Pericolele şi securitatea sistemului informatic dintr-o

organizaţie

Profesor coordonator: Studenţi: Miron Anamaria ( CIG 6)

Lector dr. Daniela Popescul Popa Alexandra (CIG 2)

Cuprins

1. Introducere.............................................................................................................1

2. Descrierea organizaţiilor.......................................................................................2

3. Pericole..................................................................................................................5

5. Măsuri de securitate...............................................................................................7

6. Propuneri pentru îmbunătăţirea securităţii............................................................9

2

1. Introducere

În zilele noastre toate domeniile de activitate se bazează pe utilizarea, într-o măsură mai

mare sau mai mică, a tehnologiilor informatice şi a calculatorului. A devenit omniprezentă

utilizarea mijloacelor TIC (Tehnologia Informaţiei şi Comunicaţiilor) în desfăşurarea activităţilor

celor mai diverse şi pentru luarea deciziilor care au la bază informaţii ce sunt obţinute din

prelucrarea unor date culese cu privire la obiectul activităţii respective.

Cu referire la sistemul informatic, o componentă importantă din cadrul firmelor, reprezintă o

parte a sistemului informaţional care permite realizarea operaţiilor de culegere, transmitere,

stocare, prelucrare a datelor şi difuzare a informaţiilor astfel obţinute prin utilizarea mijloacelor

tehnologiei informaţiei (TI) şi a personalului specializat în prelucrarea automată a datelor.

În lucrarea de faţă, am ales analiza a două firme cu obiecte diferite de activitate, pentru a

evidenţa faptul ca pericolele ce vizează averile informaţionale sunt prezente indiferent de

obiectul de activitate, în acest scop intervenind importanţa măsurile de securitate, chiar dacă

activitatea firmei se bazează mai mult sau mai puţin pe un sistem informatic. Diferenţierea

majoră dintre aceste două firme cu referire la echipamentele din cadrul sistemului informatic

vizează redundanţa a două resurse foarte importante: energia electrică şi accesul la internet.

Astfel, în cazul firmei care are ca obiect principal de activitate transportul, alimentarea cu

energie şi internetul nu afectează drastic activitatea dacă nu funcţionează corespunzător, în

schimb ce, pentru un centru de date, funcţionarea optimă a acestora este esenţială. De aici,

intervin şi măsurile diferite de securitate implementate.

3

2. Descrierea organizaţiilor

Prima firmă analizată (firma X) este o societate de tip SRL, cu sediul în Iaşi, ce are o

structură de tip funcțional, iar principalele sale activități sunt: cultivarea, depozitarea și

valorificarea cerealelor și a plantelor oleaginoase, transportul de persoane, atât pe rute regulate,

cât și pe rute ocazionale, comercializarea cu amănuntul a produselor alimentare, comercializarea

cu amănuntul și cu ridicata și transportul materialelor de construcții.

Principalul obiect de activitate al firmei este: Transporturi urbane, suburbane și

metropolitane de călători.

Din punct de vedere organizatoric, în cadrul firmei regăsim următoarele departamente:

Departamentul de resurse umane;

Departamentul financiar-contabil;

Departamentul de producţie/servicii;

Birou de aprovizionare/vânzări.

Toate departamentele sunt subordonate directorului general al firmei.

Personalul firmei cuprinde 35 de angajaţi, din care 5 personal administrativ.

Prezentarea sistemului informatic

Sistemul informatic al firmei este destinat nivelului operaţional, precum şi celui executiv,

pentru activitatea de birou. Acesta nu se suprapune în totalitate cu sistemul informaţional,

existând activităţi care nu sunt automatizate 100%.

Sistemul informatic specific este compus din următoarele elemente software:

Subsistemul informatic de gestiune a stocurilor ce se ocupă de evidenţa și

normarea stocurilor și a materialelor, inventarierea şi monitorizarea cantităţilor faptice

din depozite cu ajutorul modulului de Gestiune şi Contabilitate din aplicația

WinMENTOR;

4

Subsistemul informatic de resurse umane și salarizare cu ajutorul aplicaţiei

REVISAL v.5.05, distribuită de către Inspectoratul Teritorial de Muncă, precum şi cu

ajutorul modulului SALARII din aplicaţia WinMENTOR;

Subsistemul informatic al mijloacelor fixe ce asigură gestiunea intrărilor şi a

ieşirilor şi evidenţa mijloacelor fixe se realizează cu ajutorul modulului MIJLOACE

FIXE din cadrul aplicaţiei WinMENTOR;

Subsistemul informatic de vânzări ce cuprinde activitatea de procurare a

mijloacelor necesare desfăşurării activităţii şi desfacerii produselor, a serviciilor şi a

lucrărilor care fac obiectul de bază a societăţii foloseşte ca aplicaţie informatică modulul

COMERCIAL al aplicaţiei WinMENTOR;

Procesoare de texte Microsoft Word;

Sisteme de comunicaţie ( Microsoft Outlook).

Funcţionarea aplicaţiilor software este posibilă cu ajutorul a 5 calculatoare care sunt

împărţite astfel:

unul la directorul general (Laptop HP ProBook 4530s cu procesor Intel® CoreTM i3-

2330M 2.20GHz, 4GB, 640GB, AMD Radeon HD 6490 1GB);

al doilea în cadrul biroului de resurse umane (Laptop Toshiba Satellite C660-11P cu

procesor Intel® Pentium® Dual-Core T4500 2.3GHz, 2GB, 250GB);

al treilea la biroul de contabilitate (Laptop Acer Aspire AO756-887BCkk cu procesor

Intel® Celeron® 877 1.40GHz, 4GB, 500GB, Intel® HD Graphics);

al patrulea la depozitul de materiale de construcții (Netbook Acer Aspire AO725-C6Ckk

cu procesor AMD Dual-Core C60 1.0GHz, 2GB, 320GB, AMD Radeon HD 6290);

al cincilea la secretariat (Laptop Asus X401A-WX089D cu procesor Intel® Celeron®

Dual-Core B820 1.70GHz, 4GB, 320GB).

Cea de-a doua firmă analizată (firma Y) este un centru de date ce găzduieşte servere prin

care se asigură soluţii de hosting pentru proiecte web (web hosting).

5

Din punct de vedere organizatoric, în cadrul firmei regăsim două departamente:

Departamentul de relaţii cu clienţii

Deparamentul de operare în reţea

Sistemul informaţional la nivelul firmei este puternic informatizat, sistemul manual de

prelucrare a datelor ocupând o pondere foarte redusă, deoarece principalul scop este acela de

stocare, procesare şi transmitere a informaţiei în format digital prin intermediul serverelor.

Sistemul informatic din cadrul firmei prezintă următoare structură:

Servere MYSQL - utilizeaza disk-uri SSD Intel pentru o viteza si siguranta a

datelor ridicată

2 procesoare Quad-Core Intel Xeon E5430 + Cache Memory 12MB Level 2 cache

- Intel Xeon processor 5400 sequence

2 surse de alimentare redundante (energie electrica prin UPS-uri - Uninterruptible

Power Supply), DVDRW HotPlug si ventilatoare HotPlug – ce asigură funcţionare

continuă şi fiabilitate

Hard-discuri SAS HotPlug "oglindite" RAID 1 + Storage Controller HP Smart

Array P400/256MB – ce asigură viteza mare de scriere

Conexiune la internet prin fibra optica, având ca şi conexiune principala RDS si

conexiune de rezerva RomTelecom.

Software de arhivare şi compresie

Software de back-up RAID 1

Software de administrare şi programare : Perl Moduls, Image Manager, Index

Manager, Error Pages, Cran Jobs, FrontPage Extensions, Virus Scaner powered by

ClamAV.

Software open-source integrat cu cPanel (B2Evolution): Blog System,

WordPress - Blog System, YaBB - Secure, phpBB – Forum, Geeklog - Content Manager,

Mambo – CMS, Nucleus – CMS, Soholaunch - Website Builder, Xoops - Content

Manager, phpWiki – CMS, phpMyChat - Chat room, AgoraCart - Shopping ecommerce

6

system, OSCommerce - Shopping Ecommerce system, Coppermine - Image Gallery,

Advanced Guestbook, cPSupport - Support ticket system).

Firma are în cadrul data center-ului un număr total de 25 de angajaţi, distribuit astfel:

programatori, front office, personal însărcinat cu securitatea fizică, personal care se ocupă de

mentenanţă şi personal care oferă asistenţă.

3. Pericole

a. Asociate calculatoare desktop

- Greşeli de programare şi portiţe lăsate special în programe în cazul sistemelor

software folosite de clienţii firmei de web hosting → obţinerea de avantaje de la

sistemele care nu respectă specificaţiile sau înlocuire de software cu versiuni

compromise;

- Pot aparea defecte ale autentificării ca urmare a funcţionării defectuoase a

echipamentelor (monitor) în ambele situaţii;

- Scurgere de informaţii → utilizarea sistemului DNS în cazul centrului de date

pentru a obţine informaţii care sunt necesare administratorilor serverului şi bunei

funcţionări a reţelei, dar care pot fi folosite şi de atacatori;

- Funcţionarea defectuasă a echipamentelor de lucru, în cazul de faţă a calculatoarelor

desktop prin supraîncălzirea acestora sau scurt-circuitarea echipamentelor cu riscul unor

incendii - ;

- lipsa unei parole de acces pentru fiecare unitate de lucru poate permite accesul

neautorizat al altor angajaţi sau intruşi, în cazul firmei X.

b. Asociate calculatoarelor portabile şi telefoanelor mobile

7

- angajaţilor purtători ai unui telefon mobil li se poate determina locația, de asemenea li se

poate înregistra fiecare convorbire, fiecare text de mesaj scris, apelurile inițiate sau primite,

putând exista atfel scurgeri de informaţii confidenţiale;

- datorită portabilității lor, pot fi foarte ușor obiectul furturilor și se pot afla informații

confidențiale, cum ar fi date despre clienți importanţi, informaţii despre anumite software-uri

dezvoltate;

- folosirea telefoanelor în interes de serviciu prin accesarea internetului permit expunerea

spre viruși mobili care pot șterge informațiile confidențiale din telefon sau pot atenta la

funcţionarea optimă a aplicaţiilor existente în sistemul mobil;

- angajaţii pot omite anumite etape pentru a asigura configurarea adecvată a dispozitivelor,

ignorând anumite mecanisme de securitate, fără a ţine cont că anumite date ale organizaţiei

(documente confidenţiale, lista cu clienţii, coduri de acces în unitate) necesită măsuri de protecţie

suplimentare.

c. Asociate folosirii internetului

- atunci când se distribuie fișiere de orice tip cu alți utilizatori ai rețelei din firma X, se

poate permite accesul la informații confidenţiale. Persoane rău-intenţionate pot instala

programe de urmărire a ceea ce se lucrează pe computer sau transmite;

- capacitatea şi viteză mică a internetului, ceea ce poate conduce la lipsa redundanţei în

cazul firmei Y;

- pot avea loc atacuri informatice asupra datelor clienţilor prin mediul internet, în cazul

ambelor firme;

- lipsa unui program antivirus în cazul firmei X poate permite apariţia unor infecţii cu

malware asupra sistemului de lucru.

d. Asociate sistemului de control al accesului în organizaţie

- în cazul firmei X, accesul angajaților în firmă se face doar pe bază unei parole care

însă poate fi aflată și folosită pentru accesul în organizație de către persoane neautorizate;

8

-în cazul firmei Y, accesul angajaților în firmă se face doar pe baza cartelelor

magnetice, care însă pot fi ușor substituibile, putând fi folosite și de persoane

neautorizate să între în firmă, cu posibile intenții rău-voitoare;

e. Asociate acţiunilor personalului

- pot sustrage ușor unele obiecte cum ar fi suporturile magnetice, laptopurile, contracte

importante, date despre clienţi pe care le pot folosi în alte scopuri decât cele legale;

- angajaţii pot difuza ilegal copiile programelor software create, deşi doar unitatea are drept

de proprietate asupra softului creat în firmă;

- personalul de pază şi protecţie poate să nu fie instruit corespunzător în cazul producerii

unui incendiu în sala servererlor, ceea ce va cauza pierderi substanţiale, dacă nu acţionează

conform regulilor interne.

5. Măsuri de securitate

Firma X Firma Y

1.Sistem de alarmă ce presupune controlul

accesului în unitate prin introducerea unei parole ce

contribuie la confidenţialitatea şi accesibilitatea

averilor informaţionale ale firmei (documente

importante, contracte, echipamente fizice) doar

pentru cei autorizaţi. Se împiedică astfel,

pătrunderea în unitate a hoţilor, precum şi spionajul

concurenţial sau de altă natură.

1. Sistem de control care oferă control al

accesului, alarme de încălcare a securităţii, alarme

de monitorizare, sistem de detecţie al intruziunilor

prin securizarea accesului pe bază de card magnetic

şi controlul accesului în sala serverelor pe baza de

card. Astfel se asigură accesibilitatea la resursele

informatice doar pentru persoanele autorizate, precum

şi desfăşurarea neîntreruptă a activităţii de posibili

intruşi.

9

2. Supraveghere video la intrare şi pe holuri cu

rol în menţinerea confidenţialităţii şi accesibilităţii

datelor şi averilor informaţionale doar pentru

personalul autorizat. Se asigură, verificarea

eventualelor abateri ale personalului, care pot

pătrunde în zone în care nu au acces, precum şi

surprinderea hoţilor şi identificarea lor ulterioară.

2.Sistem video digital - camere de luat vederi

color poziţionate atât la intrare cât şi în punctele

considerate sensibile(camera serverelor), asigurandu-

se monitorizare completă a unităţii, a accesului la

echipamente, precum şi identificarea intruşilor.

În plus, există personal de pază pentru controlul

accesului şi monitorizare.

3. Existenţa detectoarelor de fum şi de

temperaturi foarte ridicate, pentru protejarea în

caz de incendii a echipamentului de lucru, a

spaţiului de lucru, precum şi a documentelor

importante cu care firma lucrează (contracte

importante, baza de date cu toţi clienţii, documente

contabile).

3. Sisteme automate performante de detectare

si stingere a incendiilor prin izolarea incendiilor fără

a afecta zonele din jur (la cel mai mic foc se vor

alarma minim 2 senzori de incendiu). Specific, există

o combinaţie specială numită inergen ele care duce în

momentul utilizarii la scaderea oxigenului din

incapere la un procent mai mic de 15%, moment in

care marea majoritate a combustibilor nu mai ard.

Totodata gazul Inergen protejeaza persoanele ramase

in incapere la momentul izbucnirii unui incendiu.

4. Angajaţilor nu le este permisă descărcarea,

comunicarea datelor sensibile, exportul

informaţiilor sensibile prin folosirea internetului. Se

asigură astfel, protejarea echipamentului de lucru,

dar şi a datelor cu care se lucrează, de infecţii

malware, menţinându-se confidenţialitatea şi

integritatea informaţiilor specifice activităţii.

4. Liste cu accesul realizat de fiecare angajat,

intrare şi ieşire, cu referire la accesul la domeniile şi

site-urilor găzduite, aceste liste fiind la dispozitia

clienţilor in urma unei cereri. Confidenţialitatea

datelor cu care se lucrează este o cerinţă a politicii

firmei, iar prin această măsură se pot identifica mult

mai uşor persoanele care au înregistrat abateri.

5. Protejarea arhivei firmei prin securizarea

fizică a camerei în care aceste documente sunt

pastrate, accesul fiind autorizat doar pentru

persoanele care au acces la cheie – se asigură

integritatea şi confidenţialitatea documentelor ce

trebuiesc păstrate în cadrul firmei.

5. Protejarea datelor clienţilor împotriva

pierderii sau deteriorării prin asigurarea unor servicii

de Secure Backup& Recovery pe bandă magnetică pe

platforma IBM Tivoli, respectându-se şi în acest caz

cerinţa de confidenţialitate.

10

6. Propuneri pentru îmbunătăţirea securităţii

Firma X Firma Y

1. Controlul accesulul în unitate se poate

îmbunătăţi prin schimbarea parolei de acces cu un

cod PIN atribuibil fiecărui angajat.

1. Listele cu accesul realizat de fiecare angajat

pot fi înlocuite cu un software specializat care să

monitorizeze întreaga activitate (daca accesării, ora,

timpul de lucru, acţiuni întreprinse, ora închiderii

sesiunii de lucru).

2. Înstalarea unui sistem software de protecţie

de tip antivirus împotriva atacurilor informatice, a

infecţiilor malware.

2. Pentru a îmbunătăţi protecţia antiincendiu, se

pot implementa sisteme de interblocari ale

echipamentelor tehnice in condiţii de foc (oprire

climatizare în caz de incendiu), precum şi sisteme de

primire a informaţiilor tehnice de la echipamentele

vitale ale sistemelor afectate.

3. Controlul accesului la staţiile de lucru

personale ale fiecărui angajat prin parolă.

3. Monitorizare de la distanţă a infrastructurii

centrului prin firme specializate pentru identificarea

rapidă a problemelor.

11