Professional Documents
Culture Documents
Oscar Wilde
Securitatea informațiilor a fost, pentru foarte multă vreme, sinonimă cu criptografia (transformarea
informațiilor comunicate prin diverse canale într-o formă neinteligibilă pentru adversari, cu ajutorul
unor algoritmi din ce în ce mai specializați) și a interesat mai ales specialiștii militari. După 1960,
evoluția calculatoarelor electronice ca instrumente de prelucrare a datelor pentru a obține informații
a cerut și protecția acestora, sarcină care a fost preluată, de regulă, de inginerii IT, cu bune cunoștințe
hardware. Astăzi, subiectul securității informaționale a devenit foarte complex, încorporând aspecte
legate de afaceri, finanțe, legislație, iar cunoștințele specialiștilor militari, ale administratorilor de rețea
și ale altor experți IT nu mai sunt suficiente, deoarece ei tind să ignore detalii care țin de factorul uman,
de procesele organizaționale și de reglementările legislative.
Potrivit raportului European Union Agency for Network and Information Security (ENISA)1, în 2016,
hackerii au dezvoltat propriile lor comunități de învățare, găzduite de Dark Web. Adrian Liviu Arsene,
specialist Bitdefender intervievat de Digi24, descrie partea întunecată a World Wide Web ca pe o piață
ilegală uriașă pe care se tranzacționează “produse medicamentoase contrafăcute, substanțe ilegale,
arme, servicii de criminalitate informatică și chiar fizică”2, folosind crypto-moneda Bitcoin, care oferă
participanților la tranzacție avantajul anonimității. În acest mediu obscur (DON’T TRY IT AT HOME OR
ANYWHERE ELSE!), hackerii schimbă informații despre vulnerabilități ale sistemelor informatice,
malware (cod rău intenționat) sau cele mai bune practici de rămâne nedescoperiți, crescând curba de
învățare a comunității din care fac parte.
1
ENISA Threat Landscape Report 2016, 15 Top Cyber-Threats and Trends, January 2017, la
https://www.enisa.europa.eu/publications/enisa-threat-landscape-report-2016, p. 7
2
***, Dark Web. Cum se fac afaceri în lumea „întunecată” a internetului, http://www.digi24.ro/stiri/sci-
tech/lumea-digitala/dark-web-cum-se-fac-afaceri-in-lumea-intunecata-a-internetului-461286, publicat pe
26.11.2015, accesat pe 03.03.2017
Ca indivizi, am învățat de-a lungul timpului să ne protejăm bunurile fizice, banii, sănătatea sau
integritatea corporală. Știm cum să avem grijă de casele, birourile și mașinile noastre, ce precauții să
ne luăm atunci când mergem la plimbare, la cumpărături, în ce cartiere e sigur sau nu să locuim. Dacă
pentru lumea fizică folosim soluții testate în timp, în lumea digitală averile și amenințările au alte
caracteristici. Averile informaționale sunt fragile, vulnerabile, deoarece conținutul digital este
independent de suportul său și de aceea greu de “închis”, delimitat, protejat în mod fizic; informația
virtuală poate fi mult mai ușor duplicată, distrusă sau falsificată.3 În plus, în ciber-spațiu apar noi și noi
pericole în fiecare an, cărora noi ca indivizi, dar mai ales ca angajați în domeniul business, trebuie să
învățăm să le facem față. Este important ca organizațiile să conștientizeze riscurile asociate cu
utilizarea tehnologiei și gestionarea informațiilor și să abordeze pozitiv acest subiect printr-o
conștientizare în rândul angajaților a importanței securității informațiilor, înțelegerea tipologiei
amenințărilor, riscurilor și vulnerabilităților specifice mediilor informatizate și aplicarea practicilor de
control4 – procesul de conștientizare începe astfel, în ce ne privește, de pe băncile amfiteatrului (B5).
3
Riguidel, M., Digital Security in the Future, in ETSI - ICT Shaping the World: A Scientific View, John Wiley&Sons,
UK, 2009, p. 171
4
Popa, S. E., Securitatea sistemelor informatice - note de curs şi aplicaţii pentru studenţii Facultăţii de Inginerie,
Universitatea din Bacău, p. 5
5
Endicott-Popovsky, B., Information Security and Risk Management in Context, curs video la
https://www.coursera.org/course/inforiskman, accesat la 8.01.2015
6
Riguidel, M., Op. cit., p. 171
7
Idem, p. 173
În concluzie, vestea rea este că TREBUIE SĂ ÎNVĂȚĂM să protejăm informațiile valoroase pentru noi și
pentru organizațiile în care vom lucra – , iar vestea bună este că nu trebuie neapărat să fim experți
în calculatoare pentru a ne putea proteja. Ca urmare, scopul acestui curs este de a înarma viitorii
economiști non-tehnici și pe fiecare dintre utilizatorii de calculatoare cu informațiile de bază de care
au nevoie pentru a fi în siguranță în mediul on-line. Pentru aceasta, trebuie să vedem care sunt
resursele informaționale importante, cu ce pericole se pot ele confrunta, care sunt măsurile,
instrumentele și comportamentele potrivite pentru a le apăra.
Primul pas în asigurarea securității este identificarea averilor informaționale, deoarece, dacă
nu se știe ce trebuie protejat și care sunt prioritățile, întregul efort de dobândire a securității
își pierde sensul. Deoarece un inventar complet al averilor informaționale din organizație este
dificil de realizat, se consideră că un început bun este identificarea a 80% dintre averi. 9
Orice informație care are valoare pentru organizație, indiferent de forma în care apare și de
caracteristicile sale, este o resursă informațională a acesteia.
Câștigul pe care
existența/nedivulgarea ei
terților îl poate aduce
organizației;
Prejudiciul pe care îl poate cauza
pierderea, alterarea sau
divulgarea ei;
Nivelul de încredere a terților în
organizație pe care existența
informației îl oferă.
Putem considera drept resurse informaționale datele din baze de date și alte fișiere, alte date
stocate pe diverși suporți: hârtie, microfilme, CD, DVD etc. în toate formele posibile - text,
grafică, video, voce, e-mail, informațiile care se obține prin prelucrarea acestor date, ca și
cunoștințele dintr-o organizație, care fac posibilă derularea proceselor economice din cadrul
ei. Acestora li se alătură produsele digitale (software – jocuri, programe de contabilitate,
aplicații mobile etc.), alte active imateriale ca imaginea organizației, cota de piață, principalele
procese de afaceri, dar și banii digitali. Când vine vorba de protecția acestor elemente mai
8
1 attometru=10-18 metri
9
Calder, A., A Business Guide to Information Security, Kogan Page, UK, US, 2005, p. 61
Din punct de vedere contabil, evaluatorii10 recunosc drept active necorporale informații:
Cât este de utilă pentru organizație informația analizată? În caz de dispariție, cât de
costisitoare va fi refacerea ei? Vor exista implicații legale, pierderi de imagine sau
financiare, dacă informația nu va putea fi livrată atunci când este nevoie de ea?
Eficiența operațională va fi afectată dacă informația nu va putea fi accesată cu
ușurință?
10
Evaluatori Anevar, Evaluare active necorporale – Tipuri de active necorporale, http://www.haintz.ro/informatii-
utile-evaluare/definitii-evaluari/evaluare-activelor-necorporale-tipuri-de-active-necorporale, publicat la
6.03.2012, accesat la 10.01.2017
11
The UK National Archives, What is an information asset?, la http://www.nationalarchives.gov.uk
/documents/information-management/information-assets-factsheet.pdf, accesat la 14.02.2014
Dacă pentru bunurile fizice este relativ ușor să fie stabiliți responsabilii, în ce privește averile
informaționale intangibile, e mult mai dificilă stabilirea responsabilității asupra lor. În ce
privește informația nouă, o regulă simplă este ca autorul ei să fie responsabil de ea - mai ales
dacă informația are o utilizare specifică și limitată în timp, care depinde de autor (valabil
pentru planuri de afaceri, previziuni, scrisori către clienți etc.). Uneori, informația a rezultat
dintr-un efort al unui grup/departament, sau este transportată și utilizată, indiferent de
origine, de mai multe persoane din organizație (cazul sistemelor CRM, ERP). Aici se încadrează
mai ales informațiile contabile, financiare. în acest caz, cel mai practic este ca organizația să
nominalizeze ca responsabil de aceste informații persoana/departamentul care le folosește
cel mai mult, sau care are cel mai mare control asupra lor. De exemplu, controlorul/auditorul
financiar poate fi responsabil de informațiile din sistemul contabil, iar managerul de vânzări
de cele din CRM.
12
Calder, A., Op. cit., p. 65
În definiții extinse, celor trei caracteristici care formează triada C.I.A. li se adaugă trăsături ca
validarea prin auditare, autenticitatea, ne-repudierea și respectarea dreptului indivizilor la
viața privată.
13
Chersan, I. C., Auditul financiar de la normele naţionale la standardele internaţionale, Editura Universităţii
Alexandru Ioan Cuza din Iași, 2013, p. 9
Bibliografie
1. ***, Dark Web. Cum se fac afaceri în lumea „întunecată” a internetului,
http://www.digi24.ro/stiri/sci-tech/lumea-digitala/dark-web-cum-se-fac-afaceri-in-lumea-
intunecata-a-internetului-461286, publicat pe 26.11.2015, accesat pe 03.03.2017
2. Calder, A., A Business Guide to Information Security, Kogan Page, UK, US, 2005
3. Chersan, I. C., Auditul financiar de la normele naţionale la standardele internaţionale, Editura
Universităţii Alexandru Ioan Cuza din Iași, 2013
4. Endicott-Popovsky, B., Information Security and Risk Management in Context, curs video la
https://www.coursera.org/course/inforiskman, accesat la 8.01.2015
5. ENISA Threat Landscape Report 2016, 15 Top Cyber-Threats and Trends, January 2017, la
https://www.enisa.europa.eu/publications/enisa-threat-landscape-report-2016
6. Evaluatori Anevar, Evaluare active necorporale – Tipuri de active necorporale,
http://www.haintz.ro/informatii-utile-evaluare/definitii-evaluari/evaluare-activelor-
necorporale-tipuri-de-active-necorporale, publicat la 6.03.2012, accesat la 10.01.2017
7. Popa, S. E., Securitatea sistemelor informatice - note de curs și aplicaţii pentru studenţii
Facultăţii de Inginerie, Universitatea din Bacău
8. Popescul, D., Securitatea informaţiilor – instrumente şi metode de lucru, Editura Tehnopress,
Iaşi, 2014
9. Riguidel, M., Digital Security in the Future, in ETSI - ICT Shaping the World: A Scientific View,
John Wiley&Sons, UK, 2009
10. The UK National Archives, What is an information asset?, la
http://www.nationalarchives.gov.uk
/documents/information-management/information-assets-factsheet.pdf, accesat la
14.02.2014