Securitatea eBusiness - Securitatea Informatica

Securitatea eBusiness

Stabilirea încrederii necesare între partenerii de afaceri este în mare măsură un aspect subiectiv afectat de reputaţia şi imaginea organizaţiilor sau întreprinderilor în discuţie. Acest fapt se referă la credibilitatea globală, care este esenţială în afacerile tradiţionale şi în cele cu o puternică penetrare ICT şi vizibilitate în reţea. Înţelegerea posibilelor ameninţări şi instrumentelor comune de asigurare a securităţii ICT este importantă pentru un mediu sigur de eBusiness.

Sarcina acestui obiectiv de învăţare constă în descrierea valorii activelor ICT şi celor mai comune aspecte de securitate ICT. eBusiness constă în mod esenţial în implementarea proceselor comerciale prin utilizarea ICT şi serviciilor internet (vânzarea şi cumpărarea de bunuri prin internet). În cazul eBusiness, toate procesele comerciale vor opera prin internet şi în mediul web. Toate procesele comerciale trebuie să fie conectate şi disponibile prin internet pentru utilizatori. Calitatea constă în disponibilitatea persoanelor şi claritatea managementului. Pentru
analizarea proceselor de comerţ se recomandă documentarea tuturor proceselor şi păstrarea posibilităţii verificării ulterioare. Există posibilităţi de transferare a tuturor proceselor comerciale în mediu bazat pe internet: comunicare şi forum, e-mail, evaluare, stoc, cumpărare, management documente, management de proiect, management de program, etc.

Valoarea securitatii

Instrumentele ICT trebuie să asigure accesul, disponibilitatea, controlul şi confidenţialitatea datelor. Pentru evitarea erorilor şi actualizarea datelor datele trebuie sincronizate periodic. Pentru asigurarea securităţii ICT într-o întreprindere, politica de securitate ICT trebuie menţionată pentru întreaga organizaţie. Politica de securitate ICT este o documentaţie care prevede managementul ICT în organizaţie
şi în sistemele informatice.

Proprietăţile ICT sunt:

  • Date (informaţii, cunoştinţe)
  • Dispozitive ICT: computere, hardware, etc.
  • Canale de comunicare date
  • Software

Implementarea si adoptarea ICT

Implementarea politicii de securitate ICT impune activităţi sistematice în
întreaga întreprindere. Asigurarea securităţii ICT presupune cooperarea
specialiştilor ICT, directorilor ICT, directorilor comerciali şi celor financiari.

La asigurarea securităţii sistemului este foarte importantă alegerea soluţiilor ICT adecvate (eBusiness este bazată pe sisteme informatice). La selectarea soluţiei ICT ar trebui avute în vedere:

  • Poate fi continuată dezvoltarea sistemului?
  • Ce tip de soluţii este cel mai bun pentru întreprindere?
  • Cât costă toate resursele (hardware, software, instalare, integrare, instruire, etc.) ?
  • Cum să se integreze sistemul eBusiness în software-ul existent (există diferite platforme de software: pentru stoc, vânzări, contabilitate, etc.) ?
  • Care sunt cerinţele suplimentare de autentificare, încriptare, securitate a datelor, etc. ?
  • Proiectarea şi programarea sistemului informatic ar trebui să ţină seama de securitate.

Valoarea activelor ICT ca fiind critice pentru activitate

Un sistem critic este orice sistem a cărui performanţă sigură este crucială pentru succesul performanţei organizaţiei în care este folosit, de ex serverul web al unui magazin virtual ar fi considerat critic iar un procesor word folosit ocazional nu ar fi.

În general putem suporta erorile din sistemele informatice. Putem reporni, soluţiona problema sau chiar ne putem opri. Din nefericire, aceste răspunsuri nu sunt acceptabile dacă se aplică următoarele:

  • Defecţiunea pune în pericol viaţa oamenilor.
  • Defecţiunea generează mari daune economice.
  • Incapacitatea sistemului de a funcţiona ar fi social iresponsabilă.

Particularitatea acestui tip de sistem constă în faptul că misiunea sistemului constă în motivul pentru care a fost creat. Defecţiunea acestuia este inacceptabilă.

Aceste sisteme sunt critice pentru sistem. Este posibilă recunoaşterea valorii sistemului dacă adresăm următoarele întrebări:

  • Ce se întâmplă dacă sistemul nu funcţionează corect timp de 1 minut / 1 oră / 1 zi / 1 săptămână (cât de repede trebuie corectat sistemul pentru evitarea daunelor)?
  • Ce se întâmplă dacă se pierd datele de sistem?
  • Ce se întâmplă dacă datele de sistem devin accesibile publicului?

Dacă o organizaţie poate derula activităţi dar este afectată termen limitat în cazul producerii celor de mai sus, atunci sistemul nu este critic. Viteza şi acurateţea sistemelor care furnizează informaţiile necesare sunt esenţiale pentru luarea deciziilor.

Valoarea aspectelor de securitate ICT

O relaţie de afaceri eficientă se bazează pe încrederea dintre partenerii de afaceri, iar asigurarea securităţii este un element cheie. Aceasta se aplică oricăror activităţi şi mai mult chiar în cazul derulate prin Internet precum eBusiness.

Confidenţialitatea este esenţială, nu oricine poate citi orice, de exemplu facturi electronice, condiţii de vânzare, preţuri, etc.

Integritatea este cel mai important aspect în securitatea eBusiness. Este necesară pentru câştigarea încrederii. Integritatea, legată de securitatea sistemului, înseamnă că informaţiile pot fi accesate numai de persoanele autorizate. Datele cu integritate nu sunt modificate sau distruse fără autorizare.

Disponibilitatea datelor este de exemplu dependentă de stabilitatea şi timpul de operare al sistemelor şi de posibilitatea localizări mesajelor electronice. Datele adecvate trebuie să existe. Este de încredere dacă societăţile (sau sistemele) pot solicita confirmarea de primire şi notificarea primirii mesajelor de către destinatar.

Amenintari la securitatea ICT

Infracţiunile virtuale constau în infracţiuni specifice legate de computere şi reţele şi de facilitarea infracţiunilor tradiţionale prin intermediul computerului (şi anume pornografie juvenilă, furt de identitate şi conturi de card de credit). Separat, mai există şi infracţiunile asistate de computer care se referă la utilizarea computerelor de infractori pentru comunicare sau stocare de documente sau date. În timp ce aceste activităţi în sine nu sunt ilegale, sunt deseori de valoare în investigarea infracţiunilor. Tehnologia informatică prezintă multe noi provocări de politică socială privind intimitatea, aceasta referindu-se la investigaţiile penale.

Furtul de identitate şi frauda de identitate sunt termeni utilizaţi pentru toate tipurile de infracţiuni în care o persoană obţine nelegal şi utilizează datele personale ale altei persoane prin fraudă sau înşelăciune, în general pentru câştiguri materiale.

Spargerea de coduri este utilizarea neautorizată sau tentativa de a evita mecanismele de securitate ale unui sistem informatic sau unei reţele. Poate fi şi o ameninţare la computerul unui utilizator deoarece acesta îi poate asigura spărgătorului de coduri control totala supra sistemului din care poate sustrage informaţii delicate sau clasificate, distruge sau derula activităţi ilegale într-o reţea sau sistem informatic.

Un keylogger sau dispozitiv de introducere coduri, sau sistem monitor, este un hardware sau program care monitorizează fiecare cheie introdusă de utilizatori pe tastatura unui anumit computer. Ca dispozitiv hardware, este un dispozitiv cu baterie care serveşte drept conector între tastatura utilizatorului şi computer. Deoarece seamănă cu o mufă de tastatură, este relativ uşor să fie ascuns la vedere. Informaţiile tastate de utilizator sunt salvate ca text pe un hard drive în miniatură.
Ulterior, persoana care l-a instalat se poate întoarce şi îndepărta dispozitivul pentru a avea acces la informaţiile stocate. Un astfel de program nu necesită accesul fizic la computerul utilizatorului. Cineva care doreşte să monitorizeze activitatea unui anumit computer îl poate descărca în acest sens sau poate fi descărcat accidental ca parte a virusului Troian. Programul înregistrează fiecare tastă accesată de utilizator şi încarcă informaţiile prin Internet în mod periodic.

Ameninţările instrumentelor de comunicare: MSN, Skype, etc. – recomandarea este să nu accesaţi fişierele suspecte. Ameninţări de la navigatoare web: spy ware, cookies etc. – configuraţi navigatorul web astfel încât să nu accepte cookies.

Posibile cai de intruziune

Există canale posibile de intruziune care trebuie asigurate, tehnic şi uman:

  • Wi-Fi – Wi-Fi este o tehnologie fără fir destinată perfecţionării interoperabilităţii reţelelor locale fără fir. Aplicaţiile comune Wi-Fi includ accesul Internet şi VoIP, jocurişi conectivitatea reţelei pentru electroinice de larg consum precum televiziune, DVD player.
  • VPN – reţeaua privată virtuală este o reţea de comunicaţii accesată prin altă reţea şi destinată unei anumite reţele. O aplicaţie comună constă în asigurarea comunicaţiilor prin Internetul public, dar o VPN nu trebuie să deţină trăsături explicite de securitate, precum autentificarea sau încriptarea conţinutului.
  • WLAN – LAN fără fir sau WLAN este o reţea locală fără fir, care leagă două sau mai multe computere fără fir.
  • Bluetooth – Bluetooth este specificaţia industrială pentru reţelele personale fără fir (PAN). Bluetooth asigură conectarea şi schimbul de informaţii între dispozitive precum telefoane mobile, uri, PC-uri, imprimante, camere digitale şi console de jocuri video.
  • Altele (şi anume angajaţii).

Instrumente comune pentru asigurarea securitatii ICT

Posibile instrumente de perfecţionare a securităţii ICT şi evitare a atacurilor sunt următoarele soluţii:

  • Antivirus software – este importantă actualizarea periodică
  • Firewall
  • Filtru Spam
  • Identificare/certificate electronice
  • Autentificare încriptată
  • Semnătură electronică sau identificare
  • Evitarea spy ware prin internet

Cum sa ne comportam sigur?

Pentru asigurarea securităţii ICT în organizaţie, politica de securitate ICT trebuie specificată. Se recomandă determinarea principalelor obiective de implementare a proprietăţilor ICT. Politica de securitate ICT trebuie considerată politică de informaţii şi de marketing. Se mai recomandă stabilirea metodelor de rezolvare a securităţii în anumite cazuri (inclusiv analize de risc). O parte importantă a politicii de securitate ICT este responsabilitatea fiecărui angajat.

Politica de securitate ICT include şi se referă la:

  • Securitatea hardware şi software, care presupune şi include:
    • Identificarea şi autentificarea.
    • Ajustarea accesului.
    • Infrastructura reţelei.
    • Ştergerea activităţilor, software dubios (modificarea informaţiilor).
    • Securitatea computerelor (desktop şi laptop).
  • Securitatea comunicării de date include:
    • Infrastructura reţelei.
    • Securitatea accesului la internet.
    • Încriptarea şi autentificarea telecomunicaţiilor.
    • Nu se recomandă localizarea serverelor web în spaţiile societăţii.
  • Securitatea fizică include:
    • Securitatea clădirii, inclusiv protecţia serviciilor.
    • Acces la computere şi surse de date (baze de date, sisteme
      informatice, etc.).
    • Descoperirea şi raportarea ameninţărilor.
    • Protecţie dispozitiv (ameninţări).
    • Reglementarea serviciilor şi întreţinerii.
  • Securitatea documentelor şi surselor de date (toate tipurile de transportator de date) include cerinţe privind:
    • Stocarea datelor.
    • Livrarea datelor.
    • Ştergerea datelor.
  • Siguranţa procedurii eBusiness trebuie reglementată de reguli interne:
    • Crearea copiilor de siguranţă.
    • Crearea strategiei pentru situaţii specifice, planuri principale pentru cazuri specifice.
    • Instrucţiuni şi documentaţie pentru documentaţia politicii de securitate ICT.
    • Instruirea şi asigurarea cunoaşterii de către angajaţi. Stabilirea modului de reglementare a anunţării incidentelor de securitate (intruziuni, scurgeri de date) .
    • Modalitatea sigură de utilizare a e-mail-ului – cerinţa principală este să nu se deschidă sau acceseze ataşamentele dubioase. Nu publicaţi adresa de e-mail pe situri web.
    • Utilizarea şi păstrarea parolelor– reţineţi toate parolele (accesul la reţea şi sistemele eBusiness).
    • Identificare electronică – închideţi sesiunea.
    • Stergerea sigură a datelor (nu trimiteţi fişierul numai la Recycle Bin)

Imbunatatirea sistemelor de management pentru sistemele informatice

Această lucrare este o scurtă informaţie referitoare la importanta securităţii sistemelor informatice pentru activitatea oricărui tip de organizaţie. Securitatea informaţiei este caracterizată ca fiind cea care asigura şi menţine următoarele:

  • confidenţialitatea: asigurarea faptului că informaţia este accesibilă numai celor autorizaţi să aibă acces;
  • integritatea: păstrarea acurateţei şi completitudinii informaţiei precum şi a metodelor de procesare;
  • disponibilitatea: asigurarea faptului că utilizatorii autorizaţi au acces la informaţie şi la resursele asociate atunci când este necesar.

Lucrarea îşi propune prezentarea pe scurt a importanţei managementului
sistemelor informatice în contextul în care amploarea dezvoltării societăţii informaţionale impune reglementarea legilor şi drepturilor pentru dezvoltarea comerţului electronic, societăţii informaţionale revenindu-i rolul îmbunătăţirii productivităţii şi calităţii vieţii. Potenţialul societăţii informaţionale (impactul instaurării erei informatice constituie pentru epoca modernă ceea ce au însemnat cronologic pentru omenire, descoperirea focului, fierului, petrolului etc) este în continuă creştere datorită dezvoltării tehnologice şi a căilor de acces multiple.

În acest context, desfăşurarea în bune condiţii a activităţii securităţii
sistemelor informatice impune existenţa unui sistem IT funcţionabil.
Managementul securităţii sistemelor IT constituie un factor hotărâtor in buna desfăşurare a activităţii unei companii, pentru asigurarea protecţiei datelor şi a efectuării de tranzacţii electronice în condiţiile în care activitatea celor mai multe instituţii, întreprinderi depinde în proporţie de circa 67 % de propriul lor sistem informatic. Se pot enumera printre principalele mijloace tehnice implementate de întreprinderile societăţii moderne a căror activitate nu se poate desfăşura optim fără un sistem informatic bine pus la punct: programe antivirus, salvare a datelor, instruire referitoare la importanţa implementării şi urmăririi măsurilor de securitate.

În lucrare sunt prezentate pe scurt elemente de standardizare internatională in domeniul managementului securităţii sistemelor informatice, standardizarea internaţională constituind un factor important în stabilirea şi managementul securităţii informaţiei.

Deci societatea informaţională impune:

  • reglementarea legilor şi drepturilor pentru dezvoltarea comerţului electronic
  • îmbunătăţirea productivităţii şi calităţii vieţii.

Impactul instaurării erei informatice constituie pentru epoca modernă ceea ce au însemnat cronologic pentru omenire, descoperirea focului, fierului, petrolului etc) este în continuă creştere datorită dezvoltării tehnologice şi a căilor de acces multiple.

Desfăşurarea în bune condiţii a activităţii securităţii sistemelor informatice impune existenţa unui sistem IT funcţionabil. Managementul securităţii sistemelor IT constituie un factor hotărâtor în buna
desfăşurare a activităţii unei companii, pentru asigurarea protecţiei datelor şi efectuarea de tranzacţii electronice în condiţiile în care activitatea celor mai multe instituţii, întreprinderi depinde în proporţie de circa 67 % de propriul lor sistem informatic.

Întreprinderile societăţii moderne nu-şi pot desfăşurea activitatea optim fără un sistem informatic bine pus la punct, ceea ce implică:

  • programe antivirus
  • programe de salvare a datelor
  • instruire referitoare la importanţa implementării
  • urmărire a măsurilor de securitate

Elemente de standardizare internatională în domeniul managementului
securităţii sistemelor informatice sunt cuprinse în:

  • standardul ISO/CEI 13335: Information technology- Guidelines for the management of IT-Security – cuprinde recomandări cu privire la analiza riscului pentru companii (Common Criteria)
  • standardul ISO/CEI 17799: Information technology- Code of practice for information security management – se referă la implementarea politicii de securitate (SMSI) şi la managementul acestuia
  • standardul ISO/CEI 17799:2000: se referă la codul practicilor SMSI
  • standardul britanic BS 7799-2:2002: se referă la cerinţe şi la managementul sistemului de securitate
  • standardul ISO/CEI 17799:2000: precizează recomandări pentru managementul securităţii informaţiei pentru a putea fi folosite de către cei responsabili cu iniţierea, implementarea sau menţinerea securităţii în organizaţia lor pentru a exista control asupra tehnicii şi procedurilor
  • seria de standarde ISO 15408: Information technology- Evaluation criteria for IT security – se referă la evaluarea securităţii sistemelor informatice prin mijloace tehnice adecvate, standardul definind criterii de evaluare şi certificare pe baza cărora vor fi evaluate şi certificate profilurile de protecţie

Sunt de menţionat următoarele:

  • existenţa politicii de securitate trebuie dovedită printr-un document obiectiv care explică ce se aşteaptă de la organizaţie
  • informaţia este un un bun economic care trebuie protejat şi securizat. Nu există cerinţe absolute
  • TŰVIT-Germania este singura organizaţie acreditată pentru certificarea sistemelor de securitate în domeniu

Securizarea sistemului de Tehnologia Informaţiei este importantă pentru:

  • dezvoltarea încrederii ceea ce dă posibilitatea întocmirii unor contracte economice pentru tranzacţiile on-line
  • identificarea informaţiilor critice şi stabilirea claselor de criticitate
  • optimizarea costurilor într-o companie care lucrează în regim securizat
  • asigurarea cerinţelor legale referitoare la securitatea informaţiilor
  • educaţia şi instruirea
  • raportarea incidentelor
  • planificarea continuă

În continuare se vor sublinia câteva din cele mai importante aspecte din
standardul ISO/CEI 17799. Acest standard asigură un cadru comun pentru dezvoltarea standardelor organizaţionale de securitate şi pentru o practică efectivă de management al securităţii informaţiei.

Standardul precizează pentru început:

  • Ce este securitatea informaţiei?
  • De ce este necesară securitatea informaţiei?
  • Cum se stabilesc cerinţele de securitate
  • Evaluarea riscurilor de securitate
  • Selectarea controalelor
  • Punct de plecare pentru securitatea informaţiei
  • Factori critici de succes
  • Dezvoltarea propriilor linii directoare

Un aspect important al securităţii sistemelor informatice îl constituie
stabilirea politicii de securitate, care este documentul prin care se specifică politica de securitate a informaţiei şi care trebuie permanent supusă unei politici de revizuire şi evaluare.

Referitor la securitatea organizaţională sunt importante de avut în vedere următoarele aspecte:

  • infrastructura securităţii informaţiei
  • constituirea unei comisii pentru managementul securităţii informaţiei
  • coordonarea securităţii informaţiei
  • alocare a responsabilităţilor pentru securitatea informaţiei
  • procesul de autorizare pentru utilităţile de procesare a informaţiei
  • consilierea din partea unui specialist în securitatea informaţiei
  • cooperarea între organizaţii
  • revizuirea independentă a securităţii informaţiei
  • securitatea accesului terţilor
  • identificarea riscurilor în cazul accesului terţilor
  • cerinţele de securitate în contractele cu terţii

O instituţie în care urmează a se implementa sistemul de management al
securităţii informaţiei trebuie să înceapă cu clasificarea şi controlul activelor, ceea ce înseamnă:

  • stabilirea responsabilităţii pentru active
  • realizarea inventarului tutor activelor din organizaţie
  • clasificarea informaţiei
  • stabilirea de îndrumări pentru clasificare
  • etichetarea şi gestionarea informaţiei

Asigurarea securităţii personalului implică:

  • securitate în definire
  • instruire utilizatori
  • răspuns la incidente de securitate sau acţiuni

Managementul comunicaţiilor şi funcţionării implică:

  • proceduri şi responsabilităţi operaţionale
  • planificarea şi acceptabilitatea sistemului
  • protecţia împotriva software-ului maliţios

Alte aspecte importante de care trebuie să se ţină cont în implementarea managementului securităţii sistemelor informatice sunt cele privind:

  • - mentenanţa
  • managementul reţelei
  • operarea şi securitatea mediilor de stocare
  • schimburile de informaţie şi software
  • controlul accesului

Îmbunătăţirea calităţii managementului sistemelor informatice implică:

  • asigurarea securităţii sistemelor informatice pentru domeniul financiar
  • asigurarea sănătăţii
  • telecomunicaţii
  • furnizarea de soluţii soft
  • activitatea organizaţiilor guvernamentale precum şi a celor non-profit şi în menţinerea siguranţei naţionale
Twitter Digg Delicious Stumbleupon Technorati Facebook


Nici un comentariu inca... Fii primul care lasa un comentariu!

Lasa un raspuns

This site is protected by Comment SPAM Wiper. This site is protected by WP-CopyRightPro