Managementul securită ții

informației

UNIVERSITATEA DIN ORADEA MASTER AN 2 SSC

autor
 CUPRINS

INTRODUCERE....................................................................................................................................3

CLASIFICAREA RISCURILOR..........................................................................................................4

MANAGEMENTUL RISCULUI..........................................................................................................7

1. Caracterizarea sistemului............................................................................................................7

2. Identificarea ameninţărilor..........................................................................................................8

3. Identificarea vulnerabilităţilor.....................................................................................................9

4. Analiza controalelor....................................................................................................................9

5. Determinarea probabilităţii de realizare a ameninţărilor...........................................................10

6. Analiza impactului....................................................................................................................10

7. Determinarea riscului................................................................................................................11

8. Recomandări asupra unor controale adecvate...........................................................................11

CONCLUZII........................................................................................................................................14

BIBLIOGRAFIE..................................................................................................................................16

2
 INTRODUCERE

Societatea îmbrăţişează din ce în ce mai mult tehnologia informaţiei. Informaţia care până nu
de mult avea la bază hârtia, îmbracă acum forma electronică. Informaţia pe suport de hârtie mai este
încă rezervată documentelor oficiale, acolo unde este necesară o semnătură sau o stampilă.
Adoptarea semnăturii electronice deschide însă perspective digitizării complete a documentelor, cel
puţin din punct de vedere funcţional. Acest nou mod de lucru, în care calculatorul a devenit un
instrument indispensabil şi un mijloc de comunicare prin tehnologii precum poşta electronică sau
Internetul, atrage după sine riscuri specifice. O gestiune corespunzătoare a documentelor în format
electronic face necesară implementarea unor măsuri specifice.
Măsurile ar trebui să asigure protecţia informaţiilor împotriva pierderii, distrugerii sau divulgării
neautorizate. Cel mai sensibil aspect este acela de a asigura securitatea informaţiei gestionată de
sistemele informatice în noul context tehnologic.
Astfel, managementul securităţii sistemelor infromatice se referă la acea parte a managementului
unei companii care are ca scop crearea mecanismelor necesare pentru a asigura gestionarea,
evaluarea şi eliminarea riscurilor potenţiale în relaţie cu disponibilitatea, integritatea şi
confidenţialitatea informaţiilor.

Riscurile utilizării inadecvate a sistemelor informatice sunt privite din două puncte de vedere:
 utilizarea inadecvată a sistemelor informatice ca o consecinţă a unor riscuri manifestate;

 utilizarea inadecvată a sistemelor informatice ca o cauză generatoare de riscuri.

Scopul asigurării securităţii sistemelor informatice este reprezentat de interesele celor care depind de
sistemele informatice şi de daunele care pot rezulta din eşecul asigurării confidenţialităţii şi
integrităţii informaţiilor.

3
 CLASIFICAREA RISCURILOR

Clasificarea riscurilor utilizării inadecvate a sistemelor informatice:

1. Riscurile de securitate: amenintări interne sau externe rezultate în urma accesului neautorizat
şi fraudulos la informaţii. Acestea includ scurgeri de date, fraudă, virusi dar şi atacuri
directionate asupra anumitor tipuri de aplicaţii, utilizatori sau informaţii.

2. Riscurile de accesibilitate: informaţia devine inaccesibilă de către persoanele cu drept de

utilizare, datorită unor întreruperi neplanificate ale sistemului. Trebuie avut în vedere de
către fiecare organizaţie riscul de pierdere sau de corupere a datelor şi să asigure toate
mijloacele necesare evitarii acestor riscuri cât şi recuperării datelor în timp util în cazul unui
dezastru.

3. Riscurile legate de performanţă: informaţia devine inaccesibilă datorită limitărilor de

performanţă şi scalabilitate ale sistemului. Trebuie luate în considerare toate necesităţile
tehnice cantitative şi de performanţă pentru a putea face faţă în situaţiile de maxim, dar
analizând atent cerinţele de resurse pentru a evita cheltuielile inutile şi pentru a minimiza
costul de întreţinere al sistemului informatic.

4. Riscurile de conformitate: încălcarea regulamentelor şi/sau a politicilor interne ale

companiei.

5. Managementul riscurilor este procesul de implementare şi menţinere a mijloacelor de

reducere a efectelor riscurilor la un nivel considerat acceptabil şi nepericulos de către
managementul companiei. Acest proces impune urmatoarele:

 Analiza de risc;

 Politicile de securitate;

 Schema de securitate ;

 Audit tehnic şi financiar;

 Testarea vulnerabilităţilor şi accesului neautorizat;
 Monitorizarea - detectarea accesului neautorizat prin dispozitive de identificare;
 Instalarea şi administrarea serviciilor de încredere.

4
 Analiza de risc este componenta cea mai importantă din cadrul managementului riscurilor.
Aceasta este un proces de evaluare a vulnerabilităţilor sistemului informatic şi a ameninţărilor la care
acesta este sau poate fi expus. În urma acestui proces se identifică consecinţele probabile ale
riscurilor analizate şi ale vulnerabilităţilor asociate şi se pun bazele întocmirii unui plan de securitate
care să fie în conformitate cu un raport corespunzător eficienţă-cost. Realitatea practica impune
abordarea riscului informatic prin prisma a 3 factori: amenintarile privite ca evenimente sau activităţi
(în general, din exteriorul sistemului auditat) care pot să afecteze vulnerabilităţile existente în orice
sistem cauzând astfel impactul, apreciat a fi o pierdere sau o consecinţă pe termen scurt, mediu sau
lung suportată de organizaţie. Riscul la nivelul unei organizaţii nu poate fi eliminat, el va exista
întotdeauna, managementul societăţii fiind responsabil de reducerea lui la un nivel acceptabil. În
acest sens, figura de mai jos pune în corespondenţă diferite elemente ce necesită a fi luate în calcul
pentru reducerea riscului.

În acest context, riscul informatic se poate caracteriza prin următoarele elemente :

 Ameninţările şi vulnerabilităţile proceselor sau/şi activelor
 Impactul asupra activelor bazat pe vulnerabilităţi şi ameninţări
 Frecvenţa de apariţie a ameninţărilor.
Odată identificate, riscurile trebuie evaluate în funcţie de gravitatea efectelor pe care le produc.
În general, riscurile asociate unui sistem informaţional, pe care orice auditor trebuie să le analizeze
şi evalueze (tehnică frecvent utilizată în acest caz este chestionarul), în vederea aprecierii sistemului
în sine vizează:

5
 Riscul securităţii fizice ce va fi evaluat în functie de informaţiile culese, cu privire la:
existenţa sistemelor de pază, detectie şi alarmă a incendiilor, sistemelor de protecţie
împotriva caderilor de tensiune, protecţia echipamentelor împotriva furturilor, protecţia
împotriva catastrofelor naturale (inundaţii, cutremure..), protecţia fizică a suportilor de
memorare, păstrarea copiilor de siguranţă într-o alta locatie decât cea în care îsi desfasoară
activitatea organizaţia.
 Riscul de comunicaţie poate lua valenţe diferite, în funcţie de disponibilitatea sistemului la
reţeaua publică, situaţie în care auditorul e necesar să analizeze măsurile de securitate
adoptate: existenta unui firewall, modul de configurare a acestuia, analiza modului de
transmitere a datelor prin reţeaua publică (utilizarea tehnicilor de criptare, existenta unei
reţele virtuale private - VPN). Acest risc se poate manifesta şi la nivelul unei reţele locale,
atunci când configurarea acesteia lasă de dorit şi prin “ascultarea” liniilor de comunicaţie,
traficul acesteia poate fi compromis. Confidenţilitatea informaţiilor nu vizează doar
memorarea acestora pe staţiile de lucru sau servere, ci şi liniile de comunicaţie.
 Riscul privind integritatea datelor şi tranzacţiilor vizează toate riscurile asociate cu
autorizarea, completitudinea şi acurateţea acestora.
 Riscul de acces se referă la riscul asociat accesului inadecvat la sistem, date sau informaţii.
Implicaţiile acestui risc sunt majore, el vizând confidenţialitatea informaţiilor, integritatea
datelor sau bazelor de date şi disponibilitatea acestora. În acest sens, acţiunile auditorului
presupun o analiza a managementului parolelor la nivelul organizaţiei (altfel spus atribuirea
şi schimbarea parolelor de acces fac obiectul unei aprobări formale?), o investigare a
încercărilor de accesare neautorizata a sistemului (exista o jurnalizare a acestora ?), o
analiză a protecţiei staţiilor de lucru (sunt acestea dotate cu soft care sa blocheze accesul la
reţea, atunci când utilizatorul nu se afla la staţia sa ?).
 Riscul privind protecţia antivirus ce impune o analiză a existenţei programelor în entitate,
utilizarea lor la nivel de server şi staţii de lucru, upgrade-ul acestor programe (manual sau
automat). Lupta cu viruşii este esenţială, dar nu uşor de realizat. În ciuda numarului mare de
programe antivirus existente este necesară o analiză a caracteristicilor programului privind:
scanarea în timp real a sistemului sau monitorizarea continuă a acestuia, scanarea mesajelor
e-mail, scanarea manuală.
 Riscul legat de documentaţia sistemului informatic. Documentaţia generală a unui sistem
informatic vizează pe de o parte documentaţia sistemului de operare sau reţelei şi, pe de altă
parte, documentaţia aplicaţiilor instalate. Această documentaţie poate fi diferită pentru

6
 administratori, utilizatori şi operatori astfel încât să ajute la instalarea, operarea,
administrarea şi utilizarea produsului. Riscurile asociate documentaţiei se pot referi la faptul
că, aceasta nu reflectă realitatea în ceea ce priveşte sistemul, nu este înteligibilă, este
accesibilă persoanelor neautorizate, nu este actualizată.
 Riscul de personal poate fi analizat prin prisma urmatoarelor criterii: Structura
organizaţională la nivelul departamentului IT ce va avea în vedere modul în care sunt
distribuite sarcinile şi responsabilităţile în cadrul acestuia. Alocarea unui număr prea mare
de responsabilităţi la nivelul unei singure persoane sau unui grup de persoane este semnul
unei organizări interne defectuoase. Practica de selecţie a angajaţilor. La baza unui mediu
de control adecvat stau competenţa şi integritatea personalului, ceea ce implica din partea
auditorilor o analiză a politicilor si procedurilor organizaţiei privind angajarea,
specializarea, evaluarea performanţelor şi promovarea angajaţilor.
 Riscul de infrastructură se concretizează în faptul ca organizaţia nu deţine o infrastructura
efectiva a tehnologiei informaţiei (hardware, reţele, software, oameni şi procese) pentru a
susţine nevoile acesteia.
 Riscul de management al situaţiilor neprevăzute (risc de disponibilitate) este riscul asociat
pericolelor naturale, dezastrelor, căderilor de sistem care pot conduce la pierderi definitive
ale datelor, aplicaţiilor, în absenta unor proceduri de monitorizare a activităţii, a planurilor
de refacere în caz de dezastre.

MANAGEMENTUL RISCULUI

Literatura de specialitate defineşte managementul riscului ca fiind „procesul de identificare a

vulnerabilităţilor şi ameninţărilor din cadrul unei organizaţii, precum şi de elaborare a unor masuri
de minimizare a impactului acestora asupra resurselor informaţionale”. Demersul metodologic al
acestui proces include următoarele etape:
1. Caracterizarea sistemului. La nivelul acestei etape, auditorul va desfăşura în primul rând
o activitate de colectare a informaţiilor despre sistemul informaţional, informaţii care vor viza
echipamentele hardware, software, interfeţele sistemului, utilizatorii sistemului informatic,
datele şi aplicaţiile importante, senzitivitatea datelor şi sistemului în vederea aprecierii
nivelului de protecţie ce este necesar a fi realizat pentru asigurarea integrităţii,

7
 confidenţialităţii şi disponibilităţii datelor. Cele mai utilizate tehnici de investigare pentru
colectarea acestor informaţii sunt: chestionarele, interviurile, documentaţia sistemului,
utilizarea unor instrumente de scanare automata a sistemului informatic (SATAN este doar un
exemplu de astfel de instrument ce permite detectarea vulnerabilităţilor unei reţele de
calculatoare). Rezultatele acestei etape vor furniza o imagine a mediului informatizat, a
limitelor sistemului informatic analizat.
2. Identificarea ameninţărilor. Ameninţările sunt acele evenimente sau activităţi, în
general externe unui sistem, care pot afecta la un moment dat punctele slabe ale acestuia,
cauzând pierderi semnificative. În general o ameninţare este o forţă potenţială care poate
degrada confidenţialitatea şi integritatea sistemului, generând adeseori întreruperi de servicii
ale acestuia. Un element esenţial în cadrul acestei etape îl reprezintă determinarea
probabilităţii de realizare a acestei ameninţări, element ce trebuie analizat în funcţie de:
o sursa ameninţării. naturală (cutremure, foc, tornade, etc)
umană (atacuri într-o reţea, acces neautorizat la date
confidenţiale) de mediu (căderi de tensiune pe termen lung,
poluare, umiditate)
o - vulnerabilitatea potenţiala
o controalele existente.
Cu titlu exemplificativ, tabelul de mai jos releva diferite surse de ameninţări umane cu acţiunile
generatoare:

8
 3. Identificarea vulnerabilităţilor . Scopul acestei etape este de a dezvolta o lista a
vulnerabilităţilor sistemului (lipsuri sau slăbiciuni) care pot fi exploatate de surse de
ameninţare potenţiale. În acest context este necesară o analiza a vulnerabilităţilor –
ameninţărilor pereche exemplificată, într-o maniera limitată, în cadrul tabelului ce urmează:

Vulnerabilitate Sursa ameninţării Acţiunea ameninţării

Identificatorul angajaţilor Salariaţi concediaţi Conectare la reţeaua organizaţiei
concediaţi nu este eliminat din şi accesează datele acesteia.
sistem
Firewall-ul companiei permite un Utilizatori neautorizaţi Utilizarea serviciului Telnet,
acces la sistem prin serviciul (hackeri,terorişti, angajaţi permite accesul la fişierele din
Telnet concediaţi) sistem.
Unul din partenerii societăţii a Utilizatori neautorizaţi Obţinerea accesului neautorizat la
identificat slăbiciuni in fişierele sensibile ale sistemului,
proiectarea securităţii sistemului, bazat pe vulnerabilităţi cunoscute.
sistemul în sine furnizându-i
diferite metode de remediere a
acestora (este si exemplul
sistemului de operare Windows –
Internet Explorer, care in
momentul detectării unor
slăbiciuni in proiectarea
securităţii sistemuluiface
disponibile pentru utilizatori
„patch-uri” pentru remedierea
slăbiciunilor date).
Centrul de prelucrare automată a Foc,persoane neglijente Declanşarea automată a
datelor foloseşte pentru stingerea stingătoarelor de incendii.
incendiilor „împrăştietoare” de
apă (încastrate în tavan) fapt ce
poate afecta în mod negativ
echipamentele hardware.

4. Analiza controalelor. În vederea minimizării sau eliminării riscurilor fiecare organizaţie

dispune implementarea unor metode de control tehnice sau nontehnice ce pot viza:
 mecanisme de control al accesului,
 mecanisme de identificare şi autentificare,
 metode de criptare a datelor
 software de detectare a intruziunilor
 politici de securitate
 proceduri operaţionale şi de personal.

9
5. Determinarea probabilităţii de realizare a ameninţărilor . Pentru determinarea
unei rate de probabilitate generala, care indică probabilitatea ca o vulnerabilitate potenţiala să
fie exercitată în modelul de ameninţări asociate, este necesar ca auditorul să analizeze
următorii factori: capacitatea şi motivaţia sursei de ameninţare, natura vulnerabilităţii
şi.existenta şi eficienţa controalelor curente. Acest element poate fi apreciat prin calificativele
„Înalt”, „Mediu” şi „Scăzut”, în următoarele condiţii:
- „Înalt” – sursa ameninţării este foarte motivată si suficient de capabilă, iar controalele de
prevenire a acestor vulnerabilităţi sunt ineficiente.
- „Mediu” – sursa ameninţării este foarte motivată şi suficient de capabilă, dar controalele
existente pot împiedica declanşarea vulnerabilităţii.
-„Scăzut” – sursa ameninţării este lipsită de motivaţie, sau controalele există pentru a preveni
sau cel puţin a împiedica semnificativ vulnerabilitatea de a se manifesta.

6. Analiza impactului. Impactul financiar este definit ca estimarea valorică a pierderilor

entităţii ca urmare a exploatării slăbiciunilor sistemului de către ameninţări. Acest impact
poate avea doua componente: un impact pe termen scurt şi un impact pe termen lung. În
esenţă, impactul este specific fiecărei organizaţii, depinde de activele acesteia, de tipul
organizaţiei, de măsurile de prevenire existente, descrie efectul ameninţării şi se poate
manifesta ca o pierdere financiară directă, ca o consecinţă asupra reputaţiei entităţii sau ca o
sancţiune temporară, cu o ulterioară consecinţă financiară.

10
Impactul poate fi exprimat şi el prin calificativele „Înalt”, „Mediu” şi „Scăzut”.

7. Determinarea riscului. Modelele de risc, fie ele cantitative sau calitative, reprezintă
instrumente deosebit de utile auditorilor IT pentru identificarea diferitelor tipuri de risc,
oferind în acelasi timp informaţii pentru a le determina şi controla. Literatura de specialitate
abordeaza doua modele de analiză a valorii riscului: modelul cantitativ si modelul calitativ;
acestea pornesc de la premisa că orice organizaţie se poate astepta la apariţia unor pierderi
cauzate de ineficienţa unui sistem informatic, iar acest risc al pierderilor, rezultă din impactul
pe care îl au ameninţările asupra resurselor organizaţiei. Determinarea riscului pentru fiecare
pereche vulnerabilitate – ameninţare particulară poate fi exprimat ca o funcţie ce depinde de:

- probabilitatea de realizare a unei ameninţări,

- marimea impactului,
- masurile de control existente pentru reducerea sau eliminarea riscului.
În acest sens poate fi dezvoltată o matrice a nivelului de risc– derivată din multiplicarea
probabilitaţii de realizare a ameninţării şi impactul acesteia. Spre exemplu, daca
probabilitatea asociata pentru fiecare nivel de realizare a ameninţării este :
1 – Înalt
2 – Mediu
3 – Scăzut
- valoarea asociată pentru fiecare nivel de impact : 100 – Înalt 50 – Mediu 10 – Scăzut.

8. Recomandări asupra unor controale adecvate . Scopul acestei etape se rezumă la

recomandările auditorului asupra controalelor necesare a fi implementate pentru reducerea
nivelului de risc la un nivel acceptabil. În mod implicit, auditorul va determina nivelul
riscului rezidual definit ca acel nivel de risc ce ramâne dupa analiza şi evaluarea tuturor
masurilor de combatere a riscurilor. Riscul rezidual ia forma unei concluzii la care s-a ajuns
în urma unui proces de analiză a lui şi trebuie să conţină:
- semnalarea punctelor slabe, nevralgice ale sistemului asociate cu ameninţările
corespunzătoare şi probabilitatea lor de a avea loc;
- toate măsurile (recomandările) ce se impun a fi aplicate dacă riscul rezidual nu se
încadrează la un nivel acceptabil.

11
Clasificarea informatiilor in functie de importanta lor si deci de nivelul de securitate pe care acestea
il impun. Datele sunt clasificate pe patru nivele si anume: Date publice (informatie neclasificata)
Date interne Date confidential Date secrete („top secret'). In vederea clasificarii datelor nu se are in
vedere doar continutul datelor si informatiilor din sistem ci si o serie de alte aspecte (Care anume?).
In plus, daca un sistem contine date care apartin mai multor niveluri de securitate va trebui clasificat
in functie de cerintele impuse de datele cele mai confidentiale gestionate in sistem. Nevoile de
securitate ale sistemului trebuie sa se concentreze pe disponibilitate, confidentialitate si/sau
integritate.
Cerintelor de securitate recomandate de Orange Book elaborata de American DoD
(Department of Defence) si respectiv European Orange Book (ITSEC), pe cele 4 nivele de securitate
enumerate mai sus:
Clasa 1: Date publice (informatie neclasificata)
- Instalarea de snifere (software sau dispozitiv care captureaza pachetele de date transmise
intr-o retea);
- Scanare antivirus
- Deschiderea de conturi doar persoanelor autorizate, conturile avand in mod obligatoriu
parole de acces.
- Accesul la scriere pentru fisierele de sistem trebuie restrictionat la grupuri de utilizatori sau
masini (calculatoare).
- Software-ul de comunicatie (NFS - Network File System, LanManager, RAS - Remote
Access Service, UUCP1' - Unix-to-Unix Copy,Workgroups) trebuie sa fie corect instalat, cu optiuni
de securitate.

12
 Clasa 2: Date interne Datele interne reprezinta date procesate in sistem in cadrul diferitelor
compartimente functionale pentru care accesul direct, neautorizat trebuie prevenit. Pentru aceasta
categorie de date recomandarile vizeaza urmatoarele mijloace de protectie:
• Documentare: testari, elaborarea unei filozofii de securitate, un ghid al utilizatorului cu
caracteristici de securitate (descrierea mecanisme-lor de securitate din punctul de vedere al
utilizatorului, ghid pentru administrarea securitatii).
• Siguranta : Arhitectura sistemului: Se verifica daca TCB ruleaza in mod protejat. Trebuie sa existe
functii pentru verificarea integritatii hardware si firmware. Se verifica daca au fost testate cu succes
mecanismele de securitate.
 Identificarea si autorizarea utilizatorilor si protejarea informatiei privitoare la autorizari.
 Calitatea controlului accesului : accesul este controlat intre utilizatori precizati (sau grupuri
de utilizatori) sau obiecte precizate.

Clasa 3: Informatii confidentiale. Datele din aceasta clasa sunt confidentiale in cadrul
organizatiei si protejate fata de accesul extern. Afectarea confidentialitatii acestor date ca urmare a
unui acces neautorizat poate afecta eficienta operationala a organizatiei, poate genera pierderi
financiare si oferi un avantaj competitorilor sau o scadere importanta a increderii clientilor. De data
aceasta integritatea datelor este vitala. Pentru aceasta clasa Orange Book recomanda protejarea
accesului controlatsi securizarea transmisiilor de date :
 Protejarea accesului controlat (Controlled Access Protection) presupune:
- Recomandarile precizate pentru clasa 2 de senzitivitate la care se adauga: manualul
caracteristicilor de securitate, identificarea si autorizarea (nu se admite definirea de
conturi la nivel de grup), calitatea controlului accesului (controlul atribuirii de privilegii)
si testarea securitatii.
- Responsabilitatea utilizatorului: utilizatorii au responsabilitatea actiunilor lor. De aceea
trebuie sa existe posibilitatea de audit trail impreuna cu functii de monitorizare si alerta.
Jurnalele de audit (audit logs) trebuie sa fie protejate.
- Reutilizarea obiectelor: Obiectele folosite de o persoana trebuie sa fie reinitializate
inainte de a fi utilizate de o alta persoana.
 Securizarea transmisiei de date: in transmiterea de mesaje sau in utilizarea de programe
care comunica intre ele trebuie mentinute confidentialitatea si integritatea.

13
 Clasa 4: Informatie secreta Accesul intern sau extern neautorizat la aceste date este critic.
Integritatea datelor este vitala. Numarul de utilizatori care au drept de accesla aceste date este foarte
limitat si pentru aceste date sunt fixate reguli foarte severe de securitate privind accesul.
 Labelled Security Protection (Protejarea prin etichetare):
- Cerinte suplimentare privind identificarea si autentificarea (mentinerea securitatii
informatiilor compartimentului), manualul facilitatilor de incredere , manualul de
proiectare (descrierea modelului de securitate si a mecanismelor) si asigurarea
(arhitectura sistemului: izolarea procesului, verificarea integritatii, testarea securitatii
prin simularea atacurilor de penetrare si auditatea jurnalelor de securitate pe nivele de
obiecte).
- Verificarea specificatiei si a proiectarii : se comporta sistemul in conformitate cu
manualul?
- Exportarea informatiei etichetate, exportarea catre device-uri multinivel sau
mononivel.
 Accesul controlului pentru obiecte si subiecti asa cum este specificat in TCB nu de catre
useri. (TCB este un protocol destinat trimiterii de mesaje e-mail intre servere)
 Securizarea transmisiilor de date (conform cerintelor prezentate intr-un paragraf anterior).

CONCLUZII

Diversitatea domeniilor de utilizare, a tipurilor de sisteme informatice a crescut numărul şi

categoriilor de riscuri asociate utilizării sistemelor informatice. În cadru organizaţional acestea pot
proveni atât din interiorul instituţiei cât şi din exteriorul ei.
Factorii de risc se manifestă pe toată durata de viaţă a unui sistem informatic. Referindu-ne la
perioada de operare, de utilizare efectivă a sistemului şi la riscurile utilizării necorespunzătoare a
sistemelor informatice, atunci când factorii declanşatori sunt umani, se poate vorbi de intenţie. Astfel
utilizarea inadecvată a sistemului informatic se poate face intenţionat sau neintenţionat. Diversitatea
de utilizatori – angajaţi, consultanţi, clienţi, competitori sau publicul larg – şi nivelele lor diferite de
cunoaştere, instruire şi interes reprezintă factori care influenţează utilizarea sistemelor informatice.
Factori importanţi în utilizarea corespunzătoare a sistemelor informatice sunt erorile umane şi
comportamentul de risc al utilizatorilor. Înţelegerea caracteristicilor umane care duc la apariţia
erorilor ajută în luarea măsurilor pentru reducerea probabilităţilor de apariţie a erorilor sau
14
minimizarea impactului erorilor care au loc. Aceste măsuri implică în mare măsură o atenţie sporită
în proiectarea sistemului. Un sistem bine proiectat ar trebui să nu permită realizarea cu uşurinţă a
erorilor. Un rol deosebit în diminuarea erorilor îl joacă interfaţa cu utilizatorul. În proiectarea
interfeţei trebuie să se ţină cont de caracteristicile umane pentru a diminua rata erorilor în operare.
Măsurile preventive şi de control de bază implică elaborarea de politici de securitate, instruirea şi
informarea utilizatorilor, monitorizarea şi control activităţilor, implementarea de tehnologii
preventive de securitate şi cooperare între diverse instituţii. În ultimii ani, la nivel european şi
naţional, au fost adoptate o serie de acte normative care cuprind o arie largă din activităţile care
implică utilizarea sistemelor informatice. Ţinând cont de pătrunderea sistemelor informatice în
aproape toate domeniile, utilizatorii trebuie să recunoască faptul că acţiunile lor sau neimplicarea lor
ar putea provoca daune altora. Conduita etică este, prin urmare, crucială şi participanţii ar trebui să
depună eforturi pentru a dezvolta şi adopta cele mai bune practici şi de a promova o conduită care
recunoaşte şi respectă nevoile de securitate a intereselor legitime ale altora.

15
BIBLIOGRAFIE

[1].Iancu, S., (2001), Unele probleme sociale, economice, juridice şi etice ale utilizării
tehnologiei informaţiei şi comunicaţiilor, Bucureşti;
[2].OECD, (2002), Guidelines for the Security of Information Systems and Networks,
[3].http://www.oecd.org/dataoecd/16/22/15582260.pdf;
[4].Popa, S., (2007), Securitatea sistemelor informatice, Bucuresti;
[5].Ana Maria Suduc, (2009), Riscuri asociate utilizării inadecvate a tehnologiilor societăţii
informaţionale, Bucuresti ;
[6].Iosif, G., Marhan, A.M., (2005), Analiza şi managementul erorilor în interacţiunea om-
calculator, Ergonomie cognitivă şi interacţiune om-calculator, Ed. Matrix Rom, Bucureşti;
Revista Informatica Economica, nr.2 (14)/2000, Bucuresti ;
[7].Proiect OpenSSL: http:// www. openssl. org/ ;
[8]. http://www.securekit.com/.

16