Securitatea Sistemelor Informationale Si Riscurile Asociate Componentei Umane
This document was uploaded by user and they confirmed that they have the permission to share it. If you are author or own the copyright of this book, please report to us by using this DMCA report form. Report DMCA
Overview
Download & View Securitatea Sistemelor Informationale Si Riscurile Asociate Componentei Umane as PDF for free.
More details
- Words: 2,565
- Pages: 6
Securitatea sistemelor informaţionale şi riscurile asociate componentei umane Valentin Măzăreanu Let’s listen for a while Otto von Bismark’s words: “…I’d prefer to learn from other’s mistakes and so to avoid the price I will have to pay for my mistakes.” In this spirit, this paper is trying to get on to some aspects about people vs. system, about information security, so vital for a business and the way people can affect it. Learning about this will make the process of risk identification more productive and so leading to a successful management. Key words: information security, risk management, human resource, social engineering, new economy
Introducere Risk is everywhere....În managementul proiectelor se merge şi mai departe, afirmându-se că e un risc să nu existe riscuri. Evident, ele există! Doar că nu au fost identificate. Soluţia o reprezintă managementul riscului, proces ce implică identificarea riscurilor care ar putea afecta succesul unui proiect şi administrarea proactivă a acestora, în vederea eliminării sau reducerii impactului acestora. E aproape la fel cum Sun Tzu spunea în Arta Războiului: „E mai bine să capturezi armata inamică, decât să o nimiceşti; e mai bine să prinzi intacte un batalion, o companie sau o grupă de cinci oameni decât să le nimiceşti.” E vorba însă de un proces ce solicită din ce în ce mai mult, având în vedere că păşim într-o societate în care să vorbeşti doar de ... capital ... muncă ... natură ... nu mai este suficient. Informaţia şi tehnologia informaţională sunt componente care nu mai pot fi ignorate de mult. Trăim astfel un nou „Big Bang”, cel al economiei digitale. Facem e-Business, cumpărăm de la e-Mall, ne achităm obligaţiile către stat prin e-Tax, trăim în eDemocraţie, iar statul ne e-Guvernează. Implementăm soluţii: Enterprise Resource Planning (ERP), Customer Relantionship Management (CRM), Supply Chain Management (SpCM).... Dar, la soluţii noi, riscuri pe măsură! Asistăm astfel la viruşi informatici din ce în ce mai „performanţi”, care încep să atace sistemele de operare ale telefoanelor mobile, PDA-urilor sau ale calculatoarelor de bord ale autovehiculelor; cardurile inteligente solicită măsuri de securizare bazate pe algoritmi de criptare avansaţi; ca măsură de securizare se dezvoltă sisteme de biometrie, ba mai mult, behaviometrie. Rândurile următoare prezintă câteva aspecte ale riscului pe care componenta umană, poate cea mai incontrolabilă componentă a lumii înconjurătoare, sursă primară de incertitudine după John von Neuman şi Oskar Morgenstern, îl prezintă vis-a-vis de administrarea unui sistem informaţional, prin prisma a două planuri, şi anume: riscul generat de atacurile la sistemul informaţional şi riscul generat de statutul de „poziţie cheie” a unei resurse umane în cadrul sistemului.
Doctorand cu frecvenţă, Universitatea „Al.I.Cuza”, Iaşi, Facultatea de Economie şi Administrarea Afacerilor, catedra de Informatică Economică
1. Riscul generat de proprii angajaţi Referindu-se la atacurile umane asupra sistemelor informaţionale, Eugene Spafford, expert în securitatea Internetului şi profesor la Universitatea Purdue, afirmă [theta]: „...percepţia publicului asupra persoanelor ce accesează fraudulos un sistem informaţional este, din păcate, una prin care acestea sunt considerate fie genii, fie copii îndrumaţi greşit şi care se dau în spectacol. Dar acest fapt este departe de adevăr. Aceste persoane sunt pur şi simplu nişte infractori.” Atunci când se vorbeşte despre criminalitate informatică, se aminteşte şi de faptul că această „autostradă” a informaţiei are şi partea sa de „nelegiuiţi” [theta]. Şi chiar dacă prin criminalitate informaţională se înţelege cel mai des acţiunile fără efecte negative grave ale unor tineri şcolari hackeri, în realitate spaţiul virtual este plin de activităţi ilegale, de la infracţiuni informatice la prostituţie, de la pornografie cu copii la spionaj industrial. Dar nu totdeauna atacul la un sistem informaţional se produce prin intermediul spaţiului virtual. Exemplificăm în acest sens cazul renumitului hacker Kevin Mitnick (cunoscut sub pseudonimul de „Condorul”), autor al unor atacuri asupra companiilor Sun Microsystems, Motorola, Nokia, Nec, Fujitsu şi Novell (se presupune că este răspunzător şi de atacuri asupra Pentagon-ului), sursă de inspiraţie chiar şi pentru unii regizori de film (ex. „Takedown”, „Three Days of the Condor”). Aproape toate actele criminale pentru care a fost acuzat au fost realizate profitând de naivitatea şi proasta pregătire a personalului companiilor mai sus menţionate, faţă de care posta drept o cu totul altă persoană, de regulă un tehnician de la întreţinerea echipamentelor tehnice sau chiar om al legii, obţinând astfel diverse coduri de acces în reţea sau numere de telefon confidenţiale. Dar Kevin Mitnick [kevinmitnick] (azi consultant în probleme de securitate informaţională) nu este singurul care a reuşit să pătrundă în reţelele unor mari companii prin astfel de metode. La fel ca el sunt şi alţii, printre care Kevin Poulsen (zis şi „Dark Dante”), de asemenea inspiraţie pentru unii regizori de film („War Games”, 1983), care datorită cunoştinţelor sale a fost angajat în industria de apărare în calitate de consultant pe probleme de securitate (asta după ce a reuşit să spargă sistemele de securitate ale unor instituţii militare şi de guvernare); dar dacă pe timp de zi era consultantul loial locului de muncă, pe timp de noapte acţiona împotriva sistemului, furând diverse informaţii militare clasificate sau dezvăluind diverse informaţii clasificate ale FBI. Un alt mod prin care personalul nepregătit poate să pună în pericol, în mod involuntar, propriul sistem informaţional şi implicit mersul afacerii companiei pentru care lucrează, este prezentat (cu titlu de exemplu), în unul din articolele sale, din seria „Thought for the day”, de către Paul Williams [computerweekly]: - O cafenea care punea la dispoziţia clienţilor săi (în principal fiind vorba de personalul marilor companii din vecinătate) posibilitatea de a nu-şi întrerupe activitatea pe timpul pauzelor de cafea, prin faptul că se instalase o reţea wireless de conectare la Internet. Astfel, se putea veni la cafenea cu laptop-ul de la serviciu şi în timpul savurării cafelei se puteau continua discuţiile de afaceri, trimiterea de e-mailuri confidenţiale, download de documente din reţeaua companiei sau alte operaţiuni care ar fi necesitat un grad ridicat de securitate.
Concluzia prezentată de autor: nici o politică de securitate nu va compensa niciodată stupiditatea umană. Inventivitatea omului este greu de anticipat, deci pe zi ce trece se va asista la dezvoltarea de noi metode de atac asupra unui sistem informaţional. Unindu-şi forţele, FBI şi National White Collar Crime Center au format Internet Fraud Complaint Center (IFCC) [ifccfbi], având ca obiect de activitate tocmai identificarea diverselor metode de atac asupra sistemelor informatice şi prevenirea populaţiei cu privire la aceste metode. Acelaşi site are deschis şi un canal de raportare a incidentelor întâlnite de diverse victime. Metodele de fraudă prezentate aici sunt din cele mai diverse: fraude prin intermediul licitaţiilor electronice, e-shopping asociat cu nelivrarea bunurilor cumpărate, fraude asupra cardurilor de credit, fraude investiţionale, fraude guvernamentale, fraude de comunicaţie, scrisoarea nigeriană etc, dar şi avertisment împotriva românilor ( Fraud Tips/ 11403RomanianWarning.pdf), modalitate inclusă la fraudele de licitaţii electronice sau a sistemelor de work-from-home. Raportul pe anul 2004 prezintă România pe locul 7 ca ţară sursă a atacurilor. 1.S.U.A. – 78.75% 2.Canada – 3.03% 3.Nigeria – 2.87% 4.Marea Britanie – 2.32% 5.Italia – 2.10%
6.Grecia – 1.04% 7.România – 0.92% (Obs. 2003-1.5%; în 2002-1.7%) 8.Franţa – 0.86% 9.Spania – 0.6% 10.China – 0.58%
Tot personalul propriu a fost considerat cea mai mare ameninţare asupra securităţii reţelei într-un studiul realizat de către Computer Business Magazine, Cyberguard şi Infosecurity [computerbusiness]. Astfel, la întrebarea „care sunt cele mai mari ameninţări la care este supusă reţeaua dumneavoastră de calculatoare”, aproximativ 35% din cei intervievaţi au răspuns personalul intern (30% au identificat ca ameninţare majoră viruşii informatici). Subiectul este şi va rămâne deschis multă vreme, toate informaţiile prezentate mai sus subliniind faptul că riscul la care este expus un sistem informaţional nu trebuie neapărat să vină pe cale virtuală, ci şi pe căi clasice, profitându-se de poziţia de salariat al unei companii, instituţii militare etc sau bazându-se pe naivitatea unor angajaţi, nepregătiţi pentru această luptă. 2. Riscul statutului de „poziţie cheie” a unei resurse umane asupra sistemului informaţional În această secţiune se au în vedere riscurile care îi ameninţă pe angajaţii unei companii, lucru care e oarecum neglijat de către unii manageri, sub acoperirea că problemele angajaţilor nu ar trebui să facă subiectul preocupărilor companiei. Dar şi această problemă nu este de neglijat, în realitate decesul sau reducerea capacităţii de muncă a unui angajat cheie în companie sau în proiect putând duce la reducerea productivităţii, diverse consecinţe legale, poate chiar eşecul implementării proiectului sau imposibilitatea de a continua activitatea. Din acest punct de vedere, principalele surse de pericol în ceea ce priveşte omul sunt: moartea, îmbolnăvirea, părăsirea locului de muncă / echipei de proiect.
Toate acestea, dar şi alte aspecte, precum şomajul involuntar sau îmbătrânirea şi pensionarea sunt probleme cărora companiile respectabile le acordă o atenţie corespunzătoare. Astfel, în ceea ce priveşte rata mortalităţii, se fac estimări cu privire la frecvenţa probabilă a deceselor angajaţilor instituţiei. Diverse date statistice se utilizează şi în cazul studierii ratei de îmbolnăvire [Anastasie, p.2]: - date privitoare la numărul mediu de zile de incapacitate de muncă; - date privitoare la frecvenţa accidentelor de muncă; - date privitoare la frecvenţa apelării la serviciile medicale. Aceste date statistice sunt publicate periodic de către autorităţile din domeniu, însă nu trebuie neglijat că atât în cazul decesului, cât şi în cazul problemelor de sănătate, este vorba de a face faţă unor riscuri complexe şi total imprevizibile. Din acest motiv e imperios necesar a se păstra o concordanţă între complexitatea sistemului de administrat, noutatea tehnologiei folosite, o documentaţie adecvată a acestor elemente, dependenţa de specialişti şi riscul asociat documentaţiei sistemului. Astfel, dacă e vorba de un sistem complex şi dificil de administrat dependenţa de specialişti este, de asemenea, mare. În acest caz, dacă este vorba de un singur specialist ce administrează sistemul atunci este evident că riscul este foarte mare. Cu cât numărul persoanelor ce au cunoştinţe de administrarea respectivului sistem creşte, riscul asociat scade. La fel, dacă e vorba de un sistem complex ce nu dispune de o documentaţie adecvată, riscul este ridicat. Prin combinarea acestor tipuri de riscuri se va obţine o matrice a riscului asociat dependenţei de specialişti [Munteanu, 2001, p.56]: Dependenţa de Specialişti
Mare Mediu Scăzut
Nivelul Documentaţiei Mare Medi Scăzu u t Mare Mare Mediu Mare Mediu Scăzut Mediu Scăzut Scăzut
Tabel 1. Matricea riscului asociat dependenţei de specialişti O matrice identică se poate obţine şi prin analiza raportului dependenţă de specialişti-risc asociat tehnologiei. Toate aceste aspecte se iau în seamă şi în cazul părăsirii locului de muncă / echipei de proiect de către un angajat. Iar această problemă se pare ca este destul de acută în domeniul IT. Un studiu cercetând satisfacţia la locul de muncă, condus de Mercer Human Resource Consulting, şi care se bazează pe răspunsurile a 1200 de angajaţi din toate sectoarele industriale, a evidenţiat că media schimbărilor de locuri de muncă este 23%. Totuşi, în industria IT procentajul a atins 31%. Au fost găsite mai multe motive care cauzează insatisfacţie legată de poziţia ocupată [smartnews]. Acestea includ conducerea slabă în cadrul organizaţiei sau lipsa obiectivelor clare ale companiilor. Mulţi manageri din IT provin din domeniul tehnic. Nu deţin cunoştinţe generale legate de comunicare sau management. Acest lucru poate conduce la probleme între conducere şi personal.
De altfel, se poate vorbi de o formă aparte de risc, şi anume riscul legat de comportamentul managerilor în faţa modificărilor aduse de un nou sistem informaţional: -managerii speră că noul sistem va rezolva problemele fundamentale ale proceselor economice; -nu se acordă suficient timp pentru analiza planificării procesului de implementare; -uneori, conducerea ignoră „educarea personalului în spiritul noii resurse informaţionale”; -pentru a asigura succesul unei implementări, top managerii au fost „forţaţi” să preia controlul direct al procesului de implementare; -sistemul nou implementat va avea succes doar dacă salariaţii companiei îşi vor schimba modul de lucru, în sensul utilizării cât mai eficiente a aplicaţiei; -oamenilor nu le place schimbarea, iar un sistem informaţional modifică modul în care ei îşi îndeplinesc sarcinile; -odată cu implementarea unui nou sistem informaţional, cresc responsabilităţile angajaţilor. Cheia armonizării relaţiei dintre angajatori şi angajaţi este înţelegerea modului de gândire a acestora din urmă. Nu trebuie aşteptată retragerea angajaţilor. Prin sondaje şi studii se poate crea un management care înţelege angajaţii. Se pot, de asemenea, aplica diverse strategii de menţinere a personalului „cheie” în interiorul companiei. Sunt aspecte de management de resurse umane (aspecte importante ale managementului de risc informaţional pe componentă umană, ca şi politicile de selecţionare şi pregătire a personalului), precum şi de management al calităţii, aspecte dintre care menţionăm: 1. politici de salarizare (salariu, bonusuri, comisioane, alocaţii) funcţie de nivelul de responsabilitate al locului de muncă, performanţa în muncă a persoanei, piaţa externă a muncii; 2. politici de armonizare a condiţiilor de salarizare (salarii egale pentru slujbe similare); 3. politici de instruire (training), învăţare (learning) şi cunoaştere (knowledge) [Cojocaru, p.96]; - training: mijloc de dobândire a cunoştinţelor; - learning: construirea la nivelul organizaţiei a capacităţii de a identifica şi corecta acele procese care îi restrâng creşterea şi flexibilitatea; - knowledge: face referire la fundamentul culturii unei organizaţii şi reprezintă sinteza pe termen lung a tuturor abilităţilor intelectuale, a cunoştinţelor angajaţilor, dar şi a inteligenţei căpătate pe parcursul derulării proceselor interne şi a exerciţiului de piaţă. 4. politici de reorganizare a modului de desfăşurare a activităţilor (de la modelul clasic la modelul de lucru pe proiecte); 5. politici de egalizare între personal şi conducere – statutul persoanei („...respectul vine din ceea ce ai în cap şi nu din faptul că utilizezi un anumit grup social...”, Ian Sloss - director de producţie şi de personal al firmei SP Tyres, proprietarul japonez al Dunlop Rubber Company, şi un practician al modelului japonez de management al calităţii, Kaisen); 6. stil deschis de management, comunicare liberă de sus în jos, dar şi de jos în sus, introducerea brainstorming-ului şi a studiilor de grup pentru identificarea problemelor şi nevoilor fiecărui membru al echipei;
Se observă în această situaţie că, oricât de securizat ar fi sistemul informaţional, riscul poate să fie identificat şi în zonele cheie de administrare sau chiar la nivelul conducerii organizaţiei, atunci când, înlocuirea unui sistem informaţional vechi, cu care toţi erau familiarizaţi, cu unul nou, pe care nimeni nu ştie să-l utilizeze eficient, nu reprezintă întotdeauna cea mai viabilă soluţie. Concluzii Trăim într-adevăr o revoluţie, electronică de data aceasta. Ne îndreptăm către vremuri în care site-ul web devine un atribut obligatoriu de identificare al oricărei companii, în care afacerile încep să se deruleze prin intermediul agenţilor inteligenţi, către tehnologii care vor solicita măsuri de securitate pe care la acest moment nici măcar nu le anticipăm. Totul se mişcă la viteze ameţitoare...În acest context, orice aspect luat în discuţie se perimă într-un timp relativ scurt. Un singur element rămâne acelaşi şi, totuşi, total imprevizibil într-o lume calculată. Omul... Bibliografie [Anastasie, p.2] Anastasie, Bogdan, Managementul Riscului, suport de curs, Facultatea de Economie şi Administrarea Afacerilor, Iaşi, p.2 [Cojocaru, 2004, p.96] Cojocaru, Adrian, Oamenii şi gestiunea resurselor umane, suport de curs, Universitatea Virtuală de Afaceri, SNSPA, Facultatea de Comunicare şi Relaţii Publice „David Oglvy”, 2004, p.96 [computerbusiness] *** Viral Infection, Computer Business Magazine review, june 2004, p.55 [computerweekly] Paul Williams, Thought for the day-the IT dangers of coffe, la http://www.computerweekly.com [ifccfbi] *** IFCC-Internet Fraud Report, la http://www.ifccfbi.gov [kevinmitnick] *** http://www.kevinmitnick.com [Munteanu, 2001, p.56] Munteanu, Adrian, Auditul sistemelor informaţionale contabile, Polirom, Iaşi, 2001, p.56 [smartnews] *** Angajaţii în IT predispuşi la schimbări, http://www.smartnews.ro, 3.02.2005, citând www.bignewsnetwork.com [theta] *** A Crime By Any Other Name, la http://www.theta.com Aparut in Măzăreanu, V., Securitatea sistemelor informaţionale şi riscurile asociate componentei umane, în Analele Universităţii „Al.I.Cuza Iaşi”, Ştiinţe Economice, 2004/2005, Tomul L/LI, ISSN 1244-516X
Introducere Risk is everywhere....În managementul proiectelor se merge şi mai departe, afirmându-se că e un risc să nu existe riscuri. Evident, ele există! Doar că nu au fost identificate. Soluţia o reprezintă managementul riscului, proces ce implică identificarea riscurilor care ar putea afecta succesul unui proiect şi administrarea proactivă a acestora, în vederea eliminării sau reducerii impactului acestora. E aproape la fel cum Sun Tzu spunea în Arta Războiului: „E mai bine să capturezi armata inamică, decât să o nimiceşti; e mai bine să prinzi intacte un batalion, o companie sau o grupă de cinci oameni decât să le nimiceşti.” E vorba însă de un proces ce solicită din ce în ce mai mult, având în vedere că păşim într-o societate în care să vorbeşti doar de ... capital ... muncă ... natură ... nu mai este suficient. Informaţia şi tehnologia informaţională sunt componente care nu mai pot fi ignorate de mult. Trăim astfel un nou „Big Bang”, cel al economiei digitale. Facem e-Business, cumpărăm de la e-Mall, ne achităm obligaţiile către stat prin e-Tax, trăim în eDemocraţie, iar statul ne e-Guvernează. Implementăm soluţii: Enterprise Resource Planning (ERP), Customer Relantionship Management (CRM), Supply Chain Management (SpCM).... Dar, la soluţii noi, riscuri pe măsură! Asistăm astfel la viruşi informatici din ce în ce mai „performanţi”, care încep să atace sistemele de operare ale telefoanelor mobile, PDA-urilor sau ale calculatoarelor de bord ale autovehiculelor; cardurile inteligente solicită măsuri de securizare bazate pe algoritmi de criptare avansaţi; ca măsură de securizare se dezvoltă sisteme de biometrie, ba mai mult, behaviometrie. Rândurile următoare prezintă câteva aspecte ale riscului pe care componenta umană, poate cea mai incontrolabilă componentă a lumii înconjurătoare, sursă primară de incertitudine după John von Neuman şi Oskar Morgenstern, îl prezintă vis-a-vis de administrarea unui sistem informaţional, prin prisma a două planuri, şi anume: riscul generat de atacurile la sistemul informaţional şi riscul generat de statutul de „poziţie cheie” a unei resurse umane în cadrul sistemului.
Doctorand cu frecvenţă, Universitatea „Al.I.Cuza”, Iaşi, Facultatea de Economie şi Administrarea Afacerilor, catedra de Informatică Economică
1. Riscul generat de proprii angajaţi Referindu-se la atacurile umane asupra sistemelor informaţionale, Eugene Spafford, expert în securitatea Internetului şi profesor la Universitatea Purdue, afirmă [theta]: „...percepţia publicului asupra persoanelor ce accesează fraudulos un sistem informaţional este, din păcate, una prin care acestea sunt considerate fie genii, fie copii îndrumaţi greşit şi care se dau în spectacol. Dar acest fapt este departe de adevăr. Aceste persoane sunt pur şi simplu nişte infractori.” Atunci când se vorbeşte despre criminalitate informatică, se aminteşte şi de faptul că această „autostradă” a informaţiei are şi partea sa de „nelegiuiţi” [theta]. Şi chiar dacă prin criminalitate informaţională se înţelege cel mai des acţiunile fără efecte negative grave ale unor tineri şcolari hackeri, în realitate spaţiul virtual este plin de activităţi ilegale, de la infracţiuni informatice la prostituţie, de la pornografie cu copii la spionaj industrial. Dar nu totdeauna atacul la un sistem informaţional se produce prin intermediul spaţiului virtual. Exemplificăm în acest sens cazul renumitului hacker Kevin Mitnick (cunoscut sub pseudonimul de „Condorul”), autor al unor atacuri asupra companiilor Sun Microsystems, Motorola, Nokia, Nec, Fujitsu şi Novell (se presupune că este răspunzător şi de atacuri asupra Pentagon-ului), sursă de inspiraţie chiar şi pentru unii regizori de film (ex. „Takedown”, „Three Days of the Condor”). Aproape toate actele criminale pentru care a fost acuzat au fost realizate profitând de naivitatea şi proasta pregătire a personalului companiilor mai sus menţionate, faţă de care posta drept o cu totul altă persoană, de regulă un tehnician de la întreţinerea echipamentelor tehnice sau chiar om al legii, obţinând astfel diverse coduri de acces în reţea sau numere de telefon confidenţiale. Dar Kevin Mitnick [kevinmitnick] (azi consultant în probleme de securitate informaţională) nu este singurul care a reuşit să pătrundă în reţelele unor mari companii prin astfel de metode. La fel ca el sunt şi alţii, printre care Kevin Poulsen (zis şi „Dark Dante”), de asemenea inspiraţie pentru unii regizori de film („War Games”, 1983), care datorită cunoştinţelor sale a fost angajat în industria de apărare în calitate de consultant pe probleme de securitate (asta după ce a reuşit să spargă sistemele de securitate ale unor instituţii militare şi de guvernare); dar dacă pe timp de zi era consultantul loial locului de muncă, pe timp de noapte acţiona împotriva sistemului, furând diverse informaţii militare clasificate sau dezvăluind diverse informaţii clasificate ale FBI. Un alt mod prin care personalul nepregătit poate să pună în pericol, în mod involuntar, propriul sistem informaţional şi implicit mersul afacerii companiei pentru care lucrează, este prezentat (cu titlu de exemplu), în unul din articolele sale, din seria „Thought for the day”, de către Paul Williams [computerweekly]: - O cafenea care punea la dispoziţia clienţilor săi (în principal fiind vorba de personalul marilor companii din vecinătate) posibilitatea de a nu-şi întrerupe activitatea pe timpul pauzelor de cafea, prin faptul că se instalase o reţea wireless de conectare la Internet. Astfel, se putea veni la cafenea cu laptop-ul de la serviciu şi în timpul savurării cafelei se puteau continua discuţiile de afaceri, trimiterea de e-mailuri confidenţiale, download de documente din reţeaua companiei sau alte operaţiuni care ar fi necesitat un grad ridicat de securitate.
Concluzia prezentată de autor: nici o politică de securitate nu va compensa niciodată stupiditatea umană. Inventivitatea omului este greu de anticipat, deci pe zi ce trece se va asista la dezvoltarea de noi metode de atac asupra unui sistem informaţional. Unindu-şi forţele, FBI şi National White Collar Crime Center au format Internet Fraud Complaint Center (IFCC) [ifccfbi], având ca obiect de activitate tocmai identificarea diverselor metode de atac asupra sistemelor informatice şi prevenirea populaţiei cu privire la aceste metode. Acelaşi site are deschis şi un canal de raportare a incidentelor întâlnite de diverse victime. Metodele de fraudă prezentate aici sunt din cele mai diverse: fraude prin intermediul licitaţiilor electronice, e-shopping asociat cu nelivrarea bunurilor cumpărate, fraude asupra cardurilor de credit, fraude investiţionale, fraude guvernamentale, fraude de comunicaţie, scrisoarea nigeriană etc, dar şi avertisment împotriva românilor ( Fraud Tips/ 11403RomanianWarning.pdf), modalitate inclusă la fraudele de licitaţii electronice sau a sistemelor de work-from-home. Raportul pe anul 2004 prezintă România pe locul 7 ca ţară sursă a atacurilor. 1.S.U.A. – 78.75% 2.Canada – 3.03% 3.Nigeria – 2.87% 4.Marea Britanie – 2.32% 5.Italia – 2.10%
6.Grecia – 1.04% 7.România – 0.92% (Obs. 2003-1.5%; în 2002-1.7%) 8.Franţa – 0.86% 9.Spania – 0.6% 10.China – 0.58%
Tot personalul propriu a fost considerat cea mai mare ameninţare asupra securităţii reţelei într-un studiul realizat de către Computer Business Magazine, Cyberguard şi Infosecurity [computerbusiness]. Astfel, la întrebarea „care sunt cele mai mari ameninţări la care este supusă reţeaua dumneavoastră de calculatoare”, aproximativ 35% din cei intervievaţi au răspuns personalul intern (30% au identificat ca ameninţare majoră viruşii informatici). Subiectul este şi va rămâne deschis multă vreme, toate informaţiile prezentate mai sus subliniind faptul că riscul la care este expus un sistem informaţional nu trebuie neapărat să vină pe cale virtuală, ci şi pe căi clasice, profitându-se de poziţia de salariat al unei companii, instituţii militare etc sau bazându-se pe naivitatea unor angajaţi, nepregătiţi pentru această luptă. 2. Riscul statutului de „poziţie cheie” a unei resurse umane asupra sistemului informaţional În această secţiune se au în vedere riscurile care îi ameninţă pe angajaţii unei companii, lucru care e oarecum neglijat de către unii manageri, sub acoperirea că problemele angajaţilor nu ar trebui să facă subiectul preocupărilor companiei. Dar şi această problemă nu este de neglijat, în realitate decesul sau reducerea capacităţii de muncă a unui angajat cheie în companie sau în proiect putând duce la reducerea productivităţii, diverse consecinţe legale, poate chiar eşecul implementării proiectului sau imposibilitatea de a continua activitatea. Din acest punct de vedere, principalele surse de pericol în ceea ce priveşte omul sunt: moartea, îmbolnăvirea, părăsirea locului de muncă / echipei de proiect.
Toate acestea, dar şi alte aspecte, precum şomajul involuntar sau îmbătrânirea şi pensionarea sunt probleme cărora companiile respectabile le acordă o atenţie corespunzătoare. Astfel, în ceea ce priveşte rata mortalităţii, se fac estimări cu privire la frecvenţa probabilă a deceselor angajaţilor instituţiei. Diverse date statistice se utilizează şi în cazul studierii ratei de îmbolnăvire [Anastasie, p.2]: - date privitoare la numărul mediu de zile de incapacitate de muncă; - date privitoare la frecvenţa accidentelor de muncă; - date privitoare la frecvenţa apelării la serviciile medicale. Aceste date statistice sunt publicate periodic de către autorităţile din domeniu, însă nu trebuie neglijat că atât în cazul decesului, cât şi în cazul problemelor de sănătate, este vorba de a face faţă unor riscuri complexe şi total imprevizibile. Din acest motiv e imperios necesar a se păstra o concordanţă între complexitatea sistemului de administrat, noutatea tehnologiei folosite, o documentaţie adecvată a acestor elemente, dependenţa de specialişti şi riscul asociat documentaţiei sistemului. Astfel, dacă e vorba de un sistem complex şi dificil de administrat dependenţa de specialişti este, de asemenea, mare. În acest caz, dacă este vorba de un singur specialist ce administrează sistemul atunci este evident că riscul este foarte mare. Cu cât numărul persoanelor ce au cunoştinţe de administrarea respectivului sistem creşte, riscul asociat scade. La fel, dacă e vorba de un sistem complex ce nu dispune de o documentaţie adecvată, riscul este ridicat. Prin combinarea acestor tipuri de riscuri se va obţine o matrice a riscului asociat dependenţei de specialişti [Munteanu, 2001, p.56]: Dependenţa de Specialişti
Mare Mediu Scăzut
Nivelul Documentaţiei Mare Medi Scăzu u t Mare Mare Mediu Mare Mediu Scăzut Mediu Scăzut Scăzut
Tabel 1. Matricea riscului asociat dependenţei de specialişti O matrice identică se poate obţine şi prin analiza raportului dependenţă de specialişti-risc asociat tehnologiei. Toate aceste aspecte se iau în seamă şi în cazul părăsirii locului de muncă / echipei de proiect de către un angajat. Iar această problemă se pare ca este destul de acută în domeniul IT. Un studiu cercetând satisfacţia la locul de muncă, condus de Mercer Human Resource Consulting, şi care se bazează pe răspunsurile a 1200 de angajaţi din toate sectoarele industriale, a evidenţiat că media schimbărilor de locuri de muncă este 23%. Totuşi, în industria IT procentajul a atins 31%. Au fost găsite mai multe motive care cauzează insatisfacţie legată de poziţia ocupată [smartnews]. Acestea includ conducerea slabă în cadrul organizaţiei sau lipsa obiectivelor clare ale companiilor. Mulţi manageri din IT provin din domeniul tehnic. Nu deţin cunoştinţe generale legate de comunicare sau management. Acest lucru poate conduce la probleme între conducere şi personal.
De altfel, se poate vorbi de o formă aparte de risc, şi anume riscul legat de comportamentul managerilor în faţa modificărilor aduse de un nou sistem informaţional: -managerii speră că noul sistem va rezolva problemele fundamentale ale proceselor economice; -nu se acordă suficient timp pentru analiza planificării procesului de implementare; -uneori, conducerea ignoră „educarea personalului în spiritul noii resurse informaţionale”; -pentru a asigura succesul unei implementări, top managerii au fost „forţaţi” să preia controlul direct al procesului de implementare; -sistemul nou implementat va avea succes doar dacă salariaţii companiei îşi vor schimba modul de lucru, în sensul utilizării cât mai eficiente a aplicaţiei; -oamenilor nu le place schimbarea, iar un sistem informaţional modifică modul în care ei îşi îndeplinesc sarcinile; -odată cu implementarea unui nou sistem informaţional, cresc responsabilităţile angajaţilor. Cheia armonizării relaţiei dintre angajatori şi angajaţi este înţelegerea modului de gândire a acestora din urmă. Nu trebuie aşteptată retragerea angajaţilor. Prin sondaje şi studii se poate crea un management care înţelege angajaţii. Se pot, de asemenea, aplica diverse strategii de menţinere a personalului „cheie” în interiorul companiei. Sunt aspecte de management de resurse umane (aspecte importante ale managementului de risc informaţional pe componentă umană, ca şi politicile de selecţionare şi pregătire a personalului), precum şi de management al calităţii, aspecte dintre care menţionăm: 1. politici de salarizare (salariu, bonusuri, comisioane, alocaţii) funcţie de nivelul de responsabilitate al locului de muncă, performanţa în muncă a persoanei, piaţa externă a muncii; 2. politici de armonizare a condiţiilor de salarizare (salarii egale pentru slujbe similare); 3. politici de instruire (training), învăţare (learning) şi cunoaştere (knowledge) [Cojocaru, p.96]; - training: mijloc de dobândire a cunoştinţelor; - learning: construirea la nivelul organizaţiei a capacităţii de a identifica şi corecta acele procese care îi restrâng creşterea şi flexibilitatea; - knowledge: face referire la fundamentul culturii unei organizaţii şi reprezintă sinteza pe termen lung a tuturor abilităţilor intelectuale, a cunoştinţelor angajaţilor, dar şi a inteligenţei căpătate pe parcursul derulării proceselor interne şi a exerciţiului de piaţă. 4. politici de reorganizare a modului de desfăşurare a activităţilor (de la modelul clasic la modelul de lucru pe proiecte); 5. politici de egalizare între personal şi conducere – statutul persoanei („...respectul vine din ceea ce ai în cap şi nu din faptul că utilizezi un anumit grup social...”, Ian Sloss - director de producţie şi de personal al firmei SP Tyres, proprietarul japonez al Dunlop Rubber Company, şi un practician al modelului japonez de management al calităţii, Kaisen); 6. stil deschis de management, comunicare liberă de sus în jos, dar şi de jos în sus, introducerea brainstorming-ului şi a studiilor de grup pentru identificarea problemelor şi nevoilor fiecărui membru al echipei;
Se observă în această situaţie că, oricât de securizat ar fi sistemul informaţional, riscul poate să fie identificat şi în zonele cheie de administrare sau chiar la nivelul conducerii organizaţiei, atunci când, înlocuirea unui sistem informaţional vechi, cu care toţi erau familiarizaţi, cu unul nou, pe care nimeni nu ştie să-l utilizeze eficient, nu reprezintă întotdeauna cea mai viabilă soluţie. Concluzii Trăim într-adevăr o revoluţie, electronică de data aceasta. Ne îndreptăm către vremuri în care site-ul web devine un atribut obligatoriu de identificare al oricărei companii, în care afacerile încep să se deruleze prin intermediul agenţilor inteligenţi, către tehnologii care vor solicita măsuri de securitate pe care la acest moment nici măcar nu le anticipăm. Totul se mişcă la viteze ameţitoare...În acest context, orice aspect luat în discuţie se perimă într-un timp relativ scurt. Un singur element rămâne acelaşi şi, totuşi, total imprevizibil într-o lume calculată. Omul... Bibliografie [Anastasie, p.2] Anastasie, Bogdan, Managementul Riscului, suport de curs, Facultatea de Economie şi Administrarea Afacerilor, Iaşi, p.2 [Cojocaru, 2004, p.96] Cojocaru, Adrian, Oamenii şi gestiunea resurselor umane, suport de curs, Universitatea Virtuală de Afaceri, SNSPA, Facultatea de Comunicare şi Relaţii Publice „David Oglvy”, 2004, p.96 [computerbusiness] *** Viral Infection, Computer Business Magazine review, june 2004, p.55 [computerweekly] Paul Williams, Thought for the day-the IT dangers of coffe, la http://www.computerweekly.com [ifccfbi] *** IFCC-Internet Fraud Report, la http://www.ifccfbi.gov [kevinmitnick] *** http://www.kevinmitnick.com [Munteanu, 2001, p.56] Munteanu, Adrian, Auditul sistemelor informaţionale contabile, Polirom, Iaşi, 2001, p.56 [smartnews] *** Angajaţii în IT predispuşi la schimbări, http://www.smartnews.ro, 3.02.2005, citând www.bignewsnetwork.com [theta] *** A Crime By Any Other Name, la http://www.theta.com Aparut in Măzăreanu, V., Securitatea sistemelor informaţionale şi riscurile asociate componentei umane, în Analele Universităţii „Al.I.Cuza Iaşi”, Ştiinţe Economice, 2004/2005, Tomul L/LI, ISSN 1244-516X
Related Documents
Securitatea Sistemelor Informatice.docx
December 2019 4
Securitatea Nationala Si Religia
October 2019 35
Andreea_management.resurse Umane Si Lidership.docx
November 2019 12
