 PROFILUL PARTICIPANILOR ......................................................................................... 45 RISCURI DE COMPORTAMENT ........................................................................................ 46 CONTIENTIZAREA RISCURILOR ..................................................................................... 49

REZULTATE I DISCUII ..........................................................................................45 5.1. 5.2. 5.3.

CONCLUZII ..........................................................................................................................55 BIBLIOGRAFIE ....................................................................................................................57

Introducere
Evoluia tehnologiilor informaiei i a comunicaiilor din ultimii ani a dus la ptrunderea acestora n majoritatea sectoarelor de activitate, ducnd la o dependen din ce n ce mai mare de calculator. Aceast utilizare sporit a sistemelor informatice duce i la o expunere la o gam foarte larg de riscuri. Riscul (Marcu, 2000) reprezint un eveniment probabil, generator de pierderi; pericol posibil. Riscul, precum frumuseea, st n ochiul privitorului (Rasmussen, 2006). Definiiile i punctele de vedere asupra riscului difer n cadrul unui companii, att de la un departament la altul ct i n cadrul aceluiai departament. Riscurile asociate utilizrii sistemelor informatice reprezint mult mai mult dect riscurile de securitate i includ riscuri de proiect, de arhitectur, legate de furnizori, de satisfacerea clienilor, etc. Managementul riscului IT trebuie s fac parte din managementul riscului din orice organizaie. Managementul riscului reprezint procesul de identificare, evaluare a riscului i de luare de msuri pentru reducerea acestuia la un nivel acceptabil. Riscurile utilizrii inadecvate a sistemelor informatice pot fi privite din dou puncte de vedere: utilizarea inadecvat a sistemelor informatice ca o consecin a unor riscuri manifestate sau ca o cauz generatoare de riscuri. Din prima perspectiv, utilizarea inadecvat poate avea, n majoritatea cazurilor, dou cauze: sistemul informatic este neconform cu cerinele activitii desfurate (are probleme de funcionalitate) sau/i utilizatorul nu are cunotinele necesare pentru o utilizare corespunztoare. Cea de-a doua perspectiv, subiectul a numeroase materiale din literatur, utilizarea inadecvat a sistemelor informatice creeaz premisele unor posibile pierderi. Scopul securitii sistemelor informatice l reprezint protejarea intereselor celor care depind de sistemele informatice de daunele care pot rezulta din eecul asigurrii accesibilitii, confidenialitii i integritii informaiilor.

1. Clasificri ale riscurilor utilizrii inadecvate a sistemelor informatice

Dezvoltarea tehnologic, problemele tehnice, evenimentele extreme de mediu, condiiile dificile de lucru, mediul social, politic i economic pot influena utilizarea corespunztoare a sistemelor informatice (OECD, 1992). n 2007, Symantec grupa riscurile IT cu care se confrunt organizaiile, n ultimii ani, n patru categorii: riscuri de securitate, de accesibilitate, de performan i de conformitate. Riscurile de securitate se refer la ameninrile interne sau externe care pot rezulta n urma accesului neautorizat la informaii: scurgeri de date, fraud, etc. Aceste riscuri includ att ameninri externe generale, precum viruii, ct i atacuri direcionate asupra unor tipuri speciale de aplicaii, anumii utilizatori sau anumite informaii de exemplu atacurile pentru furturi de bani sau atacurile asupra unor sisteme importante n viaa de zi cu zi. Riscurile de accesibilitate se refer la posibilitatea inaccesibilitii informaiei datorat unor ntreruperi neplanificate a sistemului. Fiecare organizaie trebuie s aib n vedere reducerea riscurilor de pierdere sau corupere a datelor. De asemenea trebuie avute n vedere, n cazul unui dezastru, posibilitile de recuperare a datelor n timp util. Riscurile legate de performan se refer la posibilitatea inaccesibilitii informaiei datorit limitrilor de scalabilitate. Trebuie avute n vedere necesitile tehnice cantitative i de performan pentru a face fa n situaiile de maxim, dar pentru a minimiza costul trebuie evaluate optim resursele pentru a evita cheltuielile inutile. Riscurile de conformitate se refer la nclcarea reglementrilor sau politicilor interne ale companiei. Aceste patru categorii de riscuri sunt interconectate, astfel, n politica de minimizare i management a riscurilor, ele trebuie privite ca un ansamblu (Symantec, 2007).

S-a constatat (DArcy, 2005; Manrique de Lara, 2007, Gawde, 2004) c dei atenia companiilor este ndreptat ctre riscurile externe (virui, atacuri de tip hacking, etc.), un procent care uneori depete 50% din totalul riscurilor, l reprezint ameninrile din interiorul companiilor (angajaii). Pornind de la aceast idee, o clasificare a riscurilor, dup surs, poate fi: (1) riscuri externe companiei i (2) riscuri interne. O alt clasificare ar putea fi fcut, dup intenia utilizatorului, dup cum urmeaz: Riscuri ale utilizrii intenionat inadecvate a sistemelor informatice Riscuri ale utilizrii neintenionat inadecvate a sistemelor informatice

Dexter (2005) clasifica utilizrile necorespunztoare a sistemelor informatice de ctre angajai, furniznd i o serie de exemple: Ameninri i hruiri sexuale nsuirea pe nedrept de secrete comerciale Fraude legate de operaiile companiei Diseminarea de informaii confideniale Sabotaj Alte utilizri inadecvate (nclcri ale dreptului de autor, etc.)

Categoriile de angajaii care utilizeaz necorespunztor sistemele informatice ale organizaiilor din care fac parte sunt de la angajai cu intenii bune care practic o securitate slab pn la angajai cu intenii rele care comit crime serioase. Tipurile de utilizri necorespunztoare sunt i ele de la nclcri ale securitii, la nclcri etice pn la infraciuni severe. n evaluarea unei utilizri necorespunztoare apar urmtoarele ntrebri: Angajatul tia c aciunea sa e mpotriva regulilor i totui a realizat-o? Dac utilizarea necorespunztoare a fost intenionat, aceasta a fost motivat de curiozitate, de provocarea intelectual de manipulare a unui sistem protejat, ctig personal fr intenia de a rni pe cineva, ctig personal cunoscnd efectele negative asupra altora sau asupra organizaiei sau efortul intenionat de a face ru altora sau companiei? Ct de grav este rul potenial sau real? Ce sugereaz comportamentul angajatului despre posibilitatea crerii de probleme n viitor? (ADR, 1999)

n evaluarea angajailor care au folosit necorespunztor un sistem informatic, trebuie avute n vedere cteva caracteristici de personalitate. Utilizarea necorespunztoare reprezint o parte dintr-o tendin general de a ignora regulile, de comportament iresponsabil sau indiferen fa de securitate. Utilizarea necorespunztoare reprezint o parte dintr-o atitudine general rzbuntoare. Sistemele informatice reprezint att un mijloc ct i o int n exprimarea resentimentelor, a furiei sau urii unor persoane care se consider victime a unui ef nedrept sau a birocraiei. Sistemul este utilizat necorespunztor de individ cu scopul de-i mbunti ncrederea n sine, pclindu-i pe alii. Acesta acceseaz sisteme protejate pentru propria satisfacie, demonstrnd c o poate face, fiind astfel mndru de reuit. Utilizarea necorespunztoare este vzut ca un joc, ca o provocare intelectual, prin care demonstreaz inteligen i superioritate. Aceast atitudine este periculoas i poate prevesti i viitoare utilizri necorespunztoare. Aceste caracteristici sugereaz c o astfel de atitudine poate face parte dintr-un model de comportament care reprezint mult mai mult dect o simpl abatere. n aceste cazuri, aceste utilizri necorespunztoare ar trebui s fie evaluate i n cadrul altor domenii relevante: conduit personal, violri de securitate, conduit penal, tulburri emoionale, mentale i de personalitate (ADR, 1999). Indiferent de intenie, utilizarea necorespunztoare a sistemelor informatice duce la pierderea productivitii, pierderea de sume importante i la eventuale probleme juridice. Gawde n 2004 prezenta o serie de utilizri necorespunztoare a sistemelor informatice de ctre angajai, considernd urmtorii factori: a) Primul factor identificat de Gawde l constituia sistemele de tip Desktop. Calculatoarele folosite n organizaii de tip Desktop, sistemele de operare uor de utilizat, cu multiple faciliti, favorizeaz instalarea de aplicaii, depozitarea de informaii personale i executarea de aplicaii necorespunztoare activitii companiilor (jocuri, aplicaii multimedia, etc.). De asemenea multitudinea de aplicaii de acces Internet permit angajailor activiti de tip chat, jocuri interactive, pornografie, navigare pe site-uri care nu au legtur cu activitatea companiei (sport,

divertisment, pot electronic personal, etc.). Toate acestea duc la scderea productivitii i la pierderi n cadrul companiei. b) Breele de securitate. Sistemele informatice i reelele de calculatoare sunt adesea nesigure deoarece sunt centrate pe funcionalitate i nu pe securitate. Majoritatea organizaiilor i centreaz activitile de securitate pe riscurile externe, dar, aa cum s-a prezentat n capitolul anterior, de foarte multe ori atacurile provin din interior, de la angajai. Datorit accesului facil la instrumente de tip hacking, unii angajai pot gsi modaliti ingenioase de accesare a datelor confideniale ale organizaiei. De asemenea breele pot aprea i accidental (de exemplu ataarea altor fiiere dect cele dorite la mesajele de pot electronic sau trimiterea mesajelor unor destinatari greii). Alte exemple de lips a simului securitii sunt partajarea de directoare, alegerea de parole uor de ghicit, comunicarea altor persoane a parolelor, lsarea pe Desktop a unor fiiere importante, etc. c) Limea de band. Organizaiile au nevoie de instrumente de gestiune a limii de band disponibile pentru a o distribui n concordan cu necesitile i politicile organizaionale, pentru a optimiza activitile. n lipsa unui astfel de management de band pot aprea situaii cnd unii angajai acceseaz online clipuri video i muzic, ocupnd banda, astfel nct, n acelai timp ali angajai nu mai pot accesa informaii critice pentru companie. d) Aspecte juridice. Transferul sau afiarea de coninut sexual explicit prun intermediul calculatoarelor de la birou poate crea un mediu ostil la locul de munc. Companiile pot fi trase la rspundere atunci cnd angajaii lor folosesc Internetul necorespunztor, de exemplu transmiterea de mesaje ofensatoare. Majoritatea angajailor cu tiu c angajatorii sunt legal rspunztori de daunele provocate de distribuirea de materiale ofensatoare la locul de munc. Datorit instalrii i utilizrii de software ilegal de ctre angajai, compania poate plti daune juridice. Legile din multe ri prevd c angajatorul trebuie s controleze comportamentul angajailor i utilizarea necorespunztoare a bunurilor sale informatice. Pe baza unor studii realizate de diferite instituii Gawde prezenta n 2004 un tabel cu statistici ale utilizrii necorespunztoare a sistemelor informatice, n particular a Internetului, la locul de munc de ctre angajai.

Utilizri necorespunztoare Generale De tip Hacking

Descriere 30% din activitile de navigare pe web nu sunt legate de munc (studiu IDC). 75% dintre companii consider angajaii ca surs probabil de atacuri de tip hacking. 45% dintre companii au raportat acces neautorizat din interior (CSI/FBI, 2003).

Mesageria instant Aplicaii de tip P2P Ilegale

Exist peste 43 milioane de angajai care folosesc necorespunztor mesageria instant la locul de munc (IDC, 2003). 45% dintre fiierele executabile descrcate prin reeaua P2P Kazaa conin cod virusat (TrueSecure, 2004). O companie poate plti 150 mii de dolari pe lucrare, pentru c a permis angajailor s descarce prin intermediul reelei companiei materiale cu drepturi de autor (RIAA, 2003). 27% dintre companiile din topul 500 al celor mai mari companii au avut procese de hruire sexual datorate utilizrii necorespunztoare a sistemelor informatice de ctre angajai (American Management Association).

Pornografie Spyware Clipuri media online

70% dintre materialele pornigrafie sunt descrcate n intervalul orar 9 am - 5 pm (SexTrackers). 30% dintre companii au detectat aplicaii de tip spyware n reeaua proprie (Websense UK, 2003) 77% din traficul audio online a posturilor de radio din timpul sptmnii se realizeaz n intervalul orar 9am-5pm (Arbitron, 2004) 44% dintre angajai folosesc clipuri media online (NielsonNetRatings).

Tabelul 1. Statistici privind utilizarea necorespunztoare a Internetului la locul de munc (Gawde, 2004)

Clasificarea Sherer&Alter Sherer i Alter, n 2004, n ncercarea de a clasifica factorii de risc asociai sistemelor informatice, ridicau urmtoarele probleme: Care este relaia dintre diferiii factori de risc? De ce o list particular a factorilor de risc ar putea fi privit ca fiind acceptabil de cuprinztoare?

Cum pot fi organizai factorii de risc, ntr-un mod semnificativ, astfel nct s ajute managerii s identifice i s atenueze riscurile?

Cei doi autori sesizau c majoritatea factorilor de risc asociai sistemelor informatice se aplic n etapele de dezvoltare a acestor sisteme dect n etapa de operare, de utilizare efectiv. Sherer i Alter au analizat 46 de articole semnificative n domeniu i au ajuns la concluzia c literatura legat de riscurile sistemelor informatice conine un set divers de modele de risc care se suprapun parial, de liste, fr fundament teoretic, de factori i componente de risc. Riscul asociat unui sistem informatic e vzut ca riscul privind lucrrile realizate ntr-un interval de timp. Riscul se refer, n esen la incertitudinea performanei lucrrilor i a rezultatelor obinute. Sherer i Alter identificau, n articolele analizate, mai multe conceptualizri ale riscului: componente de risc diferite tipuri de rezultate negative, factori de risc care duc la pierderi sau surse de factori de risc, riscul ca probabilitate a obinerii de rezultate negative, riscul ca dificultate de estimare a rezultatelor, riscul nedefinit discutat sub termeni precum problem sau ameninare. Componente de risc diferite tipuri de rezultate negative. Aceast categorie include o list lung de rezultate negative. Exemple: riscuri de funcionalitate (sistemul nu are funcionalitatea dorit), riscuri de securitate (sistemul nu e securtizat), etc. Factori de risc care duc la pierderi sau surse de factori de risc. Sherer i Alter definesc factorii de risc ca factori a cror prezen cresc probabilitatea obinerii de rezultate negative. n aceast categorie se ncadreaz factori precum: noutatea tehnologic, lipsa de expertiz, complexitatea aplicaiei, etc. Riscul ca probabilitate a obinerii de rezultate negative. Multe din articolele analizate de cei doi autori sugereaz c riscul ar trebui msurat ca o distribuie de probabilitate a rezultatelor negative, adesea vzute ca pierderi financiare. Sherer i Alter clasificau factorii de risc care au legtur cu sistemele informatice pornind de la ideea de sistem de lucru (work system). Sistemul de lucru este un sistem n care participani umani i/sau calculatoare (autorii folosesc termenul generic de maini) lucreaz folosind informaii, tehnologii i alte resurse pentru a obine produse i/sau servicii pentru clieni interni sau externi companiei. Aceti factori, identificai de autori n literatura de specialitate, sunt prezentai avnd n

vedere nou elemente care definesc un sistem de lucru: practici de lucru, participani, informaii, tehnologii, produse i servicii, clieni, mediu, infrastructur, strategii.

10

2. Riscurile utilizrii intenionat inadecvate a sistemelor informatice

Conform unui studiu realizat de Ernst and Young (Gar, 2004, citat de Manrique, 2007), incidentele de securitate pot costa companiile ntre 17$ i 28 de milioane $ pentru fiecare incident. Un factor important n cadrul acestor incidente l reprezint utilizarea necorespunztoare a sistemelor informatice de ctre angajai. Utilizarea inadecvat a sistemelor informatice de ctre angajai poate conduce la scderea productivitii, pierderea de venituri, probleme juridice, etc. S-a constatat n urma analizelor comportamentului deviant la locul de munc (Deviant Workplace Behaviour) c angajaii care consider nedreapt atitudinea angajatorilor sunt predispui spre manifestri necorespunztoare. Privit ca un comportament deviant la locul de munc, utilizarea necorespunztoare a sistemelor informatice poate avea, n unele situaii, drept cauz atitudinea angajatorului. n cadrul unui studiu1 realizat n 2005 (DArcy, 2005), un numr mic de angajai au declarat c ar utiliza intenionat ntr-un mod necorespunztor sistemul informatic al companiei din care fac parte. Dei s-a raportat o intenie sczut, rezultatul sugereaz c organizaiile sunt vulnerabile n faa atacurilor interne. Scopul studiului a fost de determina dac existena politicilor de securitate, instruirea pentru securitate, monitorizarea calculatoarelor i utilizarea aplicaiilor de securitate de prevenire sunt eficiente pentru reducerea/eliminarea cazurilor de utilizare inadecvat a sistemelor informatice instituionale. Pornind de la ideea c succesul securitii sistemelor informatice depinde n mare parte de modul de aciune al utilizatorilor, analiza s-a realizat din perspectiva angajatului, utilizatorului final. Rezultatele acestui studiu au artat c fiecare dintre msurile prezentate mai sus e eficient n descurajarea utilizrii inadecvate a sistemelor informatice de ctre angajai. De asemenea nivelul de implementare al acestor msuri variaz de la o industrie la alta. S-a constatat c cea mai puin utilizat msur este instruirea angajailor pentru securitate.

Studiul a fost realizat n 2004 n SUA de ctre Computer Security Institute i Computer Intrusion Squad din cadrul Biroului Federal de Investigaii (Federal Bureau of Investigation). La studiu au participat 494 de angajai din domeniu IT din companii, agenii guvernamentale, instituii financiare, medicale i universitare.

11

n Romnia, n 20052, cea mai mare parte a companiilor mari erau contiente de riscurile la care sunt supuse i evaluau importana factorilor de risc astfel: 34% comportamentul angajailor, 23% malware (virui, spam, spyware, etc), 12% configurarea inadecvat a sistemelor IT, 9% furtul i producerea unui dezastru, 8% hackerii, 6% accesul neautorizat n reele iar 8% nu pot identifica factorul principal de risc. 2.1. Acte normative

nc din anii 70 au fost create legi cu privire la infraciunile posibile n utilizarea calculatoarelor i a sistemelor informatice. Iniial acestea se refereau la utilizarea sistemelor de sine stttoare, neconectate ntr-o reea (de exemplu Computer Misuse Act3), ulterior fiind extinse pentru a lua n considerare i sistemele interconectate. Convenia privind criminalitatea informatic (The Convention on Cybercrime4) e primul tratat internaional care ncearc abordarea criminalitii informatice, a criminalitii prin intermediul Internetului sau al altor reele de calculatoare prin armonizarea legislaiilor naionale, mbuntirea tehnicilor de investigaie i creterea cooperrii ntre naiuni. Convenia a fost semnat n 2001 i a intrat n vigoare n 2004. n 2006, 16 state, din Uniunea European sau din afar, semnaser, ratificaser i aderaser la convenie, printre care i Romania5, iar 27 de state doar o semnaser6. n 2006 a intrat n vigoare Protocolul adiional la Convenia privind criminalitatea informatic. Convenia privind criminalitatea informatic a fost publicat n 2004 n Romnia, n Monitorul Oficial, Partea I nr. 343 din 20/04/2004, seria Tratatelor Europene nr. 185. Convenia vizeaz infraciuni mpotriva confidenialitii, integritii i disponibilitii datelor i sistemelor informatice (accesarea ilegal, interceptarea ilegal, afectarea integritii datelor, afectarea integritii sistemului, abuzurile asupra dispozitivelor), infraciuni informatice (falsificarea informatic, frauda informatic) infraciuni referitoare la coninut (infraciuni referitoare la pornografia infantil),
2

Studiul a fost realizat n 2005 de ctre firma GECAD NET mpreun cu compania de consultan Avantera pe un eantion ce cuprindea primele 16.000 companii din Romania, companii ce au realizat n 2005 peste 80% din PIB. 3 http://www.opsi.gov.uk/acts/acts1990/UKpga_19900018_en_1.htm 4 http://conventions.coe.int/Treaty/EN/Treaties/Html/185.htm 5 http://conventions.coe.int/Treaty/Commun/ChercheSig.asp?NT=185&CM=1&DF=9/2/2006&CL=ENG 6 http://www.scmagazineuk.com/Senate-ratification-of-cybercrime-treaty-praised/article/33764/

12

infraciuni referitoare la atingerile aduse proprietii intelectuale i drepturilor conexe i alte forme de rspundere i de sancionare (tentativa i complicitatea, rspunderea persoanelor juridice, sanciuni i msuri).

Fig. 1. Principalele titluri din Convenia privind criminalitatea informatic Un alt cat legislativ la nivel european l reprezint Declaraia privind libertatea comunicrii pe Internet adoptat la Strasbourg n 2003 de Comitetul de Minitri al Consiliului Europei la cea de a 840-a reuniune a Minitrilor Adjunci. Aceast declaraie conine o serie de principii (regulile coninutului pe internet, autoreglementarea i co-reglementarea, absena unui control anterior al statului, nlturarea barierelor privind participarea persoanelor la societatea informaional, libertatea de furnizare a serviciilor prin internet, responsabilitate limitat a furnizorilor de servicii pentru coninutul de pe internet, anonimatul) cu privire la libertatea de exprimare i libera circulaie a informaiei pe Internet fr prejudicierea demnitii umane, drepturilor omului i libertilor fundamentale.

13

n Romnia, dup anul 2000, ca n toate rile dezvoltate sau n curs de dezvoltare, au fost adoptate o serie de acte normative care cuprind o arie larg din activitile care implic utilizarea sistemelor informatice. Acestea fac referire la: comerul electronic, dreptul de autor, semntura electronic, plile electronice, publicitatea online, viaa privat (protecia datelor cu caracter personal), criminalitatea informatic, pornografia pe Internet, comunicaiile electronice. 2.2. Aspecte etice ale utilizrii sistemelor informatice

innd cont de ptrunderea sistemelor informatice n aproape toate domeniile, utilizatorii trebuie s recunoasc faptul c aciunile lor sau neimplicarea lor ar putea provoca daune altora. Conduita etic este, prin urmare, crucial i participanii ar trebui s depun eforturi pentru a dezvolta i adopta cele mai bune practici i de a promova o conduit care recunoate i respect nevoile de securitate a intereselor legitime ale altora (OECD, 2002). Etica cuprinde alegerile morale ale indivizilor n relaiile cu comunitatea, standardele acceptate de comportament (Lynch, 2000) i/sau ansamblul normelor de conduit moral corespunztoare ideologiei unei anumite clase sau societi (Marcu, 2000). Etica utilizrii sistemelor informatice cuprinde aspecte morale legate controlul i accesul la informaii, confidenialitate i consideraii internaionale (Lynch, 2000). Dei legi cu privire la sistemele informatice au aprut n anii 70, preocupri cu privire la aspectele etice au existat nc din anii 60 datorit utilizrii crescute a calculatoarelor n universiti i companiile mari (Oz, 1992). Deoarece nu existau legi n acea perioad, specialitii din organizaii au creat propriile lor coduri etice. Unele preocupri etice au stat la baza unor legi noi sau amendamente. Altele vor fi poate abordate de legislaia viitoare. Totui multe aspecte vor rmne la latitudinea fiecrui utilizator de sisteme informatice. Multe grupuri de utilizatori au adoptat coduri etice. Centrul pentru Studiul Eticii Profesionale (Center for the Study of Ethics in the Professions) de la Institutul Tehnologic din Illinois prezint pe propriul site7 liste cu diferite coduri etice din diverse domenii profesionale. n domeniul tiinei Informaiilor i Calculatoarelor au fost identificate 46 de coduri etice. Aceste coduri

http://ethics.iit.edu/codes/Introduction.html

14

au fost elaborate de diverse asociaii, universiti, centre, etc. i au fost adunate i oferite pe site de ctre centru n cadrul proiectului Coduri Etice Online. Pe acelai site sunt prezentate i diverse opinii pro i contra ale unor specialiti cu privire la necesitatea existenei unor coduri de etic profesional. Spre exemplu, John Ladd considera c e o greeal s se presupun c exist o etic profesional special care e diferit de etica uman normal ntr-o societate moral. El preciza c specialitii dintr-un anumit domeniu nu au drepturi sau obligaii diferite de cele ale unei persoane morale, deci codurile etice sunt inutile. Heinz Luegenbiehl afirma c aceste coduri etice au un impact social, deoarece, n acest mod grupul profesional recunoate obligaiile fa de societate, dar considera ca aceste coduri adesea creeaz probleme morale dect le rezolv. n 1992, Oz observa c spre deosebire de alte grupuri de specialiti (ex. avocaii sau medicii), specialitii IT nu au un cod etic comun nici pn astzi. El analiza i compara codurile etice adoptate de cinci organizaii profesionale, n sperana inspirrii unui cod etic comun pentru ntreaga comunitate IT. Cele cinci organizaii sunt: Data Processing Management Association (redenumit n 1996 n Association of Information Technology Professionals8), Institute for Certification of Computer Professionals9, Association for Computing Machinery10, Canadian Information Processing Society11 i British Computer Society12. Oz a analizat aceste coduri de etic profesional din perspectiva a ase tipuri de obligaii ale specialitilor IT: obligaiile fa de societate, angajator, clieni, colegi, organizaie i profesie. n continuare sunt prezentate parial concluziile acestei analize. 2.2.1. Obligaiile fa de societate Un profesionist trebuie ntotdeauna s ia n considerare bunstarea populaiei, atunci cnd efectueaz activitile sale de lucru. Sistemele informatice au un mare impact asupra securitii publice, confidenialitii i intereselor economice. Teoriile etice acceptate cer ca n cazul unui conflict de obligaii, binele comun ar trebui s favorizat. Cu alte cuvinte binele publicului larg ar trebui, de obicei, s fie pus naintea intereselor unor grupuri mici.
8 9

http://www.aitp.org/ http://www.iccp.org/ 10 http://www.acm.org/ 11 http://www.cips.ca/ 12 http://www.bcs.org/

15

La acest capitol, Oz prezenta o list de aciuni, comun celor cinci coduri etice, pe care ar trebui s le ntreprind specialistul IT. El ar trebui: S educe publicul cu privire la tehnologiile informaionale; S protejeze confidenialitatea datelor; S evite reprezentarea greit a tehnologiilor informaionale; S se supun legilor; S nu i asume realizrile altora.

2.2.2. Obligaiile fa de angajator Un angajat e pltit de angajator s ndeplineasc o serie de sarcini la cel mai nalt nivel al cunotinelor i abilitilor sale. Protejarea interesului angajatorului reprezint ceea ce majoritatea neleg prin etica la locul de munc. Dac angajatul e un profesionist, ncrederea acordat de angajator e cu att mai mare cu ct angajatul realizeaz activiti care necesit o expertiz pe care angajatorul probabil nu o posed. Astfel, angajatorul poate s nu fie n msur s evalueze profesionalismul. Toate cele cinci coduri etice conin obligaii ale angajatului care fac referire la: Actualizarea cunotinelor n domeniul IT; Acceptarea responsabilitii propriei munci; Prezentarea ctre angajator de informaii referitoare la activitile desfurate, ntr-un mod obiectiv; Respectarea confidenialitii; Pe lng aceste obligaii, unele dintre cele cinci coduri etice includ obligaiile angajatului de: l

Protejare a interesului angajatorului; Informare a angajatorului sau de refuzare a unei poziii care implic un conflict de interese; Refuzare a sarcinilor pe care nu le poate ndeplini; De a nu folosi resursele angajatorului n scopuri personale.

2.2.3. Obligaiile fa de clieni Afacerile depind de clieni pentru a supravieui. Eecul unui angajat de a satisface obligaiile contractuale i etice ale angajatorului fa de client produce pagube angajatorului. Cnd un profesionist e consultatul unui client, relaia dintre cei doi e similar cu aceea dintre angajat i angajator, cu toate implicaiile etice ale unei astfel de relaii.

16

Codul etic elaborat de Association of Information Technology Professionals ignor clientul. Celelalte patru coduri prevd urmtoarele obligaii fa de client: Protejarea informaiilor confideniale; Oferirea de opinii complete cu privire la sistemele informatice; S evite sau s notifice clientul cu privire la conflictele de interes; S nu diminueze eficiena unui sistem prin omisiune; S ndeplineasc obligaiile contractuale; S i foloseasc expertiza S evite jargonul profesional n calitate de consultat nu trebuie s angajeze pe cineva fr consimmntul clientului. 2.2.4. Obligaiile fa de colegi Cei care lucreaz n acelai domeniu mprtesc multiple interese. De aceea se ateapt ajutorul reciproc i respectul fa de munca altuia. n unele profesii, obligaiile fa de colegi sunt mai importante dect celelalte obligaii. Codurile etice discutate nu conin nimic legat de loialitatea ntre colegi, din contr, dou dintre ele ncurajeaz expunerea actelor care nu sunt etice ale colegilor. Acest lucru sugereaz faptul c loialitatea fa de organizaie sau fa de profesie n general este mult mai important dect loialitatea ntre colegi. n codurile etice elaborate de Institute for Certification of Computer Professionals i Canadian Information Processing Society se cere membrilor s-i respecte colegii i s contribuie la cunotinele profesionale ale acestora. 2.2.5. Obligaiile fa de organizaie Organizaiile profesionale solicit membrilor lor s susin obiectivele organizaiei i s serveasc interesele acesteia pentru binele comun al tuturor membrilor. Codul etic creat de Association of Information Technology Professionals prevede obligaii fa de membri nu fa de organizaia n sine. n codul creat de Canadian Information Processing Society organizaia nu este privit ca o parte, fa de care membrii au obligaii. Similar, British Computer Society nu face o diferen clar ntre organizaie i profesie. Dar codul etic al acestei societi include obligaii fa de organizaie.

Alte obligaii regsite n unele dintre aceste coduri etice sunt:

17

Membrilor le este interzis reprezentarea greit a organizaiei. Membrii trebuie, de asemenea s declare atunci cnd poziia lor personal e n conflict cu poziia organizaiei. Celelalte dou organizaii, Institute for Certification of Computer Professionals i Association for Computing Machinery cer membrilor s anune violri ale codului lor etic. 2.2.6. Obligaiile fa de profesie Obligaiile fa de profesie provin din aceleai considerente ca i cele fa de colegi. Un membru poate ajuta sau duna profesiei, indiferent de atitudinea fa de colegi. Spre exemplu, nendeplinirea repetat a obligaiilor contractuale poate duce la scderea ncrederii nu doar n cel n cauz ci n ntreaga profesie. De obicei, obligaiile fa de profesie, privite ca un ntreg, sunt plasate naintea obligaiilor fa de colegi. Spre exemplu, se ateapt ca un membru s anune un act care nu este etic al unui coleg. Acest lucru urmrete noiunea de bun comun. Codul creat de Association of Information Technology Professionals nu face diferena ntre profesie, n general, i colegi, obligaiile fiind aceleai pentru profesie i pentru colegi. Celelalte patru coduri includ obligaia comun de nalt competen profesional. Alte obligaii care se regsesc n unele din aceste coduri sunt: Aplicarea de nalte standarde profesionale n viaa social i personal; Evitarea actelor care duneaz profesiei; mbuntirea ncrederii publice n profesie.

ntr-un material creat n 1998 i revizuit n 2000, Margaret Lynch, sesiza c, la fel ca n multe domenii tehnologice, n domeniul IT dezvoltrile sunt, de cele mai multe ori, naintea actelor normative. Etica umple acele goluri neacoperite de deciziile legislative n cutarea unei utilizri corespunztoare a sistemelor informatice. Lynch scotea n evidena reelele de calculatoare ca surse de putere. Reelele de calculatoare sunt structurate n aa fel nct s permit transferul informaiilor independent de o persoan anume sau de configuraia calculatoarelor. n consecin, reele mari de calculatoare s-au extins ntr-un mod necontrolat. Oameni simpli, cu resurse puine pot transmite idei i informaii care ar putea fi mai puin comune, nepopulare i politic sensibile, ctre milioane de oamenii din ntreaga lume. Astfel,

18

reele pot constitui pentru unii o surs de posibiliti atractive iar pentru alii pot fi o prezen amenintoare, chiar distrugtoare. Reelele au devenit, de asemenea spaii sociale, n cadrul crora oamenii leag prietenii, discut probleme, regsesc persoane cu interese neobinuite, dezbat idei, formeaz grupuri, se joac i se ndrgostesc. Totalitatea acestor activiti au permis comparaii cu formele de comuniti tradiionale. Modul de interaciune n comunitile virtuale este totui diferit de cel tradiional datorit lipsei contactului fa n fa. Rasa, clasa, sexul, aspectul fizic sunt ascunse n interaciunile din comunitile virtuale, ceea ce duce la o libertate ceva mai mare n relaii, aspectele subtile care definesc relaiile directe lipsind. Pe de alt parte, anonimatul virtual permite interaciuni fr nici un fel de angajament, deoarece simul responsabilitii comune pe care oamenii l au n comunitile reale, pe Internet, poate lipsi. Cu toate acestea, reelele au atras utilizatori loiali care recunosc valoarea acestora i a acestei noi forme de interaciune. Reelelor de calculatoare devin din ce n ce mai utilizate cu o influen n cretere, dar acestea sunt i n continu modificare datorit influenei noilor participani (persoane private sau instituii). Finanarea, cndva aproape exclusiv public, provine din ce n ce mai mult de la surse private sau comerciale, iar aceast modificare duce la schimbri n ideile legate de utilizarea corespunztoare i modul de interaciune. Recunoaterea puterii i a potenialului reelelor de calculatoare a generat o serie probleme mult discutate care pleac de la ntrebri simple legate de comportament i utilizare adecvat pn la ntrebri de putere politic, control de comunicaii, egalitatea de acces i confidenialitate. Normele i valorile culturale definesc comportamentul acceptat ntr-o societate. Standardele de conduit on-line sunt fondate pe normele societii din care reeaua face parte. Caracterul larg al acestor norme i valori este adesea depit de natura interaciunii umane din aceste reele de calculatoare, cu att mai mult cu ct aceste reele se ntind, de cele mai multe ori peste societi cu valori i tradiii diferite. Calculatoarele permit utilizatorilor s realizeze lucruri pe care nainte nu le puteau realiza, i mai multe dect att: o pot face sub semnul anonimatului. Problemele de comportament acceptabil n reelele de calculatoare includ de la simple standarde de politee pn la ntrebri legate de drepturile i responsabilitile n distribuirea de informaii, probleme care nu au fost clarificate n acte normative.

19

3. Riscurile utilizrii neintenionat inadecvate a sistemelor informatice

3.1. Probleme legate de utilizator

Diversitatea de utilizatori angajai, consultani, clieni, competitori sau publicul larg i nivelele lor diferite de cunoatere, instruire i interes reprezint factori care influeneaz utilizarea sistemelor informatice. Datorit tranziiei companiilor din sistem centralizat n sistem descentralizat, distribuit, o parte semnificativ din proprietatea intelectual a organizaiilor se afl pe calculatoarele angajailor. Utilizarea neintenionat inadecvat a unui sistem informatic presupune fie o problem de sistem fie o problem legat de utilizator. 3.1.1. Erorile umane Marea majoritate a problemelor legate de utilizator (fr intenia de a comite un act nelegitim) in de erorile umane. Erorile produc att prejudicii umane ct i costuri economice (Iosif & Marhan, 2005). Operatorii umani reprezint una dintre cele mai mari surse de erori din orice sistem complex, rata erorilor umane, omul privit ca parte, component a sistemului, este de cteva ori mai mare dect a oricrei alte componente. Componentele hardware sunt considerare sigure dac rata erorilor este sub 10-6. Limita de performan a unui operator uman, n limite ideale este de 10-4. n cazul unei echipe de operatori, rata erorilor poate fi mbuntit la 10-5. Dei rata erorilor umane este cea mai mare, n condiii de stres, componenta uman e i cea mai flexibil n situaii de criz. n tabelul urmtor sunt prezentate (Kirwan, 1994, citat de Shelton, 1999) probabilitile erorilor umane n diferite condiii de operare. Descriere Rata de eroare n condiiile unui nivel mare de stres minute de la o producerea unei situaii de urgen Probabilitatea de eroare 0,3 Operatorii nu reuesc s acioneze corespunztor n primele 30 de 0,1

20

Descriere

Probabilitatea de eroare

Operatorii nu reuesc s acioneze corespunztor n urmtoarele 0,03 ore ntr-o situaie cu nivel mare de stres Eroarea ntr-o situaie de rutin n care este necesar atenia Eroarea n operaiile simple de rutin Selectarea greit a altui comutator (in diverse forme) Limita performanei umane: un singur operator sarcin foarte bine concepute Tabelul 2. Probabilitile de eroare n diferite condiii de operare Se observ c stresul reprezint cel mai important factor de risc, care duce la creterea ratei erorilor umane i prin urmare la posibile pierderi. Caracteristicile umane influeneaz de asemenea modul de utilizare a unui sistem informatic i apariia erorilor. Aceste caracteristici umane pot fi grupate n patru categorii. 1. Atenia. Atenia uman poate fi suprancrcat cu cantiti foarte mari de informaii. O persoan poate fi atent la o sarcin un timp limitat, de obicei 20 minute dup care apare oboseala i pot surveni erori. De asemenea atenia poate fi mprit ntre un numr limitat de sarcini. Erori pot s apar i n cazul unei sarcini care se repet foarte des, deoarece aceasta va fi executat, dup mai multe repetri, fr o supraveghere contient. 2. Percepia. Sistemele informatice adesea pun la ncercare modul de percepie uman, uneori ducnd la o interpretare eronat a informaiilor. Unul dintre cele mai mari obstacole n percepia lumii este acela c suntem forai s interpretm informaia dect s o accesm direct. Acest lucru se ntmpl mai pregnant n cazul informaiilor vizuale. Pornind de la aceast idee, sistemele care includ informaii redundante pot cauza mai puine accidente (semnalizarea unei erori semnificative att prin afiarea unui mesaj ct i prin utilizarea unei culori specifice, spre exemplu culoarea roie). Un alt mod de a diminua riscurile cauzate de percepia eronat a informaiilor, n anumite situaii, este folosirea unor stimuli puternici care s declaneze un rspuns pe msur (sunete, animaii, etc.). 0,01 0,001 0,0001 0,0001

Limita performanei umane: o echip de operatori care realizeaz o 0,0001

21

3. Memoria. Capacitatea memoriei pe termen scurt este foarte mic. n general oamenii nu i pot aminti mai mult de apte elemente individuale odat. Acest lucru poate avea efecte negative n cazul unor noi sisteme informatice, unei noi sarcini cnd se cere executarea din memorie a unui set de pai. Creterea gradului de cunoatere a unui subiect sau proces permite reinerea mai multor informaii despre acesta. Tot referitor la memorie, uneori informaiile memorate sunt dificil de reamintit. n urma cercetrilor s-a constatat c sunt mai multe anse de reamintire a unor informaii dac sunt condiii similare momentului memorrii lor. Acest fapt poate avea implicaii n programele de instruire, personalul instruit ntr-un alt mediu dect cel de aplicare a cunotinelor ar putea s nu-i reaminteasc detalii semnificative n condiiile de lucru. Pentru a eficientiza reamintirea informaiilor, memorarea trebuie s se fac la un nivel profund, memornd nu doar informaiile individuale ci i cadrul conceptual al acestora. 4. Raionamentul logic. Erorile n raionament i n luarea deciziilor pot avea implicaii grave cnd este vorba de sisteme informatice vitale sau sisteme complexe a cror funcionare eronat produc pagube mari (POST, 2001). Zapf et al. (1992) identificau trei forme de erori: erori de gndire, erori de memorie i erori de judecare. Erorile de gndire apar atunci cnd scopurile i planurile sunt dezvoltate inadecvat sau cnd se iau decizii eronate n alocare planurilor i subplanurilor dei utilizatorul cunoate caracteristicile sistemului. Erorile de memorie apar cnd se uit i nu se execut o anumit parte a planului, dei obiectivele i planul au fost iniial corect specificate. Erorile de judecare apar cnd utilizatorul nu poate s neleag sau s interpreteze feedback-ul sistemului dup introducerea datelor. Erorile umane pot fi clasificate (Iosif & Marhan, 2005) de asemenea n: erori determinate de cunotine ca urmare a deficienelor din modelul mental, erori de reprezentare a realitii prezente datorate deficienelor de informare curent i din memoria de lucru i erori de procesare determinate de deficiene ale modelului cognitiv. Erorile determinate de cunotine au dou surse: coninutul cunotinelor i structura cunotinelor. Coninutul cunotinelor face referire la lipsa sau incompletitudinea, imprecizia sau neveridicitatea tiinific a unor tipuri de cunotine care se manifest de obicei prin incapacitatea operatorului de a nelege anumite fenomene.

22

Implicaiile acestor tipuri de erori determinate de cunotine sunt (Iosif & Marhan, 2005): frecvena lor este de 9,5%, timpul de corectare este mare, suportul extern necesar detectrii i corectrii lor este mare n comparaie cu alte tipuri de erori, erorile sunt legate mai multe de cunoaterea sistemului dect de cunoaterea sarcinilor, aceste tipuri de erori sunt realizate ntr-un procent mai mare de nceptori. Erorile de reprezentare a realitii prezente au drept factori lipsa de informaie, incompletitudinea, imprecizia sau ntrzierea ei. Un alt factor care conduce la reprezentri eronate se refer la degradarea informaiilor stocate n memoria de lucru: confuzii ale itemilor i uitarea unora dintre ei. Erorile de procesare sunt clasificate de Reason (1990, citat de Iosif & Marhan, 2005) n trei categorii: (1) ratri i lapsusuri, (2) greeli de control proactiv i (3) greeli de control retroactiv. n categoria ratrilor i lapsusurilor, datorate automatismelor, Reason include erorile datorate neateniei (ratri cu dubl capturare a ateniei, omisiuni asociate ntreruperilor, intenionalitate sczut, confuzii perceptive, erori de interferen) i erori datorate controlului atenional n contratimp (omisiuni, repetri, inversri de operaii). Aceste erori pot reprezenta pn la 16,6% din totalul erorilor nregistrate. Greelile de control proactiv apar din aplicarea eronat a unor reguli corespunztoare unei situaii (provin dintr-o nediscriminare a situaiilor sau condiiilor particulare de aplicare a regulilor) sau prin aplicarea de reguli greite (caracteristicile unei situaii particulare nu sunt complet codificate sau sunt ru reprezentate n partea condiional a regulii sau partea de aciune a unei reguli conduce la rspunsuri nesatisfctoare i nerecomandate). ntr-o alt ordine de idei, Zapf et al. (1992) identifica n aceast categorie erori de obinuin (aciuni corect executate n situaii necorespunztoare), erori de omisiune i erori de recunoatere (nerecunoatere sau confuzie). Greelile de control retroactiv sunt erori care apar cnd utilizatorul trebuie s recurg la raionamente n timp real dat fiind capacitatea limitat, procesarea secvenial, lent a informaiei. Din aceast categorie de erori fac parte: selectivitatea procesrii informaiilor sarcinii, limitarea spaiului de lucru contient, ncrederea excesiv n anumite informaii curente, cunotine, ipoteze, plan de aciune, etc., tendina de confirmare, corelaii iluzorii, dificulti privind cauzalitatea, etc. Factorii contextuali determin crearea premiselor apariiei erorilor. Acetia pot fi interni utilizatorului sau externi acestuia.

23

Dintre factorii interni Leplat (1985) enumera: condiiile legate de caracteristicile generale ale funcionrii individului (nivelul de nvare, cunoaterea rezultatelor, determinante cronobiologice), condiii care modific funcionarea individului (solicitarea n munc, oboseal, anxietate), condiii care difereniaz ntrun mod stabil funcionarea individului (trsturile de personalitate). Condiiile externe individului se refer la definirea sarcinii, condiiile tehnice, condiii organizaionale, ambiana social, condiiile cultural. 3.1.2. Riscuri de comportament Pe lng caracteristicile umane, condiiile interne i externe utilizatorului care influeneaz modul de utilizare a unui sistem informatic i comportamentul operatorilor are un rol important n crearea unor situaii de risc. Anul acesta CISCO13 a anunat rezultatele unui studiu, care identific riscurile de comportament al angajailor, realizat n urma unui sondaj la care au participat peste 2000 de angajai i profesioniti IT din 10 ri. Primele zece riscuri de comportament identificate sunt: 1. Modificarea setrilor de securitate ale computerelor. Unul din cinci angajai a modificat setrile de securitate ale dispozitivelor de la locul de munc pentru a devia politica IT, astfel nct sa poat accesa site-uri Web neautorizate. 2. Utilizarea aplicaiilor neautorizate. apte din 10 profesioniti IT au declarat c accesarea aplicaiilor i site-urilor Web neautorizate de ctre angajai a dus, n cele din urm, la pierderea a jumtate din datele deinute de companie. 3. Accesarea neautorizat a reelei/utilitarelor. Anul trecut, doi din cinci profesioniti IT s-au confruntat cu angajai care au accesat pari neautorizate ale unei reele sau ale unui utilitar. 4. Partajarea informaiilor delicate deinute de companie. Unul din patru angajai (24%) a recunoscut c a dezvluit verbal informaii delicate unor persoane din afara companiei, de exemplu, prieteni, membri ai familiei sau chiar strini. La ntrebarea De ce?, cele mai des ntlnite rspunsuri au fost Trebuia s cer o prere cuiva, Simeam nevoia sa vorbesc i Nu mi s-a prut c fac ceva greit. 5. Partajarea dispozitivelor deinute de companie. Aproape jumtate din angajaii care au participat la sondaj (44%) partajeaz dispozitivele de la birou cu alte persoane, de exemplu, persoane din afara companiei, fr supraveghere.
13

http://www.computerworld.ro/index.php?page=node&id=15681

24

6. mbinarea dispozitivelor de la birou cu cele personale, comunicaii: Aproape doi din trei angajai au recunoscut ca utilizeaz zilnic computerele companiei n scopuri personale. 7. Neprotejarea dispozitivelor. Cel puin unul din trei angajai rmn conectai i nu i blocheaz computerul atunci cnd nu se afla la birou. De asemenea, aceti angajai au tendina de a-i lsa laptopurile pe birou n timpul nopii, uneori fr a se deconecta, dnd natere unor eventuale furturi i accesri ale datelor companiei i ale datelor personale. 8. Stocarea datelor de conectare i a parolelor. Unul din cinci angajai i stocheaz datele de conectare i parolele pe computer sau le noteaz i le las pe birou, n camere nencuiate sau lipite pe computer. 9. Pierderea dispozitivelor de stocare portabile. Aproape unul din patru (22%) angajai transport dispozitive de stocare portabile care conin date deinute de companie n afara locului de munc. 10. Acceptarea vizitelor nesupravegheate: Peste o cincime din angajaii germani (22%) permit persoanelor din afara companiei s viziteze birourile fr supraveghere. Media studiului a fost de 13%. Iar 18% din cei intervievai au permis persoanelor necunoscute s mearg n urma angajailor n facilitile companiei. Analiznd cele 10 riscuri de comportament ale angajailor se observ c niciunul nu implic o intenie din partea angajatului de a prejudicia compania n care lucreaz. Unele dintre ele ar putea implica o intenie de obinere a unui beneficiu personal ns fr contientizarea pericolului generat, de comportamentul su, asupra companiei. Cisco prezint de asemenea i o serie de recomandri pentru evitarea pierderii datelor datorate comportamentului angajailor: Cunoaterea datelor i a locului/modului n care acestea sunt stocate, accesate, utilizate; gestionarea corespunztoare a acestora; Acordarea importanei cuvenite acestor date. Protejarea acestora privindule similar bunurilor monetare i instruirea angajailor din aceast perspectiv; Implementarea de standarde de comportament. Identificarea obiectivelor de politic global i crearea de programe de educare localizate, adaptate la cultura i la tipurile de ameninri naionale;

25

Adoptarea unei culturi a ncrederii. Angajaii trebuie s se simt n siguran atunci cnd raporteaz un incident astfel nct s se acioneze ntr-un timp ct mai scurt pentru remedierea lui;

Stabilirea de programe de contientizare a securitii, educare i instruire.

n 1992 Zapf identifica, n domeniul interaciunii om-calculator o serie de comportamente ineficiente determinate de trei categorii de inadecvri. Prima nepotrivire, cea dintre sarcin i calculator determin probleme de funcionalitate: utiliznd un anumit sistem informatic, utilizatorul nu poate realiza scopul sarcinii n modul planificat. Aceste probleme se manifest prin: blocaje ale aciunii (abandonarea sau schimbarea scopului), repetri ale aciunii (parial sau total), ntreruperi ale aciunii, aciuni de ocolire. A doua categorie de nepotriviri, ntre utilizator i calculator, determin probleme de utilizabilitate i ineficien comportamental. Comportamentul ineficient poate fi definit ca orice deviere de la o cale optima de aciune (Zapf et al., 1992). Ineficiena poate fi determinat de lipsa de cunotine sau de obinuin. Cea de-a treia categorie, interaciunile inadecvate din interiorul organizaiei determin probleme organizaionale sau de interaciune ntre indivizi: dei aciunile indivizilor sunt corecte, pot s apar probleme cauzate de lipsa de coordonare, alocarea neclar de sarcini sau lipsa comunicrii dintre indivizi. 3.2. Probleme de sistem

n esen, problemele de sistem sunt datorate tot erorilor umane. Specificaii incomplete, defecte de proiectare sau implementare, erori precum bug-urile sau defectele de fabricaie sunt cauzate de greelile umane (Shelton, 1999). nelegerea caracteristicilor umane care duc la apariia erorilor ajut n luarea msurilor pentru reducerea probabilitilor de apariie a erorilor sau minimizarea impactului erorilor care au loc. Aceste msuri implic n mare msur o atenie sporit n proiectarea sistemului. Un sistem bine proiectat ar trebui s nu permit realizarea cu uurin a erorilor. Pentru a diminua rata de apariie a erorile, n proiectarea sistemului trebuie s se in cont de o serie de principii (POST, 2001):

26

Folosirea unor modele mentale exacte. Adesea exist o discrepan ntre starea unui sistem i modelul mental al utilizatorului despre aceast stare. Aceast situaie apare datorit neimplicrii utilizatorului n proiectarea sistemului. Gestionarea informaiilor. Deoarece atenia uman poate fi uor distras, iar modul de percepie al sarcinilor poate fi superficial, este necesar o afiare ct mai cuprinztoare a informaiilor concludente, astfel nct s nu se omit nici un pas n realizarea unei sarcini. Reducerea complexitii. Realizarea unei structuri simple, pe ct posibil, a sarcinilor evit suprancrcarea proceselor psihologice. Cu ct specificaiile sarcinii sunt mai complexe cu att cresc ansele de apariie a erorilor. Vizibilitatea. Utilizatorul trebuie s poat percepe ce aciuni sunt posibile n sistem i, n plus, ce aciuni sunt de dorit. Acest lucru reduce cererile de resurse mentale pentru selectarea ntre mai multe aciuni posibile. De asemenea este foarte important un feedback adecvat care s permit utilizatorilor s neleag ct de eficiente au fost aciunile lor i care este noua stare a sistemului n urma acelor aciuni. Comportament limitat. Dac un sistem ar putea preveni realizarea de ctre utilizator a unei aciuni care duce la efecte negative, atunci nu ar mai avea loc accidente. ns, n viaa real, sistemele, n general, sunt complexe iar o procedur ar putea fi benefic ntr-un anumit context i duntoare n altul. Totui, e posibil reducerea erorilor umane, folosind anumite funcii de limitare. Proiectarea inndu-se cont de posibilele erori. Pentru c eroarea uman e inerent, n proiectarea unui sistem informatic, trebuie s se presupun c vor avea loc erori i s se prevad proceduri de recuperare (revenire) a sistemului dup realizarea acestora. Sistemul trebuie de asemenea proiectat s limiteze pe ct posibil apariiile de situaii ireversibile (din care sistemul nu poate fi recuperat). Aceast ultim caracteristic trebuie ns aplicat cu atenie (nu n toate situaiile se dorete revenirea. De exemplu tergerea unor fiiere duce la mutarea acestora n Recycle Bin, dar golirea acestui director duce la tergerea definitiv a fiierelor). Standardizarea. n sistemele complexe, dei create s fie uor de utilizat pot aprea erori. O msur de limitare a acestora este standardizarea. Cnd un utilizator folosete un anumit sistem informatic pentru a ndeplini un set de sarcini, trecerea la un alt sistem care permite realizarea aceluiai set de sarcini poate fi dificil, dac acestea sunt complet diferite (ca aspect i mod de lucru). Existena unui standard

27

poate limita aceste probleme. Dar pentru c standardizarea implic costuri, aceast msur de limitare a erorilor este utilizat relativ limitat. Proiectarea centrat pe utilizator. Un principiu de baz n proiectarea unui sistem este implicarea utilizatorului n toate etapele de dezvoltarea a acestuia. Adesea, n practic, sistemele informatice sunt dezvoltate fr obinerea unui feedback din partea utilizatorului. Aceste sisteme sunt opace pentru utilizatorul final i acest lucru mpiedic eficiena n utilizare. Designerii de interfee cad adesea n aceast capcan. 3.3. Utilizarea inadecvat a sistemelor informatice datorit interfeelor cu

utilizatorul necorespunztoare Un rol deosebit n diminuarea erorilor l joac interfaa cu utilizatorul. n proiectarea interfeei trebuie s se in cont de caracteristicile umane pentru a diminua rata erorilor n operare. Interfaa unui sistem informatic reprezint o component foarte important a acestuia, ea influennd utilitatea i acceptabilitatea sistemului. Interfaa sistemului reprezint un factor de risc important n utilizarea unui sistem informatic fiind binecunoscut faptul c multe erori de operare ale unui sistem informatic se datoreaz unei interfee prost concepute. Chiar i utilizatorii foarte bine instruii se pot panica n situaii neobinuite, cnd nivelul stresului crete. Interfaa cu utilizatorul trebuie s asigure feedback-ul corespunztor operatorului pentru a-i permite luarea deciziilor pe baza unor informaii ct mai cuprinztoare i actualizate legate de starea procesului (Shelton, 1999) (un proces de producie, un proces specific activitii instituiei n care este utilizat sistemul, etc.). Utilizatorul reprezint cea mai complex i mai puin previzibil component a unui sistem informatic, de aceea este i cea mai dificil de modelat n crearea interfeei om-main. n realizarea unei interfee om-main, n general, accentul se pune pe utilizabilitate. n unele cazuri, precum cel al sistemelor critice de siguran, interfaa trebuie s ajute la ndeplinirea scopului principal al sistemului: sigurana. Interfaa trebuie s ajute n prevenirea realizrii unei greeli din partea utilizatorului i cauzrii unui pericol. n aceste cazuri, utilizabilitatea e un obiectiv complementar, astfel nct interfaa s fie uor de utilizat s reduc anxietatea utilizatorului. Trebuie s existe un echilibru ntre caracteristicile care fac interfaa uor de utilizat i cele care asigur

28

sigurana. Spre exemplu, un sistem care permite utilizatorului realizarea unei proceduri prin simpla apsare a tastei Enter de mai multe ori asigur o utilizare uoar dar creeaz premisele unei situaii n care utilizatorul confirm foarte repede o aciune fr s evalueze consecinele (Shelton, 1999). Interfaa cu utilizatorul trebuie s fie uoar i intuitiv dar nu att de simpl ct s determine o stare de linite i lips de responsabilitate din partea utilizatorului n situaiile de urgen. n cazul celorlalte sisteme, utilizabilitatea este caracteristica principal a unei interfee. Ea trebuie s furnizeze elemente de control intuitive, s ghideze utilizatorul n realizarea unei sarcini, alegnd aciunile corespunztoare i s furnizeze un feedback corespunztor utilizatorului att n situaiile n care aciunea nu s-a realizat cu succes ct i n caz contrar. Crearea unei interfee corecte care s reduc riscul erorilor umane pornete de la observarea situaiilor care duc la scderea performanelor umane. Interfaa cu utilizatorul trebuie s asigure un grad de ncredere care s permit operatorului s evalueze validitatea informaiilor. Vincent i Rasmussen (1988) afirmau c majoritatea interfeelor, n situaii critice, nu prezint informaiile n uniti naturale din punct de vedere cognitiv pentru rezolvarea problemelor i diminuarea erorilor. Erorile apar, n mare parte pentru c utilizatorii umani trebuie s vizualizeze cognitiv informaiile afiate n uniti necesare pentru rezolvarea problemelor. 3.3.1. Utilizabilitate Utilizabilitatea este un atribut de calitate care evalueaz ct de uor se utilizeaz o interfa. Standardul ISO 924-11 din 1994 definete utilizabilitatea ca msura n care un anumit produs poate fi utilizat de ctre utilizatori, pentru a ndeplini obiective date, ntr-un context de lucru specificat, cu eficacitate, eficien i satisfacie. Designul unei interfee influeneaz gradul de efort pe care utilizatorul trebuie s-l depun pentru a introduce date n sistem, pentru a interpreta ieirile sistemului i de ct efort e nevoie pentru a nva realizarea acestor operaii. Utilizabilitatea reprezint n ce msur se ine cont, n crearea interfeei unui sistem, de psihologia i fiziologia utilizatorilor, punndu-se accentul pe crearea unui sistem care s fie eficace, eficient i prietenos (user-friendly) n utilizare.

29

Scopul principal al interfeei utilizator este de a asigura o interaciune cu utilizatorul simpl, logic i intuitiv, pe ct posibil centrat pe utilizator. Utilizabilitatea e o caracteristic a interfeei cu utilizatorul, dar adesea e asociat i cu funcionalitatea sistemului. Ea descrie ct de bine poate fi folosit un sistem, n scopul pentru care a fost proiectat, pentru atingerea obiectivelor utilizatorului n mod eficient i satisfctor, innd cont de cerinele contextului n care e utilizat. Aceste funcionaliti i caracteristici nu sunt ntotdeauna parte a interfeei cu utilizatorul, dar sunt elemente cheie n utilizabilitatea unui sistem. Utilizabilitatea analizeaz aspecte precum: cine sunt utilizatorii, ce tiu ei i ce pot s nvee; ce vor sau au nevoie s realizeze; care este background-ul utilizatorilor; n ce context lucreaz utilizatorii; ce trebuie s realizeze sistemul i ce trebuie s realizeze utilizatorul. 3.3.2. Tehnica THEA Pocock et al.14 propun o tehnic, THEA, de evaluare a erorilor umane nc din primele etape ale ciclului de via a unui produs informatic interactiv. Aceast tehnic presupune o analiz cognitiv a erorii bazat pe modelul uman de procesare a informaiei. INTRRI 2. Scenarii de utilizri 1. Descrierea detaliat a sistemului ANALIZA ERORILOR 3. Structurarea scenariilor 4. Identificarea erorilor Consecinele erorilor IEIRI

6. Sugestii de noi cerine Implicaiile pentru proiectare

5. Modelul erorii umane Fig. 2. Procesul THEA Metoda THEA privete erorile ca fenomene conceptualizate influenate de diferii factori. Tehnica consider problemele contextuale n mod explicit prin
14

http://homepages.cs.ncl.ac.uk/michael.harrison/papers/int01pub4.pdf

30

utilizarea de scenarii. n acest fel se dorete identificarea modului real de lucru, dect a celui preconizat de proiectani. Aceast metod pornete de la ideea c circumstanele i contextul n care au loc aciunile sunt factori determinani care influeneaz performanele umane. Astfel, n crearea scenariilor detaliate, se analizeaz condiiile complexe n interaciunea omcalculator, lundu-se n calcul nu doar aciunile ce vor avea loc ci i factorii contextuali care furnizeaz oportunitatea apariiei erorilor. Caracteristicile metodei: - Metoda acord acelai importan aplicabilitii la nivel de utilizator ct i la nivel de integrare a sistemului. - Metoda presupune o analiz iterativ a modului n care comportamentul utilizatorului contribuie la ncrederea sistemului; - Se acord aceeai importan obiectivelor, planurilor i aciunilor utilizatorului ct i prezentrii informaiei i feedback-ului sistemului (percepie, interpretare i evaluare); - Control strict pe baza unui abordri de tip chestionar; - Se analizeaz fiecare posibil problem i se realizeaz un grafic cu rezultatele fiecrui scenariu. 3.4. Alte riscuri Din aceeai perspectiv a utilizrii neintenionat inadecvate a sistemelor informatice n literatur sunt prezentate mai multe liste de greeli uzuale ale managerilor IT n implementarea politicilor de securitate. Dintre acestea amintim: lipsa unor politici de securitate, neactualizarea sau neurmrirea respectrii acestora, neinstruirea personalului cu privire la politicile de securitate, configurarea inadecvat a sistemelor de securitate, concentrarea ateniei asupra tehnologiilor, fr a ine cont de implicarea utilizatorilor, neglijarea operaiunilor de actualizare periodic a sistemelor de operare i a sistemelor antivirus, lipsa unei planificri a operaiunilor legate de securizarea infrastructurii IT a companiei, lipsa unei politici centralizate de management i monitorizare a securitii la nivelul companiei, implementarea parial sau folosirea unor soluii care nu acoper toate cerinele de securitate ale companiilor, etc. O serie de riscuri privesc n mod direct copii. Aceste riscuri pleac de la utilizarea unor sisteme proiectate pentru aduli i care pot provoca probleme fizice

31

pn la de a fi expui accidental sau intenionat unor materiale ilegale, duntoare moralitii sau dezvoltrii psihice a copilului. Aceste materiale au, n cele mai multe situaii, coninut pornografic, sau ndeamn la ur rasial, discriminare ori violen. Sursele acestor materiale l reprezint site-urile i jocurile. Cauza principal a expunerii copiilor o reprezint nesupravegherea copiilor de ctre aduli i necunoaterea acestor pericole iar principala metod de diminuare i evitare a acestui pericol o reprezint comunicarea. Un risc important al utilizrii inadecvate a sistemelor informatice l reprezint dependena de sistemele informatice. Termenul dependent n contextual utilizrii calculatoarelor este des folosit, ntr-un sens mai larg, cu privire la cei care sunt foarte implicai n utilizarea calculatorului i , ntr-un sens mai restrns, cu privire la cei care sunt ntr-adevr dependeni. Dei nerecunoscut oficial ca o boal, dependena de calculator este de obicei vzut ca o problem care are nevoie de tratament. Dependena de calculator poate avea efecte negative sub diverse forme: probleme sociale, familiale, probleme de sntate i probleme profesionale. Internet/Computer Addiction Services in Redmond15 identifica 15 semne ale dependenei de calculator: (1) Imposibilitatea dea prezice timpul petrecut n faa calculatorului; (2) ncercri euate de a controla timpul petrecut n faa calculatorului; (3) Sentiment de euforie n timpul utilizrii calculatorului; (4) Dorina de a petrece mai mult timp n faa calculatorului; (5) Neglijarea familiei i a prietenilor; (6) Stri de agitaie, iritabilitate i nemulumire n timpul petrecut fr calculator; (7) Minirea angajatorului sau familiei cu privire la activitatea pe calculator; (8) Probleme la coala sau serviciu, ca urmare a timpului petrecut la calculator; (9) Sentimente de vinovie, ruine, anxietate sau depresie ca rezultat al timpului petrecut la calculator; (10) Modificarea timpului i intervalului de somn; (11) Probleme de sntate precum sindromul de tunel carpian, probleme legate de ochi, modificri n greutate, dureri de coloan, privri de somn;

15

http://www.na-businesspress.com/JLAE/nykodym.pdf

32

(12) Negarea i minimizarea consecinelor negative care decurg din utilizarea calculatorului; (13) Renunarea la hobbyurile din viaa real i la interaciunile sociale; (14) Obsesie pentru coninutul sexual accesibil prin intermediul Internetului; (15) Crearea unui personaj mbuntit n cutarea de cybersex sau cyberlove. Spre deosebire de alte dependene (alcool, droguri, etc.) care impun abstinen total, tratamentul dependenei de calculator impune o utilizate moderat ce poate fi gestionat. Obiectivul n acest caz este de a putea utiliza calculatorul fr a rmne dependent ca un refugiu din lumea real (Kershaw, 2005).

33

4. Msuri i aciuni preventive i de control

4.1. Msuri preventive i de control n Romnia, n 2005, mai mult de jumtate dintre firmele participante la un studiu16 alocau pentru securitate mai puin de 2% din bugetele IT. Aproximativ 65% dintre companii alocau sub 5% din bugetul IT pentru achiziionarea de software, hardware i servicii de securitate. Bugetele alocate pentru IT reprezentau aproximativ 4,5% din costurile totale ale companiilor, iar ele erau direcionate n cea mai mare parte ctre activiti de mentenan a infrastructurii existente i, ntr-o mai mic msur de extindere a ei. n ceea ce privete bugetul alocat securitii IT, acesta era n principal direcionat ctre achiziia de software de securitate, instruirea personalului i ntr-o foarte mic msur ctre servicii specializate de securitate informatic. Majoritatea companiilor utilizeaz ntre 2 i 4 tehnici de securizare a datelor. Mai mult de 8-9 tehnici de securitate utilizeaz bncile, companiile telecom, administraia public i unele firme cu activitate n domeniul comerului. OECD (1992) prevede o serie de principii care trebuie ndeplinite pentru a asigura securitatea sistemelor informatice: 1. Principiul responsabilitii. Responsabilitile legate de securitate a deintorilor, furnizorilor i utilizatorilor sistemelor informatice i a altor entiti implicate ar trebui s fie explicite. 2. Principiul contientizrii. Pentru a promova ncrederea n sistemele informatice, deintorii, furnizorii, utilizatorii sistemelor informatice i alte entiti implicate ar trebui s poat, fr dificultate, s dobndeasc cunotine i s fie informai despre existena i cadrul general al msurilor, practicilor i procedurilor de securitate a sistemelor informatice. 3. Principiul eticii. Sistemele informatice i securitatea sistemelor informatice trebuie folosite ntr-o manier n care drepturile i interesele legale ale celorlali s fie respectate.

16

Studiul a fost realizat n 2005 de ctre firma GECAD NET mpreun cu compania de consultan Avantera pe un eantion ce cuprindea primele 16.000 companii din Romania, companii ce au realizat n anul 2005 peste 80% din PIB.

34

4. Principiul multidisciplinaritii. Msurile, practicile i procedurile de asigurare a securitii sistemelor informatice trebuie s in cont de toate consideraiile i aspectele relevante, inclusiv tehnice, administrative, organizaionale, operaionale, comerciale, educaionale i legale. 5. Principiul proporionalitii. Nivelele de securitate, costurile, msurile, practicile i procedurile trebuie s fie corespunztoare i proporionale cu valoarea i gradul de ncredere n sistemele informatice i cu gravitatea, probabilitatea i nivelul daunelor poteniale, dup cum cerinele de securitate pot varia n funcie de sistemele informatice particulare. 6. Principiul integrrii. Msurile, practicile i procedeele de asigurare a securitii sistemelor informatice trebuie s fie coordonate i integrate att ntre ele ct i cu alte msuri, practici i procedee ale organizaiei cu scopul crerii unui sistem de securitate coerent. 7. Principiul actualitii. Instituiile publice i private, la nivel naional i internaional trebuie s acioneze n timp util ntr-o manier coordonat pentru a preveni i pentru a rspunde la breele de securitate a sistemelor informatice. 8. Principiul reevalurii. Securitatea sistemelor informatice trebuie reevaluat periodic, deoarece sistemele informatice i cerinele de securitate variaz n timp. 9. Principiul democraiei. Securitatea sistemelor informatice trebuie s fie compatibil cu utilizarea legitim i fluxul de date i informaii dintr-o societate democratic. n continuare vor fi prezentate o serie de msuri preventive i de control a utilizrii inadecvate a sistemelor informatice. 4.1.1. Politici de securitate O prim msur, foarte important este dezvoltarea de politici de securitate i ghiduri pentru o utilizare corespunztoare a sistemului informatic (DArcy, 2005). Aceste politici trebuie s fie clare, s scoat n eviden ce este corespunztor i ce e necorespunztor n utilizarea sistemelor informatice, ce tipuri de aplicaii poate rula utilizatorul, ce categorii de date pot fi stocate, care sunt tipurile de activiti interzise i care sunt consecinele cnd nu sunt respectate aceste politici (Gawde, 2004). Politicile de securitate, la nivelul unei companii, trebuie s in cont de toate aspectele. Spre exemplu, utilizarea dispozitivelor mobile acas (laptop-uri) de ctre angajai, fr un control corespunztor, poate duce la introducerea de virui, viermi

35

sau coninut ofensiv n reeaua companiei, cnd aceste dispozitive sunt conectate la locul de munc. Utilizarea laptop-urilor ridic, de asemenea, probleme de expunere a informaiilor confideniale ale companiei n afara reelei. De aceea, organizaiile trebuie s dezvolte i politici de securitate suplimentare privind dispozitivele mobile. Aceste politici i pot fi prezentate iniial utilizatorului la angajare, acesta eventual poate semna o declaraie prin care atest ca a fost informat cu privire la aceste politici. Politicile ar putea fi disponibile pe site-ul sau pe Intranetul companiei. Politicile de securitate trebuie s fie aplicate mpreun cu alte msuri de prevenire i control. n Ghidul pentru Asigurarea Securitii Sistemelor Informatice (OECD, 1992), la capitolul IV. Implementarea, se propune, ntr-un cadru mai larg, adoptarea i ncurajarea adoptrii de politici adecvate, legi, decrete, reguli i acorduri internaionale, inclusiv furnizarea de: Standarde tehnice, metode i coduri de practic armonizate la nivel internaional; Promovarea experienelor i bunelor practici n securitatea sistemelor informatice; Alocarea riscurilor i a responsabilitilor eecurilor n securitatea sistemelor informatice; Sanciuni penale, administrative sau alte categorii de sanciuni pentru utilizarea necorespunztoare a sistemelor informatice; Competen jurisdicional a instanelor judectoreti, inclusiv normele privind jurisdicia extrateritorial, i competen administrativ a altor organisme; Asisten reciproc, extrdri i alte cooperri internaionale n probleme referitoare la securitatea sistemelor informatice; Mijloace de obinere a probelor n sistemele informatice i acceptarea unor astfel de dovezi proceduri juridice i administrative penale i non-penale. 4.1.2. Instruire i informare Msura anterioar e n strns legtur cu msura de informare i educare a utilizatorilor n legtur cu aciunile considerate adecvate n utilizarea sistemelor informatice i care sunt consecinele utilizrii necorespunztoare.

36

Educarea i instruirea cu privire la securitatea sistemelor informatice se face prin promovarea aciunilor de contientizare a necesitii i a obiectivelor securitii sistemelor informatice, care includ: Conduit etic n utilizarea sistemelor informatice; Adoptarea bunelor practici de securitate; Dezvoltatori, proprietari, furnizori i utilizatori de sisteme informatice; Specialiti i auditori n sisteme informatice; Specialiti i auditori n securitatea sistemelor informatice; Autoritile de aplicare a legii, anchetatorii, avocai i judectori.

Educarea i instruirea trebuie s includ:

La nivelul unei organizaii, cunoaterea de ctre angajai a consecinelor nclcrii politicile de securitate e foarte important cu att mai mult cu ct s-a observat c teama de pedeaps (Manrique, 2007) are un efect puternic n prevenirea utilizrilor necorespunztoare. Informarea angajailor poate fi fcut la angajare, periodic sau de cte ori este nevoie. Este important comunicarea modificrilor realizate n politicile de securitate, datorate eventualelor modificri legislative. Un alt aspect l reprezint instruirea angajailor cu privire la riscurile care conduc la o utilizare necorespunztoare, intenionat sau neintenionat. Angajaii trebuie s cunoasc, care sunt ameninrile, cum pot fi eliminate riscurile, eventualele probleme legale generate de utilizrile necorespunztoare, modul de protejare al datelor, etc. 4.1.3. Monitorizare i control O alt msur de eliminare a riscurilor o reprezint supravegherea permanent a activitilor n sistem a angajailor i verificri periodice a utilizrii bunurilor informaionale. Aceste aciuni trebuie s fie pro active dect reactive cu scopul prevenirii, detectrii i corectrii. Pentru aplicarea lor trebuie prevzut n politicile de securitate c angajatorul i rezerv dreptul de a monitoriza activitile computaionale ale angajailor. Aciunile de monitorizare i control trebuie s cuprind o gam ct mai larg din factori de risc. Astfel ele trebuie s includ controlul securitii, controlul

37

operaional, controlul personalului, protecia fizic i de mediu, controlul produciei, a intrrilor i a ieirilor, controlul integritii, a documentaiei, controlul tehnic etc. Spre exemplu pot fi implementate sisteme de filtrare a coninutului: filtrarea web i filtrarea emailului. Filtrarea web ajut organizaiile n forarea respectrii politicilor de utilizare a Internetului, permite controlul accesului la site-uri care nu au legtur cu activitile organizaiei, protejeaz organizaia i furnizeaz unelte de monitorizare a utilizrii web-ului. Aceast filtrare duce la o cretere a productivitii angajailor, a eficienei reelei, micornd costurile cu limea de band, evit problemele cauzate de accesarea de materiale protejate sau pornografice i protejeaz compania de problemele juridice. Soluiile de filtrare web includ, de obicei, baze de date cu site-uri structurate pe categorii, posibilitatea de auto-nvare pentru a aduga noile site-uri identificate i unelte de monitorizare i control n timp real. Soluiile de filtrare a emailului filtreaz coninutul pe baza politicilor i preferinelor organizaiei. Filtrarea emailului include faciliti de limitare a consumului de band, de control al mesajelor de tip spam, de antivirus, de control al mesajelor de tip worm i foreaz respectarea politicilor de utilizare. Filtrarea emailului protejeaz organizaiile de scurgerile de informaii confideniale. Limitarea dimensiunii i tipului ataamentelor previne o serie de atacuri. Un exemplu concret de sistem de monitorizare i control l reprezint soluia de client mobil Cyclope pentru companiile ale cror angajai lucreaz pe laptopuri sau uniti cu conexiune intermitent. Soluia monitorizeaz activitile online, aplicaiile i documentele folosite, ponderea activitilor productive vs. neproductive, timpul de lucru i afieaz rapoartele managerului/administratorului ntr-o interfa simpl, uor de utilizat chiar i de ctre cei fr o pregtire tehnic. Dac persoana monitorizat este deconectat sau cltorete, monitorizarea continu i datele se salveaz local. n momentul n care laptopul/unitatea se reconecteaz, datele sunt transferate, actualizndu-se rapoartele de activitate, aplicaii i productivitate. 4.1.4. Implementarea de tehnologii preventive de securitate O alt msur este implementarea de tehnologii preventive de securitate pentru controlul accesului la resursele informaionale. Pentru a preveni utilizrile neautorizate i necorespunztoare ale sistemelor informatice, angajaii trebuie s cunoasc cele mai noi soluii tehnologice de securitate.

38

Se pot implementa sisteme de acces pe baz de rol, sisteme antivirus centralizate automate, sisteme de management actualizate, sisteme de monitorizare, sisteme de backup la nivelul organizaiei, etc. Soluiile de securitate trebuie s fie centrate pe protejarea informaiilor i nu pe cea a unui calculator individual sau a reelei de calculatoare. De asemenea soluiile de securitate trebuie s fie particulare fiecrei companii, funcie de specificul ei, de provocrile i riscurile de securitate proprii, adecvate nevoilor sale. 4.1.5. Cooperare La nivel naional i internaional, trebuie s existe aciuni de consultare, coordonare i cooperare ntre guverne i sectorul privat pentru a ncuraja implementarea msurilor de securitate pentru armonizarea, pe ct posibil, a msurilor, practicilor i procedeelor de securitate a sistemelor informatice. Din punct de vedere al msurilor suplimentare care pot fi luate pentru protejarea sistemelor informatice de interes naional, United States General Accounting Office (2003) prezenta o serie de recomandri: Dezvoltarea unei strategii la nivel naional de protejare a acestor sisteme. Se recomand elaborarea unei strategi complete care s cuprind rolurile specifice, responsabilitile i relaiile dintre toate entitile implicate n protejarea acestor sisteme; stabilirea de obiective i a cadrului de atingere a acestor obiective, stabilirea msurilor de performan. mbuntirea capacitilor de analiz i avertizare. Se recomand elaborarea unei metodologii pentru analiza strategic i a unui cadru de colectare a informaiilor necesare referitoare la ameninri i vulnerabiliti pentru a identifica ameninrile i pentru a le reduce n timp util. mbuntirea schimbului de informaii despre ameninri i vulnerabiliti. Trebuie mbuntite att schimburile de informaii ntre autoritile de la nivel naional cu cele de la nivel local ct i cele ntre autoriti i sectorul privat (GAO, 2003). 4.2. Managementul riscului n aceast er digital, n care companiile utilizeaz sisteme informatice pentru o mai bun gestiune a activitilor, managementul riscului joac un rol foarte

39

important n protejarea informaiilor organizaiei, i deci a activitii sale, de riscurile corelate cu sistemele informatice. Scopul unui astfel de management al riscului ntr-o organizaie este de a proteja organizaia i capacitatea sa de a-i ndeplini misiunea. Din acest punct de vedere, managementul riscului nu e privit doar ca o funcie tehnic ndeplinit de personalului IT care se ocup de sistemul informatic ci ca o funcie esenial de management a organizaiei (Stoneburner, Goguen & Feringa, 2002). n opinia United States General Accounting Office procesul de evaluare a riscurilor include printre alte elemente precum: identificarea ameninrilor (intrui, criminali, angajai ruvoitori, teroriti, dezastre naturale, etc.), estimarea probabilitii ca astfel de ameninri s se materializeze, identificarea i ierarhizarea valorii, estimarea pierderilor poteniale, identificarea aciunilor eficiente din punct de vedere al costurilor de natur a reduce efectele riscurilor, documentarea rezultatelor i dezvoltarea de planuri de aciune. n gestionarea riscurilor trebuie adoptate o serie de practici de prentmpinare a efectelor negative precum cunoaterea i nelegerea riscurilor, tratarea gestiunii riscurilor ca pe o investiie, reevaluarea riscurilor n mod regulat, utilizarea mecanismelor de control care s diminueze riscul. Symantec Global Services a dezvoltat o abordare de management a riscului n cinci pai. 1. Primul pas l reprezint dezvoltarea unei cunoateri i nelegeri a riscurilor asociate utilizrii sistemelor informatice securitate, disponibilitate, performan i conformitate. La acest pas se realizeaz o prim faz a analizei riscurilor. Se realizeaz un inventar al infrastructurii informaionale a organizaiei: date, aplicaii, tehnologii i resurse umane i, de asemenea se identific persoanele responsabile de aceste resurse, interdependena lor. Se clasific resursele n critice, eseniale i normale, analizndu-se criterii precum nivelul de importan, impactul produs de indisponibilitatea resursei, costul cderii resursei, compromiterea confidenialitii, integritii .a. Se identific riscurilor prin selectarea dintr-o list cu riscuri comune aferente tehnologiilor informaionale, a celor care sunt aplicabile infrastructurii proprii. Riscurile care se vor considera c nu merit atenie sunt nlturate din list. Riscurile trebuie s fie identificate cu una sau mai multe resurse. Se asemenea se asociaz riscurile la resurse prin particularizarea riscurilor pentru fiecare resurs critic n parte.

40

2. Al doilea pas l reprezint cuantificarea riscurilor prin evaluarea impactului acestora, care poate lua diverse forme: pierderea de clieni, pierderea de afaceri, costuri legale, amenzi, etc. Pentru fiecare resurs critic, n ordinea importanei lor, se face o ierarhizare a riscurilor aferente n funcie de impactul ce l-ar putea avea. 3. n etapa urmtoare companiile trebuie s identifice elementele necesare pentru gestiunea riscurilor i proiectarea unei soluii. Trebuie avute n vedere pe lng tehnologie, componenta important a soluiei n majoritatea cazurilor, i elementele umane ale sistemelor informatice, inclusiv instruirea acestora. n aceast etap se identific iniial mijloacele de protecie utilizate n prezent pentru nlturarea sau atenuarea riscului abordat. 4. n etapa a patra se stabilesc costurile pentru gsirea nivelului potrivit de investiii i implementare a soluiei de diminuare a riscurilor. n aceast faz se analizeaz informaia acumulat la fazele precedente i se iau decizii asupra soluiilor existente (dac exist) ce ar permite atenuarea, redirecionarea sau nlturarea riscurilor identificate. Iniial se identificarea mai multe soluii de nlturare a aceluiai risc, prioritate, n cazul acesta, acordndu-se soluiilor care permit nlturarea unui grup de riscuri pentru o resurs sau grup de resurse. 5. n ultima etap se stabilete un sistem permanent de gestiune a riscului, o activitate continu care trebuie s fac parte din cultura organizaiei (Symantec, 2007). 4.3. Integrarea managementului riscului n ciclul de via a sistemului

informatic Standardul ISO/IEC 16085, Managementul riscului, definete terminologia, cerinele procesului, activitile, sarcinile i aplicarea acestuia n ciclul de via. Acest standard definete managementul riscului ca un proces continuu de abordare sistematic a riscului n ciclul de via a unui produs sau serviciu. Aplicarea acestui standard este centrat pe managementul riscului pentru sistemele informatice inginereti, dar poate fi aplicat pentru sisteme din oricare alt domeniu. Procesul de management al riscului n timpul ciclului de via a unui produs informatic este alctuit din ase activiti: (1) planificarea i implementarea managementului riscului, (2) gestiunea profilului proiectului de risc, (3) realizarea analizei riscului, (4)

41

realizarea monitorizrii riscului, (5) realizarea reducerii riscului i (6) evaluarea procesului de management a riscului.
Stoneburner et al. prezenta, n 2002, managementul riscului ca un proces iterativ

care poate fi realizat n timpul etapelor ciclului de via a sistemului informatic. n

tabelul urmtor sunt prezentate activitile de management a riscului ce pot fi realizate n fiecare din cele cinci etape ale ciclului de via a unui produs informatic.

Etapele ciclului de via 1. Iniierea

Caracteristicile etapei

Activiti de management a riscului

Apariia necesitii unui Riscurile identificate n aceast sistem acestuia. informatic i etap ajut n stabilirea cerinelor securitate a operaiilor. etap pot fi utile n analizele de securitate a sistemului IT care pot duce la ajustri ale arhitecturii acestuia acestuia. n de ajut timpul dezvoltrii al documentarea obiectivelor sistemului i a unei strategii de

2. Dezvoltarea

Sistemul informaional e Riscurile identificate n aceast construit.

3. Implementarea Caracteristicile

de Procesul

management n

securitate ale sistemului ar riscurilor i verificate. legate de

evaluarea identificate

trebui configurate, testate implementrii sistemului. Deciziile riscurile trebuie luate naintea exploatrii sistemului. 4. Exploatarea i Sistemul execut funciile Activitile ntreinerea este modificat de conform de management a proiectate. De obicei acesta riscurilor sunt realizate pentru o prin reautorizare (reacreditare) periodic noi a sistemului sau n cazul adugarea software modificrile organizaie. 5. Eliminarea Aceast etap poate Sunt realizate activitile de

componente hardware i modificrilor majore din cadrul cu sistemului. din

42

Etapele ciclului de via sistemului

Caracteristicile etapei implica informaii,

Activiti de management a riscului a riscului asupra

eliminarea de management de

elemente componentelor din sistem care vor o potrivit ndeprtare a datelor

hardware i software. De fi eliminate sau nlocuite pentru a asemenea poate presupune asigura mutarea, informaii. eliminarea sau tergerea de manevrare reziduale. arhivarea, corespunztoare a acestora i o

Tabelul 3. Integrarea managementului riscului n ciclul de via a sistemului de via a sistemului informatic (dup Stoneburner et al., 2002).

Complexitatea sistemelor informatice i durata, relativ mare, de realizare a acestora genereaz o serie de probleme care trebuie luate n considerare i soluionate astfel nct, n final, s se obin rezultatele scontate. n primul rnd, pe durata ciclului de dezvoltare a unui sistem informatic au loc schimbri n echipa managerial a beneficiarului. n cazul n care o nou echip managerial are o alt viziune asupra indicatorilor agregai pe care i fundamenteaz deciziile, se produc modificri n specificaii, care atrag modificri ale structurii sistemului informatic. n al doilea rnd, noile tehnologii informatice care apar impun adaptarea din mers a echipei de dezvoltare a sistemului informatic. Se produc schimbri n abordarea instrumentelor de asistare, n utilizarea de opiuni. n final o serie de componente se construiesc utiliznd noile resurse. Sistemul informatic devine neomogen din punctul de vedere al tehnologiilor de dezvoltare. n al treilea rnd, dezvoltarea companiei prin achiziionarea de noi echipamente, reorganizarea fluxului de producie, trecerea la realizarea de noi produse introducerea elementelor de management total al calitii vin s influeneze calitativ i cantitativ structura i funciunile sistemului informatic. Problema achiziiilor de date capt o alt dimensiune n cazul utilajelor cu comand program sau n cazul liniilor de producie robotizate. n al patrulea rnd, pe durata mai multor ani, nsi echipa de programatori, webdesigneri, testeri i implementatori sufer modificri. Diferii specialiti rentregesc echipa. Toate aceste fluctuaii se reflect n sistemul de lucru, n calitatea componentelor sau stadiilor sistemului informatic.

43

n al cincilea rnd, mediul economic, legislaia i dinamica proceselor din societatea informaional conduc la evoluii care trebuie reflectate n sistemul informatic. Modificrile unor algoritmi de calcul, necesitatea de a utiliza noi coeficieni, apariia unor schimburi de informaii ntre companie i instituiile publice ale statului trebuie reflectate, de asemenea, din mers n sistemul informatic aflat n construcie. Toate aceste procese se deruleaz concomitent, producnd efecte conjugate, n timp ce obiectivul stabilit iniial, acela de a realiza un sistem informatic pentru managementul companiei, rmne nemodificat. Sunt situaii n care chiar condiiile privind termenele de predare rmn neschimbate. n cazul n care noile cerine conduc la creterea semnificativ a complexitii produsului final sistemul informatic pentru management - se impune creterea volumului investiiei pentru a suplimenta resursele necesare dezvoltrii unui volum mai mare de activiti. Creterea volumului de activiti care se deruleaz n paralel impune noi abordri la nivelul concepiei sistemului informatic.

44

5. Rezultate i discuii
n perioada octombrie noiembrie 2008 a fost realizat un studiu pe baza unui chestionar la care au participat studeni ai Facultii de Inginerie Electric, Universitatea Valahia din Trgovite (UVT), majoritatea din primii ani de studiu. Scopul acestui studiu a fost de a evalua percepia studenilor, a cror specializare implic folosirea de sisteme informatice, legat de riscurile utilizrii sistemelor informatice, riscurile de comportament ale acestora. 5.1. Profilul participanilor

La studiu au participat 126 de studeni, dintre care: - 78% cu vrste cuprinse ntre 18 i 25 de ani, 10% cu vrste ntre 25 i 35 de ani, 9% cu vrste ntre 35 i 45 de ani i 3% peste 45 de ani;

Fig.3. Eantion pe grupe de vrst - 107 persoane sunt doar studeni iar restul, 19 sunt i angajai; - 17% folosesc calculatorul de mai puin de 2 ani, 20% de 2 pn la 4 ani, 13% de 6 pn la 8 ani i 17 % de peste 8 ani; - 29% petrec ntre 0 i 2 ore pe zi n faa calculatorului, 32% ntre 2 i 4 ore, 25% ntre 4 i 6 ore, 9% ntre 6 i 8 ore iar 5% peste 8 pre pe zi;

45

Fig.4. Timpul mediu pe zi petrecut n faa calculatorului - folosesc n proporii variabile aplicaii tip Office, aplicaii specifice domeniului n care se specializeaz, aplicaii de navigare web, aplicaii de mesagerie instant, jocuri, jocuri on-line, altele. Se observ vrfuri (foarte bine) pentru aplicaii de navigare web i mesagerie instant.

Fig.5. Distribuia categoriilor de aplicaii folosite 5.2. Riscuri de comportament

Participanii la studiu au rspuns la o serie de ntrebri legate att despre punctul lor de vedere legat de utilizarea cu licen/fr licen a unui sistem informatic ct i despre comportamentul lor n utilizarea sistemelor informatice. La ntrebarea Folosii sisteme informatice fr licen?, 82% dintre respondeni au rspuns afirmativ. Acest procent depete procentul obinut de

46

Business Software Alliance17 care, n urma unui studiu realizat n ultimii ani identifica, la nivelul rii, o scdere a ratei pirateriei software n ultimii cinci ani de la 73% la 68% (BSA, 2008). Dei rata pirateriei a sczut, conform studiului BSA pierderile datorate pirateriei au crescut de la 49mil. de dolari n 2003 (62mil. n 2004, 111mil. n 2005, 114mil. n 2006) la 151mil. de dolari n 2007. Interesant de observat este c 67% dintre studenii UVT participani la studiu care folosesc sisteme informatice fr licen i doar 55% din numrul total de respondeni consider c este greit acest lucru. Acest rezultat indic faptul c, n general, utilizatorii nu sunt contieni de riscurile utilizrii sistemelor informatice fr licene.

Fig.6. Rata pirateriei

Fig.7. Gradul de contientizare al implicaiilor pirateriei

17

http://global.bsa.org/idcglobalstudy2007/studies/2007_global_piracy_study.pdf

47

La ntrebarea De ce utilizai sisteme fr licen?, din cele trei rspunsuri 44% au selectat rspunsul licenele software sunt foarte costisitoare. 43% au afirmat c folosesc sisteme piratate deoarece majoritatea cunoscuilor folosesc sisteme fr licen, i restul de 13% consider nu are rost s plteasc pentru software pe care l pot obine fr licen. Rezultatele obinute sugereaz c pe lng aspectele financiare i cele socialculturale (Swinyard et al., 1990), un motiv important al pirateriei software este dat de valorile morale (George et al., 2000), intensitatea moral (Ranjan et al., 2003).

Fig.8. Motivele utilizrii de aplicaii fr licen Aa cum a fost evideniat n capitolele anterioare, comportamentul utilizatorilor reprezint un factor important de risc. La ntrebarea Ai ncercat vreodat s virusai intenionat un sistem? doar 12% au rspuns pozitiv, iar la ntrebarea Ai ncercat vreodat s accesai ilegal un sistem informatic protejat? 21% au rspuns afirmativ. Privitor la intenia viitoare, fr o detaliere n prealabil a categoriilor de utilizri, 46% dintre respondeni au rspuns c ar folosi intenionat inadecvat sistemul informatic al instituiei n care i-ar desfura activitatea. Cei care au rspuns afirmativ la ntrebarea anterioar, ntrebai care ar fi motivele, 41% au rspuns Din curiozitate. Al doilea rspuns ca pondere a fost Ctig personal fr intenia de a rni pe cineva, cu 31 de procente, urmat, nu la foarte mare distan de Provocare intelectual, cu 25 de procente.

48

Fig.9. Motivele pentru care ar utiliza intenionat inadecvat sistemul informatic al instituiei Se observ c doar 3% au afirmat c ar utiliza inadecvat sistemul informatic al instituiei cunoscnd efectele negative asupra altora sau companiei. 5.3. Contientizarea riscurilor Chestionarul a cuprins i o serie de ntrebri menite s identifice gradul de contientizare al utilizatorilor cu privire la riscurile utilizrii necorespunztoare a sistemelor informatice.

Fig.10. Aprecierea importanei atacurilor interne i externe La o ntrebare de forma n ce msur considerai un risc n utilizarea corespunztoare a unui sistem informatic atacurile din afara instituiei, 31% dintre cei chestionai au rspuns: n foarte mic msur iar 15% n foarte mare msur.

49

Atacurile din interiorul instituiei au fost apreciate ca reprezentnd un risc n mare msur de 28% dintre respondeni i n mic msur de 32% dintre acetia. Rezultatele ar putea indica lipsa cunoaterii i contientizrii riscurilor atacurilor informatice din interiorul sau din exteriorul instituiei i deci un comportament iresponsabil sau indiferen fa de securitate. Pornind de la clasificarea Shreer & Alter n tabelul urmtor sunt prezentai factorii de risc care se manifest predominant n etapa de operare a unui sistem informatic, folosit ntr-un sistem de lucru: Componenta Factorii de risc tipici i rezultatele negative sistemului de lucru Participani Factori de risc: - manageri i lideri necorespunztori; - cunotine i nelegere necorespunztoare; - lipsa motivaiei i interesului; - incapacitatea sau lipsa dorinei de a rezolva conflictele - neconcordane ntre participani i necesarul procesului Rezultate negative: - Performane inadecvate din punct de vedere al productivitii, consistenei, timpului de lucru, etc. - Probleme de personal Informaii Factori de risc: - Calitate necorespunztoare a informaiilor - Accesibilitate necorespunztoare la informaie - Prezentarea neadecvat a informaiilor - Securitatea informaiilor inadecvat Rezultate negative: - Performane inadecvate din punct de vedere al productivitii, consistenei, timpului de lucru, etc. - Frustrarea participanilor - Pierderea sau furtul informaiilor

50

Componenta Factorii de risc tipici i rezultatele negative sistemului de lucru Tehnologie Factori de risc: - Tehnologia e dificil i ineficient n utilizare - Performana tehnologiei e inadecvat pentru necesarul aplicaiei - Dispozitivele hardware i software conin erori grave care pot afecta eficiena i eficacitatea - Incompatibilitatea tehnologiei cu alte tehnologii complementare Rezultate negative: - Performane inadecvate din punct de vedere al productivitii, consistenei, timpului de lucru, etc. - Frustrarea participanilor Tabelul 4. Factori de risc (extras din Alter & Alter) Pornind de la tabelul cu factori de risc extras din clasificarea Sherer & Alter, n chestionar au fost incluse ntrebri n care participanii trebuiau s aprecieze n ce msur afecteaz aceti factori folosirea corespunztoare a unui sistem informatic ntr-o instituie. Aprecierea se realiza pe o scal de la 1 la 5, unde 1 reprezenta c factorul respectiv influena n foarte mic msur utilizarea corespunztoare, iar 5 n foarte mare msur. n prima categorie de factori, referitoare la participani, rspunsurile au fost destul de diversificate, respondenii oferind aprecieri diferite celor cinci factori. 28% au apreciat managerii i liderii necorespunztori ca un factor foarte important. i pentru criteriul Cunotine i nelegere necorespunztoare, s-a nregistrat un vrf pentru importana maxim, 5, cu un procent de 32%. Pentru celelalte criterii din aceast categorie, vrfurile s-au nregistrat pentru aprecierea medie, 3. Participanii au apreciat c factorii din categoriile Informaii i Tehnologie, influeneaz n mare i foarte mare msur utilizarea corespunztoare a unui sistem informatic (valorile 4 i 5). Rezultatele destul de diversificate pot sugera, de asemenea, o formulare incorect i/sau incomplet a ntrebrilor, fiecare criteriu n parte putnd fi interpretat eronat de ctre respondeni. Rezultate mai apropiate de realitate s-ar fi putut obine dac pentru fiecare ntrebare are fi fost prezentate mai multe informaii.

51

Fig.11. Aprecierea factorilor din categoria Participani

52

Fig.12. Aprecierea factorilor din categoria Informaii

Fig.13. Aprecierea factorilor din categoria Tehnologie

53

n categoria Informaii se observ c pentru criteriile accesul necorespunztor la informaie i prezentarea necorespunztoare a informaiilor, 18%, respectiv 23% dintre cei chestionai au considerat ca aceste criterii influeneaz n mic i foarte mic msur utilizarea corespunztoare a unui sistem informatic. La o ntrebare direct legat de importana interfeei n utilizarea corespunztoare a unui sistem informatic, 73% au apreciat interfaa ca fiind important i foarte important.

Fig.14. Autoapreciere privind dependena de calculator Interesant de observat este i rspunsul participanilor la o ntrebare de forma Considerai c suntei dependent de calculator?, 28% dintre acetia au rspuns afirmativ. Acest rezultat s-a obinut fr o detaliere n prealabil a termenului dependen.

54

Concluzii
Beneficiile controlului utilizrii necorespunztoare a sistemelor informatice sunt productivitatea mrit, maximizarea activelor corporaiei, respectarea reglementrilor privind confidenialitatea, protejarea de probleme legale, pstrarea n bune condiii a resurselor IT i de reea. Diversitatea domeniilor de utilizare, a tipurilor de sisteme informatice a crescut numrul i categoriilor de riscuri asociate utilizrii sistemelor informatice. n cadru organizaional acestea pot proveni att din interiorul instituiei ct i din exteriorul ei. Factorii de risc se manifest pe toat durata de via a unui sistem informatic. Referindu-ne la perioada de operare, de utilizare efectiv a sistemului i la riscurile utilizrii necorespunztoare a sistemelor informatice, atunci cnd factorii declanatori sunt umani, se poate vorbi de intenie. Astfel utilizarea inadecvat a sistemului informatic se poate face intenionat sau neintenionat. Diversitatea de utilizatori angajai, consultani, clieni, competitori sau publicul larg i nivelele lor diferite de cunoatere, instruire i interes reprezint factori care influeneaz utilizarea sistemelor informatice. Factori importani n utilizarea corespunztoare a sistemelor informatice sunt erorile umane i comportamentul de risc al utilizatorilor. nelegerea caracteristicilor umane care duc la apariia erorilor ajut n luarea msurilor pentru reducerea probabilitilor de apariie a erorilor sau minimizarea impactului erorilor care au loc. Aceste msuri implic n mare msur o atenie sporit n proiectarea sistemului. Un sistem bine proiectat ar trebui s nu permit realizarea cu uurin a erorilor. Un rol deosebit n diminuarea erorilor l joac interfaa cu utilizatorul. n proiectarea interfeei trebuie s se in cont de caracteristicile umane pentru a diminua rata erorilor n operare. Msurile preventive i de control de baz implic elaborarea de politici de securitate, instruirea i informarea utilizatorilor, monitorizarea i control activitilor, implementarea de tehnologii preventive de securitate i cooperare ntre diverse instituii. n ultimii ani, la nivel european i naional, au fost adoptate o serie de acte normative care cuprind o arie larg din activitile care implic utilizarea sistemelor

55

informatice. innd cont de ptrunderea sistemelor informatice n aproape toate domeniile, utilizatorii trebuie s recunoasc faptul c aciunile lor sau neimplicarea lor ar putea provoca daune altora. Conduita etic este, prin urmare, crucial i participanii ar trebui s depun eforturi pentru a dezvolta i adopta cele mai bune practici i de a promova o conduit care recunoate i respect nevoile de securitate a intereselor legitime ale altora.

56

Bibliografie
Adam, A., Bell, F., (2003), Critical Information Systems Ethics, Critical Management Studies Conference, http://www.mngt.waikato.ac.nz/ejrot/cmsconference/2003/proceedings/exploring themeaning/Adam.pdf ADR Adjudicative Desk Reference, (1999), Adjudicative Guideline, http://www.smdc.army.mil/ADR/misuse/misuseF.htm Bedard, J.C., Jackson, C., (2002), Information Systems Risk Factors, Risk Assessments, And Audit Planning Decisions, Northeastern University; BSA, (2008), http://w3.bsa.org/ ; DArcy, J., (2005), Improving Information Systems Security through Procedural and Technical Countermeasures, Temple University; Dexter, D.E., Schuchman, A., (2005), Employee Misuse of Employers Technology, http://www.bna.com/bnabooks/ababna/tech/2005/dexter.pdf ; GAO, (2003), High-Risk Series, Protecting Information Systems Supporting the Federal Government and the Nations Critical Infrastructures, United States General Accounting Office, http://www.gao.gov/pas/2003/d03121.pdf Gawde, V., (2004), Information Systems Misuse - Threats & Countermeasures, http://www.infosecwriters.com/texts.php?op=display&id=187; George, K., Kalajdzic, B., Bittman, M., McLaughlin, R., Yingling, R., (2000), An Analysis of Software Piracy, The University of Oklahoma, http://www.georges.nu/computer/piracy.html; Iancu, S., (2001), Unele probleme sociale, economice, juridice i etice ale utilizrii tehnologiei informaiei i comunicaiilor, Bucureti; Iosif, G., Marhan, A.M., (2005), Analiza i managementul erorilor n interaciunea om-calculator, Ergonomie cognitiv i interaciune om-calculator, Ed. Matrix Rom, Bucureti; Kershaw, S., (2005), Hooked On the Web: Help is on the Way, New York Times; Ladd, J., (1991), The Quest for a Code of Professional Ethics: An Intellectual and Moral Confusion, Ethical Issues in Engineering, Ed. Deborah G. Johnson. Englewood Cliffs, NJ: Prentice-Hall, 130-136.

57

Leplat, J., (1985), Erreue humaine, fiabilite humaine dans le travail, Armand Colin, Paris; Lindstrom, P., (2005), Three techniques for measuring information systems risk, CISSP, http://searchsecurity.techtarget.com/tip/0,289483,sid14_gci1060169,00.html Luegenbiehl, H. C., (1983), Codes of Ethics and the Moral Education of Engineers, Business and Professional Ethics Journal 2 (1983): 41-61. Lynch, M., (2000), Ethical Issues in Electronic Information Systems, Department of Geography, University of Texas at Austin, http://www.colorado.edu/geography/gcraft/notes/ethics/ethics_f.html Manrique de Lara, P. Z., Tacoronte, (2007), D.V., XXI Congreso Anual AEDEM, Universidad Rey Juan Carlos, Madrid, 6,7 y 8 de junio de 2007, Vol. 1, ISBN 978-84-7356-500-4 , pag. 31; Marcu, F., (2000), Marele dicionar de neologisme, Editura Saeculum; McNair, 2001, Controlling Risk, http://www.acm.org/ubiquity/views/p_mcnair_1.html?searchterm=risk OECD, (1992), Guidelines for the Security of Information Systems, http://www.oecd.org/document/19/0,2340,en_2649_34255_1815059_1_1_1_1,00.html OECD, (2002), Guidelines for the Security of Information Systems and Networks, http://www.oecd.org/dataoecd/16/22/15582260.pdf Oz, E., (1992), Ethical Standards for Information Systems Professionals: A Case for a Unified Code, MIS Quarterly, pag. 423, http://www.misq.org/archivist/vol/no16/issue4/effyoz.pdf; POST, (2001), Parliamentary Office of Scence and Technology, Managing Human Errors, http://www.parliament.uk/post/pn156.pdf Ranjan, B. Kini, Ramakrishna, H.V., Vijayaraman, B. S., (2003), An exploratory study of moral intensity regarding software piracy of students in Thailand, Behaviour & Information Technology, Volume 22, Issue 1; Rasmussen, M., (2006), Taking Control Of IT Risk, Forrester, Best Practices, http://i.i.com.com/cnwk.1d/html/itp/Forr051103831600.pdf Reason, J., (1990), Human error, Cambridge, Cambridge University Press; Roedler, G.J, (2006), A Path to Convergence of Risk Management Standards, Sixteenth Annual International Symposium of the International Council On Systems Engineering (INCOSE),

58

http://www.incose.org/practice/techactivities/wg/risk/docs/PN05_0750_Roedler. Position.pdf; Shelton, C.P., (1999), Human Interface / Human Error, Carnegie Mellon University 18-849b Dependable Embedded Systems Spring, http://www.ece.cmu.edu/~koopman/des_s99/human/ Sherer, S.A., Alter, (2004), Information System Risks and Risk Factors: Are They Mostly About Information Systems?, Communications of the Association for Information Systems, Volume 14, 29- 64; http://www.stevenalter.com/StevenAlter.com/Downloads___files/CAIS%20142%20IS%20Risk%20Factors%20%20Are%20They%20Mostly%20About%20IS.pdf Silverman, B.G., (1993), Research Workshop on Expert Judgment, Human Error, and Intelligent Systems, AI Magazine Volume 14; Stoneburner G., Goguen, A., Feringa A., (2002), Risk Management Guide for Information Technology Systems, National Institute of Standards and Technology Special Publication 800-30 Natl. Inst. Stand. Technol. Spec. Publ. 800-30, http://csrc.nist.gov/publications/nistpubs/800-30/sp800-30.pdf Straub, D.W., Welke, R.J, (1998), Coping with Systems Risks: Security Planning Models for Management Decision-Making, MIS Quarterly, pag.441-469, http://hornbeam.cs.ucl.ac.uk/hcs/teaching/GA10/lec7extra/StraubWelke1998.pdf Swinyard, W. R. , Rinne, H., Keng Kau, A., (1990), The morality of software piracy: A cross-cultural analysis, Journal of Business Ethics, Vol. 9, No. 8, Springer Netherlands; Symantec, (2007), Managing IT Risks, http://www.symantec.com/business/resources/articles/article.jsp?aid=managing_i t_risk#five Vincent, K. J., and Rasmussen, J. A., (1988), Theoretical Framework for Ecological Interface Design, Technical Report M-2736. Risoe, Roskilde, Denmark. Zapf, D., Broadbeck, F.C., Frese, M., Peters, H, Prumper, Z., (1992), Errors in working with office computer: a first validation of taxonomy for observed errors in a field setting, International Journal of Human-Computer Interaction;

59