Sunteți pe pagina 1din 11

Pericolele i securitatea

sistemului informatic dintr-o


organizaie







Profesor coordonator: Studeni: Miron Anamaria ( CIG 6)
Lector dr. Daniela Popescul Popa Alexandra (CIG 2)




2






Cuprins


1. Introducere .......................................................... Error! Bookmark not defined.

2. Descrierea organizaiilor ..................................... Error! Bookmark not defined.

3. Pericole ................................................................ Error! Bookmark not defined.

5. Msuri de securitate ............................................ Error! Bookmark not defined.

6. Propuneri pentru mbuntirea securitii .......... Error! Bookmark not defined.







3

1. Introducere

n zilele noastre toate domeniile de activitate se bazeaz pe utilizarea, ntr-o msur mai
mare sau mai mic, a tehnologiilor informatice i a calculatorului. A devenit omniprezent
utilizarea mijloacelor TIC (Tehnologia Informaiei i Comunicaiilor) n desfurarea activitilor
celor mai diverse i pentru luarea deciziilor care au la baz informaii ce sunt obinute din
prelucrarea unor date culese cu privire la obiectul activitii respective.

Cu referire la sistemul informatic, o component important din cadrul firmelor, reprezint o
parte a sistemului informaional care permite realizarea operaiilor de culegere, transmitere,
stocare, prelucrare a datelor i difuzare a informaiilor astfel obinute prin utilizarea mijloacelor
tehnologiei informaiei (TI) i a personalului specializat n prelucrarea automat a datelor.
n lucrarea de fa, am ales analiza a dou firme cu obiecte diferite de activitate, pentru a
evidena faptul ca pericolele ce vizeaz averile informaionale sunt prezente indiferent de
obiectul de activitate, n acest scop intervenind importana msurile de securitate, chiar dac
activitatea firmei se bazeaz mai mult sau mai puin pe un sistem informatic. Diferenierea
major dintre aceste dou firme cu referire la echipamentele din cadrul sistemului informatic
vizeaz redundana a dou resurse foarte importante: energia electric i accesul la internet.
Astfel, n cazul firmei care are ca obiect principal de activitate transportul, alimentarea cu
energie i internetul nu afecteaz drastic activitatea dac nu funcioneaz corespunztor, n
schimb ce, pentru un centru de date, funcionarea optim a acestora este esenial. De aici,
intervin i msurile diferite de securitate implementate.





4

2. Descrierea organizaiilor

Prima firm analizat (firma X) este o societate de tip SRL, cu sediul n Iai, ce are o
structur de tip funcional, iar principalele sale activiti sunt: cultivarea, depozitarea i
valorificarea cerealelor i a plantelor oleaginoase, transportul de persoane, att pe rute regulate,
ct i pe rute ocazionale, comercializarea cu amnuntul a produselor alimentare, comercializarea
cu amnuntul i cu ridicata i transportul materialelor de construcii.
Principalul obiect de activitate al firmei este: Transporturi urbane, suburbane i
metropolitane de cltori.
Din punct de vedere organizatoric, n cadrul firmei regsim urmtoarele departamente:
Departamentul de resurse umane;
Departamentul financiar-contabil;
Departamentul de producie/servicii;
Birou de aprovizionare/vnzri.

Toate departamentele sunt subordonate directorului general al firmei.
Personalul firmei cuprinde 35 de angajai, din care 5 personal administrativ.

Prezentarea sistemului informatic

Sistemul informatic al firmei este destinat nivelului operaional, precum i celui executiv,
pentru activitatea de birou. Acesta nu se suprapune n totalitate cu sistemul informaional,
existnd activiti care nu sunt automatizate 100%.
Sistemul informatic specific este compus din urmtoarele elemente software:
Subsistemul informatic de gestiune a stocurilor ce se ocup de evidena i
normarea stocurilor i a materialelor, inventarierea i monitorizarea cantitilor faptice
din depozite cu ajutorul modulului de Gestiune i Contabilitate din aplicaia
WinMENTOR;
5

Subsistemul informatic de resurse umane i salarizare cu ajutorul aplicaiei
REVISAL v.5.05, distribuit de ctre Inspectoratul Teritorial de Munc, precum i cu
ajutorul modulului SALARII din aplicaia WinMENTOR;
Subsistemul informatic al mijloacelor fixe ce asigur gestiunea intrrilor i a
ieirilor i evidena mijloacelor fixe se realizeaz cu ajutorul modulului MIJLOACE
FIXE din cadrul aplicaiei WinMENTOR;
Subsistemul informatic de vnzri ce cuprinde activitatea de procurare a
mijloacelor necesare desfurrii activitii i desfacerii produselor, a serviciilor i a
lucrrilor care fac obiectul de baz a societii folosete ca aplicaie informatic modulul
COMERCIAL al aplicaiei WinMENTOR;
Procesoare de texte Microsoft Word;
Sisteme de comunicaie ( Microsoft Outlook).
Funcionarea aplicaiilor software este posibil cu ajutorul a 5 calculatoare care sunt
mprite astfel:
unul la directorul general (Laptop HP ProBook 4530s cu procesor Intel
CoreTM i3-2330M 2.20GHz, 4GB, 640GB, AMD Radeon HD 6490 1GB);
al doilea n cadrul biroului de resurse umane (Laptop Toshiba Satellite
C660-11P cu procesor Intel Pentium Dual-Core T4500 2.3GHz, 2GB, 250GB);
al treilea la biroul de contabilitate (Laptop Acer Aspire AO756-887BCkk
cu procesor Intel Celeron 877 1.40GHz, 4GB, 500GB, Intel HD Graphics);
al patrulea la depozitul de materiale de construcii (Netbook Acer Aspire
AO725-C6Ckk cu procesor AMD Dual-Core C60 1.0GHz, 2GB, 320GB, AMD
Radeon HD 6290);
al cincilea la secretariat (Laptop Asus X401A-WX089D cu procesor
Intel Celeron Dual-Core B820 1.70GHz, 4GB, 320GB).

6

Cea de-a doua firm analizat (firma Y) este un centru de date ce gzduiete servere prin
care se asigur soluii de hosting pentru proiecte web (web hosting).
Din punct de vedere organizatoric, n cadrul firmei regsim dou departamente:
Departamentul de relaii cu clienii
Deparamentul de operare n reea

Sistemul informaional la nivelul firmei este puternic informatizat, sistemul manual de
prelucrare a datelor ocupnd o pondere foarte redus, deoarece principalul scop este acela de
stocare, procesare i transmitere a informaiei n format digital prin intermediul serverelor.


Sistemul informatic din cadrul firmei prezint urmtoare structur:
Servere MYSQL - utilizeaza disk-uri SSD Intel pentru o viteza si siguranta a
datelor ridicat
2 procesoare Quad-Core Intel Xeon E5430 + Cache Memory 12MB Level 2 cache
- Intel Xeon processor 5400 sequence
2 surse de alimentare redundante (energie electrica prin UPS-uri - Uninterruptible
Power Supply), DVDRW HotPlug si ventilatoare HotPlug ce asigur funcionare continu
i fiabilitate
Hard-discuri SAS HotPlug "oglindite" RAID 1 + Storage Controller HP Smart
Array P400/256MB ce asigur viteza mare de scriere
Conexiune la internet prin fibra optica, avnd ca i conexiune principala RDS si
conexiune de rezerva RomTelecom.
Software de arhivare i compresie
Software de back-up RAID 1
Software de administrare i programare : Perl Moduls, Image Manager, Index
Manager, Error Pages, Cran Jobs, FrontPage Extensions, Virus Scaner powered by ClamAV.
Software open-source integrat cu cPanel (B2Evolution): Blog System,
WordPress - Blog System, YaBB - Secure, phpBB Forum, Geeklog - Content Manager,
Mambo CMS, Nucleus CMS, Soholaunch - Website Builder, Xoops - Content Manager,
7

phpWiki CMS, phpMyChat - Chat room, AgoraCart - Shopping ecommerce system,
OSCommerce - Shopping Ecommerce system, Coppermine - Image Gallery, Advanced
Guestbook, cPSupport - Support ticket system).

Firma are n cadrul data center-ului un numr total de 25 de angajai, distribuit astfel:
programatori, front office, personal nsrcinat cu securitatea fizic, personal care se ocup de
mentenan i personal care ofer asisten.
3. Pericole

a. Asociate calculatoare desktop
- Greeli de programare i portie lsate special n programe n cazul sistemelor
software folosite de clienii firmei de web hosting obinerea de avantaje de la
sistemele care nu respect specificaiile sau nlocuire de software cu versiuni
compromise;
- Pot aparea defecte ale autentificrii ca urmare a funcionrii defectuoase a
echipamentelor (monitor) n ambele situaii;
- Scurgere de informaii utilizarea sistemului DNS n cazul centrului de date
pentru a obine informaii care sunt necesare administratorilor serverului i bunei
funcionri a reelei, dar care pot fi folosite i de atacatori;
- Funcionarea defectuas a echipamentelor de lucru, n cazul de fa a calculatoarelor
desktop prin supranclzirea acestora sau scurt-circuitarea echipamentelor cu riscul unor
incendii - ;
- lipsa unei parole de acces pentru fiecare unitate de lucru poate permite accesul
neautorizat al altor angajai sau intrui, n cazul firmei X.





8

b. Asociate calculatoarelor portabile i telefoanelor mobile
- angajailor purttori ai unui telefon mobil li se poate determina locaia, de asemenea li se
poate nregistra fiecare convorbire, fiecare text de mesaj scris, apelurile iniiate sau primite,
putnd exista atfel scurgeri de informaii confideniale;
- datorit portabilitii lor, pot fi foarte uor obiectul furturilor i se pot afla informaii
confideniale, cum ar fi date despre clieni importani, informaii despre anumite software-uri
dezvoltate;
- folosirea telefoanelor n interes de serviciu prin accesarea internetului permit expunerea
spre virui mobili care pot terge informaiile confideniale din telefon sau pot atenta la
funcionarea optim a aplicaiilor existente n sistemul mobil;
- angajaii pot omite anumite etape pentru a asigura configurarea adecvat a dispozitivelor,
ignornd anumite mecanisme de securitate, fr a ine cont c anumite date ale organizaiei
(documente confideniale, lista cu clienii, coduri de acces n unitate) necesit msuri de protecie
suplimentare.


c. Asociate folosirii internetului
- atunci cnd se distribuie fiiere de orice tip cu ali utilizatori ai reelei din firma X, se
poate permite accesul la informaii confideniale. Persoane ru-intenionate pot instala
programe de urmrire a ceea ce se lucreaz pe computer sau transmite;
- capacitatea i vitez mic a internetului, ceea ce poate conduce la lipsa redundanei n
cazul firmei Y;
- pot avea loc atacuri informatice asupra datelor clienilor prin mediul internet, n cazul
ambelor firme;
- lipsa unui program antivirus n cazul firmei X poate permite apariia unor infecii cu
malware asupra sistemului de lucru.

d. Asociate sistemului de control al accesului n organizaie
- n cazul firmei X, accesul angajailor n firm se face doar pe baz unei parole care
ns poate fi aflat i folosit pentru accesul n organizaie de ctre persoane neautorizate;

9

-n cazul firmei Y, accesul angajailor n firm se face doar pe baza cartelelor
magnetice, care ns pot fi uor substituibile, putnd fi folosite i de persoane
neautorizate s ntre n firm, cu posibile intenii ru-voitoare;


e. Asociate aciunilor personalului

- pot sustrage uor unele obiecte cum ar fi suporturile magnetice, laptopurile, contracte
importante, date despre clieni pe care le pot folosi n alte scopuri dect cele legale;
- angajaii pot difuza ilegal copiile programelor software create, dei doar unitatea are drept
de proprietate asupra softului creat n firm;
- personalul de paz i protecie poate s nu fie instruit corespunztor n cazul producerii
unui incendiu n sala servererlor, ceea ce va cauza pierderi substaniale, dac nu acioneaz
conform regulilor interne.

5. Msuri de securitate


Firma X Firma Y
1.Sistem de alarm ce presupune controlul
accesului n unitate prin introducerea unei parole ce
contribuie la confidenialitatea i accesibilitatea
averilor informaionale ale firmei (documente
importante, contracte, echipamente fizice) doar
pentru cei autorizai. Se mpiedic astfel,
ptrunderea n unitate a hoilor, precum i spionajul
concurenial sau de alt natur.
1. Sistem de control care ofer control al
accesului, alarme de nclcare a securitii, alarme
de monitorizare, sistem de detecie al intruziunilor
prin securizarea accesului pe baz de card magnetic
i controlul accesului n sala serverelor pe baza de
card. Astfel se asigur accesibilitatea la resursele
informatice doar pentru persoanele autorizate, precum
i desfurarea nentrerupt a activitii de posibili
intrui.
10


2. Supraveghere video la intrare i pe holuri cu
rol n meninerea confidenialitii i accesibilitii
datelor i averilor informaionale doar pentru
personalul autorizat. Se asigur, verificarea
eventualelor abateri ale personalului, care pot
ptrunde n zone n care nu au acces, precum i
surprinderea hoilor i identificarea lor ulterioar.
2.Sistem video digital - camere de luat vederi
color poziionate att la intrare ct i n punctele
considerate sensibile(camera serverelor), asigurandu-
se monitorizare complet a unitii, a accesului la
echipamente, precum i identificarea intruilor.
n plus, exist personal de paz pentru controlul
accesului i monitorizare.
3. Existena detectoarelor de fum i de
temperaturi foarte ridicate, pentru protejarea n
caz de incendii a echipamentului de lucru, a
spaiului de lucru, precum i a documentelor
importante cu care firma lucreaz (contracte
importante, baza de date cu toi clienii, documente
contabile).
3. Sisteme automate performante de detectare
si stingere a incendiilor prin izolarea incendiilor fr
a afecta zonele din jur (la cel mai mic foc se vor
alarma minim 2 senzori de incendiu). Specific, exist
o combinaie special numit inergen ele care duce n
momentul utilizarii la scaderea oxigenului din
incapere la un procent mai mic de 15%, moment in
care marea majoritate a combustibilor nu mai ard.
Totodata gazul Inergen protejeaza persoanele ramase
in incapere la momentul izbucnirii unui incendiu.
4. Angajailor nu le este permis descrcarea,
comunicarea datelor sensibile, exportul
informaiilor sensibile prin folosirea internetului. Se
asigur astfel, protejarea echipamentului de lucru,
dar i a datelor cu care se lucreaz, de infecii
malware, meninndu-se confidenialitatea i
integritatea informaiilor specifice activitii.
4. Liste cu accesul realizat de fiecare angajat,
intrare i ieire, cu referire la accesul la domeniile i
site-urilor gzduite, aceste liste fiind la dispozitia
clienilor in urma unei cereri. Confidenialitatea
datelor cu care se lucreaz este o cerin a politicii
firmei, iar prin aceast msur se pot identifica mult
mai uor persoanele care au nregistrat abateri.
5. Protejarea arhivei firmei prin securizarea
fizic a camerei n care aceste documente sunt
pastrate, accesul fiind autorizat doar pentru
persoanele care au acces la cheie se asigur
integritatea i confidenialitatea documentelor ce
trebuiesc pstrate n cadrul firmei.
5. Protejarea datelor clienilor mpotriva
pierderii sau deteriorrii prin asigurarea unor servicii
de Secure Backup& Recovery pe band magnetic pe
platforma IBM Tivoli, respectndu-se i n acest caz
cerina de confidenialitate.
11

6. Propuneri pentru mbuntirea securitii


Firma X Firma Y
1. Controlul accesulul n unitate se poate
mbunti prin schimbarea parolei de acces cu un
cod PIN atribuibil fiecrui angajat.
1. Listele cu accesul realizat de fiecare angajat
pot fi nlocuite cu un software specializat care s
monitorizeze ntreaga activitate (daca accesrii, ora,
timpul de lucru, aciuni ntreprinse, ora nchiderii
sesiunii de lucru).
2. nstalarea unui sistem software de protecie
de tip antivirus mpotriva atacurilor informatice, a
infeciilor malware.
2. Pentru a mbunti protecia antiincendiu, se
pot implementa sisteme de interblocari ale
echipamentelor tehnice in condiii de foc (oprire
climatizare n caz de incendiu), precum i sisteme de
primire a informaiilor tehnice de la echipamentele
vitale ale sistemelor afectate.
3. Controlul accesului la staiile de lucru
personale ale fiecrui angajat prin parol.
3. Monitorizare de la distan a infrastructurii
centrului prin firme specializate pentru identificarea
rapid a problemelor.