Capitolul 1

Resurse informaționale. Securitate informațională

Este un lucru atât de trist că astăzi există atât de puțină informație inutilă.

Oscar Wilde

Parcurgerea atentă a acestui capitol vă asigură:

 familiarizarea cu concepte esențiale din zona securității informaționale – resursă și
avere informațională, confidențialitate, integritate, accesibilitate și audit;
 dobândirea capacității de a realiza începe un inventar al resurselor
informaționale ale unei organizații.

1.1 De ce studiem securitatea informațională?

Iată câteva motive:

1. Pentru că specialiștii militari și informaticienii nu ne mai sunt de ajuns

Securitatea informațiilor a fost, pentru foarte multă vreme, sinonimă cu criptografia (transformarea
informațiilor comunicate prin diverse canale într-o formă neinteligibilă pentru adversari, cu ajutorul
unor algoritmi din ce în ce mai specializați) și a interesat mai ales specialiștii militari. După 1960,
evoluția calculatoarelor electronice ca instrumente de prelucrare a datelor pentru a obține informații
a cerut și protecția acestora, sarcină care a fost preluată, de regulă, de inginerii IT, cu bune cunoștințe
hardware. Astăzi, subiectul securității informaționale a devenit foarte complex, încorporând aspecte
legate de afaceri, finanțe, legislație, iar cunoștințele specialiștilor militari, ale administratorilor de rețea
și ale altor experți IT nu mai sunt suficiente, deoarece ei tind să ignore detalii care țin de factorul uman,
de procesele organizaționale și de reglementările legislative.

2. Pentru că hackerii învață și ei

Potrivit raportului European Union Agency for Network and Information Security (ENISA)1, în 2016,
hackerii au dezvoltat propriile lor comunități de învățare, găzduite de Dark Web. Adrian Liviu Arsene,
specialist Bitdefender intervievat de Digi24, descrie partea întunecată a World Wide Web ca pe o piață
ilegală uriașă pe care se tranzacționează “produse medicamentoase contrafăcute, substanțe ilegale,
arme, servicii de criminalitate informatică și chiar fizică”2, folosind crypto-moneda Bitcoin, care oferă
participanților la tranzacție avantajul anonimității. În acest mediu obscur (DON’T TRY IT AT HOME OR
ANYWHERE ELSE!), hackerii schimbă informații despre vulnerabilități ale sistemelor informatice,
malware (cod rău intenționat) sau cele mai bune practici de rămâne nedescoperiți, crescând curba de
învățare a comunității din care fac parte.

1
ENISA Threat Landscape Report 2016, 15 Top Cyber-Threats and Trends, January 2017, la
https://www.enisa.europa.eu/publications/enisa-threat-landscape-report-2016, p. 7
2
***, Dark Web. Cum se fac afaceri în lumea „întunecată” a internetului, http://www.digi24.ro/stiri/sci-
tech/lumea-digitala/dark-web-cum-se-fac-afaceri-in-lumea-intunecata-a-internetului-461286, publicat pe
26.11.2015, accesat pe 03.03.2017

© conf. univ. dr. Daniela POPESCUL

3. Pentru că, deși știm ce să facem ca să ne protejăm casele, mașinile sau banii, de multe ori pericolele
din lumea virtuală ne iau prin surprindere

Ca indivizi, am învățat de-a lungul timpului să ne protejăm bunurile fizice, banii, sănătatea sau
integritatea corporală. Știm cum să avem grijă de casele, birourile și mașinile noastre, ce precauții să
ne luăm atunci când mergem la plimbare, la cumpărături, în ce cartiere e sigur sau nu să locuim. Dacă
pentru lumea fizică folosim soluții testate în timp, în lumea digitală averile și amenințările au alte
caracteristici. Averile informaționale sunt fragile, vulnerabile, deoarece conținutul digital este
independent de suportul său și de aceea greu de “închis”, delimitat, protejat în mod fizic; informația
virtuală poate fi mult mai ușor duplicată, distrusă sau falsificată.3 În plus, în ciber-spațiu apar noi și noi
pericole în fiecare an, cărora noi ca indivizi, dar mai ales ca angajați în domeniul business, trebuie să
învățăm să le facem față. Este important ca organizațiile să conștientizeze riscurile asociate cu
utilizarea tehnologiei și gestionarea informațiilor și să abordeze pozitiv acest subiect printr-o
conștientizare în rândul angajaților a importanței securității informațiilor, înțelegerea tipologiei
amenințărilor, riscurilor și vulnerabilităților specifice mediilor informatizate și aplicarea practicilor de
control4 – procesul de conștientizare începe astfel, în ce ne privește, de pe băncile amfiteatrului (B5).

4. Pentru a fi cetățeni mai buni ai lumilor off- și on-line

A fi un bun cetățean înseamnă a dezvolta comportamente și competențe adecvate societății

contemporane. Astăzi, individul trebuie să se adapteze unei societăți globale, parțial digitale, în care
suntem dispersați geografic, cultural, politic, în care modelele sunt adesea distorsionate, iar regulile
necunoscute. Potrivit prof. Endicott Popovsky (Universitatea din Washington), copiii și adolescenții
cunosc tehnologia mai bine decât adulții și sunt mai înclinați către delictele cibernetice (plagiat,
piraterie, cyberbullying), au încredere exagerată în mediul online5 și acceptă ușor riscurile pe care le
consideră mici în raport cu facilitățile oferite de aplicații/rețea.6 De aceea, educația în domeniul ciber-
eticii și ciber-securității este mai necesară ca oricând.

5. Pentru a fi pregătiți pentru viitor

Progresul tehnologic (miniaturizare, creșterea diversității și capacității canalelor de comunicare etc.) și

adoptarea continuă și ferventă a TIC (tehnologii informaționale și de comunicații) în toate sectoarele
economiei și în viața de zi cu zi sunt tendințele majore ale momentului. Generația curentă a TIC este
una caracterizată de efervescență: Internetul se extinde încorporând obiecte diverse, altele decât cele
prevăzute în mod tradițional cu putere de calcul, tot mai multe dispozitive devin mobile și portabile,
suntem înconjurați de rețele și senzori la domiciliu, în mașină, la școală și la serviciu, iar platformele de
tip Software-as-a-Service și Cloud Computing fac ca programele informatice să intre în sfera de utilități
care până nu demult conținea doar apa și energia electrică. Granițele dintre spațiul fizic și ciberspațiu
se șterg, în timp ce dependența cetățenilor și organizațiilor de TIC crește. Odată cu multiplicarea
amenințărilor și vulnerabilităților, scade proporțional disponibilitatea serviciilor. Ca urmare, protecția
infrastructurilor critice devine prioritară. Pentru perioada următoare (2020-2030), unii autori7

3
Riguidel, M., Digital Security in the Future, in ETSI - ICT Shaping the World: A Scientific View, John Wiley&Sons,
UK, 2009, p. 171
4
Popa, S. E., Securitatea sistemelor informatice - note de curs şi aplicaţii pentru studenţii Facultăţii de Inginerie,
Universitatea din Bacău, p. 5
5
Endicott-Popovsky, B., Information Security and Risk Management in Context, curs video la
https://www.coursera.org/course/inforiskman, accesat la 8.01.2015
6
Riguidel, M., Op. cit., p. 171
7
Idem, p. 173

© conf. univ. dr. Daniela POPESCUL

previzionează că TIC vor fi încorporate în atomi, formând un nou regat attoscopic8, pe lângă cele
vegetale, minerale și animale.

În concluzie, vestea rea este că TREBUIE SĂ ÎNVĂȚĂM să protejăm informațiile valoroase pentru noi și
pentru organizațiile în care vom lucra – , iar vestea bună este că nu trebuie neapărat să fim experți
în calculatoare pentru a ne putea proteja. Ca urmare, scopul acestui curs este de a înarma viitorii
economiști non-tehnici și pe fiecare dintre utilizatorii de calculatoare cu informațiile de bază de care
au nevoie pentru a fi în siguranță în mediul on-line. Pentru aceasta, trebuie să vedem care sunt
resursele informaționale importante, cu ce pericole se pot ele confrunta, care sunt măsurile,
instrumentele și comportamentele potrivite pentru a le apăra.

1.2 Resurse și averi informaționale

Succesul unei organizații contemporane, indiferent de obiectul de activitate și de dimensiunile
sale, depinde de înțelegerea rolului pe care informațiile îl joacă în viața sa și de administrarea
corespunzătoare a acestor informații.

Primul pas în asigurarea securității este identificarea averilor informaționale, deoarece, dacă
nu se știe ce trebuie protejat și care sunt prioritățile, întregul efort de dobândire a securității
își pierde sensul. Deoarece un inventar complet al averilor informaționale din organizație este
dificil de realizat, se consideră că un început bun este identificarea a 80% dintre averi. 9 

Orice informație care are valoare pentru organizație, indiferent de forma în care apare și de
caracteristicile sale, este o resursă informațională a acesteia.

Valoarea informației poate fi apreciată prin:

 Câștigul pe care
existența/nedivulgarea ei
terților îl poate aduce
organizației;
 Prejudiciul pe care îl poate cauza
pierderea, alterarea sau
divulgarea ei;
 Nivelul de încredere a terților în
organizație pe care existența
informației îl oferă.

Putem considera drept resurse informaționale datele din baze de date și alte fișiere, alte date
stocate pe diverși suporți: hârtie, microfilme, CD, DVD etc. în toate formele posibile - text,
grafică, video, voce, e-mail, informațiile care se obține prin prelucrarea acestor date, ca și
cunoștințele dintr-o organizație, care fac posibilă derularea proceselor economice din cadrul
ei. Acestora li se alătură produsele digitale (software – jocuri, programe de contabilitate,
aplicații mobile etc.), alte active imateriale ca imaginea organizației, cota de piață, principalele
procese de afaceri, dar și banii digitali. Când vine vorba de protecția acestor elemente mai

8
1 attometru=10-18 metri
9
Calder, A., A Business Guide to Information Security, Kogan Page, UK, US, 2005, p. 61

© conf. univ. dr. Daniela POPESCUL

degrabă abstracte, devine necesară o perspectivă pragmatică, în care resursele informaționale
să fie privite din punctul de vedere al:

 Procesatorilor: echipamente hardware cum ar fi calculatoarele (severe, stații de lucru,

laptop-uri etc.) dotate cu software, care prelucrează datele, dar și oameni implicați în
procese similar de obținere, transfer și utilizare a datelor și informațiilor: angajați,
parteneri, clienți;
 Transportatorilor: echipamente și medii de comunicație (switch-uri, routere, cabluri,
fibră optică, aer etc.);
 Senzorilor: camere de luat vederi, scannere, OCR, cititoare de coduri de bare etc.;
 Altor dispozitive: dispozitive periferice (imprimante, scannere, camere), dispozitive
care asigură un mediu de lucru adecvat - aer condiționat, încălzire centrală, UPS etc.).

Această perspectivă concretă servește la identificarea într-un mod foarte palpabil a

elementelor asociate unei informații care vor trebui protejate la nivelul organizației. Când
realizăm această identificare, nu trebuie să uităm că securitatea informațiilor este o problemă
umană mai degrabă decât una tehnică, iar procesatorii și depozitarii de informație asupra
cărora trebuie să ne focalizăm atenția sunt oamenii, și nu echipamentele.

Din punct de vedere contabil, evaluatorii10 recunosc drept active necorporale informații:

 De marketing: mărci; designul comercial (culoarea unică, forma sau designul

ambalajului); titluri de ziare; numele domeniilor de internet sau acorduri de
neconcurenţă;
 Legate de clienți sau de furnizori: contracte de publicitate, construcţii, management,
servicii sau achiziții; acorduri de licență si redevență; contracte de prestări servicii;
registre de comenzi; drepturi de utilizare, cum sunt dreptul de a fora si a exploata
zăcămintele din subsol, dreptul de a utiliza apa dintr-o sursă de apă, drepturile de
survol, drepturile de exploatare forestieră si dreptul de aterizare sau decolare pe un
aeroport; contractele de franciză; relațiile cu clienții sau listele de clienți;
 Legate de tehnologii: drepturi de a utiliza tehnologia (brevetată sau nebrevetată),
bazele de date, formulele, proiectele, programele informatice, procesele sau rețetele;
 De natură artistică: piese de teatru, cărți, filme si muzică.

Pentru a încadra informațiile în categoria resurselor informaționale cu adevărat valoroase

(numite și averi informaționale), următoarele întrebări se pot dovedi folositoare11:

 Cât este de utilă pentru organizație informația analizată? În caz de dispariție, cât de
costisitoare va fi refacerea ei? Vor exista implicații legale, pierderi de imagine sau
financiare, dacă informația nu va putea fi livrată atunci când este nevoie de ea?
Eficiența operațională va fi afectată dacă informația nu va putea fi accesată cu
ușurință?

10
Evaluatori Anevar, Evaluare active necorporale – Tipuri de active necorporale, http://www.haintz.ro/informatii-
utile-evaluare/definitii-evaluari/evaluare-activelor-necorporale-tipuri-de-active-necorporale, publicat la
6.03.2012, accesat la 10.01.2017
11
The UK National Archives, What is an information asset?, la http://www.nationalarchives.gov.uk
/documents/information-management/information-assets-factsheet.pdf, accesat la 14.02.2014

© conf. univ. dr. Daniela POPESCUL

  Există riscuri asociate informației, ca de exemplu riscul de a o pierde, de a fi eronată
sau aflată de persoane neautorizate? Care vor fi consecințele absenței, lipsei de
acuratețe, divulgării informației?

 Unitățile de informație identificate au un conținut specific, ale cărui sens și utilitate

sunt înțelese? Acest conținut variază sau nu în funcție de contextul în care este folosită
informația?

 Informația are un ciclu de viață care poate fi identificat și administrat? Componentele

unității de informație au fost create pentru a servi aceluiași scop? Ele vor fi distruse în
același mod, în conformitate cu aceleași reguli?

După identificarea resurselor/averilor informaționale, fiecare va fi dată în sarcina unui

responsabil.12 Numele persoanei respective trebuie să apară pe lista resurselor/averilor
informaționale, iar aceasta trebuie actualizată permanent, în așa fel încât să reflecte
schimbările de personal și cele care apar în atribuțiile acestuia. Responsabilul nu are și drepturi
de proprietate asupra informației respective. El va răspunde de aplicarea tuturor regulilor de
securitate relevante resurselor informaționale cu care lucrează. Aceste responsabilități
trebuie să-i fie comunicate cât se poate de clar fiecărui responsabil, trebuie să fie scrise în
contractele de oferire a accesului la resurse și în politica de utilizare adecvată a acestora.

În ce privește calculatoarele, laptop-urile, telefoanele celulare pe care informațiile sunt

stocate, responsabilă va fi persoana care le-a primit sau care le folosește în mod curent. Deși
managerul IT este responsabil, de regulă, de resursele de calcul și de software, utilizatorii
trebuie să răspundă și ei în egală măsură de software-ul de pe laptop, telefon sau orice alt
dispozitiv pe care l-au primit de la organizație. Pentru toate programele instalate pe aceste
echipamente trebuie să poată fi demonstrată originea legală a tuturor software-urilor.

Dacă pentru bunurile fizice este relativ ușor să fie stabiliți responsabilii, în ce privește averile
informaționale intangibile, e mult mai dificilă stabilirea responsabilității asupra lor. În ce
privește informația nouă, o regulă simplă este ca autorul ei să fie responsabil de ea - mai ales
dacă informația are o utilizare specifică și limitată în timp, care depinde de autor (valabil
pentru planuri de afaceri, previziuni, scrisori către clienți etc.). Uneori, informația a rezultat
dintr-un efort al unui grup/departament, sau este transportată și utilizată, indiferent de
origine, de mai multe persoane din organizație (cazul sistemelor CRM, ERP). Aici se încadrează
mai ales informațiile contabile, financiare. în acest caz, cel mai practic este ca organizația să
nominalizeze ca responsabil de aceste informații persoana/departamentul care le folosește
cel mai mult, sau care are cel mai mare control asupra lor. De exemplu, controlorul/auditorul
financiar poate fi responsabil de informațiile din sistemul contabil, iar managerul de vânzări
de cele din CRM.

1.3 Securitate informațională

Securitatea resurselor informaționale este proprietatea acestora de a nu fi afectate de
amenințări/pericole, ceea ce presupune minimizarea amenințărilor și vulnerabilităților
asociate lor. Securitatea informațională este un obiect de studiu interdisciplinar, care conține
elemente de legislație, management, resurse umane, etică și management al riscurilor.

12
Calder, A., Op. cit., p. 65

© conf. univ. dr. Daniela POPESCUL

Resursele informaționale pot fi importante pentru organizație din perspectiva păstrării
caracterului lor secret, a garantării corectitudinii, completitudinii și/sau a disponibilității lor.

În mod tradițional, securitatea informațiilor înseamnă asigurarea confidențialității, integrității

și accesibilității informațiilor organizațiilor

Confidențialitatea este caracterul secret, privat al informației. Asigurarea

acestei componente a securității înseamnă că informația este vizibilă doar
celor care au dreptul să o acceseze, dar nu și “băieților răi”.

Integritatea este caracterul complet și corect al informației. Trăsătura de

integritate garantează că informația se păstrează în forma ei originală, că nu a
fost modificată decât de persoanele/procesele/programele autorizate în acest
sens și că ea este consistentă, validă și caracterizată de acuratețe.

Accesibilitatea presupune că informația este disponibilă utilizatorilor

autorizați să o acceseze, fără impedimente, la momentul la care ei au nevoie
de ele, pentru execuția sarcinilor lor de serviciu.

Importanța celor trei caracteristici variază în funcție de domeniul și obiectul de activitate al

organizației, ca și în funcție de specificul averii informaționale.

De exemplu, pentru rețeta de fabricație, procesul tehnologic de obținere a principalului produs al

firmei, codurile de acces, adaosurile comerciale practicate pe fiecare articol vândut etc. este foarte
importantă asigurarea caracterului confidențial, în timp ce pentru bazele de date care reflectă
evidența contabilă sau permit gestiunea studenților (în cazul unei facultăți) primordială este
caracteristica de integritate. Pentru un proprietar al unui magazin Web, dar și pentru clienții
acestuia, accesibilitatea sau disponibilitatea informațiilor despre produse este foarte importantă.

În definiții extinse, celor trei caracteristici care formează triada C.I.A. li se adaugă trăsături ca
validarea prin auditare, autenticitatea, ne-repudierea și respectarea dreptului indivizilor la
viața privată.

Auditul reprezintă examinarea efectuată de un profesionist asupra modului

în care se desfășoară o activitate, prin raportare la criteriile de calitate
specifice acestei activități.13 În centrul auditului stau informațiile referitoare
la procese și fenomene economice. Un sistem sigur trebuie să păstreze
„urme” ale tuturor transformărilor informaționale, în așa fel încât să poată
fi cu ușurință auditat.

Autenticitatea, caracterul autentic, este proprietatea care asigură că identitatea

unei resurse informaționale este cu adevărat cea pretinsă a fi.

Ne-repudierea presupune existența unei dovezi că informația a fost

transmisă de o entitate identificată și a fost recepționată de o altă entitate
identificată fără posibilitate de negare.

13
Chersan, I. C., Auditul financiar de la normele naţionale la standardele internaţionale, Editura Universităţii
Alexandru Ioan Cuza din Iași, 2013, p. 9

© conf. univ. dr. Daniela POPESCUL

Caracterul privat al informațiilor personale este o condiție a asigurării dreptului
fiecărui individ la viața privată (privacy = dreptul cuiva de a își păstra datele,
problemele și relațiile personale secrete).

Atunci când se dorește identificarea resurselor informaționale valoroase ale organizației,

 atenția nu trebuie să se îndrepte exclusiv către nevoia de asigurare a confidențialității –

nu uitați, integritatea și accesibilitatea sunt trăsături măcar la fel de semnificative ale
informației!

Completați enunțurile de mai jos cu una dintre componentele triadei C.I.A.

(Confidențialitate, Integritate sau Accesibilitate):
 Pentru a calcula salariile pe luna în curs, directorul unei firme mici are nevoie de
pontajele angajaților. Orice întârziere în accesarea informațiilor despre pontaje
duce la întârzieri în calculul salariilor și poate provoca nemulțumiri ale
personalului. De aceea, _________________________ pontajelor este foarte importantă.
 Pentru o clinică privată de psihiatrie, lista clienților care au apelat la serviciile sale
este o resursă informațională valoroasă. Divulgarea ei către persoane neautorizate
ar putea provoca clinicii prejudicii majore, de imagine și financiare. Prin măsurile
luate, listei trebuie să i se garanteze _____________________________ .
 Sumele pe care abonații unei companii de telefonie mobilă i le datorează acesteia
sunt o informație importantă pentru companie, mai ales din perspectiva
___________________. Orice eroare nesemnalată sau necorectată, atunci când vine vorba
de valori monetare, produce prejudicii părților implicate.

Bibliografie
1. ***, Dark Web. Cum se fac afaceri în lumea „întunecată” a internetului,
http://www.digi24.ro/stiri/sci-tech/lumea-digitala/dark-web-cum-se-fac-afaceri-in-lumea-
intunecata-a-internetului-461286, publicat pe 26.11.2015, accesat pe 03.03.2017
2. Calder, A., A Business Guide to Information Security, Kogan Page, UK, US, 2005
3. Chersan, I. C., Auditul financiar de la normele naţionale la standardele internaţionale, Editura
Universităţii Alexandru Ioan Cuza din Iași, 2013
4. Endicott-Popovsky, B., Information Security and Risk Management in Context, curs video la
https://www.coursera.org/course/inforiskman, accesat la 8.01.2015
5. ENISA Threat Landscape Report 2016, 15 Top Cyber-Threats and Trends, January 2017, la
https://www.enisa.europa.eu/publications/enisa-threat-landscape-report-2016
6. Evaluatori Anevar, Evaluare active necorporale – Tipuri de active necorporale,
http://www.haintz.ro/informatii-utile-evaluare/definitii-evaluari/evaluare-activelor-
necorporale-tipuri-de-active-necorporale, publicat la 6.03.2012, accesat la 10.01.2017
7. Popa, S. E., Securitatea sistemelor informatice - note de curs și aplicaţii pentru studenţii
Facultăţii de Inginerie, Universitatea din Bacău
8. Popescul, D., Securitatea informaţiilor – instrumente şi metode de lucru, Editura Tehnopress,
Iaşi, 2014
9. Riguidel, M., Digital Security in the Future, in ETSI - ICT Shaping the World: A Scientific View,
John Wiley&Sons, UK, 2009
10. The UK National Archives, What is an information asset?, la
http://www.nationalarchives.gov.uk
/documents/information-management/information-assets-factsheet.pdf, accesat la
14.02.2014

© conf. univ. dr. Daniela POPESCUL