1

ANALIZA DE RISC ÎN CADRUL MANAGEMENTULUI

SECURITĂŢII SISTEMELOR INFORMATICE

Societatea îmbrăţişează din ce în ce mai mult tehnologia informaţiei. Informaţia care

până nu de mult avea la bază hârtia, îmbracă acum forma electronică. Informaţia pe suport de

hârtie mai este încă rezervată documentelor oficiale, acolo unde este necesară o semnătură sau

o stampilă. Adoptarea semnăturii electronice deschide însă perspective digitizării complete a

documentelor, cel puţin din punct de vedere funcţional.

Acest nou mod de lucru, în care calculatorul a devenit un instrument indispensabil şi

un mijloc de comunicare prin tehnologii precum poşta electronică sau Internetul, atrage după

sine riscuri specifice. O gestiune corespunzătoare a documentelor în format electronic face

necesară implementarea unor măsuri specifice.

Măsurile ar trebui să asigure protecţia informaţiilor împotriva pierderii, distrugerii sau

divulgării neautorizate. Cel mai sensibil aspect este acela de a asigura securitatea informaţiei

gestionată de sistemele informatice în noul context tehnologic.

Astfel, managementul securităţii sistemelor infromatice se referă la acea parte a

managementului unei companii care are ca scop crearea mecanismelor necesare pentru a

asigura gestionarea, evaluarea şi eliminarea riscurilor potenţiale în relaţie cu disponibilitatea,

integritatea şi confidenţialitatea informaţiilor.

Riscurile utilizării inadecvate a sistemelor informatice sunt privite din două puncte de

vedere:

• utilizarea inadecvată a sistemelor informatice ca o consecinţă a unor riscuri

manifestate;

• utilizarea inadecvată a sistemelor informatice ca o cauză generatoare de riscuri.

2

Scopul asigurării securităţii sistemelor informatice este reprezentat de interesele celor

care depind de sistemele informatice şi de daunele care pot rezulta din eşecul asigurării

confidenţialităţii şi integrităţii informaţiilor.

Clasificarea riscurilor utilizării inadecvate a sistemelor informatice:

1. Riscurile de securitate: amenintări interne sau externe rezultate în urma accesului

neautorizat şi fraudulos la informaţii. Acestea includ scurgeri de date, fraudă, virusi

dar şi atacuri directionate asupra anumitor tipuri de aplicaţii, utilizatori sau

informaţii.

2. Riscurile de accesibilitate: informaţia devine inaccesibilă de către persoanele cu

drept de utilizare, datorită unor întreruperi neplanificate ale sistemului. Trebuie avut

în vedere de către fiecare organizaţie riscul de pierdere sau de corupere a datelor şi

să asigure toate mijloacele necesare evitarii acestor riscuri cât şi recuperării datelor

în timp util în cazul unui dezastru.

3. Riscurile legate de performanţă: informaţia devine inaccesibilă datorită limitărilor

de performanţă şi scalabilitate ale sistemului. Trebuie luate în considerare toate

necesităţile tehnice cantitative şi de performanţă pentru a putea face faţă în situaţiile

de maxim, dar analizând atent cerinţele de resurse pentru a evita cheltuielile inutile

şi pentru a minimiza costul de întreţinere al sistemului informatic.

4. Riscurile de conformitate: încălcarea regulamentelor şi/sau a politicilor interne ale

companiei.

5. Managementul riscurilor este procesul de implementare şi menţinere a mijloacelor

de reducere a efectelor riscurilor la un nivel considerat acceptabil şi nepericulos de

către managementul companiei. Acest proces impune urmatoarele:

• Analiza de risc;

• Politicile de securitate;

• Schema de securitate ;

• Audit tehnic şi financiar;

3

• Testarea vulnerabilităţilor şi accesului neautorizat;

• Monitorizarea - detectarea accesului neautorizat prin dispozitive de identificare;

• Instalarea şi administrarea serviciilor de încredere.

Analiza de risc este componenta cea mai importantă din cadrul managementului

riscurilor. Aceasta este un proces de evaluare a vulnerabilităţilor sistemului informatic şi a

ameninţărilor la care acesta este sau poate fi expus. În urma acestui proces se identifică

consecinţele probabile ale riscurilor analizate şi ale vulnerabilităţilor asociate şi se pun bazele

întocmirii unui plan de securitate care să fie în conformitate cu un raport corespunzător

eficienţă-cost.

Realitatea practica impune abordarea riscului informatic prin prisma a 3 factori: amenintarile

privite ca evenimente sau activităţi (în general, din exteriorul sistemului auditat) care pot să

afecteze vulnerabilităţile existente în orice sistem cauzând astfel impactul, apreciat a fi o

pierdere sau o consecinţă pe termen scurt, mediu sau lung suportată de organizaţie.

Riscul la nivelul unei organizaţii nu poate fi eliminat, el va exista întotdeauna, managementul

societăţii fiind responsabil de reducerea lui la un nivel acceptabil. În acest sens, figura de mai

jos pune în corespondenţă diferite elemente ce necesită a fi luate în calcul pentru reducerea

riscului.

4

În acest context, riscul informatic se poate caracteriza prin următoarele elemente :

Ameninţările şi vulnerabilităţile proceselor sau/şi activelor

Impactul asupra activelor bazat pe vulnerabilităţi şi ameninţări

Frecvenţa de apariţie a ameninţărilor.

Odată identificate, riscurile trebuie evaluate în funcţie de gravitatea efectelor pe care le

produc.

În general, riscurile asociate unui sistem informaţional, pe care orice auditor trebuie să

le analizeze şi evalueze (tehnică frecvent utilizată în acest caz este chestionarul), în vederea

aprecierii sistemului în sine vizează:

Riscul securităţii fizice ce va fi evaluat în functie de informaţiile culese, cu privire

la: existenţa sistemelor de pază, detectie şi alarmă a incendiilor, sistemelor de protecţie

împotriva caderilor de tensiune, protecţia echipamentelor împotriva furturilor, protecţia

împotriva catastrofelor naturale (inundaţii, cutremure..), protecţia fizică a suportilor de

5

memorare, păstrarea copiilor de siguranţă într-o alta locatie decât cea în care îsi desfasoară

activitatea organizaţia.

Riscul de comunicaţie poate lua valenţe diferite, în funcţie de disponibilitatea

sistemului la reţeaua publică, situaţie în care auditorul e necesar să analizeze măsurile de

securitate adoptate: existenta unui firewall, modul de configurare a acestuia, analiza modului

de transmitere a datelor prin reţeaua publică (utilizarea tehnicilor de criptare, existenta unei

reţele virtuale private - VPN). Acest risc se poate manifesta şi la nivelul unei reţele locale,

atunci când configurarea acesteia lasă de dorit şi prin “ascultarea” liniilor de comunicaţie,

traficul acesteia poate fi compromis. Confidenţilitatea informaţiilor nu vizează doar

memorarea acestora pe staţiile de lucru sau servere, ci şi liniile de comunicaţie.

Riscul privind integritatea datelor şi tranzacţiilor vizează toate riscurile asociate cu

autorizarea, completitudinea şi acurateţea acestora.

Riscul de acces se referă la riscul asociat accesului inadecvat la sistem, date sau

informaţii. Implicaţiile acestui risc sunt majore, el vizând confidenţialitatea informaţiilor,

integritatea datelor sau bazelor de date şi disponibilitatea acestora. În acest sens, acţiunile

auditorului presupun o analiza a managementului parolelor la nivelul organizaţiei (altfel spus

atribuirea şi schimbarea parolelor de acces fac obiectul unei aprobări formale?), o investigare

a încercărilor de accesare neautorizata a sistemului (exista o jurnalizare a acestora ?), o

analiză a protecţiei staţiilor de lucru (sunt acestea dotate cu soft care sa blocheze accesul la

reţea, atunci când utilizatorul nu se afla la staţia sa ?).

Riscul privind protecţia antivirus ce impune o analiză a existenţei programelor în

entitate, utilizarea lor la nivel de server şi staţii de lucru, upgrade-ul acestor programe

(manual sau automat). Lupta cu viruşii este esenţială, dar nu uşor de realizat. În ciuda

numarului mare de programe antivirus existente este necesară o analiză a caracteristicilor

programului privind: scanarea în timp real a sistemului sau monitorizarea continuă a acestuia,

scanarea mesajelor e-mail, scanarea manuală.

6

Riscul legat de documentaţia sistemului informatic. Documentaţia generală a unui

sistem informatic vizează pe de o parte documentaţia sistemului de operare sau reţelei şi, pe

de altă parte, documentaţia aplicaţiilor instalate. Această documentaţie poate fi diferită pentru

administratori, utilizatori şi operatori astfel încât să ajute la instalarea, operarea, administrarea

şi utilizarea produsului. Riscurile asociate documentaţiei se pot referi la faptul că, aceasta nu

reflectă realitatea în ceea ce priveşte sistemul, nu este înteligibilă, este accesibilă persoanelor

neautorizate, nu este actualizată.

Riscul de personal poate fi analizat prin prisma urmatoarelor criterii:

Structura organizaţională la nivelul departamentului IT ce va avea în vedere modul în care

sunt distribuite sarcinile şi responsabilităţile în cadrul acestuia. Alocarea unui număr prea

mare de responsabilităţi la nivelul unei singure persoane sau unui grup de persoane este

semnul unei organizări interne defectuoase.

Practica de selecţie a angajaţilor. La baza unui mediu de control adecvat stau competenţa şi

integritatea personalului, ceea ce implica din partea auditorilor o analiză a politicilor si

procedurilor organizaţiei privind angajarea, specializarea, evaluarea performanţelor şi

promovarea angajaţilor.

Riscul de infrastructură se concretizează în faptul ca organizaţia nu deţine o

infrastructura efectiva a tehnologiei informaţiei (hardware, reţele, software, oameni şi

procese) pentru a susţine nevoile acesteia.

Riscul de management al situaţiilor neprevăzute (risc de disponibilitate) este riscul

asociat pericolelor naturale, dezastrelor, căderilor de sistem care pot conduce la pierderi

definitive ale datelor, aplicaţiilor, în absenta unor proceduri de monitorizare a activităţii, a

planurilor de refacere în caz de dezastre.

Literatura de specialitate defineşte managementul riscului ca fiind „procesul de

identificare a vulnerabilităţilor şi ameninţărilor din cadrul unei organizaţii, precum şi de

elaborare a unor masuri de minimizare a impactului acestora asupra resurselor

7

informaţionale”. Demersul metodologic al acestui proces include următoarele etape:

1. Caracterizarea sistemului. La nivelul acestei etape, auditorul va desfăşura în

primul rând o activitate de colectare a informaţiilor despre sistemul informaţional, informaţii

care vor viza echipamentele hardware, software, interfeţele sistemului, utilizatorii sistemului

informatic, datele şi aplicaţiile importante, senzitivitatea datelor şi sistemului în vederea

aprecierii nivelului de protecţie ce este necesar a fi realizat pentru asigurarea integrităţii,

confidenţialităţii şi disponibilităţii datelor. Cele mai utilizate tehnici de investigare pentru

colectarea acestor informaţii sunt: chestionarele, interviurile, documentaţia sistemului,

utilizarea unor instrumente de scanare automata a sistemului informatic (SATAN este doar un

exemplu de astfel de instrument ce permite detectarea vulnerabilităţilor unei reţele de

calculatoare). Rezultatele acestei etape vor furniza o imagine a mediului informatizat, a

limitelor sistemului informatic analizat.

2. Identificarea ameninţărilor. Ameninţările sunt acele evenimente sau activităţi, în

general externe unui sistem, care pot afecta la un moment dat punctele slabe ale acestuia,

cauzând pierderi semnificative. În general o ameninţare este o forţă potenţială care poate

degrada confidenţialitatea şi integritatea sistemului, generând adeseori întreruperi de servicii

ale acestuia. Un element esenţial în cadrul acestei etape îl reprezintă determinarea

probabilităţii de realizare a acestei ameninţări, element ce trebuie analizat în funcţie de:

- sursa ameninţării.

naturală (cutremure, foc, tornade, etc)

umană (atacuri într-o reţea, acces neautorizat la date confidenţiale)

de mediu (căderi de tensiune pe termen lung, poluare, umiditate)

- vulnerabilitatea potenţiala

- controalele existente.

Cu titlu exemplificativ, tabelul de mai jos releva diferite surse de ameninţări umane cu

acţiunile generatoare:

8

Sursa ameninţării Actiunea ameninţărilor

Hackeri, crackeri Intruziuni în sistem, atacuri de tip „hacking”, acces

neautorizat la sistem

Criminalitate informatica Acte frauduloase, acţiuni de tip spoofîng, intruziuni ale

sistemului.

Terorism Penetrarea sistemului, interferarea sistemului în mod

distructiv.

Spionaj industrial Penetrarea sistemului, acces neautorizat, captarea

datelor dintr-o linie de comunicaţie neprotejată.

Atacuri ale angajaţilor Fraude şi erori, coruperea datelor, introducerea unor

date false, acces neautorizat la sistem, introducerea

viruşilor, caii troieni, etc.

3. Identificarea vulnerabilităţilor. Scopul acestei etape este de a dezvolta o lista a

vulnerabilităţilor sistemului (lipsuri sau slăbiciuni) care pot fi exploatate de surse de

ameninţare potenţiale. În acest context este necesară o analiza a vulnerabilităţilor –

ameninţărilor pereche exemplificată, într-o maniera limitată, în cadrul tabelului ce urmează:

Vulnerabilitate Sursa

ameninţării

Acţiunea ameninţării

Identificatorul angajaţilor concediaţi nu

este eliminat din sistem

Salariaţi

concediaţi

Conectare la reţeaua organizaţiei şi

accesează datele acesteia.

9

Vulnerabilitate Sursa

ameninţării

Acţiunea ameninţării

Firewall-ul companiei permite un acces la

sistem prin serviciul Telnet

Utilizatori

neautorizaţi

(hackeri,terorişti,

angajaţi

concediaţi)

Utilizarea serviciului Telnet, permite

accesul la fişierele din sistem.

Unul din partenerii societăţii a identificat

slăbiciuni in proiectarea securităţii

sistemului, sistemul în sine furnizându-i

diferite metode de remediere a acestora

(este si exemplul sistemului de operare

Windows –Internet Explorer, care in

momentul detectării unor slăbiciuni in

proiectarea securităţii sistemuluiface

disponibile pentru utilizatori „patch-uri”

pentru remedierea slăbiciunilor date).

Utilizatori

neautorizaţi

Obţinerea accesului neautorizat la

fişierele sensibile ale sistemului, bazat pe

vulnerabilităţi cunoscute.

Centrul de prelucrare automată a datelor

foloseşte pentru stingerea incendiilor

„împrăştietoare” de apă (încastrate în

tavan) fapt ce poate afecta în mod negativ

echipamentele hardware.

Foc,persoane

neglijente

Declanşarea automată a stingătoarelor de

incendii.

4. Analiza controalelor. În vederea minimizării sau eliminării riscurilor fiecare

organizaţie dispune implementarea unor metode de control tehnice sau nontehnice ce pot

viza:

10

- mecanisme de control al accesului,

- mecanisme de identificare şi autentificare,

- metode de criptare a datelor

- software de detectare a intruziunilor

- politici de securitate

- proceduri operaţionale şi de personal.

5. Determinarea probabilităţii de realizare a ameninţărilor. Pentru determinarea unei

rate de probabilitate generala, care indică probabilitatea ca o vulnerabilitate potenţiala să fie

exercitată în modelul de ameninţări asociate, este necesar ca auditorul să analizeze următorii

factori: capacitatea şi motivaţia sursei de ameninţare, natura vulnerabilităţii şi.existenta şi

eficienţa controalelor curente.

Acest element poate fi apreciat prin calificativele „Înalt”, „Mediu” şi „Scăzut”, în următoarele

condiţii:

„Înalt” – sursa ameninţării este foarte motivată si suficient de capabilă, iar controalele de

prevenire a acestor vulnerabilităţi sunt ineficiente.

„Mediu” – sursa ameninţării este foarte motivată şi suficient de capabilă, dar controalele

existente pot împiedica declanşarea vulnerabilităţii.

„Scăzut” – sursa ameninţării este lipsită de motivaţie, sau controalele există pentru a preveni

sau cel puţin a împiedica semnificativ vulnerabilitatea de a se manifesta.

6. Analiza impactului. Impactul financiar este definit ca estimarea valorică a pierderilor

entităţii ca urmare a exploatării slăbiciunilor sistemului de către ameninţări. Acest impact

poate avea doua componente: un impact pe termen scurt şi un impact pe termen lung. În

esenţă, impactul este specific fiecărei organizaţii, depinde de activele acesteia, de tipul

organizaţiei, de măsurile de prevenire existente, descrie efectul ameninţării şi se poate

11

manifesta ca o pierdere financiară directă, ca o consecinţă asupra reputaţiei entităţii sau ca o

sancţiune temporară, cu o ulterioară consecinţă financiară.

Impactul poate fi exprimat şi el prin calificativele „Înalt”, „Mediu” şi „Scăzut”.

7. Determinarea riscului. Modelele de risc, fie ele cantitative sau calitative, reprezintă

instrumente deosebit de utile auditorilor IT pentru identificarea diferitelor tipuri de risc,

oferind în acelasi timp informaţii pentru a le determina şi controla.

Literatura de specialitate abordeaza doua modele de analiză a valorii riscului: modelul

cantitativ si modelul calitativ; acestea pornesc de la premisa că orice organizaţie se poate

astepta la apariţia unor pierderi cauzate de ineficienţa unui sistem informatic, iar acest risc al

12

pierderilor, rezultă din impactul pe care îl au ameninţările asupra resurselor organizaţiei.

Determinarea riscului pentru fiecare pereche vulnerabilitate – ameninţare particulară poate fi

exprimat ca o funcţie ce depinde de:

probabilitatea de realizare a unei ameninţări,

marimea impactului,

masurile de control existente pentru reducerea sau eliminarea riscului.

În acest sens poate fi dezvoltată o matrice a nivelului de risc– derivată din

multiplicarea probabilitaţii de realizare a ameninţării şi impactul acesteia. Spre exemplu, daca

probabilitatea asociata pentru fiecare nivel de realizare a ameninţării este :

1 – Înalt

2 – Mediu

3 – Scăzut

- valoarea asociată pentru fiecare nivel de impact :

100 – Înalt

50 – Mediu

10 – Scăzut.

Probabilitatea

ameninţării

Impact

Scazut (10) Mediu (50) Înalt (100)

Înalt (1) Scazut (10) Mediu (50) Înalt (100)

Mediu (0.5) Scazut (5) Mediu (25) Mediu (50)

Scazut (0.1) Scazut (1) Scazut (5) Scazut (10)

8. Recomandări asupra unor controale adecvate. Scopul acestei etape se rezumă la

recomandările auditorului asupra controalelor necesare a fi implementate pentru reducerea

nivelului de risc la un nivel acceptabil. În mod implicit, auditorul va determina nivelul

13

riscului rezidual definit ca acel nivel de risc ce ramâne dupa analiza şi evaluarea tuturor

masurilor de combatere a riscurilor. Riscul rezidual ia forma unei concluzii la care s-a ajuns

în urma unui proces de analiză a lui şi trebuie să conţină:

semnalarea punctelor slabe, nevralgice ale sistemului asociate cu ameninţările

corespunzătoare şi probabilitatea lor de a avea loc;

toate măsurile (recomandările) ce se impun a fi aplicate dacă riscul rezidual nu se

încadrează la un nivel acceptabil.

Clasificarea informatiilor in functie de importanta lor si deci de nivelul de securitate

pe care acestea il impun. Datele sunt clasificate pe patru nivele si anume:

Date publice (informatie neclasificata)

Date interne

Date confidential

Date secrete („top secret').

In vederea clasificarii datelor nu se are in vedere doar continutul datelor si

14

informatiilor din sistem ci si o serie de alte aspecte (Care anume?). In plus, daca un sistem

contine date care apartin mai multor niveluri de securitate va trebui clasificat in functie de

cerintele impuse de datele cele mai confidentiale gestionate in sistem.

Nevoile de securitate ale sistemului trebuie sa se concentreze pe disponibilitate,

confidentialitate si/sau integritate.

Cerintelor de securitate recomandate de Orange Book elaborata de American DoD

(Department of Defence) si respectiv European Orange Book (ITSEC), pe cele 4 nivele de

securitate enumerate mai sus:

Clasa 1: Date publice (informatie neclasificata)

- Instalarea de snifere (software sau dispozitiv care captureaza pachetele de date

transmise intr-o retea);

- Scanare antivirus

- Deschiderea de conturi doar persoanelor autorizate, conturile avand in mod

obligatoriu parole de acces.

- Accesul la scriere pentru fisierele de sistem trebuie restrictionat la grupuri de

utilizatori sau masini (calculatoare).

- Software-ul de comunicatie (NFS - Network File System, LanManager, RAS - Remote

Access Service, UUCP1' - Unix-to-Unix Copy,Workgroups) trebuie sa fie corect instalat, cu

optiuni de securitate.

Clasa 2: Date interne

Datele interne reprezinta date procesate in sistem in cadrul diferitelor compartimente

functionale pentru care accesul direct, neautorizat trebuie prevenit. Pentru aceasta categorie

de date recomandarile vizeaza urmatoarele mijloace de protectie:

• Documentare: testari, elaborarea unei filozofii de securitate, un ghid al utilizatorului cu

caracteristici de securitate (descrierea mecanisme-lor de securitate din punctul de vedere al

utilizatorului, ghid pentru administrarea securitatii).

15

• Siguranta : Arhitectura sistemului: Se verifica daca TCB ruleaza in mod protejat. Trebuie sa

existe functii pentru verificarea integritatii hardware si firmware. Se verifica daca au fost

testate cu succes mecanismele de securitate.

• Identificarea si autorizarea utilizatorilor si protejarea informatiei privitoare la autorizari.

• Calitatea controlului accesului : accesul este controlat intre utilizatori precizati (sau grupuri

de utilizatori) sau obiecte precizate.

Clasa 3: Informatii confidentiale.

Datele din aceasta clasa sunt confidentiale in cadrul organizatiei si protejate fata de

accesul extern. Afectarea confidentialitatii acestor date ca urmare a unui acces neautorizat

poate afecta eficienta operationala a organizatiei, poate genera pierderi financiare si oferi un

avantaj competitorilor sau o scadere importanta a increderii clientilor. De data aceasta

integritatea datelor este vitala.

Pentru aceasta clasa Orange Book recomanda protejarea accesului controlatsi securizarea

transmisiilor de date :

• Protejarea accesului controlat (Controlled Access Protection) presupune:

o Recomandarile precizate pentru clasa 2 de senzitivitate la care se adauga: manualul

caracteristicilor de securitate, identificarea si autorizarea (nu se admite definirea de conturi

la nivel de grup), calitatea controlului accesului (controlul atribuirii de privilegii) si testarea

securitatii.

o Responsabilitatea utilizatorului: utilizatorii au responsabilitatea actiunilor lor. De

aceea trebuie sa existe posibilitatea de audit trail impreuna cu functii de monitorizare si

alerta. Jurnalele de audit (audit logs) trebuie sa fie protejate.

o Reutilizarea obiectelor: Obiectele folosite de o persoana trebuie sa fie reinitializate inainte

de a fi utilizate de o alta persoana.

• Securizarea transmisiei de date: in transmiterea de mesaje sau in utilizarea de

programe care comunica intre ele trebuie mentinute confidentialitatea si integritatea.

16

Clasa 4: Informatie secreta

Accesul intern sau extern neautorizat la aceste date este critic. Integritatea datelor este

vitala. Numarul de utilizatori care au drept de accesla aceste date este foarte limitat si pentru

aceste date sunt fixate reguli foarte severe de securitate privind accesul.

• Labelled Security Protection (Protejarea prin etichetare):

o Cerinte suplimentare privind identificarea si autentificarea (mentinerea securitatii

informatiilor compartimentului), manualul facilitatilor de incredere , manualul de proiectare

(descrierea modelului de securitate si a mecanismelor) si asigurarea (arhitectura sistemului:

izolarea procesului, verificarea integritatii, testarea securitatii prin simularea atacurilor de

penetrare si auditatea jurnalelor de securitate pe nivele de obiecte).

o Verificarea specificatiei si a proiectarii : se comporta sistemul in conformitate cu manualul ?

o Exportarea informatiei etichetate, exportarea catre device-uri multinivel sau mononivel.

• Accesul controlului pentru obiecte si subiecti asa cum este specificat in TCB nu de

catre useri. (TCB este un protocol destinat trimiterii de mesaje e-mail intre servere)

• Securizarea transmisiilor de date (conform cerintelor prezentate intr-un paragraf

anterior).

Concluzii

Diversitatea domeniilor de utilizare, a tipurilor de sisteme informatice a crescut

numărul şi categoriilor de riscuri asociate utilizării sistemelor informatice. În cadru

organizaţional acestea pot proveni atât din interiorul instituţiei cât şi din exteriorul ei.

Factorii de risc se manifestă pe toată durata de viaţă a unui sistem informatic.

Referindu-ne la perioada de operare, de utilizare efectivă a sistemului şi la riscurile utilizării

necorespunzătoare a sistemelor informatice, atunci când factorii declanşatori sunt umani, se

poate vorbi de intenţie. Astfel utilizarea inadecvată a sistemului informatic se poate face

17

intenţionat sau neintenţionat. Diversitatea de utilizatori – angajaţi, consultanţi, clienţi,

competitori sau publicul larg – şi nivelele lor diferite de cunoaştere, instruire şi interes

reprezintă factori care influenţează utilizarea sistemelor informatice.

Factori importanţi în utilizarea corespunzătoare a sistemelor informatice sunt erorile

umane şi comportamentul de risc al utilizatorilor. Înţelegerea caracteristicilor umane care duc

la apariţia erorilor ajută în luarea măsurilor pentru reducerea probabilităţilor de apariţie a

erorilor sau minimizarea impactului erorilor care au loc. Aceste măsuri implică în mare

măsură o atenţie sporită în proiectarea sistemului. Un sistem bine proiectat ar trebui să nu

permită realizarea cu uşurinţă a erorilor. Un rol deosebit în diminuarea erorilor îl joacă

interfaţa cu utilizatorul. În proiectarea interfeţei trebuie să se ţină cont de caracteristicile

umane pentru a diminua rata erorilor în operare.

Măsurile preventive şi de control de bază implică elaborarea de politici de securitate,

instruirea şi informarea utilizatorilor, monitorizarea şi control activităţilor, implementarea de

tehnologii preventive de securitate şi cooperare între diverse instituţii.

În ultimii ani, la nivel european şi naţional, au fost adoptate o serie de acte normative

care cuprind o arie largă din activităţile care implică utilizarea sistemelor informatice. Ţinând

cont de pătrunderea sistemelor informatice în aproape toate domeniile, utilizatorii trebuie să

recunoască faptul că acţiunile lor sau neimplicarea lor ar putea provoca daune altora.

Conduita etică este, prin urmare, crucială şi participanţii ar trebui să depună eforturi pentru a

dezvolta şi adopta cele mai bune practici şi de a promova o conduită care recunoaşte şi

respectă nevoile de securitate a intereselor legitime ale altora.

18

Bibliografie

Iancu, S., (2001), Unele probleme sociale, economice, juridice şi etice ale utilizării

tehnologiei informaţiei şi comunicaţiilor, Bucureşti;

OECD, (2002), Guidelines for the Security of Information Systems and Networks,

http://www.oecd.org/dataoecd/16/22/15582260.pdf;

Popa, S., (2007), Securitatea sistemelor informatice, Bucuresti;

Ana Maria Suduc, (2009), Riscuri asociate utilizării inadecvate a tehnologiilor societăţii

informaţionale, Bucuresti ;

Iosif, G., Marhan, A.M., (2005), Analiza şi managementul erorilor în interacţiunea om-

calculator, Ergonomie cognitivă şi interacţiune om-calculator, Ed. Matrix Rom, Bucureşti;

Revista Informatica Economica, nr.2 (14)/2000, Bucuresti ;

Proiect OpenSSL: http:// www. openssl. org/ ;

http://www.securekit.com/.