Laborator Nr.4.

Tema. Moduri existente de acces şi securizarea resurselor informaţionale ale firmei.

Mersul lucrării

1. Resursele informaţionale existente ale firmei.

2. Ameninţari şi pericole care vizează resursele informaţionale existente ale firmei.
3. Măsuri/moduri existente de acces la resurselor informaţionale existente ale firmei.
4. Măsuri/Moduri existente de securizarea resurselor informaţionale existente ale firmei.
5. Concluzii, opinii, sugestii. Webografia

Termen: 30.01.2020
 1. Resursele informaţionale existente ale firmei.
B.C. "Victoriabank" S.A.

a) Enumeraţi şi formaţi circuite și fluxuri informaționale în cadrul unei firme.

b)

2. Ameninţari şi riscuri care vizează

resursele informaţionale existente ale firmei.
B.C. "Victoriabank" S.A.
Ameninţările sau provocările din:
- interiorul firmei,
 Scurgearea informațiilor de către angajații firmei;
 Angajații nu ao fost instruți bine cu privire la securizarea informațiilor;
 Nu sunt respectate tehnicile securități din cauza cărora se pot produce incendii etc;

Cazuri de scurgeri de informaţii:

1. În luna ianuarie, informaţiile colectate prin aplicaţia de fitness Strava au dus la descoperirea
locaţiilor unor baze militare secrete ruseşti, britanice şi americane din Siria şi Afganistan.
Informaţiile au fost dezvăluite prin dispozitivele Fitbit, conectate la conturile utilizatorilor
Strava;
2. Compania de marketing Exactis a lăsat aproximativ 340 de milioane de înregistrări expuse
în mod public pe un server accesibil. Deşi acestea nu includeau numere de securitate socială
ori numerele cărților de credit, a fost vorba totuşi de 2 TB de informații foarte personale
despre sute de milioane de adulți;
3. La sfârșitul verii, un lanț hotelier chinez a expus datele a cca. 130 de milioane de clienți,
inclusiv informații despre nume, numere de telefon, adrese de e-mail, numere de cont
bancar și detalii privind rezervările;
4. Sungy Mobile Ltd., unul dintre cei mai importanți dezvoltatori de aplicații mobile din lume,
a dezvăluit informaţiile a aproximativ 50 de milioane de consumatori, din cauza unui
backup greşit a bazei de date.

Cum reducem scurgerile de informaţii?

1. Anonimizaţi, pseudonimizaţi, minimizaţi şi criptaţi datele în conformitate cu Regulamentul

GDPR;
2. Stocaţi datele folosind doar sisteme informatice securizat;
3. Limitaţi privilegiile de acces pentru utilizatori, urmărind principiul “necesităţii de a
cunoaşte” (accesul la informaţii clasificate se acordă în mod individual numai persoanelor
care, pentru îndeplinirea îndatoririlor de serviciu, trebuie să lucreze cu astfel de informaţii
sau să aibă acces la acestea);
4. Instruiţi periodic angajaţii, privind securitate cibernetică;
5. Revocaţi privilegiile de acces în cazul persoanelor care nu sunt angajaţi;
6. Utilizaţi instrumente tehnologice pentru a evita potenţialele scurgeri de date – scanare
vulnerabilităţi, malware, instrumente DLP (data loss prevention).
- exteriorul firmei:
 Creșterea concurenței pe piață;
 Pătrundere persoanelor străine pe teritori firmei și accesul lor la informația
confidențială;
 Riscuri de mediu (Condiții climatice grave: canicula, valuri de frig, furtuni,
cutremure.)
 Riscuri juridice: Problemele legislative care trebuie solutionate sunt cele legate de
asigurarea securitatii muncii si partajarea costurilor.
Riscul de documentatie: rezulta din erori sau omisiuni in documentare. Acesta lucru
poate fii un rezultata al neintelegerii sau ignorantei, interpretarea semnificatiei
termenilor si expresiilor juridice, sau a nu-ti face timpul necesar verificarii
documentelor inainte de a fi semnate. Uneori, acest fel de greseli pot fii fatale.
Contractele standard sunt de obicei simple sau au o forma standard, insa este necesar
si obligatoriu a fi revizuite pana sunt intelesi toti termenii si conditiile.

Tipuri de riscuri
Există două tipuri de riscuri:
interne şi externe.
 Riscurile interne ca fraude sau greşeli manageriale sînt mai sporite în organizațiile în care
nu există sistem de control intern. Există mai multe situații care pot duce la apariția unor probleme
interne:
• Lipsa unor proceduri scrise şi formalizate;
• Autoritatea în organizație este atribuită unor persoane nepotrivite, de obicei
persoane prea tinere sau fară experiență;
• Lipsa raportărilor către manageri;
• Personalul nu are calificarea necesară sau nu este instruit corespunzător cu
poziția pe care o ocupă;
• Lipsa unei culturi organizaționale;
• Problemele personale ale angajaților le pot afecta capacitatea de decizie;
• Conflictele între angajați.
Riscuri externe – evenimente externe care pot afecta negativ firma. Riscurile externe sînt
situațiile pe care firma nu le poate controla, cum ar fi:
• Retragerea unui finanțării;
• Schimbări în politica de legislație;
• Crize economice naționale.

3. Măsuri/moduri existente de acces la

resurselor informaţionale existente ale firmei.

Tipuri de control al accesului în sistem

Pentru a proteja eficace un anumit amplasament aveți nevoie de un sistem control
acces multifuncțional care să restricționeze accesul persoanelor sau autoturismelor neautorizate.
Fie ca vorbim despre un spțiu personal sau o instituție publică, protecția rămâne unul dintre
obiectivele principale pe care le manifestă proprietarul unui imobil, controalele riguroase și
rapoartele detaliate fiind elementele cheie spre menținerea unui nivel ridicat de securitate.
Dintre cele mai importante echipamente se evidențiaza centralele care se montează în
imediata apropiere a ușilor, acestea oferind posibilități de conexiune cu diverse cititoare. Acest
ansamblu final este configurat din modele care funcționeaza pe baza de proximitate sau de versiuni
biometrice, administrarea lor realizându-se cu programe specializate, ilustrative pentru tehnologiile
de ultima generație.
În funcție de tipul comunicției echipamentele de control acces pot funcționa independent
sau în rețea.

De regulă, controalele sunt introduse pentru diminuarea riscurilor la care sunt expuse
sistemele şi pentru reducerea potenţialelor pierderi.
Controalele pot fi:
- preventive, - detective,
- corective.

a) Controalele preventive, după cum sugerează şi numele lor, au ca scop preîntâmpinarea apariţiei
unor incidente în sistem;
b) Cele detective vizează descoperirea unor apariţii ciudate în sistem,
c) Controalele corective sunt folosite pentru readucerea la normalitate a sistemului după anumite
incidente la care a fost expus.

Ca să poată fi atinse obiectivele enumerate, controalele pot fi:

- administrative,
- logice sau tehnice şi - fizice.

Controalele administrative sunt exercitate prin politici şi proceduri, instruire cu scop de

conştientizare, verificări generale, verificări la locurile de muncă, verificarea pe timpul concediilor
şi o supraveghere exigentă. (training

Controalele logice sau tehnice cuprind restricţiile de accesare a sistemului şi măsurile prin care se
asigură protecţia informaţiilor. Din această categorie fac parte sistemele de criptare, cardurile
inteligente, listele de control al accesului şi protocoalele de transmisie.

Controalele fizice încorporează, în general, gărzile de protecţie şi pază, securitatea clădirilor, cum
sunt:

- sistemele de încuiere a uşilor,

- securizarea camerelor cu servere şi laptop-uri,
- protecţia cablurilor,
- separarea atribuţiilor de serviciu,
- realizarea copiilor de siguranţă a fişierelor.

Prin combinarea controlului preventiv şi detectiv cu mijloacele celorlalte tipuri de control –

administrativ, tehnic (logic) şi fizic –se obţin următoarele perechi:
• preventiv/administrativ;
• preventiv/tehnic;
• preventiv/fizic;
• detectiv/administrativ;
• detectiv/tehnic;
• detectiv/fizic.

Tehnologiile biometrice sunt :

• recunoaşterea feţei;
• amprenta digitală;
• recunoaşterea irisului;
• forma mâînii.
 Identificarea şi autentificarea persoanelor se efectuează prin analiza a patru
elemente:

1. Ceva aflat în posesia persoanei. De regulă, se posedă lucruri cum sunt: chei, cartele magnetice,
cartele speciale, echipamente de identificare personală şi jetoane. Ele permit un prim pas de
accesare a sistemului. Există marele pericol al pierderii lor sau de dare spre folosinţă altor
persoane.

2. Ceva care individualizează persoana. Identificările biometrice sunt o altă variantă de

condiţionare a accesului. Ele pot fi: amprentele degetelor, buzelor, semnătura, vocea, forma
mâinii, imaginea retinei, venele de pe faţa externă a mâinii, liniile din palmă, imaginea feţei ş.a.
Toate aceste tehnici sunt foarte scumpe, în comparaţie cu cele clasice, şi deseori sunt incomode
sau neplăcute la utilizare. Există suficiente tehnici eficiente care să fie folosite până când cele
enumerate vor fi mai ieftine.

3. Ceva ce persoana ştie. O parolă, de exemplu, numaică ea se află la discreţia oamenilor şi, de
modul de păstrare a secretului ei sau de uşurinţa cu care poate fi aflată, depinde soarta întregului
sistem.

4. Locul geografic unde este înregistrat calculatorul.

Caracteristicile tehnologiilor biometrice:

• Rata respingerilor eronate
• Rata acceptărilor eronate
• Timpul pentru o verificare
• Mărimea probei culese
• Numărul furnizorilor principali
• Preţul echipamentelor
• Factorii ce afectează probele luate

4. Măsuri/Moduri existente de securizarea

resurselor informaţionale existente ale firmei.

Informaţiile securizate sunt grupate în două mari categorii:

 clasificate (confidenţiale, secrete, strict secrete);
 neclasificate (sau publice).

Modele de politici de securitate:

Politica de securitate cuprinde un set de reglementări care determină modul în care se
foloseşte, administrează, protejează şi se distribuie propriile informaţii sensibile/critice şi
implementarea cărora va contribui la crearea unui sistem de securitate corespunzător cerinţelor în
domeniu. La elaborarea Politicii de securitate s-a ţinut cont de caracteristicile SIIV, practici de
securitate deja implementate, riscurile utilizării tehnologiilor informaţionale şi recomandările
existente în domeniul.
• Modele de securitate multinivel.

• Modele ale securităţii multilaterale.

5. Concluzii, opinii, sugestii
Webografie
Termen : 30.01.2020

Profesor P. Arcan

 Datele dvs. sunt copiate de rezervă și stocate într-o locație sigură în afara site-ului?
 Datele dvs. sunt stocate în cloud? Dacă da, cum este protejat exact de
vulnerabilitățile cloud?
 Ce fel de securitate de rețea trebuie să determinați cine poate accesa, modifica sau
șterge informațiile din organizația dvs.?
 Ce fel de protecție antivirus este folosită? Licențele sunt actuale? Se rulează de
câte ori este nevoie?
 Aveți un plan de recuperare a datelor în cazul exploatării unei vulnerabilități?
 Test 1:
1. Care este, în opinia dvs., cea mai spectaculoasă/utilă/eficientă/nouă
tehnologie biometrică? Justificaţi.

2. Identificaţi alte tehnologii biometrice decât cele descrise mai sus şi

prezentaţile pe scurt.
3. Faceţi un inventar al parolelor pe care le folosiţi în prezent. Enumeraţi
greşelile pe care le faceţi în legătură cu parolele şi, dacă sunt necesare,
propuneţi câteva îmbunătăţiri ale modului de utilizare a parolelor dvs.
4. În ce sisteme/situaţii consideraţi oportună folosirea controlului geografic al
accesului?
Test 2:

• Daţi exemple de 2 situaţii în care identificarea şi/sau autentificarea unei persoane

se fac folosind locul geografic în care este înregistrat calculatorul său. Precizaţi
dacă în exemplul dvs. este vorba de identificare, autentificare sau ambele.

• Daţi exemple de 2 situaţii în care identificarea şi/sau autentificarea unei persoane

se fac folosind ceva ce ştie o persoană. Precizaţi dacă în exemplul dvs. este vorba
de identificare, autentificare sau ambele.

• Daţi exemple de 2 situaţii în care identificarea şi/sau autentificarea unei persoane

se fac folosind ceva care individualizează persoana (o trăsătură biometrică).
Precizaţi dacă în exemplul dvs. este vorba de identificare, autentificare sau
ambele.

Daţi exemple de 2 situaţii în care identificarea şi/sau autentificarea unei persoane

se fac folosind ceva aflat în posesia persoanei. Precizaţi dacă în exemplul dvs.
este vorba de identificare, autentificare sau ambele.