Sunteți pe pagina 1din 12

Cuprins

I. Prezentarea organizaiei ........................................... 2


1.1. Scurta prezentare a firmei .................................... 2
1.2. Descrierea sistemul informatic folosit.................. 3
II. Clasificarea informaiilor n funcie de importana lor
pentru firm .................................................................. 5
III. Pericole asociate averilor informaionale ale
organizaiei.................................................................... 7
IV. Msuri de securitate ............................................. 10
V. Propuneri care s mbunteasc securitatea
organizaiilor n zonele necesare ................................ 11
VI. Concluzie .............................................................. 12

I.

Prezentarea organizaiei
1.1.

Scurta prezentare a firmei

Obiectul de activitate al Firmei Y l constituie fabricarea i comercialiarea


ncalmintei din piele natural. n prezent, firma dispune de o fabric proprie, de un
magazin de desfacere, precum realizeaz i export n ri precum : Italia, Spania, Frana,
Germania. Capitalul social al acestei firme este n totalitate privat.
n cadrul Firmei Y sunt ncadrai n munc un numr de 140 de persoane, care ocup
urmtoarele funcii:

Administrator

Economiti - 2 persoane

Ingineri - 2 persoane

Jurist

Casier

Vnztori 4 persoane

Secretar

Magazioner 3 persoane

Director general

Director producie 2 persoane

Mecanic

Restul, sunt muncitori calificai i muncitori necalificai

Din punct de vedere organizatoric n cadrul firmei regsim urmtoarele


compartimente:

financiar-contabil;

vnzari;

secretariat;

aprovizionare- desfacere;
2

departament de producie.

Toate aceste departamente sunt subordonare directorului general al firmei Y.

1.2. Descrierea sistemul informatic folosit


Sistemul informaional reprezint un ansamblu de elemente interdependente
implicate n procesul de colectare, transmisie, prelucrare, de informaii. Fiecare departament
dispune de sisteme informaionale specifice acestora, sisteme care se afl ntr-o conexiune
direct, deoarece atunci cnd o informaie confidenial din cadrul unui departament este pus
n pericol, acest lucru poate duce la daune grave celorlalte departamente, la tergerea unor
informaii sau la crearea unor informaii eronate.
Activitile desfurate n cadrul sistem informaional sunt urmtoarele: achiziionarea
de informaii din sistemul de baz, completarea documentelor i transferul acestora ntre
diferite compartimente, centralizarea datelor, etc.ntr-un sistem informatic pot intra :
calculatoare, sisteme de transmisie a datelor, componente hardware, softwer-ul.
Sistemul informatic lucreaz concomitent cu

sistemul informaional, ajutnd la

reducerea timpului de lucru, eliminarea erorilor, prelucrarea unui volum mare de informaii,
precum i la distribuirea eficient i corect a informaiilor.
Firma dispune de 11 de calculatoare, conectate n reea, precum i de 5 laptopuri.Activitatea celor care utilizeaz aceste calculatoare este monitorizat i controlat de ctre
server. Reeaua prezint o infrastructur modular i o tipologie ierarhica stea. Pe fiecare
calculator este instalat un singur sistem de operare (Windows 2007) i un singur user cu
setarile sale implicite (pe fiecare calculator).ntreaga retea de calculatoare este conectata la
Internet prin conexiune direct, prin fibra optica. Suportul informatic al firmei este completat
de scannere si imprimante, pe fiecare departament.
Printe aplicaiile instalate pe calculatoare ntlnim urmtoarele : WinMentor,
Microsoft Office 2007, Google Chrome, antivirus Bitdefender, Adobe Reader, Winamp,
Skype. Aplicaia informatic destinat contabilitii cuprinde toate jurnalele i registrele de
contabilitate, Registrul Cartea Mare, balana de verificare pentru fiecare lun i situaiile

financiare, gestiunea operiilor de trezorerie i un alt program destinat special gestiunii


stocului.
Utilizatorii sistemului informatic sunt: directorul general, economitii,administratorul,
secretara, inginerii i departamentul vnzari. Nici un utilizator nu poate accesa fiierele care
nu au legatura cu sarcinile lor de serviciu, accesul lor fiind restricionat.

II.

Clasificarea informaiilor n funcie de importana


lor pentru firm

FARA ASTA!!!!!!!!!!!!!!!!!!!!!!!!!!
Clasificarea informaiilor este necesar pentru a permite att alocarea resurselor
necesare protejrii acestora ct i pentru a determina pierderile poteniale ca urmare a
modificrilor, pierderii/ distrugerii sau divulgrii acestora. La nivelul unei organizaii,
informaiile se ncadreaz n mai multe categorii, precum:

Informaii care necesit control special (S);

Informaii confideniale la nivel de unitate (C);

Informaii private (P);

Informaii de uz intern (R);

Informaii publice (N).

Informaiile care necesit control special se refer la informaiile si materialele a cror


compromitere ar duce la pierderea a 10 procente din profitul brut anual. Aici ne referim la
procedeul de fabricare a ncalmintei, planul de afaceri pe termen lung, conturile
administrative de pe serverele de gestiune, contractele n curs de negociere.
Informaiile confideniale la nivel de unitate (date, fiiere asupra crora doar unitarea
are drept de utilizare) se refer la baza de date a furnizorilor, contractele comerciale,litigiile,
deoarece compromiterea acestora ar duce la pierderea unui procent din profitul net anual.
Baza de date a furnizorului reprezint un real avantaj fat de competitori, deoarece preurile
produselor furnizate de acetia pot fi mai mici dect cele ale furnizorilor contractai de firmele
concurente, ceea ce duce la realizarea unei cifre de afaceri mai mare.La aceast baz de date
au acces doarpersoanele responsabile cu organizarea ei ,iar integritatea acestor date este foarte
esenial entitii pentru c o informaie eronat i poate aduce prejudcii . Contractele
comerciale trebuie s rmn confideniale deoarece conine informaii cu privire la
negocierile dintre agenii economici.Firma Y are ncheiate contracte cu mai muli furnizori de
materii prime ( piele, adeziv, etc.), contracte ce conin clauze n ceea ce privete discounturile
oferite de furnizori n funcie de cantitatea cerut, calitatea mrfurilor livrate, transportul
5

gratuit etc. La acestea are acces doar directorul general, deorecere divulgarea acestor
informaii pot aduce dificulti activitii firmei, competitorii pot s ncheie contracte cu
acelai furnizor, la acelai pre de achiziie sau chiar unul mai avantajos.Divulgarea litigiilor
poate aduce prejudicii foarte mari firmei: poate submina imaginea firmei pe pia, slbi
ncrederea n capacitatea de plat a datoriilor, nesigurana recuperrii salariilor, ceea ce ar
putea determina o criz a angajailor.Aici pot fi ncadrate i parolele de acces a
calculatoarelor. Accesarea acestora de ctre personalul neutorizat sau de persoanele din
exterior, pot avea urmri negative, deoarece pot fi modificate listele clienilor sau furnizorilor,
pot fi terse anumite planuri.Tot la informaii confideniale se inclus i lista clienilor, statul
de salarii al angajailor, precum i planul de afaceri.Toate acestea pot fi stocate pe CD-uri,
DVD-uri, stick-uri, dischete, registre,documente electronice parolate.
Informaiile private, sunt asemnatoare celor confideniale, cuprind informaiile i
materialele a cror compromitere poate prejudicia statutul unei persoane din unitate.Aici ne
referim la dosarele medicale ale angajailor, la statutul lor.
Informaiile de uz intern reprezint informaiile care circul n interiorul firmei i
anume, programul angajailor (zilele libere ale acestora, concediul, ziua de plat a salariului),
organigrama firmei, fia postului cu atribuiile fiecrei categorii de personal, numerele de
telefon ale angajailor. Aceste informaii pot fi stocate pe CD-uri, DVD-uri, dischete, stickuri, registre.
Informaiile publice sunt accesibile oricrui utilizator, deoarece acestea nu produc
efecte negative asupra activitii firmei.Acestea sunt : datele generale despre aceasta (date de
identificare: nume, adres, numr de telefon i fax, CUI, pagina web), obiectul de activitate,
administratorul firmei, structura organizaiei, numrul de angajai, programul de funcioanare
al firmei, planul de evacuare n caz de incendiu, datele economice ( venituri din vnzarea
produselor, situaii financiare anuale). Toate acestea pot aprea pe site-ul firmei, avnd acces
oricine la ele.

III. Pericole asociate averilor informaionale ale


organizaiei
n cele ce urmeaz voi prezenta cteva din pericolele identificate la firma Y care pot fi
ascociate :

a. calculatoarelor desktop
Directorul general al firmei X, n timp ce i desfura activitatea la calculator, lucrnd
cu baza de date a furnizorilor, este surprins de o ntrerupere de curent.Deoarece acesta nu
dispune de un program de back-up up, a pierdut datele nregistrate.
Msura : Pentru a nu mai trece printr-o situaie asemntoare, firma a achiziionat
ulterior un program de back-up, astfel nct datele pierdute sa poat fi recuperate n urma unor
ntreruperi de curent.
Un alt exemplu ar putea fi urmtorul: deoarece secretara a inut lng calculator o
ceac cu cafea, din neatenie aceasta a vrsat-o, ducnd astfel la sfritul calculatorului.
Msur: Pentru a nu mai avea loc astfel de evenimente, trebuie interzis amplasarea
lichidelor n preajma calculatoarelor.
b. calculatoarelor portabile i telefoanelor mobile
Un pericol evident ar fi cazul angajailor care au tendina de a-i lsa laptopurile
nesupravegheate, fr a se deconecta, ceea ce poate fi uor pentru un angajat ru intenionat
sa acceseze datele companiei sau datele personale, ceea ce s-a ntmplat.
Msur: Birourile sa fie ncuiate atunci cand nu rmne nimeni n ele, precum i
tastarea parolei la fiecare 30 de minute.
Deoarece firma dispune de o reea wireless, angajaii profit de acest lucru.Astfel, cu
7

ajutorul telefonul mobil ei utilizeaz internetul n scop personal prin descrcarea diverselor
aplicaii, fapt ce duce la ncetinirea reelei, iar angajaii care au diferite responsabiliti , nu
mai pot accesa informaiile necesare firmei.
Msur: Restricionarea angajailor neautorizai s foloseasc internetul.
Un alt pericol ar putea fi urmtorul: deoarece firma lucreaz cu date confideniale,
telefoanele mobile ar putea fi folosite pentru fotografierea i transmiterea unor date sensibile.

c. folosirii Internetului
Un angajat a deschis un email spam i a descrcat coninutul acestuia pe calculator.Din
cauza acestui fapt, hackerii au avut acces liber la informaiile confideniale despre clienii i
furnizorii firmei.
Msur: Protejarea bazei de date cu informaiile confideniale printr-un software care
cripteaz fiierele pn n momentul n care sunt deschise pe baza unei parole.
Un angajat a ncercat s descarce un antivirus de pe internet, cnd de fapt era un
program destinat s filtreze informaiile cu caracet confidenial ale firmei.
Msur: Pentru a evita contactarea de virui, este recomandat ca firma s-i
achiziioneze antivirus cu licen, care s l actualizeaze regulat, iar scanarea s se produc o
dat la 3 zile
d. sistemul de control al accesului din organizaie

Singura cale de acces in cladirea firmei este supravegheata de un agent de paza, iar
intrarea de face pe baz de cartel magnetic. De asemenea aceasta este supraveghet i
video. Deoarece accesul angajailor n firm se face doar pe baza cartelelor magnetice, acestea
pot fi uor substituibile, putnd fi folosite i de persoane neautorizate s intre n firma, cu
intentii ru-voitoare. De aceea, accesul in unitate ar trebui sa fie suplimentat i de alte msuri
privind controlul accesului, cum ar fi purtarea n permanena a ecusoanelelor sau a unor
masuri avansate de securitate:verificarea amprentei digitale, parole, recunoasterea vocii
etc.Organizatia isi centreaza activitatile de securitate pe riscurile externe insa atacurile pot
proveni foarte usor din interior, de la angajati.
Deoarece senzorii de micare i sistemul de alarm sunt activai seara, la sfritul
programului, pe fondul oboselii sau al neateniei, administratorul de sistem poate uita s
activeze aceste sisteme de securitate.Pentru un plus de siguran, ar trebui suplimentate
8

numarul de camere de supraveghere, precum i numrul angajailor care se ocup cu


securitatea firmei.
e. aciunilor personalului
Un anagajat a dorit, din curiozitate, s-i extind navigarea asupra ntregii baze de date
a organizaiei, fr a fi autorizaia s fac acest lucru.
Msur: Restricionarea, personalului neautorizat de a accesa un fiier, pe baza
parolelor.
Terminnd sarcinile de lucru, un angajat a decis s-i piard timpul descrcnd un joc
de pe internet.El a folosit accesul la internet n scop personal, iar acest lucru a dus la
ncetinirea reelei, precum i la contactarea de virui.
Msur: Ar trebui sa aib loc o edina de instruire a personalului, n care sa se
specifice clar faptul c se interzice utilizarea internetului n scop personal, iar n cazul n care
se ntmpl acest lucru personalul va fi sancionat cu o anumit sum din salariu.

Pericole
asociate
calculatoarelor
desktop

Pericole
asociate
calculatoarelor
portabile si
telefoanelor
mobile

Pericole
asociate
aciunilor
personalului

Pericole
asociate
sistemului de
control al
accesului n
organizaie

Pericole
asociate folosirii
internetului

IV.

Msuri de securitate

Orice organizaie trebuie s-i ia msurile necesare pentru a proteja informaiile care
circul n interiorul ei. Msurile de aprare sunt necesare pentru a evita pericolele care vizeaz
informaiile confideniale, si anume incidentele intenionate sau neintenioanate, atacurile
personalului, factori naturali. n orice mediu de lucru, datele trebuie s respecte principiile
C.I.A Confidenialitate, Integritate, Accesibilitate:

Confidenialitate: pstrarea informaiei departe de utilizatori neautorizai

Integritate: se refer la msurile i procedurile utilizate pentru protecia datelor


mpotriva modificrilor sau distrugerii neautorizate

Accesibilitate: asigurarea accesului la date, pentru cei autorizai n orice moment.

1. Este interzis s se utilizeze programe de tip file sharing sau Torrent. Respectarea
acestei msuri face ca principiul confidenialitii s fie respectat.

2. Este interzis personalului s instaleze diverse aplicaii sau s foloseasc cd-uri i


dischete personale.Cred c aceast msur implic confidenialitatea datelor firmei.
3. Este interzis ca angajaii s discute cu clienii contractele comericiale prin intermediul
telefonului mobil, pentru pstrarea caracterul confidenial al detaliilor despre organizare sau
despre acetia.

4. Este recomandat ca accesul la computer i la program prin parole ce conin caractere combinate, de
genul miijj_$(**|:.Aceast msur conduce la respectarea principiului integritii.
5. Pentru a se respecta principiul accesibilitii este recomandat ca accesul in programul de contabilitate
s se fac pe baz de parola,vizualizarea datelor i modificarea acestora putnd fi fcute doar
de ctre persoanele autorizate.

10

Accesibilitate

V.

Integritate

Confidenialitate

Propuneri care s mbunteasc securitatea


organizaiilor n zonele necesare

1. Ar trebui s fie adoptat o cultur a ncrederii. Angajaii trebuie s se simt n


siguran atunci cnd raporteaz un incident astfel nct s se acioneze ntr-un timp ct
mai scurt pentru remedierea lui.
2. Deoarece accesul n unitate al angajailor se face doar pe baza unei cartele magnetice
care poate fi uor substituit ar trebui luate alte msuri suplimentare, cum ar fi: purtarea
ecusoanelelor sau a unor msuri avansate de securitate: verificarea amprentei digitale,
parole, recunoasterea vocii etc.
3. Parolele calculatoarelor nu se schimb regulat, nici mcar atunci cnd un angajat
prsete firma, i de aceea trebuie luate msuri n ceea ce privete acest lucru : impunerea
schimbrii parolelor de acces n sistem la perioade regulate de timp (de ex. la o lun),
precum i n cazul n care un angajat renunt la locul de munc.
4. De curnd, n cadrul firmei a avut loc un incident n ceea ce privete angajarea unei
persoane.Din cauza lipsei de timp, nu s-a mai fcut o cercetare amnunit i persoana n
cauza a fost angajat pentru simplu fapt c avea un CV bogat n experiena.Pe viitor, ar
trebui format o comisie care s verifice n amnunt job-urilor anterioare, pentru evitarea

11

infiltrrii unor persoane cu antecedente privind confidenialitatea datelor cu care lucreaz,


precum i testarea cunotinelor pe care le deine.

VI.

Concluzie

Alturi de capital i capital, un rol important l are i informaia care reprezint una din
averile unei firme. Pentru a periclita aceast avere deosebit, orice persoan care are acces la
un calculator poate s fac urmtoarele lucruri: s copieze fiierele importane ( baza de date a
furnizorilor, a clienilor), s influeneze evidenele altor firme pentru a le cauza pierderi, s
tearg programe sau fiiere etc. De aceea este foarte important, aa cum am artat i mai sus,
ca managerii s acorde o importan deosebit problemelor de securitate informaional.
Consider c este important pentru o organizaie, ca aceast sa aib o program special
de selecie a personalui, precum i un program de instruire a lor pentru a evidenia clar ce au
voie s fac i ce nu. De asemenea, managerul trebuie s urmreasc cu atenie lucrurile care
se petrec n firm pentru a lua msurile necesare la momentul potrivit.Fiecare angajat are o
responsabilitate pe care acesta trebuie sa o respecte pentru bunul mers al activitii
firmei.Cum am menionat i mai sus este foarte important s se respecte principiile CIA,
confidenialitate, integritate, accesibilitate.

12