Curs: Managementul informaţiilor

Modul: Managementul informaţiilor

Unitate: Securitatea informaţiilor

Introducere

Una dintre cele mai importante ipoteze ale procesului de management

al informaţiilor este asigurarea protecţiei corespunzătoare a
informaţiilor confidenţiale, atât a celor cu caracter personal, cât și a
celor corporative. După cum am menţionat deja, dezvoltarea
tehnologiei informaţionale, dar în special a Internetului, a dus la o
expansiune a informaţiilor disponibile. Cantitatea de informaţii care se
digitalizează în diferite formate (text, imagini, sunet) și devine
disponibilă unui larg public din toată lumea, este în continuă creștere.
Întregul proces de digitalizare a informaţiilor are numeroase avantaje,
în sensul că asigură reproducerea şi distribuția mai simplă a
informaţiilor, accentuând relativitatea conceptelor de spaţiu şi timp.
Informaţiile, ca resursă cheie de astăzi, devin disponibile oricând şi de
oriunde, cu condiția să existe o infrastructură tehnică corespunzătoare.

Întregul proces mai are încă o latură care se bazează pe faptul că, în
afară de informaţiile cu caracter public disponibile tuturor, în procesul
de digitalizare o cantitate tot mai mare de informaţii confidenţiale
părăseşte mediul tradiţional şi circulă prin spaţiul cibernetic. Cel mai
bun exemplu în acest sens sunt afacerile bancare care, în mod
tradiţional, sunt cunoscute pentru schimbul de informaţii confidenţiale
între bancă și client, în mediul real. Siguranţa şi confidențialitatea
informaţiilor care se schimbă cu această ocazie între bancă şi client,
pot fi asigurate cu mai multă ușurință în mediul băncii dacă nu dintr-un
alt motiv, atunci datorită contactului fizic care există între angajatul
băncii şi client.

Dezvoltarea comerţului electronic a creat o nevoie de sisteme

corespunzătoare care să asigure încasarea sumei de bani pentru marfa
vândută în mediul virtual, ceea ce a condus la faptul că băncile și-au
modificat modul tradiţional de a face afaceri şi au început să-și ofere
clienţilor produsele şi serviciile şi prin Internet. Astfel, posibilitatea de
abuz a informaţiilor confidenţiale a crescut semnificativ, având în
vedere că informaţiile confidenţiale în formă digitală au devenit
accesibile și pe Web. În aceste circumstanțe, securitatea informaţiilor
menţionate a devenit un moment critic, aşadar o atenție specială a
început să fie acordată problemelor legate de protecţie şi de

© Copyright Link group 1 / 12

Curs: Managementul informaţiilor
Modul: Managementul informaţiilor
Unitate: Securitatea informaţiilor

mecanismele corespunzătoare. Prin urmare, astăzi dependenţa de

tehnologia informaţiei are drept rezultat direct ameninţări şi o
vulnerabilitate crescută a sistemelor de management al informaţiilor,
ceea ce pune în pericol securitatea informaţiilor, atât personale cât și
corporative.

Cele mai frecvente greşeli cu privire la securitatea

informaţiilor, efectuate de indivizi

Una dintre primele greşeli ale indivizilor în legătură cu

securitatea informaţiilor, care compromite direct securitatea
informaţiilor personale confidenţiale, este scrierea pe hârtie a
unor astfel de informaţii. Oricând este posibil, încercați să
memoraţi informaţiile confidenţiale sau dacă deja le notaţi,
asigurați-vă că sunt în siguranță, indiferent dacă le păstraţi în
formă scrisă, pe hârtie sau în formă digitală.
Depozitarea necorespunzătoare a documentaţiei scrisă pe
hârtie, care conţine informaţii confidenţiale, poate cauza
pierderi financiare semnificative. De exemplu, atunci când
primiţi un card de credit de la bancă, primiţi şi un plic în care se
află codul PIN (Personal Identification Number). Dacă, din
neatenţie, aruncaţi plicul cu această informaţie la coşul de
gunoi, există posibilitatea ca cineva, destul de insistent să
caute astfel de informaţii în astfel de locuri, să profite de
premiul "meritat" şi să folosească contul bancar în folosul său.
Dacă la un bancomat sau la un terminal POS (Point of Sale)
observaţi ceva în neregulă, anunţaţi imediat banca. Există
posibilitatea să fiţi victima unei escrocherii numită Card
Skimming, care are ca scop colectarea de informaţii financiare
confidenţiale de pe cardul dvs. de debit, ceea ce are drept
rezultat pierderi financiare.
Având în vedere că pe Internet există un număr atât de mare
de amenințări la securitate, cu scopul de a abuza de
informaţiile confidenţiale personale ale utilizatorilor, este

© Copyright Link group 2 / 12

Curs: Managementul informaţiilor
Modul: Managementul informaţiilor
Unitate: Securitatea informaţiilor

necesar să utilizați mecanisme de protecţie adecvate

(programe antivirus, un software pentru eliminarea
programelor spion, un software de criptare personală etc.). În
afară de aceasta, ar trebui să fiţi foarte atenţi la diferite abuzuri
bazate pe propuneri să lucrați de acasă, câştiguri la loterie,
actualizarea informaţiilor etc.
În cele mai multe cazuri, utilizatorii își depozitează
documentele în format electronic, fără să-și asigure informațiile
confidențiale nici măcar cu instrumentul de protecţie de bază
care există în aproape orice software de creare a unor astfel de
documente, adică protecţia cu parola de accesare a
documentelor.

La baza tuturor greşelilor sus-menţionate, efectuate de utilizatori în

timpul manipulării informaţiilor personale confidenţiale, se află lipsa de
educaţie. Scopul educaţiei este să indice existenţa pericolului şi
măsurile care se pot lua pentru a preveni problemele.

Cele mai frecvente greşeli cu privire la securitatea

informaţiilor, efectuate de organizații

În continuare vă vom prezenta câteva dintre greşelile de bază

efectuate de organizaţiile din întreaga lume, din diferite domenii de
afaceri, în timpul manipulării informaţiilor.

Adesea, protecţia informaţiilor confidenţiale corporative este

încredințată unor indivizi incompetenţi, deoarece importanţa
procesului de protecţie a informaţiilor este neglijată pe nedrept.
Un caz extrem de neglijare a importanţei securităţii
informaţiilor este inexistenţa unui sistem organizat de protecţie
a informaţiilor la nivel de organizaţie. Uneori, organizaţiile nici
nu sunt conştiente de importanţa informaţiilor pe care le
posedă, iar în consecinţă nu realizează că trebuie să
investească în sisteme adecvate de protecţie a informaţiilor sau
nu vor să facă acest lucru. Adesea, organizaţiile privesc
necesitatea de a investi în sisteme de protecţie a informaţiilor

© Copyright Link group 3 / 12

Curs: Managementul informaţiilor
Modul: Managementul informaţiilor
Unitate: Securitatea informaţiilor

ca pe o cheltuială inutilă. La baza unor astfel prejudecăți sau a

altora similare legate de importanţa protecţiei informaţiilor la
nivel de organizaţie, stă lipsa de educaţie sau o educație
inadecvată a persoanelor autorizate din organizaţie şi ignorarea
importanţei pe care o au informaţiile astăzi.

În legătură cu constatarea precedentă este şi faptul că multe

organizaţii nu acordă suficientă atenţie educaţiei angajaţilor în
privința importanţei practice a unui sistem de protecţie a
informaţiilor la nivel de organizaţie. Premisa principală, după
cum am menţionat deja, este ca managementul de top să fie
complet conştient de importanţa protejării informaţiilor de care
dispune organizaţia, pentru a putea, prin politici şi proceduri
interne adecvate, să impună angajaţilor obligația de a se educa
şi de a pune în practică cunoştinţele dobândite în domeniul
protecţiei informaţiilor de afaceri.

Când definim responsabilitățile şi sarcinile indivizilor care se vor

ocupa, în cadrul organizaţiei, cu problemele de securitate a
informaţiilor, cel mai adesea nu există şi nici nu se aplică o listă
a competenţelor cerute (educaţie, experienţă de muncă,
cunoştinţe şi abilităţi) pentru realizarea acestei activități; ceea
ce este o consecinţă directă a faptului că această funcţie este
relativ nouă în organizaţiile din întreaga lume.

Sistemele de protecţie a informaţiilor la nivel de organizaţie

sunt considerate adesea o problemă exclusiv tehnică. În mod
greșit se ajunge adesea la concluzia că este necesară doar
implementarea celor mai recente soluţii tehnice din domeniul
de protecţie a informaţiilor şi că astfel problemele vor fi
rezolvate. Însă, problema securității şi a protejării informaţiilor
la nivel de organizaţie trebuie observată dintr-un punct de
vedere mult mai larg, care să cuprindă aproape toate procesele
de afaceri din cadrul unei companii, aplicarea coordonată şi
conştientizarea importanţei aplicării soluţiilor tehnice la nivel

© Copyright Link group 4 / 12

Curs: Managementul informaţiilor
Modul: Managementul informaţiilor
Unitate: Securitatea informaţiilor

de organizaţie, a problemelor legale etc.

Pe baza greşelilor identificate mai sus, ajungem la concluzia că una

dintre principalele cauze a erorilor de afaceri, direct legată de punerea
în pericol a siguranţei informaţiilor la nivel de organizaţie, este, de fapt,
ignoranţa. Împotriva ignoranţei se poate lupta în mod eficient doar prin
educaţie. Nu prin cursuri scurte şi seminare, ci printr-o educaţie
continuă în domeniul securităţii şi protecţiei informaţiilor. De ce?

Dezvoltarea tehnologiei conduce constant la apariţia unor noi forme şi

metode de punere în pericol a securităţii informaţiilor de care dispun
organizaţiile. Prin urmare, se dezvoltă diferite mecanisme de evitare a
accesului neautorizat şi de utilizare a informaţiilor de afaceri
confidenţiale. Angajaţii din organizaţie trebuie să devină conştienţi de
aceste schimbări prin educaţie, pentru a putea să răspundă în mod
adecvat la provocările care provin din mediu.

Abuzul asupra informaţiilor confidenţiale

Rezultatul diferitelor greşeli legate de securitatea şi protecţia

informaţiilor, efectuate atât de indivizi cât și de organizaţii, este pe de
o parte presiunea creată de dezvoltarea tehnologiilor și, pe de altă
pare, numărul mare de diferite tipuri de abuzuri în legătură directă cu
informaţiile confidenţiale ale indivizilor şi organizaţiilor.

Faptul că informaţiile confidenţiale personale și corporative devin din

ce în ce mai mobile și mai disponibile printr-un număr tot mai mare de
dispozitive moderne (asistent digital personal - Personal Digital
Assistant, calculatoare laptop, telefoane mobile etc.), pentru a oferi
oamenilor posibilitatea de a munci în timp ce călătoresc, în timpul
vacanțelor, de la distanță etc., creşte riscul ca unele dintre aceste
informaţii să ajungă în mâini greşite şi să fie folosite în alte scopuri.

Este important să menţionăm şi că tehnologia modernă creează și

omiteri în muncă - de exemplu, o companie care personalizează
carduri de plată (introducând datele personale ale utilizatorilor pe

© Copyright Link group 5 / 12

Curs: Managementul informaţiilor
Modul: Managementul informaţiilor
Unitate: Securitatea informaţiilor

banda magnetică a cardului de plată şi acordând PIN-uri) - care

afectează în mod direct milioane de oameni din întreaga lume. Dacă o
persoană neautorizată ar intra în baza de date a unei astfel de
companii, ar avea acces la toate informaţiile confidențiale financiare a
milioane de utilizatori şi ar putea să producă pierderi în valoare de
milioane de dolari.

Pe de altă parte, este important şi faptul că abuzul de informaţii

confidenţiale provoacă cheltuieli indivizilor şi organizaţiei, nu doar în
momentul în care se întâmplă incidentul, ci pentru o perioadă mai
lungă de timp. Cercetările arată că astfel de companii, care au avut
probleme cu abuzul de informaţii confidenţiale ale utilizatorilor săi, s-
au confruntat pentru o lungă perioadă de timp cu cheltuieli legate
direct de incident: cheltuieli de conducere a unor cercetări interne,
cheltuieli pentru serviciile birourilor de avocatură care au reprezentat
drepturile acestor companii în timpul litigiilor cu utilizatorii, pierderea
clienţilor, micşorarea productivităţii, costuri ridicate ale serviciilor de
telefonie etc.

Unul dintre cele mai frecvente şi mai cunoscute tipuri de abuz de

informaţii confidenţiale se numeşte furt de identitate. Esenţa acestui
tip de abuz este ca prin utilizarea datelor personale ale indivizilor
(numărul contului bancar, numărul cardului de credit, codul PIN etc.) să
se producă pierderi financiare care la nivel anual se măsoară în
miliarde de dolari, pe plan mondial. Modurile în care acest tip de abuz
poate fi realizat sunt numeroase, atât în mediul real, cât şi în mediul
virtual. În afară de "căutarea prin gunoi", interceptarea convorbirilor
telefonice, deja menţionatul card skimming, trimiterea de mesaje e-
mail false şi atacuri ale hackerilor asupra bazei de date client, în ceea
ce privește organizaţiile, delincvenţii sunt pregătiţi să facă orice pentru
a ajunge la informaţiile dorite. În concluzie, inamicul este inteligent,
inovativ și motivat. De aceea, fiţi atenţi şi folosiţi diferite surse de
protecţie!

Mecanisme de protecţie a informaţiilor

© Copyright Link group 6 / 12

Curs: Managementul informaţiilor
Modul: Managementul informaţiilor
Unitate: Securitatea informaţiilor

Organizaţiile de toate mărimile și din toate domeniile de activitate, din

toată lumea, sunt sensibile la abuzul de informaţii confidenţiale.
Același lucru este valabil și pentru indivizii din întreaga lume. Nimeni
nu este imun şi ferit de abuzul de informaţii.

Una dintre cele mai mari companii de consultanţă din lume, Ernst &
Young, a fost victima unui abuz de informaţii confidenţiale într-un
incident care a implicat furtul unui laptotp de la unul din angajații
firmei în ianuarie 2006. Acest incident a implicat abuzul de date
personale ale angajaţilor din IBM, care utilizau serviciile de consultanţă
ale companiei Ernst & Young. Există foarte multe exemple identice şi
nu există nicio companie, oricât de mare şi cunoscută ar fi, care să nu
fi avut experienţe negative cu abuzul de informaţii confidenţiale. Din
punct de vedere al individului, milioane de oameni din întreaga lume
au fost victime ale unuia dintre cele mai frecvente tipuri de abuz de
informaţii confidenţiale - abuzul cardurilor de plată. Concluzia la care
ajungem este: cu cât utilizăm mai mult tehnologii moderne pentru
nevoile personale sau profesionale, cu atât mai mult suntem expuşi
riscului de a fi victimele unui abuz. De aceea, trebuie să aplicăm
mecanisme corespunzătoare de protecţie pentru a minimaliza riscul de
abuz.

Cel mai bun mecanism de protecţie a informaţiilor personale sau

corporative confidenţiale este prevenirea. Conform principiului "mai
bine să prevenim decât să tratăm", trebuie să prevedem posibilele
probleme legate de informaţiile confidenţiale şi să luăm măsuri
corespunzătoare pentru a le evita. Prevenirea reprezintă în primul rând
conștientizarea riscului de abuz, iar apoi şi investirea în mecanismele
corespunzătoare de protecţie a informaţiilor confidenţiale.

Din punct de vedere al individului, un factor important în procesul de

prevenire a problemelor este educaţia. Realitatea este că un număr
mare de oameni nu știu să utilizeze tehnologiile informaţionale
moderne, ceea ce îi pune frecvent în situaţia de a-și compromite naiv
informaţiile confidenţiale. Un exemplu clasic în acest sens este
activitatea ilegală care există pe Internet şi care se numeşte Phishing.
Acest tip de abuz constă în trimiterea unui e-mail unui utilizator naiv de
Internet, în care i se cere să-și trimită informaţiile personale (numele

© Copyright Link group 7 / 12

Curs: Managementul informaţiilor
Modul: Managementul informaţiilor
Unitate: Securitatea informaţiilor

de utilizator şi parola cu care își accesează sistemul de e-banking)

pentru presupusa necesitate de fi actualizate. Fără să-şi dea seama că
este victima unei escrocherii, utilizatorul naiv transmite într-adevăr
informaţiile cerute. Următorul pas este, bineînţeles, o pierdere
financiară pentru utilizator.

Existenţa unui număr atât de mare de amenințări orientate pe punerea

în pericol a informaţiilor personale confidenţiale ale indivizilor și strâns
legate de aplicarea tehnologiei informaţionale (viruşi, programe spion,
criminalitate cibernetică...), impune necesitatea ca utilizatorii să aplice
diferite mecanisme de protecţie a informaţiilor lor confidenţiale.
Spectrul mecanismelor posibile de securitate este unul larg care se
întinde de la programe antivirus, Firewall, software-uri de eliminare a
programelor spion, opțiuni de protecţie a documentelor confidenţiale
cu o parolă corespunzătoare şi până la software-uri de criptare
personală utilizate pentru criptarea conţinutului confidenţial dorit. Un
exemplu de astfel de software este Best Crypt.

Din punctul de vedere al organizaţiilor, cele mai mari amenințări la

adresa securității informaţiilor confidenţiale sunt atacurile violente ale
hackerilor asupra bazelor de date, interceptarea comunicărilor între
organizaţii și clienţi şi problema de autentificare și de identificare a
utilizatorilor în spaţiul cibernetic. Pentru aceste nevoi a fost dezvoltat
un număr mare de mecanisme comerciale de protecţie, dintre care
cele mai importante sunt mecanismele criptografice de protecţie
(criptografia simetrică şi asimetrică). Mecanismele criptografice au
rolul de a traduce informaţiile confidenţiale într-o formă ilizibilă și
incomprehensibilă, ceea ce îngreunează accesul din afară la informaţii.

Pentru nevoile de autentificare a utilizatorilor au fost și sunt dezvoltate

în continuare diferite mecanisme de protecție, de la cele mai simple,
precum numele de utilizator şi parola, la unele mai complexe precum
aplicarea de token-uri care generează o nouă parolă la fiecare
accesare a sistemului unei companii şi până la cele mai complexe care
se bazează pe biometrie, respectiv pe trăsăturile fizice ale oamenilor.
Un exemplu de astfel de tehnologie este tehnlogia Pay By Touch, care
cere utilizatorului să atingă cu degetul un scaner special pentru a
putea fi identificat. În procesul de autentificare a utilizatorilor, o mare

© Copyright Link group 8 / 12

Curs: Managementul informaţiilor
Modul: Managementul informaţiilor
Unitate: Securitatea informaţiilor

importanță o are şi semnătura digitală, a cărei menire este să

confirmare identitatea utilizatorului în comunicarea electronică.

Concluzia acestei poveşti despre mecanismele de protecţie a

informaţiilor confidenţiale este că o protecţie ideală nu există. Oricât
de mult s-ar dezvolta mecanismele de protecţie a informaţiilor,
personale și corporative, în aceeași măsură se dezvoltă şi apar noi
moduri de a le abuza. Această constatare este valabilă în special în
cazul spaţiului cibernetic sau al aplicării tehnologiei informaţionale,
ceea ce astăzi este o necesitate. Mecanismele clasice de protecţie a
informaţiilor confidenţiale în mediul real (păstrarea documentaţiei
scrise pe hârtie şi a altor documente confidenţiale în seifuri, trezorerii,
la saltea...), erau mult mai sigure, însă realitatea erei noastre moderne
este că o mare parte din activităţile vieţii zilnice sunt transferate în
spaţiul cibernetic.

© Copyright Link group 9 / 12

Curs: Managementul informaţiilor
Modul: Managementul informaţiilor
Unitate: Securitatea informaţiilor

UINF_04 - Managementul informaţiilor

1. Abuzul de informaţii confidenţiale ale organizaţiilor
provoacă:
a) doar pierderea reputaţiei din punct de vedere al
organzaţiei
b) pierderea reputaţiei, dar şi anumite costuri în momentul în
care are loc abuzul
c) pierderea reputaţiei şi costuri în momentul în care are loc
abuzul, dar şi pentru o perioadă mai lungă de timp după
acesta
d) pierderea reputaţiei şi costuri în momentul în care are loc
abuzul, dar şi în perioada de dinaintea acestuia
2. Glisaţi răspunsul corect în câmpul gol:
Răspunsuri oferite: furt de informaţii personale, furt de
secrete de afaceri, furt de informaţii financiare, furt de
identitate

Unul dintre cele mai cunoscute şi mai frecvente tipuri de

abuz de informaţii confidenţiale se numeşte
________ .
3. Mecanismele biometrice de protecţie sunt dezvoltate cu
scopul de a asigura un grad cât mai înalt de securitate pentru:
a) realizarea tranzacţiilor online
b) autentificarea utilizatorilor
c) protecţia informaţiilor confidenţiale
d) toate variantele de răspuns sunt corecte
4. Cel mai bun mecanism posibil de protecţie a informaţiilor
confidenţiale ale indivizilor sau ale organizaţiilor este:
a) criptografia
b) biometria
c) prevenirea
d) utilizarea token-urilor
5. Selectaţi toate răspunsurile corecte. Persoanele rău
intenţionate pot obține informaţii confidenţiale, atât de la
indivizi, cât și de la organizaţii, astfel:

© Copyright Link group 10 / 12

Curs: Managementul informaţiilor
Modul: Managementul informaţiilor
Unitate: Securitatea informaţiilor

a) căutând prin gunoi

b) hacking
c) prin propuneri de a lucra de acasă, trimise prin intermediul
Internetului
d) vizitând paginile web ale companiilor şi blogurile indivizilor
6. Abuzul de informații cunoscut sub numele de Card Skimming
are scopul:
a) de a asigura intrarea ilegală în baza de date a marilor
companii utilizând tehnologia de card
b) de a-i asigura delincventului posibilitatea să colecteze
toate informaţiile financiare confidenţiale de pe cardul de
plată al utilizatorilor
c) de a-l determina pe un utilizator de Internet să plătească
online cu cardul său marfa sau serviciul achiziționat de
delincvent
d) de a-i asigura delincventului accesul la informaţiile
confidenţiale și oficiale ale instituţiei bancare care a emis
cardul de plată (datele despre operaţiile de afaceri ale băncii,
concurenţă, planuri de dezvoltare...)
7. Care dintre declaraţiile enumerate este corectă?
a) procesul de digitalizare a informaţiilor împiedică
reproducerea şi distribuția acestora
b) procesul de digitalizare a informaţiilor determină
cantitățile crescânde de informaţii confidenţiale să
părăsească mediul tradiţional şi să circule în spaţiul
cibernetic
c) progresele tehnologice şi digitalizarea informaţiilor elimină
nevoia de mecanisme de protecţie corespunzătoare
d) niciuna dintre declaraţii nu este corectă

© Copyright Link group 11 / 12

 Curs: Managementul informaţiilor
Modul: Managementul informaţiilor
Unitate: Securitatea informaţiilor

1. Abuzul de informaţii confidenţiale ale organizaţiilor

provoacă:
c
2. Glisaţi răspunsul corect în câmpul gol:
furt de identitate
3. Mecanismele biometrice de protecţie sunt dezvoltate cu
scopul de a asigura un grad cât mai înalt de securitate pentru:
b
4. Cel mai bun mecanism posibil de protecţie a informaţiilor
confidenţiale ale indivizilor sau ale organizaţiilor este:
c
5. Selectaţi toate răspunsurile corecte. Persoanele rău
intenţionate pot obține informaţii confidenţiale, atât de la
indivizi, cât și de la organizaţii, astfel:
a, b, c
6. Abuzul de informații cunoscut sub numele de Card Skimming
are scopul:
b
7. Care dintre declaraţiile enumerate este corectă?
b

© Copyright Link group 12 / 12

Powered by TCPDF (www.tcpdf.org)