curs analiza de risc in cadrul managementului securitatii sistemelor informatice[2]
DESCRIPTION
Securitate ciberneticaTRANSCRIPT
1
ANALIZA DE RISC ÎN CADRUL MANAGEMENTULUI
SECURITĂŢII SISTEMELOR INFORMATICE
Societatea îmbrăţişează din ce în ce mai mult tehnologia informaţiei. Informaţia care
până nu de mult avea la bază hârtia, îmbracă acum forma electronică. Informaţia pe suport de
hârtie mai este încă rezervată documentelor oficiale, acolo unde este necesară o semnătură sau
o stampilă. Adoptarea semnăturii electronice deschide însă perspective digitizării complete a
documentelor, cel puţin din punct de vedere funcţional.
Acest nou mod de lucru, în care calculatorul a devenit un instrument indispensabil şi
un mijloc de comunicare prin tehnologii precum poşta electronică sau Internetul, atrage după
sine riscuri specifice. O gestiune corespunzătoare a documentelor în format electronic face
necesară implementarea unor măsuri specifice.
Măsurile ar trebui să asigure protecţia informaţiilor împotriva pierderii, distrugerii sau
divulgării neautorizate. Cel mai sensibil aspect este acela de a asigura securitatea informaţiei
gestionată de sistemele informatice în noul context tehnologic.
Astfel, managementul securităţii sistemelor infromatice se referă la acea parte a
managementului unei companii care are ca scop crearea mecanismelor necesare pentru a
asigura gestionarea, evaluarea şi eliminarea riscurilor potenţiale în relaţie cu disponibilitatea,
integritatea şi confidenţialitatea informaţiilor.
Riscurile utilizării inadecvate a sistemelor informatice sunt privite din două puncte de
vedere:
• utilizarea inadecvată a sistemelor informatice ca o consecinţă a unor riscuri
manifestate;
• utilizarea inadecvată a sistemelor informatice ca o cauză generatoare de riscuri.
2
Scopul asigurării securităţii sistemelor informatice este reprezentat de interesele celor
care depind de sistemele informatice şi de daunele care pot rezulta din eşecul asigurării
confidenţialităţii şi integrităţii informaţiilor.
Clasificarea riscurilor utilizării inadecvate a sistemelor informatice:
1. Riscurile de securitate: amenintări interne sau externe rezultate în urma accesului
neautorizat şi fraudulos la informaţii. Acestea includ scurgeri de date, fraudă, virusi
dar şi atacuri directionate asupra anumitor tipuri de aplicaţii, utilizatori sau
informaţii.
2. Riscurile de accesibilitate: informaţia devine inaccesibilă de către persoanele cu
drept de utilizare, datorită unor întreruperi neplanificate ale sistemului. Trebuie avut
în vedere de către fiecare organizaţie riscul de pierdere sau de corupere a datelor şi
să asigure toate mijloacele necesare evitarii acestor riscuri cât şi recuperării datelor
în timp util în cazul unui dezastru.
3. Riscurile legate de performanţă: informaţia devine inaccesibilă datorită limitărilor
de performanţă şi scalabilitate ale sistemului. Trebuie luate în considerare toate
necesităţile tehnice cantitative şi de performanţă pentru a putea face faţă în situaţiile
de maxim, dar analizând atent cerinţele de resurse pentru a evita cheltuielile inutile
şi pentru a minimiza costul de întreţinere al sistemului informatic.
4. Riscurile de conformitate: încălcarea regulamentelor şi/sau a politicilor interne ale
companiei.
5. Managementul riscurilor este procesul de implementare şi menţinere a mijloacelor
de reducere a efectelor riscurilor la un nivel considerat acceptabil şi nepericulos de
către managementul companiei. Acest proces impune urmatoarele:
• Analiza de risc;
• Politicile de securitate;
• Schema de securitate ;
• Audit tehnic şi financiar;
3
• Testarea vulnerabilităţilor şi accesului neautorizat;
• Monitorizarea - detectarea accesului neautorizat prin dispozitive de identificare;
• Instalarea şi administrarea serviciilor de încredere.
Analiza de risc este componenta cea mai importantă din cadrul managementului
riscurilor. Aceasta este un proces de evaluare a vulnerabilităţilor sistemului informatic şi a
ameninţărilor la care acesta este sau poate fi expus. În urma acestui proces se identifică
consecinţele probabile ale riscurilor analizate şi ale vulnerabilităţilor asociate şi se pun bazele
întocmirii unui plan de securitate care să fie în conformitate cu un raport corespunzător
eficienţă-cost.
Realitatea practica impune abordarea riscului informatic prin prisma a 3 factori: amenintarile
privite ca evenimente sau activităţi (în general, din exteriorul sistemului auditat) care pot să
afecteze vulnerabilităţile existente în orice sistem cauzând astfel impactul, apreciat a fi o
pierdere sau o consecinţă pe termen scurt, mediu sau lung suportată de organizaţie.
Riscul la nivelul unei organizaţii nu poate fi eliminat, el va exista întotdeauna, managementul
societăţii fiind responsabil de reducerea lui la un nivel acceptabil. În acest sens, figura de mai
jos pune în corespondenţă diferite elemente ce necesită a fi luate în calcul pentru reducerea
riscului.
4
În acest context, riscul informatic se poate caracteriza prin următoarele elemente :
Ameninţările şi vulnerabilităţile proceselor sau/şi activelor
Impactul asupra activelor bazat pe vulnerabilităţi şi ameninţări
Frecvenţa de apariţie a ameninţărilor.
Odată identificate, riscurile trebuie evaluate în funcţie de gravitatea efectelor pe care le
produc.
În general, riscurile asociate unui sistem informaţional, pe care orice auditor trebuie să
le analizeze şi evalueze (tehnică frecvent utilizată în acest caz este chestionarul), în vederea
aprecierii sistemului în sine vizează:
Riscul securităţii fizice ce va fi evaluat în functie de informaţiile culese, cu privire
la: existenţa sistemelor de pază, detectie şi alarmă a incendiilor, sistemelor de protecţie
împotriva caderilor de tensiune, protecţia echipamentelor împotriva furturilor, protecţia
împotriva catastrofelor naturale (inundaţii, cutremure..), protecţia fizică a suportilor de
5
memorare, păstrarea copiilor de siguranţă într-o alta locatie decât cea în care îsi desfasoară
activitatea organizaţia.
Riscul de comunicaţie poate lua valenţe diferite, în funcţie de disponibilitatea
sistemului la reţeaua publică, situaţie în care auditorul e necesar să analizeze măsurile de
securitate adoptate: existenta unui firewall, modul de configurare a acestuia, analiza modului
de transmitere a datelor prin reţeaua publică (utilizarea tehnicilor de criptare, existenta unei
reţele virtuale private - VPN). Acest risc se poate manifesta şi la nivelul unei reţele locale,
atunci când configurarea acesteia lasă de dorit şi prin “ascultarea” liniilor de comunicaţie,
traficul acesteia poate fi compromis. Confidenţilitatea informaţiilor nu vizează doar
memorarea acestora pe staţiile de lucru sau servere, ci şi liniile de comunicaţie.
Riscul privind integritatea datelor şi tranzacţiilor vizează toate riscurile asociate cu
autorizarea, completitudinea şi acurateţea acestora.
Riscul de acces se referă la riscul asociat accesului inadecvat la sistem, date sau
informaţii. Implicaţiile acestui risc sunt majore, el vizând confidenţialitatea informaţiilor,
integritatea datelor sau bazelor de date şi disponibilitatea acestora. În acest sens, acţiunile
auditorului presupun o analiza a managementului parolelor la nivelul organizaţiei (altfel spus
atribuirea şi schimbarea parolelor de acces fac obiectul unei aprobări formale?), o investigare
a încercărilor de accesare neautorizata a sistemului (exista o jurnalizare a acestora ?), o
analiză a protecţiei staţiilor de lucru (sunt acestea dotate cu soft care sa blocheze accesul la
reţea, atunci când utilizatorul nu se afla la staţia sa ?).
Riscul privind protecţia antivirus ce impune o analiză a existenţei programelor în
entitate, utilizarea lor la nivel de server şi staţii de lucru, upgrade-ul acestor programe
(manual sau automat). Lupta cu viruşii este esenţială, dar nu uşor de realizat. În ciuda
numarului mare de programe antivirus existente este necesară o analiză a caracteristicilor
programului privind: scanarea în timp real a sistemului sau monitorizarea continuă a acestuia,
scanarea mesajelor e-mail, scanarea manuală.
6
Riscul legat de documentaţia sistemului informatic. Documentaţia generală a unui
sistem informatic vizează pe de o parte documentaţia sistemului de operare sau reţelei şi, pe
de altă parte, documentaţia aplicaţiilor instalate. Această documentaţie poate fi diferită pentru
administratori, utilizatori şi operatori astfel încât să ajute la instalarea, operarea, administrarea
şi utilizarea produsului. Riscurile asociate documentaţiei se pot referi la faptul că, aceasta nu
reflectă realitatea în ceea ce priveşte sistemul, nu este înteligibilă, este accesibilă persoanelor
neautorizate, nu este actualizată.
Riscul de personal poate fi analizat prin prisma urmatoarelor criterii:
Structura organizaţională la nivelul departamentului IT ce va avea în vedere modul în care
sunt distribuite sarcinile şi responsabilităţile în cadrul acestuia. Alocarea unui număr prea
mare de responsabilităţi la nivelul unei singure persoane sau unui grup de persoane este
semnul unei organizări interne defectuoase.
Practica de selecţie a angajaţilor. La baza unui mediu de control adecvat stau competenţa şi
integritatea personalului, ceea ce implica din partea auditorilor o analiză a politicilor si
procedurilor organizaţiei privind angajarea, specializarea, evaluarea performanţelor şi
promovarea angajaţilor.
Riscul de infrastructură se concretizează în faptul ca organizaţia nu deţine o
infrastructura efectiva a tehnologiei informaţiei (hardware, reţele, software, oameni şi
procese) pentru a susţine nevoile acesteia.
Riscul de management al situaţiilor neprevăzute (risc de disponibilitate) este riscul
asociat pericolelor naturale, dezastrelor, căderilor de sistem care pot conduce la pierderi
definitive ale datelor, aplicaţiilor, în absenta unor proceduri de monitorizare a activităţii, a
planurilor de refacere în caz de dezastre.
Literatura de specialitate defineşte managementul riscului ca fiind „procesul de
identificare a vulnerabilităţilor şi ameninţărilor din cadrul unei organizaţii, precum şi de
elaborare a unor masuri de minimizare a impactului acestora asupra resurselor
7
informaţionale”. Demersul metodologic al acestui proces include următoarele etape:
1. Caracterizarea sistemului. La nivelul acestei etape, auditorul va desfăşura în
primul rând o activitate de colectare a informaţiilor despre sistemul informaţional, informaţii
care vor viza echipamentele hardware, software, interfeţele sistemului, utilizatorii sistemului
informatic, datele şi aplicaţiile importante, senzitivitatea datelor şi sistemului în vederea
aprecierii nivelului de protecţie ce este necesar a fi realizat pentru asigurarea integrităţii,
confidenţialităţii şi disponibilităţii datelor. Cele mai utilizate tehnici de investigare pentru
colectarea acestor informaţii sunt: chestionarele, interviurile, documentaţia sistemului,
utilizarea unor instrumente de scanare automata a sistemului informatic (SATAN este doar un
exemplu de astfel de instrument ce permite detectarea vulnerabilităţilor unei reţele de
calculatoare). Rezultatele acestei etape vor furniza o imagine a mediului informatizat, a
limitelor sistemului informatic analizat.
2. Identificarea ameninţărilor. Ameninţările sunt acele evenimente sau activităţi, în
general externe unui sistem, care pot afecta la un moment dat punctele slabe ale acestuia,
cauzând pierderi semnificative. În general o ameninţare este o forţă potenţială care poate
degrada confidenţialitatea şi integritatea sistemului, generând adeseori întreruperi de servicii
ale acestuia. Un element esenţial în cadrul acestei etape îl reprezintă determinarea
probabilităţii de realizare a acestei ameninţări, element ce trebuie analizat în funcţie de:
- sursa ameninţării.
naturală (cutremure, foc, tornade, etc)
umană (atacuri într-o reţea, acces neautorizat la date confidenţiale)
de mediu (căderi de tensiune pe termen lung, poluare, umiditate)
- vulnerabilitatea potenţiala
- controalele existente.
Cu titlu exemplificativ, tabelul de mai jos releva diferite surse de ameninţări umane cu
acţiunile generatoare:
8
Sursa ameninţării Actiunea ameninţărilor
Hackeri, crackeri Intruziuni în sistem, atacuri de tip „hacking”, acces
neautorizat la sistem
Criminalitate informatica Acte frauduloase, acţiuni de tip spoofîng, intruziuni ale
sistemului.
Terorism Penetrarea sistemului, interferarea sistemului în mod
distructiv.
Spionaj industrial Penetrarea sistemului, acces neautorizat, captarea
datelor dintr-o linie de comunicaţie neprotejată.
Atacuri ale angajaţilor Fraude şi erori, coruperea datelor, introducerea unor
date false, acces neautorizat la sistem, introducerea
viruşilor, caii troieni, etc.
3. Identificarea vulnerabilităţilor. Scopul acestei etape este de a dezvolta o lista a
vulnerabilităţilor sistemului (lipsuri sau slăbiciuni) care pot fi exploatate de surse de
ameninţare potenţiale. În acest context este necesară o analiza a vulnerabilităţilor –
ameninţărilor pereche exemplificată, într-o maniera limitată, în cadrul tabelului ce urmează:
Vulnerabilitate Sursa
ameninţării
Acţiunea ameninţării
Identificatorul angajaţilor concediaţi nu
este eliminat din sistem
Salariaţi
concediaţi
Conectare la reţeaua organizaţiei şi
accesează datele acesteia.
9
Vulnerabilitate Sursa
ameninţării
Acţiunea ameninţării
Firewall-ul companiei permite un acces la
sistem prin serviciul Telnet
Utilizatori
neautorizaţi
(hackeri,terorişti,
angajaţi
concediaţi)
Utilizarea serviciului Telnet, permite
accesul la fişierele din sistem.
Unul din partenerii societăţii a identificat
slăbiciuni in proiectarea securităţii
sistemului, sistemul în sine furnizându-i
diferite metode de remediere a acestora
(este si exemplul sistemului de operare
Windows –Internet Explorer, care in
momentul detectării unor slăbiciuni in
proiectarea securităţii sistemuluiface
disponibile pentru utilizatori „patch-uri”
pentru remedierea slăbiciunilor date).
Utilizatori
neautorizaţi
Obţinerea accesului neautorizat la
fişierele sensibile ale sistemului, bazat pe
vulnerabilităţi cunoscute.
Centrul de prelucrare automată a datelor
foloseşte pentru stingerea incendiilor
„împrăştietoare” de apă (încastrate în
tavan) fapt ce poate afecta în mod negativ
echipamentele hardware.
Foc,persoane
neglijente
Declanşarea automată a stingătoarelor de
incendii.
4. Analiza controalelor. În vederea minimizării sau eliminării riscurilor fiecare
organizaţie dispune implementarea unor metode de control tehnice sau nontehnice ce pot
viza:
10
- mecanisme de control al accesului,
- mecanisme de identificare şi autentificare,
- metode de criptare a datelor
- software de detectare a intruziunilor
- politici de securitate
- proceduri operaţionale şi de personal.
5. Determinarea probabilităţii de realizare a ameninţărilor. Pentru determinarea unei
rate de probabilitate generala, care indică probabilitatea ca o vulnerabilitate potenţiala să fie
exercitată în modelul de ameninţări asociate, este necesar ca auditorul să analizeze următorii
factori: capacitatea şi motivaţia sursei de ameninţare, natura vulnerabilităţii şi.existenta şi
eficienţa controalelor curente.
Acest element poate fi apreciat prin calificativele „Înalt”, „Mediu” şi „Scăzut”, în următoarele
condiţii:
„Înalt” – sursa ameninţării este foarte motivată si suficient de capabilă, iar controalele de
prevenire a acestor vulnerabilităţi sunt ineficiente.
„Mediu” – sursa ameninţării este foarte motivată şi suficient de capabilă, dar controalele
existente pot împiedica declanşarea vulnerabilităţii.
„Scăzut” – sursa ameninţării este lipsită de motivaţie, sau controalele există pentru a preveni
sau cel puţin a împiedica semnificativ vulnerabilitatea de a se manifesta.
6. Analiza impactului. Impactul financiar este definit ca estimarea valorică a pierderilor
entităţii ca urmare a exploatării slăbiciunilor sistemului de către ameninţări. Acest impact
poate avea doua componente: un impact pe termen scurt şi un impact pe termen lung. În
esenţă, impactul este specific fiecărei organizaţii, depinde de activele acesteia, de tipul
organizaţiei, de măsurile de prevenire existente, descrie efectul ameninţării şi se poate
11
manifesta ca o pierdere financiară directă, ca o consecinţă asupra reputaţiei entităţii sau ca o
sancţiune temporară, cu o ulterioară consecinţă financiară.
Impactul poate fi exprimat şi el prin calificativele „Înalt”, „Mediu” şi „Scăzut”.
7. Determinarea riscului. Modelele de risc, fie ele cantitative sau calitative, reprezintă
instrumente deosebit de utile auditorilor IT pentru identificarea diferitelor tipuri de risc,
oferind în acelasi timp informaţii pentru a le determina şi controla.
Literatura de specialitate abordeaza doua modele de analiză a valorii riscului: modelul
cantitativ si modelul calitativ; acestea pornesc de la premisa că orice organizaţie se poate
astepta la apariţia unor pierderi cauzate de ineficienţa unui sistem informatic, iar acest risc al
12
pierderilor, rezultă din impactul pe care îl au ameninţările asupra resurselor organizaţiei.
Determinarea riscului pentru fiecare pereche vulnerabilitate – ameninţare particulară poate fi
exprimat ca o funcţie ce depinde de:
probabilitatea de realizare a unei ameninţări,
marimea impactului,
masurile de control existente pentru reducerea sau eliminarea riscului.
În acest sens poate fi dezvoltată o matrice a nivelului de risc– derivată din
multiplicarea probabilitaţii de realizare a ameninţării şi impactul acesteia. Spre exemplu, daca
probabilitatea asociata pentru fiecare nivel de realizare a ameninţării este :
1 – Înalt
2 – Mediu
3 – Scăzut
- valoarea asociată pentru fiecare nivel de impact :
100 – Înalt
50 – Mediu
10 – Scăzut.
Probabilitatea
ameninţării
Impact
Scazut (10) Mediu (50) Înalt (100)
Înalt (1) Scazut (10) Mediu (50) Înalt (100)
Mediu (0.5) Scazut (5) Mediu (25) Mediu (50)
Scazut (0.1) Scazut (1) Scazut (5) Scazut (10)
8. Recomandări asupra unor controale adecvate. Scopul acestei etape se rezumă la
recomandările auditorului asupra controalelor necesare a fi implementate pentru reducerea
nivelului de risc la un nivel acceptabil. În mod implicit, auditorul va determina nivelul
13
riscului rezidual definit ca acel nivel de risc ce ramâne dupa analiza şi evaluarea tuturor
masurilor de combatere a riscurilor. Riscul rezidual ia forma unei concluzii la care s-a ajuns
în urma unui proces de analiză a lui şi trebuie să conţină:
semnalarea punctelor slabe, nevralgice ale sistemului asociate cu ameninţările
corespunzătoare şi probabilitatea lor de a avea loc;
toate măsurile (recomandările) ce se impun a fi aplicate dacă riscul rezidual nu se
încadrează la un nivel acceptabil.
Clasificarea informatiilor in functie de importanta lor si deci de nivelul de securitate
pe care acestea il impun. Datele sunt clasificate pe patru nivele si anume:
Date publice (informatie neclasificata)
Date interne
Date confidential
Date secrete („top secret').
In vederea clasificarii datelor nu se are in vedere doar continutul datelor si
14
informatiilor din sistem ci si o serie de alte aspecte (Care anume?). In plus, daca un sistem
contine date care apartin mai multor niveluri de securitate va trebui clasificat in functie de
cerintele impuse de datele cele mai confidentiale gestionate in sistem.
Nevoile de securitate ale sistemului trebuie sa se concentreze pe disponibilitate,
confidentialitate si/sau integritate.
Cerintelor de securitate recomandate de Orange Book elaborata de American DoD
(Department of Defence) si respectiv European Orange Book (ITSEC), pe cele 4 nivele de
securitate enumerate mai sus:
Clasa 1: Date publice (informatie neclasificata)
- Instalarea de snifere (software sau dispozitiv care captureaza pachetele de date
transmise intr-o retea);
- Scanare antivirus
- Deschiderea de conturi doar persoanelor autorizate, conturile avand in mod
obligatoriu parole de acces.
- Accesul la scriere pentru fisierele de sistem trebuie restrictionat la grupuri de
utilizatori sau masini (calculatoare).
- Software-ul de comunicatie (NFS - Network File System, LanManager, RAS - Remote
Access Service, UUCP1' - Unix-to-Unix Copy,Workgroups) trebuie sa fie corect instalat, cu
optiuni de securitate.
Clasa 2: Date interne
Datele interne reprezinta date procesate in sistem in cadrul diferitelor compartimente
functionale pentru care accesul direct, neautorizat trebuie prevenit. Pentru aceasta categorie
de date recomandarile vizeaza urmatoarele mijloace de protectie:
• Documentare: testari, elaborarea unei filozofii de securitate, un ghid al utilizatorului cu
caracteristici de securitate (descrierea mecanisme-lor de securitate din punctul de vedere al
utilizatorului, ghid pentru administrarea securitatii).
15
• Siguranta : Arhitectura sistemului: Se verifica daca TCB ruleaza in mod protejat. Trebuie sa
existe functii pentru verificarea integritatii hardware si firmware. Se verifica daca au fost
testate cu succes mecanismele de securitate.
• Identificarea si autorizarea utilizatorilor si protejarea informatiei privitoare la autorizari.
• Calitatea controlului accesului : accesul este controlat intre utilizatori precizati (sau grupuri
de utilizatori) sau obiecte precizate.
Clasa 3: Informatii confidentiale.
Datele din aceasta clasa sunt confidentiale in cadrul organizatiei si protejate fata de
accesul extern. Afectarea confidentialitatii acestor date ca urmare a unui acces neautorizat
poate afecta eficienta operationala a organizatiei, poate genera pierderi financiare si oferi un
avantaj competitorilor sau o scadere importanta a increderii clientilor. De data aceasta
integritatea datelor este vitala.
Pentru aceasta clasa Orange Book recomanda protejarea accesului controlatsi securizarea
transmisiilor de date :
• Protejarea accesului controlat (Controlled Access Protection) presupune:
o Recomandarile precizate pentru clasa 2 de senzitivitate la care se adauga: manualul
caracteristicilor de securitate, identificarea si autorizarea (nu se admite definirea de conturi
la nivel de grup), calitatea controlului accesului (controlul atribuirii de privilegii) si testarea
securitatii.
o Responsabilitatea utilizatorului: utilizatorii au responsabilitatea actiunilor lor. De
aceea trebuie sa existe posibilitatea de audit trail impreuna cu functii de monitorizare si
alerta. Jurnalele de audit (audit logs) trebuie sa fie protejate.
o Reutilizarea obiectelor: Obiectele folosite de o persoana trebuie sa fie reinitializate inainte
de a fi utilizate de o alta persoana.
• Securizarea transmisiei de date: in transmiterea de mesaje sau in utilizarea de
programe care comunica intre ele trebuie mentinute confidentialitatea si integritatea.
16
Clasa 4: Informatie secreta
Accesul intern sau extern neautorizat la aceste date este critic. Integritatea datelor este
vitala. Numarul de utilizatori care au drept de accesla aceste date este foarte limitat si pentru
aceste date sunt fixate reguli foarte severe de securitate privind accesul.
• Labelled Security Protection (Protejarea prin etichetare):
o Cerinte suplimentare privind identificarea si autentificarea (mentinerea securitatii
informatiilor compartimentului), manualul facilitatilor de incredere , manualul de proiectare
(descrierea modelului de securitate si a mecanismelor) si asigurarea (arhitectura sistemului:
izolarea procesului, verificarea integritatii, testarea securitatii prin simularea atacurilor de
penetrare si auditatea jurnalelor de securitate pe nivele de obiecte).
o Verificarea specificatiei si a proiectarii : se comporta sistemul in conformitate cu manualul ?
o Exportarea informatiei etichetate, exportarea catre device-uri multinivel sau mononivel.
• Accesul controlului pentru obiecte si subiecti asa cum este specificat in TCB nu de
catre useri. (TCB este un protocol destinat trimiterii de mesaje e-mail intre servere)
• Securizarea transmisiilor de date (conform cerintelor prezentate intr-un paragraf
anterior).
Concluzii
Diversitatea domeniilor de utilizare, a tipurilor de sisteme informatice a crescut
numărul şi categoriilor de riscuri asociate utilizării sistemelor informatice. În cadru
organizaţional acestea pot proveni atât din interiorul instituţiei cât şi din exteriorul ei.
Factorii de risc se manifestă pe toată durata de viaţă a unui sistem informatic.
Referindu-ne la perioada de operare, de utilizare efectivă a sistemului şi la riscurile utilizării
necorespunzătoare a sistemelor informatice, atunci când factorii declanşatori sunt umani, se
poate vorbi de intenţie. Astfel utilizarea inadecvată a sistemului informatic se poate face
17
intenţionat sau neintenţionat. Diversitatea de utilizatori – angajaţi, consultanţi, clienţi,
competitori sau publicul larg – şi nivelele lor diferite de cunoaştere, instruire şi interes
reprezintă factori care influenţează utilizarea sistemelor informatice.
Factori importanţi în utilizarea corespunzătoare a sistemelor informatice sunt erorile
umane şi comportamentul de risc al utilizatorilor. Înţelegerea caracteristicilor umane care duc
la apariţia erorilor ajută în luarea măsurilor pentru reducerea probabilităţilor de apariţie a
erorilor sau minimizarea impactului erorilor care au loc. Aceste măsuri implică în mare
măsură o atenţie sporită în proiectarea sistemului. Un sistem bine proiectat ar trebui să nu
permită realizarea cu uşurinţă a erorilor. Un rol deosebit în diminuarea erorilor îl joacă
interfaţa cu utilizatorul. În proiectarea interfeţei trebuie să se ţină cont de caracteristicile
umane pentru a diminua rata erorilor în operare.
Măsurile preventive şi de control de bază implică elaborarea de politici de securitate,
instruirea şi informarea utilizatorilor, monitorizarea şi control activităţilor, implementarea de
tehnologii preventive de securitate şi cooperare între diverse instituţii.
În ultimii ani, la nivel european şi naţional, au fost adoptate o serie de acte normative
care cuprind o arie largă din activităţile care implică utilizarea sistemelor informatice. Ţinând
cont de pătrunderea sistemelor informatice în aproape toate domeniile, utilizatorii trebuie să
recunoască faptul că acţiunile lor sau neimplicarea lor ar putea provoca daune altora.
Conduita etică este, prin urmare, crucială şi participanţii ar trebui să depună eforturi pentru a
dezvolta şi adopta cele mai bune practici şi de a promova o conduită care recunoaşte şi
respectă nevoile de securitate a intereselor legitime ale altora.
18
Bibliografie
Iancu, S., (2001), Unele probleme sociale, economice, juridice şi etice ale utilizării
tehnologiei informaţiei şi comunicaţiilor, Bucureşti;
OECD, (2002), Guidelines for the Security of Information Systems and Networks,
http://www.oecd.org/dataoecd/16/22/15582260.pdf;
Popa, S., (2007), Securitatea sistemelor informatice, Bucuresti;
Ana Maria Suduc, (2009), Riscuri asociate utilizării inadecvate a tehnologiilor societăţii
informaţionale, Bucuresti ;
Iosif, G., Marhan, A.M., (2005), Analiza şi managementul erorilor în interacţiunea om-
calculator, Ergonomie cognitivă şi interacţiune om-calculator, Ed. Matrix Rom, Bucureşti;
Revista Informatica Economica, nr.2 (14)/2000, Bucuresti ;
Proiect OpenSSL: http:// www. openssl. org/ ;
http://www.securekit.com/.