ANALIZA DE RISC N CADRUL MANAGEMENTULUI

SECURITII SISTEMELOR INFORMATICE

Societatea mbrieaz din ce n ce mai mult tehnologia informaiei. Informaia care pn nu de mult avea la baz hrtia, mbrac acum forma electronic. Informaia pe suport de hrtie mai este nc rezervat documentelor oficiale, acolo unde este necesar o semntur sau o stampil. Adoptarea semnturii electronice deschide ns perspective digitizrii complete a documentelor, cel puin din punct de vedere funcional. Acest nou mod de lucru, n care calculatorul a devenit un instrument indispensabil i un mijloc de comunicare prin tehnologii precum pota electronic sau Internetul, atrage dup sine riscuri specifice. O gestiune corespunztoare a documentelor n format electronic face necesar implementarea unor msuri specifice. Msurile ar trebui s asigure protecia informaiilor mpotriva pierderii, distrugerii sau divulgrii neautorizate. Cel mai sensibil aspect este acela de a asigura securitatea informaiei gestionat de sistemele informatice n noul context tehnologic. Astfel, managementul securitii sistemelor infromatice se refer la acea parte a managementului unei companii care are ca scop crearea mecanismelor necesare pentru a asigura gestionarea, evaluarea i eliminarea riscurilor poteniale n relaie cu disponibilitatea, integritatea i confidenialitatea informaiilor. Riscurile utilizrii inadecvate a sistemelor informatice sunt privite din dou puncte de vedere: utilizarea inadecvat a sistemelor informatice ca o consecin a unor riscuri manifestate; utilizarea inadecvat a sistemelor informatice ca o cauz generatoare de riscuri. 1

Scopul asigurrii securitii sistemelor informatice este reprezentat de interesele celor care depind de sistemele informatice i de daunele care pot rezulta din eecul asigurrii confidenialitii i integritii informaiilor. Clasificarea riscurilor utilizrii inadecvate a sistemelor informatice: 1. Riscurile de securitate: amenintri interne sau externe rezultate n urma accesului neautorizat i fraudulos la informaii. Acestea includ scurgeri de date, fraud, virusi dar i atacuri directionate asupra anumitor tipuri de aplicaii, utilizatori sau informaii. 2. Riscurile de accesibilitate: informaia devine inaccesibil de ctre persoanele cu drept de utilizare, datorit unor ntreruperi neplanificate ale sistemului. Trebuie avut n vedere de ctre fiecare organizaie riscul de pierdere sau de corupere a datelor i s asigure toate mijloacele necesare evitarii acestor riscuri ct i recuperrii datelor n timp util n cazul unui dezastru. 3. Riscurile legate de performan: informaia devine inaccesibil datorit limitrilor de performan i scalabilitate ale sistemului. Trebuie luate n considerare toate necesitile tehnice cantitative i de performan pentru a putea face fa n situaiile de maxim, dar analiznd atent cerinele de resurse pentru a evita cheltuielile inutile i pentru a minimiza costul de ntreinere al sistemului informatic. 4. Riscurile de conformitate: nclcarea regulamentelor i/sau a politicilor interne ale companiei. 5. Managementul riscurilor este procesul de implementare i meninere a mijloacelor de reducere a efectelor riscurilor la un nivel considerat acceptabil i nepericulos de ctre managementul companiei. Acest proces impune urmatoarele: Analiza de risc; Politicile de securitate; Schema de securitate ; Audit tehnic i financiar; 2

 Testarea vulnerabilitilor i accesului neautorizat; Monitorizarea - detectarea accesului neautorizat prin dispozitive de identificare; Instalarea i administrarea serviciilor de ncredere. Analiza de risc este componenta cea mai important din cadrul managementului riscurilor. Aceasta este un proces de evaluare a vulnerabilitilor sistemului informatic i a ameninrilor la care acesta este sau poate fi expus. n urma acestui proces se identific consecinele probabile ale riscurilor analizate i ale vulnerabilitilor asociate i se pun bazele ntocmirii unui plan de securitate care s fie n conformitate cu un raport corespunztor eficien-cost. Realitatea practica impune abordarea riscului informatic prin prisma a 3 factori: amenintarile privite ca evenimente sau activiti (n general, din exteriorul sistemului auditat) care pot s afecteze vulnerabilitile existente n orice sistem cauznd astfel impactul, apreciat a fi o pierdere sau o consecin pe termen scurt, mediu sau lung suportat de organizaie. Riscul la nivelul unei organizaii nu poate fi eliminat, el va exista ntotdeauna, managementul societii fiind responsabil de reducerea lui la un nivel acceptabil. n acest sens, figura de mai jos pune n coresponden diferite elemente ce necesit a fi luate n calcul pentru reducerea riscului.

n acest context, riscul informatic se poate caracteriza prin urmtoarele elemente : Ameninrile i vulnerabilitile proceselor sau/i activelor Impactul asupra activelor bazat pe vulnerabiliti i ameninri Frecvena de apariie a ameninrilor. Odat identificate, riscurile trebuie evaluate n funcie de gravitatea efectelor pe care le produc. n general, riscurile asociate unui sistem informaional, pe care orice auditor trebuie s le analizeze i evalueze (tehnic frecvent utilizat n acest caz este chestionarul), n vederea aprecierii sistemului n sine vizeaz: Riscul securitii fizice ce va fi evaluat n functie de informaiile culese, cu privire la: existena sistemelor de paz, detectie i alarm a incendiilor, sistemelor de protecie mpotriva caderilor de tensiune, protecia echipamentelor mpotriva furturilor, protecia mpotriva catastrofelor naturale (inundaii, cutremure..), protecia fizic a suportilor de 4

memorare, pstrarea copiilor de siguran ntr-o alta locatie dect cea n care si desfasoar activitatea organizaia. Riscul de comunicaie poate lua valene diferite, n funcie de disponibilitatea sistemului la reeaua public, situaie n care auditorul e necesar s analizeze msurile de securitate adoptate: existenta unui firewall, modul de configurare a acestuia, analiza modului de transmitere a datelor prin reeaua public (utilizarea tehnicilor de criptare, existenta unei reele virtuale private - VPN). Acest risc se poate manifesta i la nivelul unei reele locale, atunci cnd configurarea acesteia las de dorit i prin ascultarea liniilor de comunicaie, traficul acesteia poate fi compromis. Confidenilitatea informaiilor nu vizeaz doar memorarea acestora pe staiile de lucru sau servere, ci i liniile de comunicaie. Riscul privind integritatea datelor i tranzaciilor vizeaz toate riscurile asociate cu autorizarea, completitudinea i acurateea acestora. Riscul de acces se refer la riscul asociat accesului inadecvat la sistem, date sau informaii. Implicaiile acestui risc sunt majore, el viznd confidenialitatea informaiilor, integritatea datelor sau bazelor de date i disponibilitatea acestora. n acest sens, aciunile auditorului presupun o analiza a managementului parolelor la nivelul organizaiei (altfel spus atribuirea i schimbarea parolelor de acces fac obiectul unei aprobri formale?), o investigare a ncercrilor de accesare neautorizata a sistemului (exista o jurnalizare a acestora ?), o analiz a proteciei staiilor de lucru (sunt acestea dotate cu soft care sa blocheze accesul la reea, atunci cnd utilizatorul nu se afla la staia sa ?). Riscul privind protecia antivirus ce impune o analiz a existenei programelor n entitate, utilizarea lor la nivel de server i staii de lucru, upgrade-ul acestor programe (manual sau automat). Lupta cu viruii este esenial, dar nu uor de realizat. n ciuda numarului mare de programe antivirus existente este necesar o analiz a caracteristicilor programului privind: scanarea n timp real a sistemului sau monitorizarea continu a acestuia, scanarea mesajelor e-mail, scanarea manual. 5

Riscul legat de documentaia sistemului informatic. Documentaia general a unui sistem informatic vizeaz pe de o parte documentaia sistemului de operare sau reelei i, pe de alt parte, documentaia aplicaiilor instalate. Aceast documentaie poate fi diferit pentru administratori, utilizatori i operatori astfel nct s ajute la instalarea, operarea, administrarea i utilizarea produsului. Riscurile asociate documentaiei se pot referi la faptul c, aceasta nu reflect realitatea n ceea ce privete sistemul, nu este nteligibil, este accesibil persoanelor neautorizate, nu este actualizat. Riscul de personal poate fi analizat prin prisma urmatoarelor criterii: Structura organizaional la nivelul departamentului IT ce va avea n vedere modul n care sunt distribuite sarcinile i responsabilitile n cadrul acestuia. Alocarea unui numr prea mare de responsabiliti la nivelul unei singure persoane sau unui grup de persoane este semnul unei organizri interne defectuoase. Practica de selecie a angajailor. La baza unui mediu de control adecvat stau competena i integritatea personalului, ceea ce implica din partea auditorilor o analiz a politicilor si procedurilor organizaiei privind angajarea, specializarea, evaluarea performanelor i promovarea angajailor. Riscul de infrastructur se concretizeaz n faptul ca organizaia nu deine o infrastructura efectiva a tehnologiei informaiei (hardware, reele, software, oameni i procese) pentru a susine nevoile acesteia. Riscul de management al situaiilor neprevzute (risc de disponibilitate) este riscul asociat pericolelor naturale, dezastrelor, cderilor de sistem care pot conduce la pierderi definitive ale datelor, aplicaiilor, n absenta unor proceduri de monitorizare a activitii, a planurilor de refacere n caz de dezastre. Literatura de specialitate definete managementul riscului ca fiind procesul de identificare a vulnerabilitilor i ameninrilor din cadrul unei organizaii, precum i de elaborare a unor masuri de minimizare a impactului acestora asupra resurselor 6

informaionale. Demersul metodologic al acestui proces include urmtoarele etape: 1. Caracterizarea sistemului. La nivelul acestei etape, auditorul va desfura n primul rnd o activitate de colectare a informaiilor despre sistemul informaional, informaii care vor viza echipamentele hardware, software, interfeele sistemului, utilizatorii sistemului informatic, datele i aplicaiile importante, senzitivitatea datelor i sistemului n vederea aprecierii nivelului de protecie ce este necesar a fi realizat pentru asigurarea integritii, confidenialitii i disponibilitii datelor. Cele mai utilizate tehnici de investigare pentru colectarea acestor informaii sunt: chestionarele, interviurile, documentaia sistemului, utilizarea unor instrumente de scanare automata a sistemului informatic (SATAN este doar un exemplu de astfel de instrument ce permite detectarea vulnerabilitilor unei reele de calculatoare). Rezultatele acestei etape vor furniza o imagine a mediului informatizat, a limitelor sistemului informatic analizat. 2. Identificarea ameninrilor. Ameninrile sunt acele evenimente sau activiti, n general externe unui sistem, care pot afecta la un moment dat punctele slabe ale acestuia, cauznd pierderi semnificative. n general o ameninare este o for potenial care poate degrada confidenialitatea i integritatea sistemului, genernd adeseori ntreruperi de servicii ale acestuia. Un element esenial n cadrul acestei etape l reprezint determinarea probabilitii de realizare a acestei ameninri, element ce trebuie analizat n funcie de: - sursa ameninrii. natural (cutremure, foc, tornade, etc) uman (atacuri ntr-o reea, acces neautorizat la date confideniale) de mediu (cderi de tensiune pe termen lung, poluare, umiditate) - vulnerabilitatea poteniala - controalele existente. Cu titlu exemplificativ, tabelul de mai jos releva diferite surse de ameninri umane cu aciunile generatoare: 7

Sursa ameninrii Hackeri, crackeri

Actiunea ameninrilor Intruziuni n sistem, atacuri de tip hacking, acces neautorizat la sistem Acte frauduloase, aciuni de tip spoofng, intruziuni ale sistemului.

Criminalitate informatica

Terorism

Penetrarea sistemului, interferarea sistemului n mod distructiv.

Spionaj industrial Atacuri ale angajailor

Penetrarea

sistemului,

acces

neautorizat,

captarea

datelor dintr-o linie de comunicaie neprotejat. Fraude i erori, coruperea datelor, introducerea unor date false, acces neautorizat la sistem, introducerea viruilor, caii troieni, etc. 3. Identificarea vulnerabilitilor. Scopul acestei etape este de a dezvolta o lista a vulnerabilitilor sistemului (lipsuri sau slbiciuni) care pot fi exploatate de surse de ameninare poteniale. n acest context este necesar o analiza a vulnerabilitilor ameninrilor pereche exemplificat, ntr-o maniera limitat, n cadrul tabelului ce urmeaz:

Vulnerabilitate

Sursa ameninrii

Aciunea ameninrii Conectare la reeaua organizaiei i acceseaz datele acesteia.

Identificatorul angajailor concediai nu Salariai este eliminat din sistem concediai

Vulnerabilitate

Sursa ameninrii

Aciunea ameninrii

Firewall-ul companiei permite un acces la Utilizatori sistem prin serviciul Telnet neautorizai (hackeri,teroriti, angajai concediai) Unul din partenerii societii a identificat Utilizatori slbiciuni in proiectarea securitii neautorizai

Utilizarea serviciului Telnet, permite accesul la fiierele din sistem.

Obinerea

accesului

neautorizat

la

fiierele sensibile ale sistemului, bazat pe vulnerabiliti cunoscute.

sistemului, sistemul n sine furnizndu-i diferite metode de remediere a acestora (este si exemplul sistemului de operare Windows Internet Explorer, care in momentul detectrii unor slbiciuni in proiectarea securitii sistemuluiface disponibile pentru utilizatori patch-uri pentru remedierea slbiciunilor date). Centrul de prelucrare automat a datelor Foc,persoane folosete pentru stingerea incendiilor neglijente mprtietoare de ap (ncastrate n tavan) fapt ce poate afecta n mod negativ echipamentele hardware.

Declanarea automat a stingtoarelor de incendii.

4. Analiza controalelor. n vederea minimizrii sau eliminrii riscurilor fiecare organizaie dispune implementarea unor metode de control tehnice sau nontehnice ce pot viza: 9

- mecanisme de control al accesului, - mecanisme de identificare i autentificare, - metode de criptare a datelor - software de detectare a intruziunilor - politici de securitate - proceduri operaionale i de personal. 5. Determinarea probabilitii de realizare a ameninrilor. Pentru determinarea unei rate de probabilitate generala, care indic probabilitatea ca o vulnerabilitate poteniala s fie exercitat n modelul de ameninri asociate, este necesar ca auditorul s analizeze urmtorii factori: capacitatea i motivaia sursei de ameninare, natura vulnerabilitii i.existenta i eficiena controalelor curente. Acest element poate fi apreciat prin calificativele nalt, Mediu i Sczut, n urmtoarele condiii: nalt sursa ameninrii este foarte motivat si suficient de capabil, iar controalele de prevenire a acestor vulnerabiliti sunt ineficiente. Mediu sursa ameninrii este foarte motivat i suficient de capabil, dar controalele existente pot mpiedica declanarea vulnerabilitii. Sczut sursa ameninrii este lipsit de motivaie, sau controalele exist pentru a preveni sau cel puin a mpiedica semnificativ vulnerabilitatea de a se manifesta. 6. Analiza impactului. Impactul financiar este definit ca estimarea valoric a pierderilor entitii ca urmare a exploatrii slbiciunilor sistemului de ctre ameninri. Acest impact poate avea doua componente: un impact pe termen scurt i un impact pe termen lung. n esen, impactul este specific fiecrei organizaii, depinde de activele acesteia, de tipul organizaiei, de msurile de prevenire existente, descrie efectul ameninrii i se poate

10

manifesta ca o pierdere financiar direct, ca o consecin asupra reputaiei entitii sau ca o sanciune temporar, cu o ulterioar consecin financiar.

Impactul poate fi exprimat i el prin calificativele nalt, Mediu i Sczut. 7. Determinarea riscului. Modelele de risc, fie ele cantitative sau calitative, reprezint instrumente deosebit de utile auditorilor IT pentru identificarea diferitelor tipuri de risc, oferind n acelasi timp informaii pentru a le determina i controla. Literatura de specialitate abordeaza doua modele de analiz a valorii riscului: modelul cantitativ si modelul calitativ; acestea pornesc de la premisa c orice organizaie se poate astepta la apariia unor pierderi cauzate de ineficiena unui sistem informatic, iar acest risc al 11

pierderilor, rezult din impactul pe care l au ameninrile asupra resurselor organizaiei. Determinarea riscului pentru fiecare pereche vulnerabilitate ameninare particular poate fi exprimat ca o funcie ce depinde de: probabilitatea de realizare a unei ameninri, marimea impactului, masurile de control existente pentru reducerea sau eliminarea riscului. n acest sens poate fi dezvoltat o matrice a nivelului de risc derivat din multiplicarea probabilitaii de realizare a ameninrii i impactul acesteia. Spre exemplu, daca probabilitatea asociata pentru fiecare nivel de realizare a ameninrii este : 1 nalt 2 Mediu 3 Sczut - valoarea asociat pentru fiecare nivel de impact : 100 nalt 50 Mediu 10 Sczut. Probabilitatea ameninrii nalt (1) Mediu (0.5) Scazut (0.1) Impact Scazut (10) Scazut (10) Scazut (5) Scazut (1) Mediu (50) Mediu (50) Mediu (25) Scazut (5) nalt (100) nalt (100) Mediu (50) Scazut (10)

8. Recomandri asupra unor controale adecvate. Scopul acestei etape se rezum la recomandrile auditorului asupra controalelor necesare a fi implementate pentru reducerea nivelului de risc la un nivel acceptabil. n mod implicit, auditorul va determina nivelul 12

riscului rezidual definit ca acel nivel de risc ce ramne dupa analiza i evaluarea tuturor masurilor de combatere a riscurilor. Riscul rezidual ia forma unei concluzii la care s-a ajuns n urma unui proces de analiz a lui i trebuie s conin: semnalarea punctelor slabe, nevralgice ale sistemului asociate cu ameninrile corespunztoare i probabilitatea lor de a avea loc; toate msurile (recomandrile) ce se impun a fi aplicate dac riscul rezidual nu se ncadreaz la un nivel acceptabil.

Clasificarea informatiilor in functie de importanta lor si deci de nivelul de securitate pe care acestea il impun. Datele sunt clasificate pe patru nivele si anume: Date publice (informatie neclasificata) Date interne Date confidential Date secrete (top secret'). In vederea clasificarii datelor nu se are in vedere doar continutul datelor si 13

informatiilor din sistem ci si o serie de alte aspecte (Care anume?). In plus, daca un sistem contine date care apartin mai multor niveluri de securitate va trebui clasificat in functie de cerintele impuse de datele cele mai confidentiale gestionate in sistem. Nevoile de securitate ale sistemului trebuie sa se concentreze pe disponibilitate, confidentialitate si/sau integritate. Cerintelor de securitate recomandate de Orange Book elaborata de American DoD (Department of Defence) si respectiv European Orange Book (ITSEC), pe cele 4 nivele de securitate enumerate mai sus: Clasa 1: Date publice (informatie neclasificata) - Instalarea de snifere (software sau dispozitiv care captureaza pachetele de date transmise intr-o retea); - Scanare antivirus - Deschiderea de conturi doar persoanelor autorizate, conturile avand in mod obligatoriu parole de acces. - Accesul la scriere pentru fisierele de sistem trebuie restrictionat la grupuri de utilizatori sau masini (calculatoare). - Software-ul de comunicatie (NFS - Network File System, LanManager, RAS - Remote Access Service, UUCP1' - Unix-to-Unix Copy,Workgroups) trebuie sa fie corect instalat, cu optiuni de securitate. Clasa 2: Date interne Datele interne reprezinta date procesate in sistem in cadrul diferitelor compartimente functionale pentru care accesul direct, neautorizat trebuie prevenit. Pentru aceasta categorie de date recomandarile vizeaza urmatoarele mijloace de protectie: Documentare: testari, elaborarea unei filozofii de securitate, un ghid al utilizatorului cu caracteristici de securitate (descrierea mecanisme-lor de securitate din punctul de vedere al utilizatorului, ghid pentru administrarea securitatii). 14

 Siguranta : Arhitectura sistemului: Se verifica daca TCB ruleaza in mod protejat. Trebuie sa existe functii pentru verificarea integritatii hardware si firmware. Se verifica daca au fost testate cu succes mecanismele de securitate. Identificarea si autorizarea utilizatorilor si protejarea informatiei privitoare la autorizari. Calitatea controlului accesului : accesul este controlat intre utilizatori precizati (sau grupuri de utilizatori) sau obiecte precizate. Clasa 3: Informatii confidentiale. Datele din aceasta clasa sunt confidentiale in cadrul organizatiei si protejate fata de accesul extern. Afectarea confidentialitatii acestor date ca urmare a unui acces neautorizat poate afecta eficienta operationala a organizatiei, poate genera pierderi financiare si oferi un avantaj competitorilor sau o scadere importanta a increderii clientilor. De data aceasta integritatea datelor este vitala. Pentru aceasta clasa Orange Book recomanda protejarea accesului controlatsi securizarea transmisiilor de date : Protejarea accesului controlat (Controlled Access Protection) presupune: o Recomandarile precizate pentru clasa 2 de senzitivitate la care se adauga: manualul caracteristicilor de securitate, identificarea si autorizarea (nu se admite definirea de conturi la nivel de grup), calitatea controlului accesului (controlul atribuirii de privilegii) si testarea securitatii. o Responsabilitatea utilizatorului: utilizatorii au responsabilitatea actiunilor lor. De aceea trebuie sa existe posibilitatea de audit trail impreuna cu functii de monitorizare si alerta. Jurnalele de audit (audit logs) trebuie sa fie protejate. o Reutilizarea obiectelor: Obiectele folosite de o persoana trebuie sa fie reinitializate inainte de a fi utilizate de o alta persoana. Securizarea transmisiei de date: in transmiterea de mesaje sau in utilizarea de programe care comunica intre ele trebuie mentinute confidentialitatea si integritatea. 15

Clasa 4: Informatie secreta Accesul intern sau extern neautorizat la aceste date este critic. Integritatea datelor este vitala. Numarul de utilizatori care au drept de accesla aceste date este foarte limitat si pentru aceste date sunt fixate reguli foarte severe de securitate privind accesul. Labelled Security Protection (Protejarea prin etichetare): o Cerinte suplimentare privind identificarea si autentificarea (mentinerea securitatii informatiilor compartimentului), manualul facilitatilor de incredere , manualul de proiectare (descrierea modelului de securitate si a mecanismelor) si asigurarea (arhitectura sistemului: izolarea procesului, verificarea integritatii, testarea securitatii prin simularea atacurilor de penetrare si auditatea jurnalelor de securitate pe nivele de obiecte). o Verificarea specificatiei si a proiectarii : se comporta sistemul in conformitate cu manualul ? o Exportarea informatiei etichetate, exportarea catre device-uri multinivel sau mononivel. Accesul controlului pentru obiecte si subiecti asa cum este specificat in TCB nu de catre useri. (TCB este un protocol destinat trimiterii de mesaje e-mail intre servere) Securizarea transmisiilor de date (conform cerintelor prezentate intr-un paragraf anterior). Concluzii Diversitatea domeniilor de utilizare, a tipurilor de sisteme informatice a crescut numrul i categoriilor de riscuri asociate utilizrii sistemelor informatice. n cadru organizaional acestea pot proveni att din interiorul instituiei ct i din exteriorul ei. Factorii de risc se manifest pe toat durata de via a unui sistem informatic. Referindu-ne la perioada de operare, de utilizare efectiv a sistemului i la riscurile utilizrii necorespunztoare a sistemelor informatice, atunci cnd factorii declanatori sunt umani, se poate vorbi de intenie. Astfel utilizarea inadecvat a sistemului informatic se poate face 16

intenionat sau neintenionat. Diversitatea de utilizatori angajai, consultani, clieni, competitori sau publicul larg i nivelele lor diferite de cunoatere, instruire i interes reprezint factori care influeneaz utilizarea sistemelor informatice. Factori importani n utilizarea corespunztoare a sistemelor informatice sunt erorile umane i comportamentul de risc al utilizatorilor. nelegerea caracteristicilor umane care duc la apariia erorilor ajut n luarea msurilor pentru reducerea probabilitilor de apariie a erorilor sau minimizarea impactului erorilor care au loc. Aceste msuri implic n mare msur o atenie sporit n proiectarea sistemului. Un sistem bine proiectat ar trebui s nu permit realizarea cu uurin a erorilor. Un rol deosebit n diminuarea erorilor l joac interfaa cu utilizatorul. n proiectarea interfeei trebuie s se in cont de caracteristicile umane pentru a diminua rata erorilor n operare. Msurile preventive i de control de baz implic elaborarea de politici de securitate, instruirea i informarea utilizatorilor, monitorizarea i control activitilor, implementarea de tehnologii preventive de securitate i cooperare ntre diverse instituii. n ultimii ani, la nivel european i naional, au fost adoptate o serie de acte normative care cuprind o arie larg din activitile care implic utilizarea sistemelor informatice. innd cont de ptrunderea sistemelor informatice n aproape toate domeniile, utilizatorii trebuie s recunoasc faptul c aciunile lor sau neimplicarea lor ar putea provoca daune altora. Conduita etic este, prin urmare, crucial i participanii ar trebui s depun eforturi pentru a dezvolta i adopta cele mai bune practici i de a promova o conduit care recunoate i respect nevoile de securitate a intereselor legitime ale altora.

17

Bibliografie Iancu, S., (2001), Unele probleme sociale, economice, juridice i etice ale utilizrii tehnologiei informaiei i comunicaiilor, Bucureti; OECD, (2002), Guidelines for the Security of Information Systems and Networks, http://www.oecd.org/dataoecd/16/22/15582260.pdf; Popa, S., (2007), Securitatea sistemelor informatice, Bucuresti; Ana Maria Suduc, (2009), Riscuri asociate utilizrii inadecvate a tehnologiilor societii informaionale, Bucuresti ; Iosif, G., Marhan, A.M., (2005), Analiza i managementul erorilor n interaciunea omcalculator, Ergonomie cognitiv i interaciune om-calculator, Ed. Matrix Rom, Bucureti; Revista Informatica Economica, nr.2 (14)/2000, Bucuresti ; Proiect OpenSSL: http:// www. openssl. org/ ; http://www.securekit.com/.

18