-Studiu de caz-

• PARTEA I (firma „M” – Iaşi)……………………………….………………………….3

• 1. Prezentarea organizaţiei...........................................................................................3
• 2. Pericole care vizează averile informaţionale ale firmei...........................................3
• 3. Analiza unor măsuri de securitate instituite în firmă...............................................4
• 4. Propuneri de îmbunătăţire a securităţii organizaţiei.................................................5

• PARTEA A II- A (firma „S” – Iași).......................................................................6

• 1.Prezentarea organizaţiei...........................................................................................6
• 2. Matricea CRUD…………………………………………......................................6
• 3. Resursele informatice şi vulnerabilităţile acestora
3.1Tehnologii software şi vulnerabilităţile acestora
3.2Tehnologii hardware şi vulnerabilităţile acestora…...........................................8
 • 4.Scenarii de lucru şi expunerea acestora la pericole
4.1Exemple de scenarii de lucru
4.2 Expunerea scenariilor de lucru la pericolele care afectează confidenţialitatea,
integritatea şi accesibilitatea informaţiilor
4.3Măsuri de combatere şi prevenire utilizate în firmă
• 5. Concluzii...........................................8

1. Prezentarea organizaţiei

1.2 O scurtă prezentare a firmei

Firma M a fost înfiinţată în anul 2009 şi are sediul în Iasi. Principalul obiect de activitate al
firmei este desfășurarea de activități de contabilitate și audit financiar, consultantă în domeniul
fiscal . Capitalul social al firmei T este integral privat.
Entitatea acţionează la nivel intern, în municipiul Iași, având ca şi clienţi alte societăţi ce
necesită consultanţă financiară.
Personalul firmei este format din 12 persoane.
1.2 Prezentarea sistemului informatic
Principalele mijloace tehnice utilizate de firma T pentru culegerea, stocarea, analiza şi
transmiterea datelor sunt calculatoarele electronice. Firma dispune de 9 calculatoare de tip
desktop conectate în reţea, precum şi de 6 calculatoare portabile de tip laptop. Întreaga reţea de
calculatoare este conectată la Internet prin conexiune directă, prin fibră optică, existând şi o reţea
wi-fi securizată. Staţiile de lucru sunt protejate de antivirusul Bitdefender (licenţiat). Sistemul de
operare folosit pentru calculatoarele desktop este Windows XP iar pe laptopurile personale este
folosit Windows 7 (licenţiat). Pentru desfăşurarea activităţii firma foloseşte programul Saga.
Resurse informaţionale existente în firmă: imprimante, scannere, registrele contabile,
echipamentele software şi hardware ale sistemelor informatice, camerele de supraveghere, căile
de telecomunicaţii, senzorii de fum, Internetul, CD-uri și DVD-uri.

2.Pericole care vizează averile informaţionale ale firmei

2.1 Pericole asociate calculatoarelor desktop

• O cădere de tensiune poate cauza pierderea de date.

• Defectarea componentelor hardware periferice din cauza excesului de
praf,umiditate
• Virușii pot cauza multe neplăceri, de la afișarea pe ecran a unor mesaje
supărătoare,funcționarea necorespunzătoare a calculatorului și pană la
ștergerea datelor de pe disc
2.2 Pericole asociate calculatoarelor portabile şi telefoanelor mobile

• Furtul laptopului poate provoca pierderi de informații și fișiere importante

• Discuțiile din cadrul firmei pot fi interceptate prin intermediul spionajului
mobil

2.3 Pericole asociate folosirii Internetului

• Deschiderea e-mail-urilor infectate cu viruși poate afecta siguranța

informatiilor
• Odată cu descărcarea de programe utile şi gratuite din Internet se instalează
pe calculator fără ştirea utilizatorului programele spion. Efectul cel mai
vizibil este încetinirea vitezei de navigare pe Internet şi de rulare a unor
aplicaţii curente

2.4 Pericole asociate sistemului de control al accesului

 • Accesul în organizație se face doar pe baza unor cartele magnetice, care pot
fi uşor substituibile, şi pot fi folosite de persoane neautorizate
• Anumite persoane ar putea să spargă securitatea sistemului pentru a obţine
informaţii prin aflarea parolelor de siguranță

• Pericole asociate acţiunilor personalului

• Intenţiile ascunse de sustragre ale unor date personale ale clienţilor sau ale
unor obiecte din inventarul firmei.
• Ștergerea voita a unor fisiere importante sau modificarea acestora.
•
3. Măsuri de securitate instituite în firmă

• Accesul numai prin intrarea principală iar intrările și ieșirile se

înregistrează– accesul prin altă parte numai în situații de urgență (conform
planuri de evacuare) sau cu acceptul Directorului General (echipamente cu
gabarit, etc.);

• Politica privind Utilizarea Rețelei - Accesul la rețea este controlat și se

utilizează exclusiv în scopuri profesionale serviciile email și internet pentru
a nu fi transmise informații din firma prin intermediul Internetului și a nu
infecta sistemul.

• Politica privind Lucrul la Distanță și Criptarea - Acces la rețea, stații, servere

și fișiere pe baza de tunel VPN și de criptare ținute sub control de
Administratorul de Rețea, precum și pe baza de Firewall, identificare, parole
și drepturi de acces.

• Politica de Back-Up
Toate fișierele importante se salvează săptămânal pe medii externe de stocare și
pe servere din alte locații. Astfel se evita pierderea de informații.
 • S-au stabilit și comunicat reguli clare privind securitatea informațiilor,
inclusiv prin Regulament Intern. Fiecare angajat semnează Acorduri de
confidențialitate și proceduri de securitate;

4. Propuneri de îmbunătăţire a securităţii organizaţiei

• Este indicat să se salveze datele în timp ce se lucrează. Există programe care

fac acest lucru in mod automat la fiecare 10 min sau orice alt interval de
timp specificat.
De asemenea este importantă folosirea unui dispozitv UPS (o sursa continuă
de curent), mai ales pentru calculatoarele din rețea care furnizează date
pentru mai mulți utilizatori.
• Interzicerea utilizării telefoanelor mobile în timpul unor discuții importante
legate de firmă.

• Schimbarea periodică a parolelor de acces în system și interzicerea folosirii

laptopului personal pentru a preveni furtul de informații.

Partea a II-a
1.Prezentarea organizaţiei
1.1Scurtă prezentare a organizaţiei
Firma S a fost înfiinţată în anul 1996 şi are sediul în Iaşi, pe strada „Ştefan
cel Mare şi Sfânt”.Obiectul de activitatea al firmei este comerţul.Clienţii firmei
sunt atât persoane fizice cât şi persoane juridice, iar la dispoziţia acestora sunt 12
angajaţi.
1.2 Prezentarea sistemului informatic
Principalele mijloace tehnice utilizate de firma S pentru culegerea, stocarea,
analiza şi transmiterea datelor sunt calculatoarele de tip PC. Firma dispune de 3
calculatoare de acest tip conectate în reţea. Întreaga reţea de calculatoare este
conectată la Internet prin conexiune directă şi toate staţiile de lucru sunt protejate
de antivirusul AVG, acesta fiind licenţiat.Sistemul de operare folosit este
Windows 7(licenţiat), iar pentru desfăşurarea activităţii, firma foloseşte programele
WinMentor şi Executive.
Resurse informaţionale existente în firmă sunt :imprimante, scannere,
,echipamentele software şi hardware ale sistemelor informatice, registrele
contabile, camerele de supraveghere, căile de telecomunicaţii, senzorii de fum,
senzorii de mişcare şi Internetul.
2.Matricea CRUD

În vederea indentificării drepturilor pe care diverşi subiecţi ai firmei le au

asupra unor valori organizaţionale am realizat o matrice CRUD, prin intermediul
căreia s-au stability care dintre drepturile de crearea(Create), citire(Read),
modificare(Update) sau ştergere(Delete) corespund fiecărui subiect din cei
menţionaţi.

Subiecţi/Obiect Facturi Contract Avize Proces Certificate Notă Materiale

e , e cu de verbal de de promoţional
bonuri clienţii însoţir de conformitat intrare- e şi
fiscale ea recepţi e recepţi informative
mărfii e finală e
Vânztor C, R, - R C, R, R - C, R, U, D
U U
Şofer - - R - - - R
Gestionar - - C, R, C, R, R C, R, R
depozit U U U
Casier C, R, - C, R, - R - R
U U
Director de R C, R, U - - C, R, U R, C, R, U, D
vânzări

Contabil R R R R R R R
 Pe baza matricei se pot observa drepturile pe care fiecare din cei şase
subiecţi le au, dar si faptul ca unii nu prezintă drepturi asupra obiectelor luate în
considerare, întrucât aceştia nu sunt utilizatori direcţi ai informaţiilor pe care
respectivele documente le redau şi nu le utilizează în activitatea lor curentă,
nefiindu-le necesare.

3.Resursele informatice şi vulnerabilităţile acestora

3.1Tehnologii software şi vulnerabilităţile acestora

• Sistemul de operare Microsoft Windows 7 este penultima versiune a

Microsoft Windows, putând fi utilizată pe calculatoare de tip PC, precum şi
în domeniul afacerilor, pe desktop-uri, laptop-uri, Tablet PC-uri.Comparativ
cu ultima versiune lansată, Windows 7 este un sistem ce prezintă
instabilitate, fiind expus şi unui grad mai ridicat de infectare cu programe
malware.
• Programele Executive facturare şi Executive POS bonuri fiscal

Programul Executive facturare reprezintă un software de gestiune şi de

vânzare cu amănuntul realizată cu ajutorul scannerului de coduri bară.

Programul Executive POS este o interfaţă completă de vânzare pentru

unităţile care practică vânzarea cu amănuntul, fiind uşor de învăţat şi utilizat
de către vânzător.Avantajele oferite de sistem constau în:
• Rapiditatea pe care o demonstrează în vânzare, folosind orice cititor
de cod de bare;
• Legalitatea în tipărirea bonurilor fiscal, întrucât acestea vor conţine
denumirea exacta a produselor şi mărfurilor vândute;
• Verificarea stocurilor si a încasărilor in mod instant;
• Posibilitatea de a utiliza casa de marcat ca imprimantă fiscală

Ceea ce dezavantajează şi totodată expune programele unor pericole îl

reprezintă faptul că acestea au un singur nivel de securitate, accesul fiind
permis pe baza unei singure parole.Aflarea acesteia facilitează accesul la
informaţiile despre client sau furnizori conţinute în documente, fără să fie
cerute alte date prin care să se prevină accesul neautorizat.

3.2Tehnologii hardware si vulnerabilităţile acestora

Echipamentele hardware sunt reprezentate de cele 3 PC-uri, casele de

marcat, o imprimantă şi un scanner.Principalele echipamente folosite sunt cele 3
PC-uri, care două din ele sunt expuse în mod ridicat la uzura, fiind poziţionate la
intrarea în unitate.La defectarea acestora, mai pot interveni şi următoarele:un şoc
de tensiune pe reţeaua electrică, o pană de curent, bruscarea echipamentelor,
umiditatea excesiva a spaţiului unde se utilizează.

4.Scenarii de lucru şi expunerea acestora la pericole

4.1 Exemple de scenarii
Pe baza scenariilor de lucru s-au realizat corelaţii între subiecţi şi obiecte,
prin intermediul tehnologiilor folosite în cadrul firmei.
• Vânzătorul poate accesa informaţii despre clienţi pe baza facturilor emise cu
ajutorul programului Executive facturarea, după ce anterior s-a autentificat
la această aplicaţie prin intermediul unei parole.
• Gestionarul de depozit accesează informaţii despre clienţi pe baza avizelor
de însoţire a mărfii pe care le emite şi despre furnizori pe baza notelor de
intrare-recepţie pe care le întocmeşte.
• Directorul de vânzări are acces la informaţii privind oferte promoţionale
destinate clienţilor şi cumpărătorilor, prin faptul că acesta are drept de creare
a lor.
• Casierul accesează informaţii despre clienţii cărora mărfurile sau produsele
le sunt livrate pe baza avizelor de însoţire, odată cu emiterea acestor
documente cu ajutorul unei aplicaţii de gestiune a bazelor de date.
• Şoferul accesează informaţii despre clienţi, preţuri ale mărfurilor şi
produselor transportate, pe baza avizelor de însoţire, prin care face dovada
legală a dreptului de livrare pentru respectivele bunuri.
• Contabilul are acces la informaţii despre clienţi, furnizori, diverse strategii
de preţ, dar şi despre situaţia financiară a firmei din documentele de
înregistrare în contabilitate.

4.2 Expunerea scenariilor de lucru la pericole care afectează

confidenţialitatea, integritatea şi accesibilitatea informaţiilor

În orice mediu de lucru, datele trebuie sp respecte principiu

CIA:Confidenţialitate, Integritate, Accesibilitate.Conform acestora sunt
necesare implementarea de măsuri prin care să se prevină accesul neautorizat
care poate conduce la dezvăluiri de informaţii, păstrarea datelor în forma lor
originală şi disponibilitatea datelor în orice moment în care sunt necesare
persoanele autorizate.Deseori, însă, informaţiile şi sistemele informaţionale ale
unei organizaţii sunt supuse diverselor tipuri de pericole, cauzare de factori
umani, prin acţiune voita sau involuntară a personalului, factori naturali sau
atacuri informatice.
Scenarii/Tipuri de Pericol uman Pericol Atac informatic
pericole
Scenariul 1 Prin utilizarea în mod Înregistrarea şi Prin conectarea la
eronat a programului accesibilitatea internet, sistemul
de facturare de către informaţiilor pot fi poate fi supus unui
vânzător este afectată afectate în momentul atac de tip
disponibilitatea în care sistemul este phising,Acesta
informaţiilor.Factorul supus unei utilizează e-mial-uri
uman este în acest caz intreruperi a de tip spam în
unul involuntar, sistemului de vederea
cauzat de neatenţia alimentare cu redirecţionării către
angajatului care energie, cauzată de site-uri aparent de
utilizează programul manifestarea unei încredere, de regulă
sau de necunoaşterea furtuni. cele de comerţ
de către personal a electronic.În cazul în
unor opţiuni oferite de care firma utilizează
aplicaţie. servicii de tip, aşa
numiţi “pescari” pot
anihila eforturile
celor care se bazează
pe această formă de
comerţ.

4.3Măsuri de combatere şi prevenire utilizate în firmă

Pentru buna desfăşurare a activităţii, firma are un regulament bine

stabilit si dotări de ultimă generaţie în ceea ce priveşte securitatea locului
desfăşurării activităţii şi asigurarea tuturor condiţiilor necesare.Astfel, la
reţeaua electrica este montat un stabilizator de tensiune, dar, există şi o sursă
care are o autonomie de 30 de minute ce poate fi folosită în cazul unei pene
de curent.
De asemenea, pentru utilizarea conexiunii la internet in alt scop decât
cel de transfer de date dintre PC-urile folosite la vanzare şi cel folosit la
stocarea datelor şi întocmirea documentelor contabile este necesară
autentificare cu un cont de administrator.
 Gestionarul nu are drept de stocare a datelor din PC pe dispozitive
externe(stick, card, hard extern) fiindu-i restricţionată folosirea porturilor
USB.
Anagajaţii nu trebuie sa divulge nimănui codul de deblocare a
senzorilor de prezentă, chiar daca li se solicită de către firma responsabilă
cu monitorizarea acestora.
Angajații au fost recrutați pe bază de evaluări și referințe pentru a
asigura responsabilitatea, disciplina și confidențialitatea acestora; și au semnat
acorduri de confidențialitate.