-
8/4/2019 Managementul proiectelor de securitate informatic
1/46
Academia de Studii Economice din Bucureti,
Facultatea de Cibernetic, Statistic i Informatic Economic,
Masterat : Managementul Informatizat al Proiectelor
LUCRARE DE DISERTAIE
Coordonator : Profesor Univ. Dr. Ivan Ion
Absolvent : Bra Daniel Valentin
Bucureti
2010
-
8/4/2019 Managementul proiectelor de securitate informatic
2/46
CUPRINS
INTRODUCERE ............................................................................................................. 3
Metodologia de realizare a sistemelor de securitate informatic............................. 10
Infrastructura de chei publice ................................................................................... 14
21
ETAPELE DEZVOLTRII UNUI PROIECT DE SECURITATE A DOCUMENTELORTRANZACIONATE N CADRUL UNEI BNCI............................................................... 21
Prezentarea mediului de lucru ........................................................................ 22Diagnosticarea procesului................................................................................ 23
Definirea problemei ........................................................................................ 25
Prezentarea soluiei......................................................................................... 26
4. MANAGEMENTUL PROIECTULUI DE CONFIGURARE I FUNCIONALIZARE A UNEIINFRASTRUCTURI DE CHEI PUBLICE N CADRUL UNEI BNCI..................................... 28
MSURAREA EFECTELOR DERULRII PROIECTULUI N CONDIII DE MANAGEMENTEFICIENT .................................................................................................................... 38
Rezultatele experimentale ............................................................................... 38Sursa: observaii relevate n urma etapei de testare final a sistemului de ctreangajaii bncii.......................................................................................................... 38
Analiza proiectului de securitate Implementare infrastructur chei publice . 39
Se observ c implementarea unei astfel de soluii suscit probleme demanagement doar la nivelul integrrii noii aplicaii cu structura organizatoric ifluxul de lucru al documenelor deja implementat la nivelul bncii. Prin mecanismelepreventive ale managementului de risc aceast integrare cu aplicaiile dejaexistente la nivelul bncii pot suprasolicita resursele umane ale bncii n procesul deimplementare i testare ale infrastructurii de chei publice. La nivelul imaginii,
implementarea unei astfel de soluii aduce un plus valoare bncii genernd soluiisuplimentare de atragere de noi clieni i mai ales de securizare a tranzaciilor lanivelul portalului web al bncii. Din punct de vedere al managementuluiorganizaional, integrarea unei astfel de soluii genereaz automatisme de flux alsemnturilor digitale, care pot fi integrate cu soluiile deja existente pe pia la nivelde aplicaii software (modulul de semntur electronic disponibil n pachetulMicrosoft Office 2007, Forefront Identity Manager 2010).......................................... 42
2
-
8/4/2019 Managementul proiectelor de securitate informatic
3/46
6.. CONCLUZII............................................................................................................ 42
Riscul tehnic este ridicat datorit structurii ierarhice pe dou niveluri pe care esteimplementat structura PKI. Ultimul pas din proiectul de implementare a structuriiPKI este acela de mentenan periodic ceea ce presupune disponibilitateapersonalului specializat n cazul apariiei unei defectri ale sistemului. .................. 44
BIBLIOGRAFIE ............................................................................................................ 45
MANAGEMENTUL PROIECTELOR DE SECURITATE INFORMATIC
INTRODUCERE
A discuta de managementul proiectelor de securitate informatic nu se reduce doar la a
identifica bre ele care pot aprea n cadrul diferitelor structuri de securitate din domeniul IT i a
diagnostica msuri preventive i de combatere a acestora, dar i despre structura corect pe care
trebuie s o ndeplineasc un proiect ce vizeaz msurile de protec ie aplicabile unui proiect de
securitate informatic. De multe ori am observat folosindu-se termenii "securitate" i "protecie"
n mod interschimbabil i este necesar a se face o distinc ie clar ntre acestea. Mai precis s
facem o distinc ie ntre problemele generale implicate de asigurarea c datele unei organiza ii nu
sunt citite ori modificate de persoane neautorizate, date care includ aspecte tehnice,
administrative, legale i politice pe de o parte i mecanismele specifice pentru a asigura
securitatea , pe de alt parte.
3
-
8/4/2019 Managementul proiectelor de securitate informatic
4/46
Multe companii dein informaii de valoare pe care le protejeaz cu minuiozitate. Aceste
informaii pot fi de natur tehnic (de exemplu proiectul unui nou cip sau soft), de natur
comercial (studii asupra concurenei, planuri de marketing), de natur financiar (planuri de
lansare a aciunilor pe pia), de natur juridic (documente despre o potenial fuziune sau
achiziie), printre multe altele. Adeseori aceste informaii sunt protejate de un portar n uniformaflat la intrarea n cldirea companiei care verific dac toi cei care intr n cldire poart un
ecuson corespunztor. In plus, multe birouri pot fi ncuiate, la fel i unele dulapuri cu acte pentru
a se asigura doar accesul persoanelor autorizate la aceste informaii. Pe msur ce tot mai multe
asemenea informaii sunt stocate n sisteme de calcul, nevoia de a le proteja devine din ce n ce
mai important. De aceea, protejarea acestor informaii mpotriva accesului neautorizat reprezint
o preocupare major n toate sistemele de operare. Din pcate, acest deziderat devine, de
asemenea, din ce n ce mai dificil, datorit acceptrii pe scar larg a extinderii complexitii
sistemelor, ca fiind un fenomen normal i acceptabil. In seciunile urmtoare vom aborda o serie
de subiecte legate de securitate i protecie, cu efect direct n modelarea unui proiect specific de
asigurare a securit ii unui proces informatic.
Din perspectiva securitii, sistemele informatice au trei obiective generale, cu
ameninrile corespondente lor. Primul dintre acestea, confidenialitatea datelor, are n vedere ca
datele secrete s rmn secrete. Mai precis, dac proprietarul anumitor date decide c acestea
trebuie s fie disponibile doar anumitor persoane i nu altora, sistemul ar trebui s garanteze c
datele nu vor fi disponibile persoanelor neautorizate. Ca un minim necesar, proprietarul datelor ar
trebui s poat specifica cine la ce s aib acces, iar sistemul s impun aceste specificaii. Al
doilea obiectiv, integritatea datelor, prevede ca utilizatorii neautorizai sa nu poat modifica date
fr permisiunea proprietarilor. n acest context, modificarea datelor nseamn nu numai
schimbarea datelor dar i tergerea datelor ori adugarea de date false. Dac un sistem nu poate
garanta c datele depozitate n el rmn nemodificate pn cnd proprietarul datelor decide s le
modifice, sistemul respectiv nu este demn de a fi un sistem informaional.
Cel de-al treilea obiectiv, disponibilitatea sistemului, are semnificaia c nimeni nu poate
deranja sistemul, pentru a-1 aduce ntr-o stare de instabilitate. Astfel de atacuri prin refuzare de
serviciu (denial of service) sunt din ce n ce mai ntlnite. De exemplu, dac un calculator este
server n Internet, bombardarea acestuia cu cereri l poate paraliza consumndu-i tot timpul de
procesor doar pentru examinarea i nlturarea cererilor primite. Dac, de exemplu, procesarea
unei cereri primite pentru citirea unei pagini de Web dureaz 100 s, atunci oricine este n stare s
4
-
8/4/2019 Managementul proiectelor de securitate informatic
5/46
trimit 10000 de cereri pe secund poate nimici serverul. Sunt disponibile modele convenabile i
tehnologii pentru a mpiedica atacurile asupra confidenialitii i integritii datelor;
mpiedicarea atacurilor prin refuzare de serviciu este mult mai dificil.
Fie c vorbim de confiden ialitatea sau integritatea datelor ori de disponibilitatea unui
sistem informatic trebuie s avem n vedere c msurile de reac iune la atacurile ndreptate asupra
acestuia sunt menite doar s nlture efectele nocive neavnd un efect direct asupra cauzelor care
au generat aceste atacuri. Proiectarea unui sistem complet de management al proiectului
informatic n cauz va genera implicit msuri preventive de ac iune mpotriva intruziunilor
neautorizate n sistemul informatic. Identificarea din timp a punctelor puternice i a slbiciunilor
unui sistem informatic sunt elemente cheie ce stabilesc pilonii unui proiect de management de
calitate.
Proiectul de fa se constituie ntr-un act de remodelare a procesului de elaborare, semnare
i aprobare a documentelor tranzac ionate n cadrul unei bnci. Am implementat la nivel
organizatoric o infrastructur de chei publice (PKI) care s ofere att angaja ilor ct mai ales
clien ilor o metod facil de a solu iona cererile de a accesa mprumuturi prin scurtarea timpului
de elaborare, aprobare i definitivare a acestora. Prin intermediul unei infrastructuri de chei
publice ne dorim n primul rnd s eliminm pa ii suplimentari ce apar n cadrul unui proces de
semnare a unui document, implementnd n locul semnturii olografe, semntura electronic
bazat pe certificatele digitale emise de autoritatea de certificare din cadrul infrastructurii de cheipublice. Pe lng eliminarea acestui neajuns, faptul c vom avea la dispozi ie o ierarhie de acest
gen, ne ofer posibilitatea de a furniza multiple imbunt iri securit ii electronice precum i un
grad crescut de securizare a autentificrii clien ilor pe portalul web proprietar bncii.
Ne propunem deci s implementm att o solu ie de nlocuire a semnturii olografe cu o
semntur electronic certificat de o autoritate de certificare autorizat, ct i s aducem un plus
de valoare tranzac iilor electronice efectuate prin intermediul portalului web al bncii noastre
implementnd la nivel de securitate electronic o comunica ie securizat de tip SSL bazat pe certificate emise de autoritatea de certificare.
Speculnd pe baza soluiilor existente deja pe pia, putem concluziona c implementarea
unei infrastructurii de chei publice suscit probleme de configurare doar privind prin prisma
mediului n care aceast soluie este cerut i suntem ndreptii s credem c aa este, numai c
procesul de management al unui astfel de proiect un este un deziderat uor de atins. Provocrile
5
-
8/4/2019 Managementul proiectelor de securitate informatic
6/46
pe care le implic un astfel de proiect att n procesul de implementare, dar mai ales n partea de
mentenan a modulelor funcionale consider c sunt definitorii pentru a defini punctul de plecare
n realizarea unui management de calitate pentru un astfel de proiect.
Pornind de la structura mediului i a problemei care necesit implementarea unei soluii
de securitate informatic, voi genera un plan de management al proiectului de implementare al
unei structuri PKI ce va avea la baz diagrmele PBS (product breakdown structure) i WBS
(work breakdown structure) pe care se va baza managementul de calitate al proiectului att n
faza de implementare ct i n faza de administrare a acestuia.
Pentru elaborarea acestui proiect am avut ocazia s folosesc experiena profesional
dobndit prin implementarea unei infrastructuri de chei publice de test pe o structur software de
tip Microsoft. Fluxul operaional de lucru din cadrul unei bnci presupune vehicularea unui
numr relativ mare de documente att ntre departamentele unei bnci ct i intre filialele acesteia
dac vorbim despre o banc dezvoltat pe filiale regionale. Am avut ocazia s fac parte din
echipa de implementare a unui proiect PKI pe o structur ierarhic pe dou nivele cu o autoritate
de certificare Root ce funcioneaz n mod offline care genereaz certificate pentru o autoritate
subordonat care la rndul ei elibereaz i administreaz certificatele utilizatorilor. Cnd vorbim
despre utilizatori, ne referim aici nu doar de angajai ai instituiei n care soluia este
implementat ci i la dispozitive hardware (staii, servere, routere) crora le pot fi eliberate
certificate digitale folosite pentru gestionarea comunicaiilor securizate ntre acestea.
Ca manuale de studiu i de punct de plecare n dezvoltarea prezentei lucri am avut la
dispoziie lucrarea de licen elaborat n cadrul Academiei Tehnice Militare Bucureti cu titlul
Securitatea reelelor informatice i a sistemelor de gestiune a identitii electronice sub
ndrumarea Prof. Univ. dr. Victor Valeriu Patriciu i deasemeni pentru implementarea unei
infrastructuri de chei publice pe o platform Microsoft, am avut ca punct de plecare documentele
publicate de Brian Komar de configurarare a unei astfel de proiect (Windows server 2008 PKI
and Certificate Security, Windows server 2003 PKI and Certificate Security).
Elaborarea structurii de implementare a proiectului i analiza calitii proiectului n
condiii de management eficient a fost realizat ghidndu-m dup urmtoarea bibliografie
selectiv:
6
-
8/4/2019 Managementul proiectelor de securitate informatic
7/46
[IVAN99] Managementul calitii software - Ion IVAN, Laureniu TEODORESCU -
Revista Informatica Economic, nr. 12/1999
[GILB88] Tom Gilb,Principles of Software Engineering Management, Addison
Wesley, 1988.
Lucrarea de fa este elaborat urmnd nlnuirea logic de dezvoltare a unui proiect de
management al unei aplicaii de securitatea informatic.
Dup introducerea specific lucrrii, al doilea capitol prezint elementele fundamentale
ale securitii informatice cu aplicaie practic pe necesarul de securitate pe care un sistem
criptografic trebuie s l ndeplineasc (confidenialitate, integritate, autentificare, nerepudiere).
Structura unui certificat digital este prezentat pe larg n acest prim capitol, pentru a putea nelege
diferenele fundamentale dintre o semntur olograf i una care are la baza ei chiar principiile
fundamentale ale criptografiei, prezenate anterior. Am identificat n acest capitol i utilizrile
practice ale unei infrastructuri de chei publice pornind de la dezideratul proiectului de securitate
informatic de a implementa semntura electronic n cadrul unei instituii pn la aplicaii
specifice de autentificare pe baza certificatului stocat pe un dispozitiv hardware sau de criptarea
datelor sensibile.
Dup prezentarea detaliilor criptografice i de management ale unui proiect de securitate
informatic, capitolul 3 detaliaz pe larg structura organizatoric a mediului pe care se va realiza
implementarea infrastructurii de chei publice. Implementarea unui astfel de sistem vizeaz
optimizarea unui proces, n cazul de fa gestionarea fluxului de semnare a documentelor din
cadrul unei bnci, astfel c tot n cadrul acestui al treilea capitol este definit procesul care
necesit optimizare i este identificat soluia de securitate i modul de implementare a unui
management de calitate.
Capitolul 4 definete efectiv paii de implementare a unui astfel de proiect cu stabilirea
echipei, a resurselor i a etapelor de lucru. Implementarea etapelor i a resurselor identificate
anterior este realizat utiliznd aplicaia Microsoft Office Project pentru a gestiona corect
alocarea resurselor i a ordona din punct de vedere structural etapele principale de lucru. Sincretic
aceste etape pot fi prezentate astfel:
1. Analiza
2. Proiectarea sistemului
7
-
8/4/2019 Managementul proiectelor de securitate informatic
8/46
3. Construcia sistemului
4. Predarea sistemului
5. Mentenan
Capitolul 5 analizeaz din punct de vedere al riscurilor pe care implementarea unui astfel
de proiect de securitate le implic. De asemenea am studiat din punct de vedere al procesului
diagnosticat n cadrul capitolul 3 care sunt mbuntirile pe care implementarea infrastructurii de
chei publice la nivelul bncii le aduce procesului de semnare a documentelor.
Concluziile proiectului prezint eventualele mbuntiri sau elemente de inovaie care
pot fi implementate pe viitor n cadrul bncii, avnd ca punct de plecare infrastructura de chei
publice deja implementat.
1. SECURITATEA INFORMATIC
Securitatea informatic a devenit una din componentele majore ale Internetului. Analitii
acestui concept au sesizat o contradicie ntre nevoia de comunicaii i conectivitate, pe de o parte
i necesitatea asigurrii confidenialitii, integritii i autenticitii informaiilor, pe de alt
parte. Domeniul relativ nou al securitii informatice caut soluii tehnice pentru rezolvarea
acestei contradicii aparente. Viteza i eficiena comunicaiilor instantanee de documente i
mesaje confer numeroase atuuri actului decizional ntr-o societate modern, bazat pe economie
concurenial. ns utilizarea serviciilor de pot electronic, web, transfer de fonduri etc. se
bazeaz pe un sentiment, adeseori fals de securitate a comunicaiilor, care poate transforma
potenialele ctiguri generate de accesul rapid la informaii, n pierderi majore, cauzate de furtul
de date sau de inserarea de data false ori denaturate.
Sistemele informatice sunt ameninate att din interior ct i din exterior. Pot fi persoane
bine intenionate care fac diferite erori de operare sau persoane ru intenionate, care sacrific
timp i bani pentru penetrarea sistemelor informatice. Dintre factorii tehnici care permit fisuri de
securitate pot fi anumite erori ale software-ului de prelucrare sau de comunicare sau anumite
defecte ale echipamentelor de calcul sau de comunicaie. De asemenea, lipsa unei pregtiri
adecvate a administratorului, operatorilor i utilizatorilor de sisteme amplific probabilitatea unor
8
-
8/4/2019 Managementul proiectelor de securitate informatic
9/46
-
8/4/2019 Managementul proiectelor de securitate informatic
10/46
Metodologia de realizare a sistemelor de securitate informatic.
n urma creterii complexitii agenilor economici, mai ales n etapa de trecere la
economia de pia, apare o extraordinar cretere a cantitii de informaii obinute i manipulate,
accentuat i de formularea unor condiii tot mai severe n ceea ce privete calitatea informaiei(corectitudinea, operativitatea acesteia). Domeniile de utilizare a informaticii se diversific n
ritm rapid, incluznd o gam tot mai larg de activiti umane: rezolvarea calculelor tehnico
inginereti i fizico-matematice (informatica tehnico-tiinific), supravegherea, comanda i
controlul proceselor de producie, a mainilor unelte (informatica industrial), prelucrarea
automat a informaiei economice privitoare la toate activitile desfurate n unitile
economice (informatica economic de gestiune) etc.La aceasta se adaug tot mai pregnant n
ultima perioad informatizarea activitilor de birou i administrative, informatica proiectrii
produselor i tehnologiilor (proiectarea asistat de calculator).
Noiunea de sistem este una foarte general, cuprinztoare practic n orice domeniu de
activitate se are de-a face, ntr-o form sau alta, cu sisteme. Un sistem este un ansamblu de
elemente care respecta de un pachet de reguli de funcionare bine definite, n vederea ndeplinirii
unui anumit scop. n funcie de domeniul studiat, putem avea sisteme cibernetice, economice,
fizice, etc.
n cadrul unei unitti, definit ca sistem economic, distingem trei sisteme:
sistemul de conducere decizional;
sistemul condus operaional;
sistemul informaional.
De la sistemul de conducere la sistemul condus vor circula mesaje, informaii care trebuie
s fie exacte, complete, infinite, din punct de vedere al coninutului prelucrrii i nregistrrii lor,
operative, care vor fi asigurate printr-un proces de informare continu.
Sistemul informaional este, deci, un instrument indispensabil, constituit din mijloace,
metode i oameni prin care se asigur desfurarea activitilor specifice procesului
informaional: nregistrarea, transmiterea, prelucrarea, selecionarea i pstrarea informaiilor
despre resursele existente, despre eventualele perturbaii i abaterii de la traiectoria fixat. ntr-o
10
-
8/4/2019 Managementul proiectelor de securitate informatic
11/46
form mai detaliat, putem spune c sistemul informaional reprezint un ansamblu de fluxuri i
circuite informaionale organizate ntr-o concepie unitar, care utilizeaz modele, proceduri,
resurse umane i materiale pentru culegerea ,nregisrarea i/sau transmiterea datelor i a
informaiilor prin intermediul crora se asigur interconexiunile dintre sistemul de conducere i
sistemul condus, dintre mecanismul social-economic pe care l deservete i mediul socialeconomic extern, avnd drept scop final realizarea obiectivelor proprii unitii economice n
condiii de maxim eficien.
Un sistem informaional modern trebuie s asigure: informarea la toate nivelele,
operativitatea informrii, selectarea informaiilor, adaptabilitatea la modificrii (modificarea
cererilor de informaii, modificarea datelor de intrare, modificarea structurii organizatorice,
modificarea metodelor de prelucrare a datelor), precizia i exactitatea informaiilor. Sistemul
informaional reprezint latura dinamic a sistmului managerial, fcnd legtura dintre sistemulconductor i cel condus n cadrul unitii economice, dar i ntre aceasta i mediul n care i
desfoar activitatea. Sistemul informaional permite cunoaterea situaiei existente ntr-o
unitate economic, a celei trecute, dar i anticipri ale evoluiei viitoare, contribuind la elaborarea
i ndeplinirea obiectivelor stabilite. Prin intermediul su se obin informaiile necesare
fundamentrii deciziilor, implementrii acestora, precum i cele necesare adaptrii sistemului
unitii economice la modificrile interne i externe ei.
Abandonarea concepiei traditionale in favoarea uneia noi, moderne, se aplic princontientizarea faptului c o utilizare corespunztoare a informaiilor permite raionalizarea
distribuiei mrfurilor n condiiil n care este evident mai avantajos, mai eftin, s miti informaia
dect marfa. Proiectarea i realizarea unui sistem informaional capabil s capteze informaii utile
unei uniti economice, permite o mai bun adaptare a acesteia la mediu, oferind chiar
posibilitatea adoptrii unor strategii active de influienare a mediului n sensul dorit.
Pentru ca realizarea unui sistem informatic s fie posibil va trebui mai nti s
determinm care sunt problemele pe care trebuie s le rezolve, care este aria de activiti dindomeniul respectiv pe care el trebuie s le acopere. Apare deci necesar realizarea unui studiu
asupra sistemului informaional existent. Aceast analiz are scopul de a efectua un studiu
complex asupra activitilor i fluxurilor informaionale existente, a volumului de informaii
prelucrate, a ariei de cuprindere a sistemului informaianal i a dotrii existente cu tehnic de
calcul, pentru a evidenia calitile, limitele i deficienele actualului sistem, n vederea stabilirii
11
-
8/4/2019 Managementul proiectelor de securitate informatic
12/46
cerinelor generale ce vor fi asigurate prin intermediul unui nou sistem informatic ce urmeaz a fi
proiectat pe baza unor variante de realizare. De fapt mai nti se realizeaz un studiu preliminar,
prin care se determin oportunitatea realizrii unui sistem informatic, dac activitatea din
domeniul respectiv decurge mai bine fr sistemul informatic, evident c acesta nu mai are rost,
sau chiar dac prin implementarea sistemului informatic activitatea se mbuntete dar sporulde eficien nu justific cheltuielile ocazionate de realizarea sistemului informatic, acesta nu va fi
realizat. Numai dac studiul preliminar indic oportunitatea realizrii unui sistem informatic se
realizeaz studiul de detaliu al sistemului.
Evaluarea critic a sistemului informaional existent urmrete evidenierea
performanelor i limitelor acestuia n raport cu cerinele sistemului de conducere, pentru a
formula principalele direcii de ameliorare a calitii sistemului i a defini una sau mai multe
variante de utilizare global. Formularea de aprecieri critice asupra sistemului informaional arela baz ansamblul criteriilor de calitate impuse acestuia prin prisma informaiilor economice
prelucrate i difuzate diverilor utilizatori din unitatea economic.
Pentru a putea aprecia sistemul respectiv, trebuie avute n vedere o serie de criterii de
calitate a informaiilor, dintre care cele mai impotante sunt:
operativitatea informaiilor poate fi evaluat pe baza timpului de rspuns al
sistemului informaional care reprzint intervalul mediu de timp ntre producerea
unei operaii sau proces economic i difuzarea rezultatelor informaionale care
decurg din aceasta.
precizia informaieise refer la fidelitatea cu care este reflectat activitatea
desfurat n unitate.
oportunitatea informaiilorn timp i spaiu prevede ca informaiile s ajung la
timp la destinaiile prevzute.
spaiile i implicit costurile de depozitare a datelor.
Sistemul informatic preia i dezvolt o parte din baza informaional i operaiile de
prelucrare ale sistemului unitii economice, putnd fi privit din acest punct de vedere ca un
sistem informaional automatizat. Sistemul informatic asigur memorarea i prelucrarea automat
a unei pri a informaiilor dintr-o unitate economic, pentru a asigura urmtoarele cerine:
12
-
8/4/2019 Managementul proiectelor de securitate informatic
13/46
- asigurarea, simplificarea i ameliorarea lucrrilor i procedurilor informaionale care
presupun simpla execuie a unor operaii i prelucrri de rutin;
n cadrul unui sistem informatic pot exista mai multe aplicaii care folosesc aceleai
informaii generate de alte aplicaii.n asemenea situaii,pentru a evita introducerea repetat a
informaiilor comune, se apeleaz la integrarea sistemului. Un sistem informatic integrant asigur
prelucrarea unic a fiecrei informaii i difuzarea acesteia tuturor aplicaiilor care o solicit.
Integrarea sistemelor informatice se poate realiza pe urmtoarele ci:
memorarea fiecrei informaii astfel nct, s corespund integral tuturor cerinelor
specifice ale aplicaiilor i s fie disponibil pentru fiecare dintre ele.
asistarea i sprijinirea procesului de conducere i n mod deosebit a procesului
decizional.
Avnd n vedere c decizia aparine omului, sistemul informatic are rolul de a-i furniza
toate elementele necesare i de a-i permite s fac alegerea deciziei optime pe baza unui maxim
de informaii. De asemenea, sistemul informatic poate servi ca instrument de simulare, permind
evaluarea rapid a consecinelor prevezibile ale fiecrei decizii i adoptare celei mai eficiente.
Informatizarea care cuprinde, n mod obiectiv, numai acele pri ale sistemului
informaional care sunt formalizabile, prin definirea unor funcii de transformare a intrrilor nieiri.
Cercetrile din domeniul modelrii matematice a proceselor economice, ct i cele din
domeniul inteligenei artificiale conduc la lrgirea continu a ariei de utilizare a informaticii n
cadrul unitilor economice. Utilizarea calculatorului pentru un grup omogen de lucrri sau
probleme ale unitii beneficiare constituie o aplicaie informatic cu meniunea c un sistem
informatic poate cuprinde una sau mai mute aplicaii informatice. Aria unei aplicaii informatice
este determinat de omogenitatea funcional a prelucrrilor realizate i de delimitare dintreprocesele formalizabile i cele neformalizabile.
n acest caz, sistemul informatic va include o baz informaional comun, actualizat n
mod unitar i consultat n toate aplicaiile, sau baze informaionale specializate pe aplicaii.
13
-
8/4/2019 Managementul proiectelor de securitate informatic
14/46
Integrarea poate fi realizat la nivelul unui sistem informatic specific unei uniti
economice sau ntre sisteme informatice aparinnd unor uniti ntre care exist sisteme
informatice aparinnd unor uniti ntre care exist relaii de subordonare coordonare i care pot
fi dispersate teritorial (de exemplu o sucursal cu filialele sale se gsete n relaii de
subordonare-cooordonare).
Din punct de vedere fizic, integrarea poate fi realizat prin intermediul unei reele de
calculatoare, care s asigure distribuirea coleciilor de date memorate ntre unitile economice ce
se afl n relaii de subordonare, n vederea furnizrii necesarului de informaii pentru fiecare
dintre acestea.
n aceste condiii integrarea conduce la arhitecturi de sisteme informatice ierarhizate, cu
prelucrare, manipulare i stocare distribuit a datelor, n care prelucrarea interactiv i n timp
real are o pondere tot mai nsemnat.
Infrastructura de chei publice
Scopul criptografiei este de a securiza informaia stocat i transmis indiferent dac
transmisia respectiv este monitorizat sau nu.
Serviciile furnizate de criptografie sunt:
Confidenialitate - meninerea caracterului privat al informaiei (secretizarea informaiei);
Integritate - dovada c respectiva informaie nu a fost modificat (asigurarea mpotriva
manipulrii frauduloase a informaiei);
Autentificare - dovada identitii celui care transmite mesajul (verificarea identitii unui
individ sau a unei aplicaii);
Nerepudiere - sigurana c cel ce genereaz mesajul nu poate s-l denigreze mai trziu
(asigurarea paternitii mesajului);
Criptografia realizeaz aceste servicii prin criptare. n sistemul criptografic mesajul este
criptat folosind o cheie, la expeditor, i apoi este trimis prin reea. La destinatar, mesajul criptat
este decriptat tot cu o cheie, obindu-se mesajul original. Exist dou metode primare de criptare
14
-
8/4/2019 Managementul proiectelor de securitate informatic
15/46
folosite astzi: criptografia cu cheie secret (criptografia simetric) i cea cu cheie public
(criptografia asimetric).
Semntura digital reprezint un eantion de date care l identific pe cel care a semnat
un document. Semntura digital este creat prin criptarea coninutului documentului, folosind
cheia criptografic a expeditorului. Aceasta face ca semnatura s fie unic att pentru fiier ct ipentru deintorul cheii. Orice modificri aduse documentului afecteaz semntura, oferindu-se
astfel att integritate ct i autentificare.
Dezvoltarea comerului electronic este subordonat existenei unei garanii de securitate a
transmisiilor de date i a plilor electronice. Graie unui sistem de codificare, aplicat mesajului
transmis, semntura electronic constituie un rspuns la aceast problem, garantnd att
autenticitatea i integritatea datelor, ct i identificarea semnatarului.
Semnturile electronice se utilizeaz n circumstane i aplicaii foarte variate, ceea ce
determin apariia unei serii de noi servicii i produse legate de utilizarea acestui tip de
semntur. Orice disfuncie sau inadverten n aplicarea i recunoaterea juridic a semnturii
electronice risc s devin un obstacol serios n calea utilizrii comunicaiilor electronice i a
comerului electronic.
Semntura digital, ca modalitate a semnturii electronice, garanteaz identitatea,
autenticitatea i integritatea prilor implicate n contract. Semntura digital reprezint un atribut
al unui utilizator, fiind folosit pentru recunoaterea acestuia, i se bazeaz pe sisteme
criptografice cu chei publice.
Pentru semnarea digital a datelor, acestea sunt prelucrate astfel:
15
-
8/4/2019 Managementul proiectelor de securitate informatic
16/46
M
HASH
CARD
cu cheie
secret
RezumatS
Semntura
Dan
M
S
Document
Document semnat
electronic
RSA
Dan
Figura 3: Semnarea unui document electronic
Documentul M este cifrat cu cheia privat a emitorului, care astfel semneaz; n
exemplu de mai sus este vorba despre utilizatorul Dan, care furnizeaz, prin intermediul
unui card, cheia sa secret, PRIVDan i folosete un algoritm cu chei publice cunoscut, cum
esteRSA(Rivest-Shamir-Adleman);
Documentul este transmis la receptor;
Receptorul verific semntura prin decriptarea documentului cu cheia public a
emitorului.Funciile de dispersie (hash functions) joac un rol important n autentificarea coninutului
unui mesaj transmis n reelele de calculatoare. Rolul lor nu este de a asigura secretul transmisiilor,
ci de a crea o valoare h=H(M), numit i rezumat (digest), cu rol n procedura de semntur
digital, foarte greu de falsificat. Funciile hash care pot fi folosite sunt MD5 i SHA1.
Semnturile digitale au dou proprieti importante: permit identificarea emitentului unui
mesaj electronic i a oricror modificri aduse mesajului original. Aceste proprieti fac ca
semnturile digitale s aibe un rol important la securizarea comerului electronic deoarece ajutla:
- demonstrarea autenticitii unei tranzacii electronice pentru a preveni falsurile;
- confirmarea identitii unei persoane;
- asigur dovada transmisiei i recepionrii tranzaciilor pentru a preveni repudierea
mesajelor.
16
-
8/4/2019 Managementul proiectelor de securitate informatic
17/46
Ca i criptarea, semntura electronic este implementat n serverele i browserele Web
prin SSL, pentru a permite utilizatorilor:
- s-i demonstreze identitatea ntr-un mod care este mult mai eficient dect mecanismul
nume utilizator/parol;
- s confirme identitatea serverului Web cu care comunic (pentru a fi siguri c nu trimit
informaie sensibil la un alt site Web).
n concluzie, utilizarea acestui tip de semntur este de natur s favorizeze negocierile la
distan specifice comerului electronic deoarece satisface exigene cum ar fi, valoare juridiccel
puin egal cu cea a unei semnturi manuscrise, i admisibilitate ca prob n instan n aceeai
manier ca la semntura manuscris.
Pentru a utiliza n practic semnturile digitale, trebuiesc utilizate o gam complex detehnologii, standarde i practici, cunoscute sub numele de infrastructuri cu chei publice (PKI).
PKI (Public Key Infrastructure) este standardul acceptat pentru identificarea
persoanelor prin intermediul certificatelor. El include suportul pentru tot ciclul de via al
certificatelor i cheilor de la crearea pn la distrugerea acestora. Din aceast cauz soluiile
bazate pe PKI sunt scumpe, complexe i destul de greu de administrat i utilizat, ceea ce a
mpiedicat utilizarea lor pe scar larg.
PKI este o combinaie de produse hardware i software, politici i proceduri care asigur
securitatea de baz necesar astfel nct doi utilizatori, care nu se cunosc sau se afl n puncte
diferite de pe glob, s poat comunica n siguran. La baza PKI se afl certificatele digitale, un
fel de paapoarte electronice care mapeaz semntura digital a utilizatorului la cheia public a
acestuia. Aceste obiecte informaionale sunt crmizile care stau la baza unei implementri PKI
i reprezint mijlocul de identificare digital a fiecrui subiect participant ntr-o relaie derulat
prin mijloace electronice.
Componentele PKI sunt:
Autoritatea Certificatoare (CA) - responsabil cu generarea i revocarea certificatelor;
Autoritatea Registratoare (RA) - responsabil cu verificarea construciei generate de
cheile publice i identitatea deintorilor;
17
-
8/4/2019 Managementul proiectelor de securitate informatic
18/46
Deintorii de Certificate (subiecii) - Oameni, maini sau ageni software care dein
certificate i le pot utiliza la semnarea documentelor;
Clienii - ei valideaz semntura digital i certificarea de la un CA.;
Depozitele - stocheaz i fac accesibile certificatele i Listele de Revocare a Certificatelor
(CRLs -Certificate Revocation Lists);
Politicile de securitate: definesc procesele i principiile de utilizare a criptografiei
Utilizarea unei infrastructuri de cheipublice la nivelul unui sistem sau a unei instituii
are avantajul c pe lng plus valoarea pe care implementarea unui astfel de proiect l aduce,
creeaz i un modul organizaional bazat pe partajarea drepturilor de acces la resursele din cadrul
instituiei. Din punct de vedere al securitii, putem adapta implementarea unei astfel de structuri
informaionale la diferite aplicaii din cadrul unei companii.
Securizarea mesageriei electronice: la nivelul comunicaiilor din cadrul unei bnci o astfel
de aplicaie nu este pretabil, dar n cazul de fa, cnd vorbim de comunicaia ntre filialele
bncii i sediul central, securizarea acestei comunicaii este vital pentru pstrarea unui grad
crescut de disponibilitate a sistemului. Att la nivelul aplicaiilor de comunicaie,
(Exchange,Outlook) ct i la nivel de conexiuni hardware (routere, servere) certificatele digitale
administrate de o astfel de infrastructur pot deservi o astfel de comunicaie securizat.
Administrarea documentelor i implicit a semnturilor, de data aceasta semnturi digitale,
devine un deziderat mai uor de atins n acest nou cadru de lucru. Integrarea unui modul de
scanare a documentelor coroborat cu administrarea unei baze de date creeaz premisele necesare
nlturrii oricrui obstacol n gestionarea unui flux de documente care n format tiprit
suprasolicit de obicei ntreaga structur organizatoric a unei instituii. Din punct de vedere al
gestionrii identitilor i drepturilor de acces la resurse, sunt disponibile pe pia soluii
comerciale de gestionare a ntregului ciclu de via a identitilor digitale ale angajailor reducnd
la minimum procesul de administrare a acesului la resurse. Un modul software pretabil pentru oastfel de implementare poate reprezenta soluia Microsoft Forefront Identity Manager 2010.
Aceasta permite prin intermediul certificatelor emise utilizatorilor i printr-un sistem n 5 puncte
de alocare a drepturilor stabilirea unui sistem informaional de securitate i de acces la resurse
bazat numai pe baza certificatelor digitale.
18
-
8/4/2019 Managementul proiectelor de securitate informatic
19/46
O alt aplicaie practic a unei astfel de infrastructuri de chei publice l reprezint
autentificarea la nivelul sistemului de operare i al aplicaiilor pe baza certificatelor emise
utilizatorilor din cadrul unei instituii. n cadrul unei instituii, autentificarea prin nume i parola
este soluia cea mai vulnerabil i n plus, oblig utilizatorul la memorarea unei astfel de
combinaii pentru fiecare aplicaie folosit. Folosirea certificatului digital stocat pe smartcardcontribuie nu numai la creterea gradului de sigurana dar i la o utilizare mai facil, prin
folosirea unui mijloc unic de autentificare pentru toate aplicaiile folosite.
PKI gestioneaz cheile i certificatele digitale folosite pentru implementarea criptografiei
n aplicaii precum, email-ul i mesageria, browsere i servere Web, EDI; n aplicaii care
presupun realizarea unor tranzacii n reea sau sesiuni de comunicaii securizate peste Web sau
VPN-uri care folosesc protocoale S/MIME, SSl i IPsec, i funcii (de exemplu, semnarea unui
document). n plus, aplicaiile dezvoltate n particular pot utiliza suport PKI .
Emailul i mesageria : Email-ul i mesageria folosesc perechi de chei pentru criptarea
mesajelor i fiierelor, i pentru semntura digital. De exemplu, programele de pot electronic
Microsoft Exchange i IBM Note Mail folosesc criptarea pentru transportul informaiilor
speciale. Acelai lucru este valabil i pentru programe de mesagerie destinate grupurilor de
utilizatori, cum este de exemplu, Novell Groupwise. Sistemele EDI permit realizarea de tranzacii
financiare care necesit autentificare, confidenialitate i integritatea datelor.
19
Client de email
securizat
Router VPN
Client cu acces
de la distan
Server Web
Server
Certificate
Certificat
deintor
Server de
recuperare a
cheii
Consol
management
Aplicaii cu
suport PKIServere PKI
-
8/4/2019 Managementul proiectelor de securitate informatic
20/46
X.509 PKIX PKCS
Cod i fiiere
semnate
electronic
VPN
IPSEC
PPTP
E-mail
Groupware
EDI
S/MIME
Online
Banking
Online
Shopping
SSL
TLS
Standarde care
definesc PKI
Standarde care se
bazeaz pe PKI
Aplicaii
Accesul Web : Browserele i serverele Web folosesc criptarea pentru autentificare i
confidenialitate i pentru aplicaii precum online banking i online shopping. Tipic, folosind SSL
(Secure Sockets Layer) serverele se pot autentifica n faa clienilor. De asemenea, SSL realizeaz
i criptarea traficului. Autentificarea clientului este prezent i ea, ca opiune. SSL nu este limitat
doar la HTTP, suportnd i protocoalele FTP i Telnet.
VPN : Criptarea i autentificarea sunt tehnologiile principale folosite pentru convertirea
legturilor standard din Internet n VPN-uri, folosite fie pentru confidenialitatea site site
(router - router), fie pentru accesul securizat de la distan (client - server). n figura 5 sunt
prezentate relaiile care exist ntre aplicaii i infrastructur, i standardele asociate lor.
.
20
Figura 4: Principalele componente server ale unei infrastructuri cu chei publicesunt serverul de certificare, deintorul i serverul de recuperare a cheii (de obicei
nsoite de o consol de management)
-
8/4/2019 Managementul proiectelor de securitate informatic
21/46
ETAPELE DEZVOLTRII UNUI PROIECT DE SECURITATE A DOCUMENTELORTRANZACIONATE N CADRUL UNEI BNCI
Proiectul de fa are ca scop principal, remodelarea procesului de elaborare, semnare i
aprobare a documentelor tranzac ionate n cadrul unei bnci. Ne propunem s implementm la
nivel organizatoric o infrastructur de chei publice (PKI) care s ofere att angaja ilor ct mai
ales clien ilor o metod facil de a solu iona cererile de a accesa mprumuturi prin scurtarea
timpului de elaborare, aprobare i definitivare a acestora. Prin intermediul unei infrastructuri de
21
Figura 5: Standarde PKI care definesc PKI
-
8/4/2019 Managementul proiectelor de securitate informatic
22/46
chei publice ne dorim n primul rnd s eliminm pa ii suplimentari ce apar n cadrul unui proces
de semnare a unui document, implementnd n locul semnturii olografe, semntura electronic
bazat pe certificatele digitale emise de autoritatea de certificare din cadrul infrastructurii de chei
publice. Pe lng eliminarea acestui neajuns, faptul c vom avea la dispozi ie o ierarhie de acest
gen, ne ofer posibilitatea de a furniza multiple imbunt iri securit ii electronice precum i un grad crescut de securizare a autentificrii clien ilor pe portalul web proprietar bncii.
Prezentul proiect implementeaz la nivelul unei bnci att o solu ie de nlocuire a
semnturii olografe cu o semntur electronic certificat de o autoritate de certificare autorizat,
dar n acelai timp va scoate n eviden elementul de plus valoare adus tranzac iilor electronice
efectuate prin intermediul portalului web al bncii noastre implementnd la nivel de securitate
electronic o comunica ie securizat de tip SSL bazat pe certificate emise de autoritatea de
certificare.
Elementul de provocare ridicat de acest proiect un vine cu preponderen din
implementarea lui ct din procesul de management necesar administrrii unei astfel de
infrastructuri. Structura organizatoric a unui asfele de proces de implementare este uor de
urmrit din cauza exemplelor prezente pe pia,dar administrarea ntregii structuri i mai ales a
ciclului de via a certificatelor digitale emise tuturor clienilor din cadrul bncii suscit un nivel
ridicat de management.
nlnuirea logic a pailor necesari n stabilirea unui plan de aplicarea a unui
management de calitate pentru un proiect de securitate informtic sunt schematizai n continuare.
Prezentarea mediului de lucru
Activitatea din fiecare zi a bncii solicit ntreaga structur organizatoric a acesteia prin
incrcarea excesiv cu documente ce trebuie verificate la fiecare nivel decizional, dar i semnate
corespunzator de persoanele abilitate. Deasemeni, studiile privind atacurile de tip phising ne
ndreptatesc s ne orientm aten ia ctre securizarea tranzac iilor electronice vehiculate la nivelul
bncii utiliznd un portal web securizat. Un grad crescut de siguran ob inem securiznd
serviciul de mesagerie electronic i criptnd datele vehiculate n cadrul re elei intranet a bncii.
22
-
8/4/2019 Managementul proiectelor de securitate informatic
23/46
Diagnosticarea procesului
Discutnd pe baza tandemului client-securitate putem identifica problemele ce decurg din
modul de gestionare a documentelor de ctre filialelele teritoriale i deasemeni din comunica ia
bidirecional dintre filialele teritoriale i structurile decizionale din cadrul bncii centrale. Parcurgnd procesul de acordare a unui credit bancar putem observa necesitatea integrrii n
cadrul acestuia a unei aplica ii de semnare digital a documentelor necesare contractrii unui
astfel de credit. Pe lng mbunt irile aduse la nivelul gestionrii documentelor electronice
trebuie mbunt ite att capacitatea de semnare a acestora ct i posibilitatea de non-repudiere a
semnturilor aplicate asupra acestora. Mecanismele de verificare a sursei i destina iei unui
document n momentul n care acesta parcurge tot lan ul ierarhic al bncii, sunt practic
inexistente n acest moment. Volumul mare de documente suprancarc att personalul care are
n atribu ii aceste sarcini, dar i persoane din cadrul sectorului de top decizional al bncii care
sunt inevitabil angrenate n mecanismul de semnare olograf a documentelor vehiculate.
La nivelul comunicrii ntre filiale i direc iile decizionale din cadrul bncii centrale,
securitatea mesageriei electronice se regse te numai la nivelul comunica iei securizate asigurate
de clientul de e-mail proprietar Google sau Yahoo. Datele sunt trimise in clar asigurndu-se doar
un grad sczut de securitate prin intermediul conexiuni SSL oferit de clientul de e-mail. O
solu ie de implementare unui server de po t electronic propriu cu certificate de autentificare
pentru fiecare utilizator va asigura o confiden ialitate crescut datelor i documentelor transmise
prin intermediul acestui serviciu. Deasemeni aceste date n cazul n care nu sunt transmise prin
intermediul curieratului rapid, sunt transmise prin intermediul postei electronice n clar.
Confidenialitatea acestor date este realizat cu ajutorul procesului de criptare. Folosirea cheii
publice dintr-un certificat pentru stabilirea unui canal de comunicaie criptat are ca rezultat faptul
c doar entitatea menionat n certificat (cea care este i deintoarea cheii private) va fi
capabil s decripteze mesajele criptate. Pe lng securizarea canalului de comunicaie ntre
filiale i departamentele bncii, asigurm astfel i confidenialitatea datelor vehiculate prinintermediul canalului respectiv, renunnd astflel la serviciul de curierat rapid folosit pentru
documentele cu o sensibilitate ridicat.
Tranzac iile electronice la nivelul bncii sunt realizate doar prin intermediul
bancomatelor, portalul web oferit de banc avnd doar caracter informativ. Cererile la nivelul e-
23
-
8/4/2019 Managementul proiectelor de securitate informatic
24/46
commerce nu sunt implementate corespunztor cu cerin ele de securitate actuale astfel nct
tranzac iile dintre clien i i bncile-filiale fcndu-se tot prin intermediul biroului administrativ.
Tranzac iile dintre clien i i banc n comer ul electronic pot include cereri de informa ie,
cursuri bancare, plasri de cereri, pl i/extrageri bancare online. Gradul ridicat de ncredere
necesar pentru asigurarea autenticit ii, confiden ialit ii i livrarea la timp, al acestor tipuri de
tranzac ii poate fi dificil de men inut att timp ct acestea au loc ntr-o re ea public, lipsit de
ncredere, cum este Internetul.
Interceptarea datelor transmise prin Internet n timpul unei tranzac ii i n particular a
datelor referitoare la cardul de credit, a fost adesea men ionat ca un obstacol major al
confiden ialit ii comer ului electronic.
Principalele amenin ri asupra tranzac iilor din comer ul electronic sunt prezentate n tabelul de mai jos:
Tabel nr. 1: Principalele amenin ri asupra tranzac iilor din comer ul electronic
Amenin ri Impact asupra afacerii
Interceptarea informa iilor referitoare la plat (de exemplu numarul carduluide credit)
Pierderea confiden ialit ii clientului, mai ales n cazul n care acestea sunt folosite pentru a efectua cumprturineautorizate
Interceptarea parolelor sau a altor
informaii de acces ale sistemului
Pierderea de informa ii sensibile datorit accesului
neautorizat n sisteme
Modificarea datelor unei tranzac ii naintea livrrii
Bunurile sunt expediate unui escroc
Identificm astfel principalele probleme care vor fi abordate n procesul de re-planificare
a activit ii bncii:
a. Gestionarea i semnarea documentelor n format electronic
b. Securitatea canalului de comunica ie filiale-banca central i deasemneni securitatea
datelor i documentelor vehiculate ntre acestea
c. Securizare portalului web pentru autentificarea i confiden ialitate aplica iilor de tip
online banking
24
-
8/4/2019 Managementul proiectelor de securitate informatic
25/46
Definirea problemei
Pentru a implementa corect i eficient acest nou sistem lu m ca puncte de reper
importante clientul i securitate comunica iilor. n acest moment problemele importante apar la
nivelul securi ii informatice dintre filialele bncii i structurile organiza ionale de decizie ale bncii centrale. Deasemeni trebuie observat i procesul lent de cerere-documentare-aprobare-
returnare a creditelor bancare la nivelul filialelor teritoriale, proces ce solicit un volum mare de
documente ce trebuie aprobate la nivelul conducerii bncii teritoriale. Astfel, de exemplu, pa ii
pe care un client trebuie s i urmeze pentru a accesa un credit ipotecar sunt :
Pasul 1: Depunerea dosarului de credit (cerere de credit, acorduri interogare Biroul de
credit, documente doveditoare ale venitului, copii acte de identitate). Analiza dosarului
depinde n func ie de banc i de dosar, de la 1 la 5 zile. n func ie de valoarea creditului i de complexitatea dosarului, acesta ar putea fi analizat la sediul central, ceea ce ar putea
prelungi termenul de analiz.
Pasul 2: Depunerea copiilor dup actele propriet ii: act de proprietate vnztor, cadastru
i intabulare, extras de carte funciar pentru informare, copii dup actele de identitate ale
vnztorilor. Daca nu exist cadastru i intabulare, ob inerea acestora de la Oficiul de
Cadastru i Intabulare poate dura pn la 45 de zile.
Pasul 3: Dup ce actele sunt verificate de ctre departamentul juridic al bncii, banca face
comanda de evaluare. Evaluarea dureaz ntre 2 zile i o sptmn.
Pasul 4: Odat emis raportul de evaluare, dosarul intr ntr-o ultim revizuire la
departamentul juridic (1-2 zile).
Pasul 5: n paralel se poate contacta un notar (dac nu s-a semnat deja antecontractul) i
se poate solicita (prin notariat) extrasul de carte funciar pentru autentificare.
Pasul 6: Dosarul este finalizat la banc. Odat ce se tie cnd iese extrasul de carte
funciar pentru autentificare
Pasul 7: Dup semnarea contractelor, unele bnci vireaz imediat banii n contul
vnztorului, iar altele, cele mai multe, a teapt (pn la 7 zile) un nou extras de carte
25
-
8/4/2019 Managementul proiectelor de securitate informatic
26/46
funciar de informare, din care s reias c a fost inscris ipoteca n cartea funciar a
imobilului, dup care vireaz sau deblocheaz contul vnztorului.
Observm c fiecare din pa ii de mai sus presupun un flux mare de documente ce trebuie
vehiculate ntre biroul de credite, departamentul juridic al bncii, notar, departamentul financiar,
documente ce trebuie s poarte semnatura directorului filialei. Volumul mare de documente ce
sunt vehiculate uneori n mai multe exemplare suprasolicit att clientul ct i personalul din
cadrul biroului de credit, dar ncurc nejustificat actul decizional de la nivelul de conducere al
bncii.
Deasemeni la nivelul securit ii informatice ultimele rapoarte ne prezint un procent
crescut al atacurilor informatice de tip phising asupra bncilor i implicit asupra clien ilor i a
datelor personale ale bncii i a eventualilor clien i. Un raport general cu privire la atacurile tip
phising nregistrate n ultimul an este prezentat n figura de mai jos:
Figura 6: Atacuri phishing 2009Sursa: http://www.freerepublic.com/~aprpeh/
Structura ierarhic a bncii centrale momentan nu este sus inut corect din punct de
vedere al securita ii informatice ntrucat a a cum am men ionat, comunicarea ntre filiale i sediul
central i deasemeni ntre filiale i departamentele organizatorice se face prin intermediul
clientului de e-mail.
Prezentarea solu iei
26
-
8/4/2019 Managementul proiectelor de securitate informatic
27/46
Semntura digital, ca modalitate de implementare a semnturii electronice, garanteaz
identitatea, autenticitatea i integritatea pr ilor implicate n contract. Semnatura digital
reprezint un atribut al unui utilizator, fiind folosit pentru recunoa terea acestuia, i se bazeaz
pe sisteme criptografice cu chei publice.
Prin implementarea noului proces de semnare a unui document, pa ii ce vor fi parcur i din
momentul cererii unui mprumut pn la aprobarea acestuia sunt exemplifica i mai jos:
- Clientul se logheaz pe web site-ul bncii securzat i are posibilitatea fie doar de a
prelua informa ii pre ioase cu privire la actele necesare acordrii unui credit fie i
poate creea un cont personal prin intermediul cruia s furnizeze online documentele
men ionate. Astfel reducem considerabil perioada de timp necesar pentru deschiderea
dosarului de credit. timp:1 zi
- Documentele sunt preluate de serviciul clien i iar dup verificarea acestora din punct
de vedere al conformit ii cu cerin ele de pe site, angajatul de la nivelul departament
clien i aplic propria semntur digital asupra actelor i le transmite la departamentul
juridic al bncii prin intermediul po tei electronice. 3 zile4
- Dup analiza de la departamentul juridic i n cazul n care nu este nevoie de alte
verificri de la nivelul altor filiale, documentele sunt semnate i trimise la
departamentul financiar pentru punerea n aplicare a deciziilor de acordarea a
creditului.3 zile- Acordarea creditului : finalizarea creditului depinde de perioada necesar doar pentru
deblocarea fondurilor financiare din cadrul bncii ctre contul clientului. Din acest
punct de vedere se observ mbunt irea adus de sistem, singura dependen fiind de
deblocare a fondurilor financiare i nu de ntrzieri datorate vehiculrii documentelor
necesare creditului
n funcionarea sistemelor cu chei publice este necesar un sistem de generare, circulaie i
autentificare a cheilor folosite de utilizatori. Un model des ntlnit n comerul electronic este
prezentat n figura de mai jos:
27
-
8/4/2019 Managementul proiectelor de securitate informatic
28/46
Figura 7: Autentificare securizat
n acest caz plus valoarea este adus de elementele de securitate crescut oferit
clientului ce acceseaz site-ul web al bncii. Deasemeni prin nlocuirea sistemului tradi ional de
semnare a unui document cu semntura electronic este eliminat surplusul de documenta ie
necesar pentru aprobarea opera iunilor bancare reducndu-se astfel fluxul ridicat de informa ii
vehiculate n cadrul re elei.
4. MANAGEMENTUL PROIECTULUI DE CONFIGURARE I
FUNCIONALIZARE A UNEI INFRASTRUCTURI DE CHEI PUBLICE N
CADRUL UNEI BNCI
28
-
8/4/2019 Managementul proiectelor de securitate informatic
29/46
Sistemul informatic ce este implementat va utiliza resurse interne din cadrul bncii, cu
excepia activitilor de instalare a serverelor, a aplicaiei i a bazei de date. Implementarea se va
desfura pe mai multe etape, fiecare cu livrabile specifice.
Prima etap este cea de analiz, desfurat de ctre analitii de proiect i reprezentani
din cadrul tuturor departamentelor bncii i a departamentului IT. Aceast etap este finalizat cu
un document ce va prezenta specificaiile cerinelor reprezentanilor din toate departamentele
bncii.
Proiectul continu ulterior cu proiectarea soluiei care s rspund cerinelor identificate
n etapa de analiz. Va fi identificat arhitectura sistemului, funciile pe care trebuie s le
ndeplineasc i cerinele de configurare pentru modulele aplicaiei. Livrabile acestei etape sunt:
documentul de specificaie funcional pentru modulele aplicaiei i documentul de specificaie a
cerinelor pentru infrastructura hardware.
Dup proiectarea soluiei, n etapa de construcie a sistemului de management al
documentelor vor fi derulate activitile de achiziie a echipamentelor i a licenelor necesare. Tot
n aceast etap vor fi instalate i configurate echipamentele i baza de date. Construcia
sistemului va avea ca rezultat sistemul de management al semnturilor digitale complet
funcional, validat n urma unei testri interne de ctre specialitii din cadrul echipei de proiect.
Testarea i predarea n producie a aplicaiei constituie etapa final a proiectului. Aceastase finalizeaz odat cu validarea funcionalitilor sistemului n urma testrii aplicaiei de ctre
utilizatori. Tot n cadrul acestei etape se face intruirea utilizatorilor i se redacteaz manualele de
administrare i de utilizare.
n condiiile unui management de calitate vor fi urmrite ndeplinirea activitilor
prezentate n cadrul Diagramei WBS i furnizarea produselor stipulate n cadrul diagramei PBS.
Aceste diagrame sunt prezentate mai jos i sunt, din punctul meu de vedere, paii care sunt
necesari pentru a duce la bun ndeplinire un management de calitate pentru proiectul deimplementare a unei structuri PKI n cadrul bncii.
Echipa de proiect este compus din :
Project manager-ul este responsabil cu verificarea stadiului de implementare i
funcionare a proiectului. Deasemeni este implicat direct n procesul de analiz a specificaiilor
29
-
8/4/2019 Managementul proiectelor de securitate informatic
30/46
sistemului i pe baza discuiilor cu reprezentanii departamentelor bncii contribuie la elaborarea
cerinelor funcionale ale proiectului de securitate informatic.
Analistul software analizeaz cerinele departamentelor bncii i produce specificaiile
cerinelor necesare implementrii proiectului din punct de vedere software. Este implicat direct n
pasul de definire a parametrilor de implementare i configurare a infrastructurii PKI.
Analistul hardware analizeaz cerinele departamentelor bncii i produce specificaiile
cerinelor necesare implementrii proiectului din punct de vedere hardware. mpreun cu
personalul specializat este implicat n pasul de configurare a echipamentelor hardware ce compun
infrastructura PKI.
Specialistul PKI care este nsrcinat cu implementarea corect a structurii PKI stabilit n
pasul de analiz a proiectului. Din punct de vedere a implicrii pe etape de implementare, acestaeste implicat direct n toate etapele de analiz, configurare, implementare i testare a
infrastructurii.
Specialistul software definete i implementeaz parametrii de configurare a modulului de
indexare i arhivare a documentelor. Este direct responsabil pentru instalarea sistemelor de
operare pe serverele de lucru ale aplicaiei i desemeni va superviza instalarea i configurarea
aplicaiei ce va administra certificatele emise utilizatorilor. Deasemeni este implicat direct n
procesul de testare a aplicaiei i asigur mentenana acesteia.
Specialistul hardware este cel care definete i implementeaz mpreun cu specialistul
PKI structura hardware a infrastructurii de chei publice. Deasemeni este implicat n procesul de
testare funcional a proiectului.
Specialist baze de date e responsabil cu instalarea i configurearea bazei de date ce
deservete aplicaie de management al certificatelor digitale.
Angajaii bncii testeaz funcionarea ntregii infrastructuri de chei publice i particip lasesiunile de instruire cu privire la modul de utilizare a acestora.
Elaborarea unui proiect corect poate fi realizat pornind de la ceea ce dorim s obinem de
la acesta i aici ne referim la livrabilele proiectului. Pentru aceasta n figurile de mai jos am
prezentat structura PBS (Product Breakowdn Structure) cu livrabile specific fiecrei etape de
implementare a proiectului, etape care de altfel sunt surprinse n cadrul celei de-a doua diagram
30
-
8/4/2019 Managementul proiectelor de securitate informatic
31/46
WBS (Work BreakdownStructure). Livrabilele proiectului sunt att modulele funcionale ale
structurii PKI (servere, staii de lucru, scanere, aplicaie administrare certificate, licene ), dar i
manualele generate n procesul instruire ale personalului aa cum sunt diferite manual de utilizare
a aplicaiei sau de administrare a infrastructurii PKI (documente instruire, utilizare aplicaie,
administrare i management). Aceste livrabile specifice sunt exemplificate i n tabelul de maijos. Observm c n momenul n care vorbim de livrabile ne referim nu numai la echipamente ct
i la bunuri ne-materiale aa cum sunt sesiunile de instruire realizate de echipa de proiect n etapa
de predare a aplicaiei.
Tabel nr.2 : Livrabilele specifice proiectului
Echipamente Licene Documente Instruire
Servere Baza de date Specificaie cerinelordepartamentelor
Sesiune1
Staii delucru
Aplicaie
Aplicaie PKI Specificaia funcional PKI Sesiune2
Scanere
Aplicaieindexare/arhivare
documente Manuale
Utilizare
Sesiune3
Administrare
Aplicaie workflowsemnturi
InstruireSesiune
n
31
-
8/4/2019 Managementul proiectelor de securitate informatic
32/46
Structura PBS (product breakdown structure) pentru produsele (livrabilele) tehnice ale proiectului.
32
Infrastructur PKI deadministrare certificate
digitale
Echipamente Licene Documente Instruire
Servere
Staii de lucru
Scanere
Baza de date
Aplicaie
Modul PKI
Modul Indexare iarhivare documente
Modul workflowsemnturi digitale
Specificaiacerinelor
Departartamentrelaii clieni
Departamentvnzri
Departamentoperaiunibancare
Specificaiafuncional
Specificaiehardware
Manuale
Utilizare Administrare Instruire
Sesiune
Sesiune
Planul de testare
-
8/4/2019 Managementul proiectelor de securitate informatic
33/46
Structura WBS (Work Breakdown Structure) pentru cele mai importante activiti ale proiectului
33
Construcia sistemuluiAnaliz Proiectarea sistemului
Realizare infrastructurPKI de administrare a
cert. digitale
Predarea sistemului
Analiza cerine depart.Rel cu clienii
Analiza cerinelordepart. de Vnzri
Analiza cerinelordepart. de operaiuni
Producerea specificaieicerinelor
Definirea param. deconfig a structurii PKI
Definirea param. config.modul indexare i
arhivare doc
Definirea param. deconfig. modul workflow
semnare
Definirea arhitecturiihardware
Documentarea fluxurilorde semnare adocumentelor
Definirea param. deconfig. pt baza de date
Achiziiasistemului
Instalareasistemului
Instalareaechipam. hardware
Instalareaaplicaiei
Configurareabazei de date
Testarea intern asistemului
Configurarea aplicaiei
Configurareastructurii PKI
Configurareamodulului indexare
i arhivare
Configurareamodul workflow
semnare
Instruireautilizatorilor
Testarea final asistemului
Producereamanualelor
Manuale deinstruire
Manuale deadministrare
Manuale deutilizare
Instalarea bazei dedate
-
8/4/2019 Managementul proiectelor de securitate informatic
34/46
Aceste activiti prezentate n diagrama de mai sus i detaliate n acest capitol sunt
prezentate n cadrul diagramei Gantt de mai jos.
Figura 8: Diagrama WBS pe activiti de lucru
Prima etap a proiectului este cea de analiz, desfurat de ctre analiti de proiect i
reprezentani din cadrul tuturor departamentelor bncii i a departamentului IT. Aceast etap
34
-
8/4/2019 Managementul proiectelor de securitate informatic
35/46
este finalizat cu un document ce va prezenta specificaiile cerinelor reprezentanilor din toate
departamentele bncii.
Proiectul continu ulterior cu proiectarea soluiei care s rspund cerinelor identificate
n etapa de analiz. Va fi identificat arhitectura sistemului, funciile pe care trebuie s le
ndeplineasc i cerinele de configurare pentru modulele aplicaiei. Livrabile acestei etape sunt:
documentul de specificaie funcional pentru modulele aplicaiei i documentul de specificaie a
cerinelor pentru infrastructura hardware.
Dup proiectarea soluiei, n etapa de construcie a sistemului de management al
documentelor vor fi derulate activitile de achiziie a echipamentelor i a licenelor necesare. Tot
n aceast etap vor fi instalate i configurate echipamentele i baza de date. Construcia
sistemului va avea ca rezultat sistemul de management al semnturilor digitale complet
funcional, validat n urma unei testri interne de ctre specialitii din cadrul echipei de proiect.
Testarea i predarea n producie a aplicaiei constituie etapa final a proiectului. Aceasta
se finalizeaz odat cu validarea funcionalitilor sistemului n urma testrii aplicaiei de ctre
utilizatori. Tot n cadrul acestei etape se face intruirea utilizatorilor i se redacteaz manualele de
administrare i de utilizare.
Ca ultim etap de implementare a acestui proiect, avem n vedere jurnalizarea unui
proces de menetenan a sistemului ce include toate operaiile specifice unui astfel de proces:
- Mentenan sisteme de operare;
- Verificare i realizare back-up sistem i aplicaie;
- Aplicare patch-uri de securitatea sistem de operare i patch-uri aplicaie;
Prezentarea proiectului cu resursele aferente i ncrcarea acestora este prezentat n
figura de mai jos:
35
-
8/4/2019 Managementul proiectelor de securitate informatic
36/46
Figura 9: Resursele alocate pentru fiecare activitate i activitile critice
Se pot observa activitile critice ale proiectului, simbolizate prin culoarea roie i
deasemeni resursele alocate fiecrei activiti.
Diagrama de reea a proiectului ne prezint aceeleai activiti critice, din care putem
identifica mai clar activitile mari ale proiecului.
36
-
8/4/2019 Managementul proiectelor de securitate informatic
37/46
Figura 10 : Network diagram pentru principalele activiti ale proiectului
Cu ajutorul diagramei de reea generat de aplicaia Microsoft Office Project am
identificat activitile principale de implementare ale proiectului PKI n care puteam observa
care din aceste activiti sunt critice pentru derularea proiectului. Din punct de vedere al alocrii
resurselor putem observa c din toi cei implicai n procesul de implementare a acestui proiect,
doar specialistul PKI este singura resurs supra-alocat.
Figura 11 : Alocarea resurselor pentru proiectul de implementare uneiinfrastructuri PKI
37
-
8/4/2019 Managementul proiectelor de securitate informatic
38/46
MSURAREA EFECTELOR DERULRII PROIECTULUI N CONDIII DE
MANAGEMENT EFICIENT
Rezultatele experimentale
Rezultatele ob inute n urma implementrii unei infrastructuri de chei publice sunt
prezentate n tabelul de mai jos. Am luat n calcul varianta de lucru pentru un credit ipotecar care
de obicei necesit aprobarea acestuia la nivelul conducerii bncii. Pentru creditele cu anvergur
sczut, implementarea unei infrastructuri de chei publice aduce plus valoare prin integrarea unui
automatism de semnare intern a documentelor, neavnd un impact deosebit pentru clieni.
Tabel nr. 3 :Compara ie workflow documente
Nr.crt. StadiuTimp necesar scenariu clasic
vehiculare documenteTimp necesar scenariu
semntur digital
1.Depunerea dosarului
de credit1-5 zile 1 zi
2. Departamentuljuridic 5 zile 4 zile
3. Conducere filial 3 zile - 1 sptmn 1 zi
4.Departamentul
financiar 5 zile 2 sptmni 3 zile 1 sptmn1
Sursa: observaii relevate n urma etapei de testare final a sistemului de ctre angajaii bncii
Se observ o diminuare a perioadei minime necesare pentru acordarea unui credit
ipotecar cu un procent de 40% n varianta cu semntur digital dect n variant clasic.
Perioadele critice de analiz a dosarului de credit sunt cele n care acesta este prezentat
departamentelor juridic i financiar unde mecanismele de aprobare i verificare a documentelor
nu sunt influenate substanial de implementare noului sistem.
1 ntruct ultima faz de acordare a creditului de la secia financiar nu depinde de nivelul de implementare a unuiinfrastructuri de chei publice, perioada de lucru nu se modific.
38
-
8/4/2019 Managementul proiectelor de securitate informatic
39/46
Analiza proiectului de securitate Implementare infrastructur chei publice
Implementarea unei infrastructuri de chei publice are un impact deosebit asupra
organizaiei mai ales din cauza complexitii pe care acesta l aduce astfel c trebuie luate n
considerare riscurile care pot aprea. Metodele de verificare a semnturii electronice trebuie sfie ntelese bine de ctre anagajai i mai ales s se reflecte corect n ochii clieniilor.
Analiza riscurilor de implementare:
n cazul nostru, riscurile sunt legate de urmtoarele aspecte:
Toi angajaii trebuie s fie contieni de importana principiilor criptografice ce
guverneaz un sistem de chei publice i mai ales de importana cheii private care va
deveni echivalentul semnturii olografe. Migrarea sistemului tradiional de semnare a documentelor ctre semntura electronic
se poate ntinde pe o perioad mai lung de timp ntruct complexitatea sistemului este
dat i de sensibilitatea datelor ce sunt vehiculate n cadrul firmei int.
Integrarea noilor documente semnate electronic pe platformele electronice ale
partenerilor bncii.Certificatele digitale trebuie s fie global recunoscute i verificabile
pentru a asigura interoperabilitatea cu bncile i instituiile partenere.
Managementul crescut al noului sistem spre deosebire de vechiul sistem de
gestionare a documentelor , n cadrul unui PKI , documentele electronice i
certificatele digitale aferente lor sunt susceptibile unei permanente verificri din punct
de vedere a valabilitii semnturilor aplicate asupra acestora. Mecanisme de verificare
gen OCSP (Online Certificate Signing Protocol) sau Autoriti de Marc Temporal
trebuie implementate i corect administrate pentru a susine omogenitatea sistemului
PKI.
Costurile de dezvoltare a unei infrastructuri PKI sunt ridicate.
Riscurile pe care le implic soluia propus sunt sintetizate n urmtorul tabel pe o scar de
10 uniti pentru paguba pe care o funcionare defectuoas a noului sistem o poate aduce bncii.
Importana unui astfel de eveniment este calculat n funcie de elementele de securitate ale
proiectului care sunt afectate i de impactul pe care probabilitate sau apariia unui eventual risc l
are asupra mediului de lucru.
39
-
8/4/2019 Managementul proiectelor de securitate informatic
40/46
Ce afecteaz? Paguba Importana Impactul
Relaia cu clienii 3 3 2Sntatea financiar 2 3 4
Profitabilitatea 2 4 1
Eficiena organizaiei 5 5 6
Imaginea organizaiei 6 5 9
Din punct de vedere al riscului pe care o asemenea implementare o presupune, consider cn relaia cu clienii bncii, prejudiciul adus imaginii bncii este cel mai important pentru ca
securitatea tranzaciilor este cea mai important. Eficiena organizaiei este serios afectat
ntruct odat ce mecanismele semnturii electronice sunt implementate, acestea trebuie s
prezinte un procent de disponibilitate foarte ridicat, orice disfunionalitate n procesul de semnare
a documentelor reprezentnd o ntrziere inevitabil a proceselor bncii.
Anticiparea probabilitii evenimentelor nedorite:
Evenimentele nedorite ce pot aprea att pe parcursul procesului de implementare a
infrastructruii PKI ct i n procesul de utilizare a acesteia sunt strict legate de urmtori indicatori
de calitate a proiectului:
1. Complexitatea proiectului:
Probabilitate
Personal insuficient pregtit Mic
Integrarea cu aplicaia de lucru existent Medie
40
-
8/4/2019 Managementul proiectelor de securitate informatic
41/46
2. Organizarea ineficient:
Probabilitate
Suprasolicitarea resurselor existente Foarte mic
Apariia conflictelor Medie
Formularea concret a deciziilor Medie
Datorit mecanismelor de administrare a ciclului de via a certificatelor digitale i
implicit a identitii personalului bncii, probabilitatea de apariie a conflictelor sau de
suprasolicitare a resurselor interne este redus la maxim. Aplicaia software integrat n cadrul
infrastructurii, respect principiile de baz ale criptografiei (confidenialitate, integritate,
autentificare, nerepudiere) reducnd posibilitatea de apariie a conflictelor datorate uneiorganizri ineficiente.
3. Mecanismele managementului de risc:
Integrarea intern i externPlanificarea
controlului
Risc
mediu
Incapacitatea de a lega sistemul cu aplicaia de suport
existent
Apariia conflictelor
Risc
sczutSuprasolicitarea resurselor Atribuirea sarcinilor
41
-
8/4/2019 Managementul proiectelor de securitate informatic
42/46
Se observ c implementarea unei astfel de soluii suscit probleme de management doar
la nivelul integrrii noii aplicaii cu structura organizatoric i fluxul de lucru al documenelor
deja implementat la nivelul bncii. Prin mecanismele preventive ale managementului de risc
aceast integrare cu aplicaiile deja existente la nivelul bncii pot suprasolicita resursele umane
ale bncii n procesul de implementare i testare ale infrastructurii de chei publice. La nivelulimaginii, implementarea unei astfel de soluii aduce un plus valoare bncii genernd soluii
suplimentare de atragere de noi clieni i mai ales de securizare a tranzaciilor la nivelul portalului
web al bncii. Din punct de vedere al managementului organizaional, integrarea unei astfel de
soluii genereaz automatisme de flux al semnturilor digitale, care pot fi integrate cu soluiile
deja existente pe pia la nivel de aplicaii software (modulul de semntur electronic disponibil
n pachetul Microsoft Office 2007, Forefront Identity Manager 2010).
6.. CONCLUZII
Proiectul pe care l implementm la nivel de evaluare a performanelor de lucru din cadrul
unei instituii bancare, ofer un plus considerabil de valoare instituiei n sine fr a lua n calcul
beneficiile prezentate n cadrul rezultatelor experimentale. Reducerea considerabil a timpului
necesar unui client pentru a obine un credit este un factor important n luarea deciziei de a
implementa un astfel de sistem la nivelul bncii. Securizarea tranzaciilor la nivelul portalului
web al bncii crete volumul de produse de tip e-market pe care instituia le comercializeaz n
mediul on-line. S nu uitm de securitatea crescut pe care acest proiect o implementeaz
portalului web amintit mai sus.
Avnd n vedere aceste mbuntiri considerabile i deasemeni rezultatele superioare
obinute n comparaie cu tranzaciile bancare clasice, este imperios necesar implementarea
unei infrastructuri de chei publice pentru gestionarea certificatelor digitale i pentru uurarea
traficului generat de volumul mare de documente necesare operaiunilor de la nivelul bncii.
Managementul unui astfel de proiect decurge din situaia impus de mediul de
implementare. Din analiza rezultatelor experimentale, observm c un proiect ce ranforseaz
securitatea din cadrul unui sistem are parte de elemente care pot fi privite cu reticen n stadiul
de analiz a acestuia.
42
-
8/4/2019 Managementul proiectelor de securitate informatic
43/46
Analiza SWOT a proiectului de implementare a unei infrastructuri de chei publice n
cadrul unei bnci:
Puncte tari:
Structura bncii este una care permite organizare pe module funcionale ale aplicaiei PKI.
Fluxul de lucru deja existent n cadrul bncii permite o implementare facil a structurii
funcionale PKI exact pe structura organizaional a bncii.
Scderea timpului necesar pentru acordarea unui credit cu un procent de aproximativ 40%
identific punctul forte al acestui proiect.
Existen personalului specializat (specialist software, specialist hardware) n cadrul
bncii reprezint un atu al acestui proiect, avantaj evideniat i de timpul relativ restrns de
implementare a proiectului n cadrul diagramei Gantt.
Reducerea fraudelor la nivelul portalului web al bncii coroborat cu analiza atacurilor de
tip phising pe anii 2008-2009.
Puncte slabe:
Complexitatea implementrii proiectului care necesit personal pregtit din toate
domeniile (software, hardware, baze de date, analiti) poate fi privit cu reticen pe personalul
bncii.
Incapacitatea de a lega complet aplicaia de management cu toate departamentele bncii.
La nivelul departamentelor financiar i juridic, timpii de acces sunt aproape neschimbai datorit
mecanismelor interne ce nu pot fi influenate de implementarea unei astfel de soluii.
Oportuniti:
Se impune o activitate mai ampl, de gsire a unor noi oportuniti de reprezentare a
produselor pe pia prin intermediul unui serviciu de tip self-banking disponibil direct pe portalul
web al bncii. Infrastructura implementat ofer suport pentru generarea i administrarea unor
reele securizate de tip VPN-SSL prin autentificarea pe baz de certificate digitale a
dispozitivelor ce interconecteaz banca central i filialele teritoriale.
Ameninri:
43
-
8/4/2019 Managementul proiectelor de securitate informatic
44/46
Riscul tehnic este ridicat datorit structurii ierarhice pe dou niveluri pe care este
implementat structura PKI. Ultimul pas din proiectul de implementare a structurii PKI
este acela de mentenan periodic ceea ce presupune disponibilitatea personalului
specializat n cazul apariiei unei defectri ale sistemului.
Ameninrile de securitate sunt permanente ceea ce presupune ca pasul de mentenan sfie meninut mai mult dect este stipulat n cadrul diagramei Gantt (1 an dup predarea
sistemului).
44
-
8/4/2019 Managementul proiectelor de securitate informatic
45/46
BIBLIOGRAFIE
n elaborarea lucrrii de disertaie s-au folosit surse de date electronice precum i diverse
lucrri de cercetare din cadrul facultii, dar i mediul actual de munc. Manualele de
documentare sunt prezentate n lista de mai jos cu departajarea acestora pe tipuri de surs:
1. [IVAN02] Ion Ivan, Paul Pocatilu - Semnatura electronica si securitatea datelor
n comertul electronic; Revista Informatica Economica, nr. 3(23)/2002;
2. [PATR01] Victor-Valeriu Patriciu, Securitatea comerului electronic , Ed. All,
Bucureti, 2001;
3. [STAL98] W. Stalings - Cryptography & Network Security, Prentice Hall, USA,
1998;
4. [IVAN99] Managementul calitii software - Ion IVAN, LaureniuTEODORESCU - Revista Informatica Economic, nr. 12/1999;
5. [BODE07] Bodea, C. An Innovative system for Learning Services in Project
Management, Proceedings of 2007- IEEE/INFORMS International Conference
on Service Operations and Logistics and Informatics, Philadephia, SUA, ISBN 1-
4244-1117-3, IEEE, august 2007
6. [PATR98] Valeriu Patriciu, Securitatea informatic n UNIX i INTERNET, Ed.
Tehnic, 1998;7. [KOMA08] Brian Komar Windows server 2008 PKI and Certificate Security,
2008, Microsoft
8. [KOMA03] Brian Komar Windows server 2003 PKI and Certificate Security,
2003, Microsoft
9. [GILB88] Tom Gilb, Principles of Software Engineering Management, Addison
Wesley, 1988.
10.[BODE07] Constana Bodea Cursul de Fundamente ale ManagementulProiectelor, ASE, Bucureti, noiembrie 2007
45
-
8/4/2019 Managementul proiectelor de securitate informatic
46/46
Internet:
http://www.freerepublic.com/~aprpeh/
http://ospkibook.sourceforge.net/
http://www.webopedia.com/TERM/P/PKI.html
http://www.pmi.org