Documente Academic
Documente Profesional
Documente Cultură
Asigurarea securităţii datelor din interiorul unei companii ori a unei organizaţii reprezintă o
aliniere la cerinţele actuale ale dezvoltării societăţii informaţionale. Dezvoltarea fără precedent a
mediului de afaceri din ultimul timp foloseşte ca suport tehnologiile Internet. Dezvoltarea acestor
tehnologii într-un ritm atât de susţinut nu a putut fi prezisă de iniţiatorii ei şi aceste tehnologii nu
s-ar fi dezvoltat fără suportul mediului de afaceri care le-a adoptat şi utilizat extensiv iar acestea,
la rândul lor, s-au adaptat acestui mediu. Fenomenul acesta a dat naştere unor domenii complet
noi cum ar fi, spre exemplu, deja cunoscutele e-aplicaţii de felul e-Government, e-Commerce, e-
Business, e-Learning etc.
Acest mediu de comunicare, informare, documentare, tranzacţionare etc. care reuneşte milioane
de utilizatori are însă şi punctele lui vulnerabile. Vulnerabilitatea reprezintă poate punctul cel mai
nevralgic al mediului Internet. Zilnic au loc atacuri la adresa serverelor de orice tip din Internet.
Şi tot zilnic se depun eforturi uriaşe şi se cheltuiesc sume mari de către companii specializate
pentru acoperirea breşelor de securitate descoperite la timp sau în urma unor atacuri uneori cu
consecinţe catastrofale. Marile companii producătoare de software au compartimente specializate
în domeniul securităţii. Orice aplicaţie are, inerent, încorporate şi elemente de siguranţă şi
securitate.
De cele mai multe ori, fără o pregătire prealabilă, în astfel cazuri se pot face foarte puţine
manevre pozitive, reparatorii, după producerea dezastrului.
Previzional, mult înainte să aibă loc un incident previzibil catastrofal se pot iniţia două tipuri de
activităţi care să preîntâmpine, să prevină, şi să gestioneze, la nivelul organizaţiei, scenariul unui
posibil dezastru:
- analiza riscurilor la adresa securităţii (şi nu numai);
- evaluarea costurilor procedeelor de prevenire a dezastrelor şi / sau costurile pentru depăşirea
dezastrului, odată produs, şi recuperarea funcţionalităţii pierdute.
Ameninţările la adresa integrităţii şi securităţii unei organizaţii se pot exercita prin mai mulţi
vectori. O parte dintre aceştia, cei mai frecvenţi, sunt:
• spionii;
• organizaţiile criminale şi teroriste;
• utilizatorii răutăcioşi sau răuvoitori;
1
TEHNOLOGII, STRUCTURI ŞI MANAGEMENTUL REŢELELOR DE CALCULATOARE
Riscul poate fi definit ca o ameninţate care poate să exploateze eventualele slăbiciuni ale unui
sistem ori a unei întregi organizaţii. Riscul este un eveniment care este posibil să se întâmple,
fiind considerat, adesea, un eveniment aleator. Pentru a se preîntâmpina apariţia unui eveniment
care să afecteze securitatea unei organizaţii ori unui sistem este necesară elaborarea unei politici
de măsuri specifice. Aceste măsuri sunt determinate prin metrici asociate riscurilor. Metricile sunt
acelea care introduc o ierarhizare a rsicurilor.
Dacă se consideră o mulţime de riscuri { rk | 0 < k ≤ q}, unde q este numărul maxim de riscuri,
asociate unei organizaţii se poate introduce o relaţie peste această mulţime de riscuri.
Astfel, se poate aprecia că două riscuri r1 şi r2 distincte (r1 ≠ r2) pot fi ordonate, printr-o relaţie de
ordine parţială, considerând relaţia dintre costurile respectivelor riscuri, adică prin pagubele
produse de acestea:
r1 ≤ r2 dacă şi numai dacă C(r1) ≤ C(r2),
Similar se poate aprecia că un risc r1 mai frecvent, ca apariţie, poate fi mai costisitor decât un risc
r2 care se produce mai rar, cu condiţia ca pagubele produse să fie pe evaluate peste un acelaşi
interval de timp. Valoarea unui risc rk este, de cele mai multe ori, estimată prin produsul dintre
costul său şi frecvenţa sa de apariţie:
V(rk) = C(rk)P(rk)
2
TEHNOLOGII, STRUCTURI ŞI MANAGEMENTUL REŢELELOR DE CALCULATOARE
mare şi care trebuie asigurate. Analiza de risc face parte din ansamblul de măsuri care poartă
denumirea generică de managementul riscului. Evaluarea riscurilor este un rezultat al unui
proces de analiză a riscurilor.
Analiza riscurilor urmăreşte să pună acest proces pe baze teoretice şi practice solide. Sunt mai
multe modalităţi de abordare a riscului. Dintre acestea se disting câteva, şi anume:
o analiza cantitativă;
o analiza calitativă;
o analiza fiecărui post de lucru din organizaţie.
Identificarea activelor
Presupune identificarea componentelor hardware, software, datelor cu care se operează,
personalul implicat în procese, documentaţiile aferente, suporturile corespunzătoare etc.
3
TEHNOLOGII, STRUCTURI ŞI MANAGEMENTUL REŢELELOR DE CALCULATOARE
Evaluarea activelor
Presupune să se stabilească costurile de înlocuire pentru cazuri când un anume activ este distrus.
Pentru aceasta trebuie să se răspundă unor criterii care să direcţioneze evaluarea respectivelor
active. Unele dintre aceste criterii sunt formulate prin chestiuni simple referitoare la costurile
asociate activelor considerate.
Componenetele software, la randul lor, au anumite trăsături care le individualizează în cazul unor
malfuncţionări. Costurile asociate acestora sunt, adesea, estimate prin timpul necesar soluţionării
malfuncţionarii. În acest context costurile vor fi calculate prin costul manoperei pe durata
intervenţiei:
• Timpul necesar stabilirii cauzelor malfuncţionării. Acest timp poate fi principala
componentă a duratei globale a refacerii funcţionalităţii. Poate necesita manoperă cu
costuri ridicate implicând eforturile, de regulă, a unei echipe.
• Durata încărcării şi testării aplicaţiei, componentei software, după găsirea şi înlăturarea
cauzelor care au fost stabilite. Procesul poate fi iterativ din cauza complexităţii
aplicaţiilor constituite, în majoritatea situaţiilor, din componente software licenţiate de
furnizori diferiţi. Se pot întâlni situaţii în care o anumită malfuncţionare maschează o alta
care ajunge vizibilă abia după înlăturarea precedentei.
• Durata restaurării, reîncărcarii, sistemelor mari de aplicaţii.
4
TEHNOLOGII, STRUCTURI ŞI MANAGEMENTUL REŢELELOR DE CALCULATOARE
Exemplul 1:
Se consideră un fişier care stochează datele personale ale unui număr de
200 de angajaţi ai unei companii. În urma unui eveniment nedorit
(intenţionat, neintenţionat, accident, fenomen natural), se pierd atât
datele din fişier, cât şi structura acestuia. Nu există copie de siguranţă
pentru acestea. Refacerea structurii fişierului poate fi făcută de o
persoană calificată, lucrând 4 ore pentru reconstrucţie (în timpul
programului). Salariul tarifar este de 2,5 USD/oră.
n
Valoare(a) = ∑ impacti
i =1
5
TEHNOLOGII, STRUCTURI ŞI MANAGEMENTUL REŢELELOR DE CALCULATOARE
Presupune stabilirea ameninţărilor la adresa activelor şi frecvenţa cu care aceste ameninţări se pot
produce în respectiva organizaţie.
Impactul acestor ameninţări asupra bunurilor depinde în mare măsură de anumiţi factori, dintre
care cei mai des invocaţi sunt:
• amplasarea geografică;
• facilităţile cadrului organizatoric;
• densitatea de informaţie;
• condiţiile economice locale;
• sistemele de avertizare şi protecţie implementate;
• vizibilitate;
• accesul facil la bunuri;
• redundanţe;
• procedurile şi metodele de salvare;
• conştientizarea măsurilor de securitate şi protecţie etc.
• fulgerele, calamităţile naturale, în general.
Se stabileşte probabilitatea de producere a unui incident într-un interval de timp, bine precizat. În
tabelul urmator sunt prezentate, spre exemplu, frecvenţele de producere ale unor incidente:
6
TEHNOLOGII, STRUCTURI ŞI MANAGEMENTUL REŢELELOR DE CALCULATOARE
Folosind datele statistice se poate stabili rata de producere a unui incident. Aceste date statistice
sunt evidenţiate în tabelul 2.
Exemplul 2:
Bunurile considerate
Calculator Imprimantă Centru
(local) cu servere
Şocuri Şocuri Şocuri
Ameninţarea de tensiune de tensiune de tensiune
Costul
incidentului 500 500 10.000
(USD)
Frecvenţa cinci (5) cinci (5) cinci (5)
de producere ori pe an ori pe an ori pe an
PAE1,1 = PAE2,1 = PAE3,1=
PAE 500x5 = 500x5 = 10.000x5=
2.500 2.500 50.000
PAE total PAE1, 1 + PAE2, 1 + PAE3, 1=
2.500 + 2.500 + 50.000 = 55.000 USD
Tabelul 3.
7
TEHNOLOGII, STRUCTURI ŞI MANAGEMENTUL REŢELELOR DE CALCULATOARE
Exemplul 3:
Bunurile considerate
Centru servere Centru servere Centru servere
Şocuri Cutremur
Ameninţările Inundaţie
de tensiune de pământ
Costul
incidentului 30.000 50.000 10.000
(USD)
Frecvenţa cinci (5) o dată o dată
de producere ori pe an la 50 de ani la 25 de ani
PAE1,1 = PAE2,1 = PAE3,1=
PAE 30000x5 = 50000x 0,02 = 10.000x 0,04 =
150.000 10.000 4.000
PAE total PAE1,1 + PAE1,2 + PAE1,3=
150.000+10.000+4.000 = 164.000 USD
Tabelul 4.
8
TEHNOLOGII, STRUCTURI ŞI MANAGEMENTUL REŢELELOR DE CALCULATOARE
Dintre toate ameninţările avute în vedere, se identifică ameninţarea care produce pierderile cu
cele mai mari valori anuale estimate corespunzătoare (PAE_a). Principalel măsuri de control vor
viza diminuarea pierderilor cauzate de această ameninţare.
Se identifică măsurile care pot duce la reducerea vulnerabilităţii faţă de ameninţarea cea mai
costisitoare. Întotdeauna se are în vedere că unele măsuri se pot aplica pentru mai multe categorii
de ameninţări ori pentru mai multe categorii de bunuri.
În afara acestor măsuri specifice unei anume ameninţări se mai pot institui şi altele cu caracter
mai general:
o Stocarea datelor critice în afara organizaţiei;
o Introducerea unor procedee precise şi riguros aplicate atât pentru salvările
de siguranţă cât şi pentru salvările periodice de date;
o Însoţirea personalului din exterior primit în interiorul organizaţiei;
o Etichetarea şi marcarea cu culori distincte a diverselor porţiuni de
documente care conţin date ce vor fi operate sau introduse în sistemele de
calcul;
o Măsurile de protecţie la nivel fizic – supravegherea electronică
monitorizată, paza prin personal calificat, însoţitori;
o Controlul accesului la anumite zone prin avertizări audio-vizuale, validarea
accesului prin chei de acces (fizice şi software) ori ecusoane validate prin
mijloace de supraveghere;
o Accesul la sistemele informaţionale să aibă loc în baza unei identificări iar
activitatea la aceste sisteme să fie memorată în log-uri sau jurnale de acces.
Valoarea factorului RI cât mai mare se va putea obţine acţionând asupra indicelui de eficacitate rc
prin creşterea acestuia până la valoarea maximă (1), sau asupra costului anual pentru aplicarea
controlului Cc prin micşorarea costurilor de implementare a controlului.
9
TEHNOLOGII, STRUCTURI ŞI MANAGEMENTUL REŢELELOR DE CALCULATOARE
Metoda cantitativă expusă are însă anumite neajunsuri. Printre acestea se pot enumera:
• Dificultatea de a găsi un număr care să cuantifice cât mai exact frecvenţa de
producere a unui eveniment.
• Dificultatea de a cuantifica anumite valori. De exemplu, sunt foarte greu de
definit disponibilitatea unei informaţii şi calculul pierderilor când această
caracteristică lipseşte.
• Metoda nu face distincţie între ameninţările rare, dar care produc dezastre mari
ca valoare (incendiu, cutremure, tornade etc.), şi ameninţările dese care produc
dezastre mici ca valoare (erori de operare), în ambele cazuri efectele financiare
fiind asemănătoare.
• Alegerea numerelor folosite poate fi considerată subiectivă, muncă laborioasă
care necesită timp şi consum de resurse.
Această metodă este mai des folosită decât metoda anterioară, pretându-se la firmele de mărime
mică. Metoda nu foloseşte date statistice. În schimb, se foloseşte ca dată de intrare potenţialul de
pierdere.
Aceasta are ca efect imediat reducerea volumului de muncă şi a timpului consumat. Metoda are şi
dezavantaje.
Printre acestea:
• greu de cuantificat (ca şi la metoda anterioară) anumiţi termeni (important –
este un termen greu de definit în management).
• Numerele sunt de această dată şi mai subiective. Dacă la metoda anterioară
acestea erau date statistice, acum sunt alese subiectiv.
10
TEHNOLOGII, STRUCTURI ŞI MANAGEMENTUL REŢELELOR DE CALCULATOARE
Nivelul de Probabilitatea de
producere producere Descriere
Un nivel redus de securitate are ca efect creşterea riscului în afaceri. Ca revers, asigurarea unui
nivel ridicat de securitate poate afecta afacerile prin dirijarea fondurilor către asigurarea securităţii
şi nu către destinaţia lor de drept. De aceea, trebuie găsită o cale de mijloc.
Aceste analize de risc se fac cu precădere în cadrul organizaţiilor mari şi eventual în cadrul celor
medii. Organizaţiile mici nu au nici personal specializat şi nici bani pentru a plătii o astfel de
evaluare. Cu toate acestea, un minimum de preocupări privind securitatea trebuie considerate.
În majoritatea cazurilor, 20% din costuri se reflectă în 80% beneficii în ceea ce priveşte
minimizarea riscurilor şi asigurarea securităţii.
O securitate maximă poate fi asigurată cu costuri foarte mari. Asigurarea unei eficienţe maxime
conduce, de regulă, la un nivel prohibitiv al cheltuielilor.
Este ştiut faptul că managerii de firme se lasă greu convinşi să investească în ceva care nu aduce
profit direct. Iar atunci când se lasă convinşi de necesitatea disponibilizării sumelor pentru
asigurarea securităţii, sumele alocate sunt sub limita celor recomandate.
În aceste condiţii, trebuie să se asigure o securitate ale cărei cheltuieli să nu depăşească o anumită
limită a sumei alocate. Se poate vorbi despre o securitate impusă financiar.
11
TEHNOLOGII, STRUCTURI ŞI MANAGEMENTUL REŢELELOR DE CALCULATOARE
Prima măsură va permite o securitate maximă pentru anumite ameninţări, dar va lăsa descoperită
securitatea parţial sau total la alte ameninţări.
A doua măsură va impune reducerea cheltuielilor necesare asigurării controalelor pentru a putea
să fie acoperite toate ameninţările posibile. Aceasta ar putea să se reflecte în modificarea şi
configurarea măsurilor de control.
Nu se vor mai achiziţiona două surse neîntreruptibile, spre exemplu, APC UPS de 350VA la
preţul de 95 dolari bucata pentru două calculatoare, ci se va achiziţiona o singură sursă APC UPS
de 650VA la preţul de 140 de dolari bucata. Economia este de 50 de dolari (95 x 2 . 140 = 50).
În acest caz, însă, cele două calculatoare vor trebui să fie alimentate de la aceeaşi sursă
neîntreruptibilă prin prelungirea cablurilor de alimentare sau prin plasarea lor în imediata
vecinătate. Această a doua măsură este de preferat primei, deoarece nu lasă vulnerabilităţi
neacoperite de măsuri de control.
Securitatea este o entitate greu de cuantificat. Va fi dificil de apreciat că în cadrul unei organizaţii
există o securitate de un anumit nivel de performanţă. Se poate, doar, să se estimeze ca fiind de un
nivel ridicat, mediu, minim sau deloc. Acestea sunt aprecieri suficient de largi ca să nu permită,
cel mai frecevnt, comparaţii. Cu toate acestea, se poate face o cuantificare (cel puţin financiară) a
nivelului de securitate şi, respectiv, asupra nivelului de costuri ale riscurilor.
Întotdeauna implementarea securităţii sau testarea şi îmbunătăţirea acesteia generează costuri
semnificative în termeni de resurse umane şi de echipamente.
12