630 likes | 798 Views
Upravljanje informacionim resursima i bezbednost. Tijana Star čević 778/10 Sunčica Jaukovi ć 1132 /10 Aleksandar Maleti ć 1092/10.
E N D
Upravljanjeinformacionimresursimaibezbednost • Tijana Starčević 778/10 • Sunčica Jauković1132/10 • Aleksandar Maletić 1092/10
Upravljanje informacionim resursima (Information Resources Managemengt - IRM) obuhvata sve aktivnosti u vezi sa planiranjem, organizovanjem, sticanjem, održavanjem, obezbedjivanjem i kontrolisanjem resursa IT. • Na nivou odeljenja ISD • U odeljenjima , jedinicama i timovima krajnjih korisnika
Direktor IS naziva se rukovodiocem informacionog sistema Odeljenje za informacioni sistem moze da podnosi izvestaje: • Potpredsedniku zaduženom za administraciju • Izvršnom direktoru operativnog odseka • Izvršnom potpredsedniku • Glavnom izvršnom rukvodiocu (CEO)
Važni su dobri odnosi ISD i krajnjih korisnika ! Četiri pristupa korišćenja računara krajnjih korisnika: • Da ih pusti da potonu ili isplivaju • Da koristi štap • Da koristi šargarepu • Da ponudi podršku
Negovanje odnosa ISD i krajnjih korisnika • Osnivanje specijalne jedinice za podrsku krajnjim korisnicima • Uvođenje obuke krajnjim korisnicima • Davanje prioriteta računarskim aktivnostima krajnjih korisnika • Obučavanje zaposlenih • Angažovanje specijalnog tima za rešavanje sukoba
Priznavanje CIO za člana vrhovnog izvršnog tima organizacije • Ovlašćenje zaposlenih da donose odluke na licu mesta • Svođenje smetnji u radu na minimum
Koordinacioni komitet Zadaci: • Određivanje pravca • Opskrbljivanje • Strukturiranje • Kadrovsko popunjavanje • Komunikacija • Procena
Sporazumi o nivou usluga Formalni sporazumi o podeli odgovornosti između krajnjih korisnika i ISD. Uprava krajnjih korisnika ima slobodu da izabere količinu i vrstu potrebne podrške.
Sporazumi o nivou usluga definišu : • Odgovornosti u računarskim aktivnostima • Daju okvir za projektovanje usluga podrške • Dopuštaju krajnjim korisnicima da zadrže najveći mogući stepen kontrole nad sopstvenim računarskim aktivnostima.
Prednosti • Jasno navodi čija je odgovornost • Obezbeđuje strukturu za projektovanje i pružanje usluga ISD krajnjim korisnicima • Podstiče krajnje korisnike da poboljšaju svoj rad na računaru • Sporazum je sredstvo ISD za koordiniranje računarske aktivnosti korisnika
Četiri koraka postizanja SLA • Definisanje nivoa usluga • Podela odgovornosti na svakom nivou • Projektovanje detalja nivoa usluga • Sprovođenje nivoa usluga
Informacioni centar • Korisnički servis ili centar za pomoć • Pružanje pomoći krajnjim korisnicima u rešavanju računarskih problema • Pružanje opšte tehničke pomoći • Opšte ulsluge podrške
Nova organizacija IT • Postići dvosmerno strateško usaglašavanje • Razvijati delotvorne odnose sa linijom upravljanja • Brzo razvijati i uvoditi nove sisteme • Graditi i upravljati infrastrukturama
Prekvalifikacija organizacije IT • Urediti odnose sa snabdevačima • Izgraditi visoki radni učinak • Rekonstruisati i upravljati “saveznom” organizacijom IT
Rukovodilac informacionog sistema • Prvenstvena uloga je da uskladi IT sa poslovnom strategijom • Sekundarne uloge: sprovođenje rešenja proisteklih iz pregleda stanja i poboljšanje pristupa informaicjama
CIO je član korporativnog izvršnog komiteta • Izvršni komitet obezbeđuje vrhovni nadzor nad iformacionim resursima organizacije • Razumeti složenost poslovanja u konkurentom globalnom okruženju. • Nositi se sa tehnološkim promenama • Poznavati oblast poslovanja kompanije • Koristiti poslovne a ne tehničke termine u komunikaciji s korporativnom upravom • Uspostaviti kredibilitet odeljenja IS • Povećati tehnološku zrelost kompanije • Održati kompetentnost tehnologije • Razumeti umrežavanje na globalnoj osnovi • Upravljati sigurnošću i bezbednošću sistema IT • Obrazovati direktore koji nisu iz IT
CIO u eri interneta • Na ulogu utiču: • Tehnologija i upravljanje njome • Menjaju se stavovi izvršnih direktora • Isporučioci utiču na strateško razmišljanje svojih klijenata
CIO preuzima sve veću odgovornost za definisanje strateške budućnosti • CIO treba da pomogne da se izbegne razočarenje u IT • Potrebno je da CIO razume da je era interneta vise fundamentalna promena poslovanja nego tehnologije
Potrebno je da se CIO zalaže za više centralne kontrole • CIO i krajnji korisnici moraju da sarađuju više • CIO je odgovoran za razvoj novih modela poslovanja zasnovanih na Webu • CIO postaje poslovni vizionar koji pokreće poslovnu strategiju
Zbog velikog pritiska CIO se obično ne zadržava dugo u jednoj organizaciji • Kako tehnologija postaje sve važnija za poslovanje, CIO postaje ključni pokretač u redovima višeg rukovodstva.
Bezbednosne mere • Bezbednost mreže je potrebna da bi se obezbedila tačnost i pristupačnost podataka, poverljivost i privatnost, dostupnost sistema i nemogućnost reprodukcije. • Kontrola pristupa- sistem kontrole pristupa čuva od neovlašćenih pokušaja uključivanja telefonom. Sistem kontrole pristupa proverava autentičnost PIN-a i lozinke. Problem modema – U mnogim kompanijama zaposleni koji su na putu ili na terenu koriste modeme za pristup na intranet kompanije putem telefona. Postoje dva tipa modema: ovlašćeni i neovlašćeni. Modemi su vrlo riskantni.
Šifrovanje – šifrovanjem se regularan digitalizovan tekst pretvara u nečitljiv ispreturan tekst i brojeve koji se po prijemu dekoduju.Masovno prihvaćeni algoritam za šifrovanje je Standard za šifrovanje podataka • Otkrivanje i otklanjanje problema – npr. uređaj za testiranje kabla, analizator protokola • Obezbeđenje od korisnog tereta – šifrovanje ili druga vrsta manipulisanja podacima koji se šalju u mrežu.
Komercijalni proizvodi • Otkrivanje upada – uređaj se postavlja blizu tačke ulaza Interneta na intranet. Pr. BladeRunner, IDS
Mrežna barijera • Mrežna barijera je sistem ili grupa sistema koji sprovode politiku kontrole pristupa između dve mreže. • Mrežne barijere su najisplativija rešenja za brobu protiv hakerisanja. • Mrežne barijere ne zaustavljaju viruse koji mogu prikriveni postojati u mrežama.
Uvođenje mera bezbednosti • Pregled informacionih sistema Sredstva za kontrolu se uvode da bi se osiguralo da informacioni sistemi rade pravilno. O kontroli se govori kao periodičnom ispitivanju i proveri finansijske i računovodstvene evidencije i procedura.
Postoje dva tipa revizora: unutrašnji i spoljni (pregleda nalaze unutrašnjeg pregleda i ulazne podatke, obradu i izlaz iz informacionog sistema). • Pregled IT je usredsređen na teme kao što su dalji razvoj sistema, operacije i održavanje, celovitost podataka, softverska aplikacija, nabavke, budžet i troškovi, obuka, kontrola cena, predviđanja katastrofa i obnavljanje, produktivnost i dr.
Postupci pregleda IT se mogu klasifikovati u tri kategorije: • pregled oko računara, • pregled kroz računar( pregled programske logike) • pregled pomoću računara.
Revizori koriste alatke da bi povećali sopstvenu delotvornost i efikasnost. Npr. spiskovi za proveru, formule i dijagrami. • Računarski programi za podršku posla revizora: 1. programi za testiranje 2. programi za sumiranje 3. programi za uzimanje uzoraka 4. programi za upoređivanje • Revizori i konsultanti za bezbednost mogu da pokušaju da prodru u računarski sistem. (primer revizori države Ilinois)
Primer • Revizoridržave Ilinois su izdali saopštenje 1993. godine kojim su obavestili državu da su postigli uspeh u svom zadatku da prodru u centralni računar koji opslužuje 109 državnih organa. Ovlašćeni haker radeći sa udaljenog mesta uspeo je da uđe u sistem, očita, izmeni i obriše podatke kao što su platni spisak i zatvorska evidencija.
2. Planiranje obnavljanja posle katastrofe • Uništenje svih računarskih uređaja može da prouzrokuje značajnu štetu; • Svrha obnavljanja je da se poslovanje nastavi pošto se dogodi katastrofa; • Planiranje obnavljanja je deo zaštite imovine; • Plan treba napisati kako bi se aktivirao u slučaju katastrofe.
Primer • Kreditna zajednica Heritage Trust Credit Federal je nastavila sa normalnim radom kada je uragan Hugo pogodio Čarlston. Imala je razrađeni plan za obnavljanje rada posle katastrofa pomoću softvera za PC s napajanjem na baterije (Recovery Pac)
Rezervni mehanizam • U slučaju katastrofe često je neophodno preseliti centralizovani računarski sistem na udaljenu rezervnu lokaciju • Spoljni prodavci vrućih lokacija obezbeđuju smeštaj u potpuno konfigurisane rezervne centre. (Charles Schwab Corporation) • Kod spoljašnje hladne lokacije se obezbeđuje prazan poslovan prostor sa uređenim podom, ventilacijom i instalacijama
Izbegavanje katastrofa • Pristup koji je usmeren ka preventivi • Cilj je da se mogućnost da dođe do katastrofe svede na minimum
3.Upravljanjerizikom i analiza troškova i koristi • Upravljanje rizikom je pristup koji pomaže da se utvrde opasnosti i izaberu isplative mere obezbeđenja. • Analizu upravljanja rizikom može da olakša primena paketa softbera DSS Očekivani gubitak=P1*P2*L P1-verovatnoća napda P2-verovatnoća da će napad biti uspešan L – gubitak koji nastaje ako je napad uspešan
Bezbednost IT u 21.veku • Povećanje pouzdanosti sistema – cilj vezan za pouzdanost je da koristi toleranciju na greške da bi informacioni sistemi mogli da nastave da funkcionišu čak i kada neki delovi zataje.
Inteligentni sistemi za rano otkrivanje – Ekspertski sistemi i neuronske mreže se koriste u te svrhe. Ovim pristupom se porede aktivnosti korisnika na mreži radne stanice u odnosu na profile u prošlosti i analizira se značaj neslaganja. • Pristup koristi više vladinih organa i velike korporacije.
Veštačka inteligencija u biometriji: • Ekspertski sistemi – inteligentni računarski programi kojima se emulira rešavanje problema na način na koji to čine eksperti • Neuronsko računarstvo • Prepoznavanje glasa
Ekspertski sistemi za dijagnozu, prognozu i predviđanje katastrofa – koristi se za dijagnostifikovanje problema u računarskim sistemima i predlaganje rešenja. • Inteligentne kartice – Excel MAR 10 nudi šest nivoa bezbednosti: identifikacija ovlašćenog korisnika, izvršavanje unapred utvrđenih programa, proveru autentičnosti, šifrovanje programa, šifrovanje komunikacija i stvaranje datoteka o praćenju podataka.
Borba protiv hakera – Firma Secure Networks je razvila proizvod koji je u svojoj osnovi mreža mamac u okviru mreže.
Ranjivost • Vrste opasnosti: - nenamerne - namerne • Nenamerne opasnosti: - ljudske greške - opasnosti okruženja (primer ciklona Tamara i nestanak struje na Terazijama) - kvarovi računarskih sistema
Ranjivost • Namerne opasnosti - računarski zločini i kriminal • Primeri: - krađa podataka - neodgovarajuća upotreba podataka - krađa vremena na velikim računarima - krađa opreme ili programa - namjerna manipulacija u rukovanju, unosu, obradi, prenosu ili programiranju podataka - štrajkovi radnika - nemiri ili sabotaža-ostalo • Do njih dolazi na četiri načina: - računar može biti cilj - računar može biti medijum - računar može biti oruđe - računar se može koristiti za zaplašivanje
Ranjivost • Lica koja su povezana sa računarskim zločinima: - insajderi - autsajderi (najčešće hakeri) • Hakeri mogu biti: - dobronamerni - zlonamerni (krekeri)
Računarski zločini • PROFIL hakera: - pol - belci, muškarci između 19 i 30 god. (žene su uglavnom saučesnici) - zanimanje - programer, student, menadžer - izgled - samouveren, brz, energičan - pristup poslu - vrlo motivisan, avanturistički • MOTIVI hakera: ekonomski (novac), ideološki (pravda), egocentrični (izazov), psihološki (osveta), iz zabave (‘nako, dosada) • Na meti cyber-kriminala nisu izostavljena privatna lica kao ni male i velike kompanije
Računarski zločini • TeslaTeam - organizacija iz Srbije. - Mete: političke grupe, albanski vebsajtovi,anti-srpski vebsajtovi i novinske agencije - jedina organizacija u Srbiji koja organizuje hakerske napade • Anonymous - osnovana 2003. preko mreže 4chan - protivnici cyber posmatranja i praćenja i cyber-cenzure - zalažu se za internet aktivizam. - poznati su u popularnoj kulturi po svojim maskama - učestvovali u obaranju sajtova Sientološke crkve, napadali kompanije koje su bile protiv Wikileak-sa • P.H.I.R.M. - jedna od najstarijih hakerskih grupacija, osnovani su 1983. i do raspada 1990 imali su oko 100 clanova. - jedna od njihovih uspešnih akcija je da su uspeli da upadnu u Bank of America bazu podataka - veći broj članova kasnije pridružio organizaciji Anonymous • LulzSec - organizacija koja hakuje sajtove radi zabave - oni su mala organizacija proizasla iz kako se smatra glavnih članova Anonymous-a - poznati su po tome sto su hakovali sajt Američkog X-faktora i nekokiko sajtova kompanija za video igre - na njihovoj listi su Sony, Nitendo, Americki senat i još neki koji nisu potvrđeni
http://www.informationisbeautiful.net/visualizations/worlds-biggest-data-breaches-hacks/http://www.informationisbeautiful.net/visualizations/worlds-biggest-data-breaches-hacks/ • Veliko hakovanje u SAD-u - roku od osam godina hakerska grupa je ukrala oko 160 miliona brojeva kreditnih i debitnih kartica i oko 800 hiljada bankarskih računa - kompanije kao JC Penny, Hannaford, Heartland , Jet Blue, Dow Jones, Visa Jordan, Global payment , Diners Singapore, Ingenicard su bile na meti ovog napada
Računarski zločini • Facebook - nekoliko puta hakovan - najveći se desio slučajno koristeći "Download your information" članovi Facebook su neznajući slali brojeve telefona i internet adrese svojih prijatelja - oštećeno oko 6 miliona korisnika. • AOL (American Online) - 3 velika incidenta - prvi 2005. kada je jedan od radnika na software-u ukrao 92 miliona naloga i prodao ih - drugi put je American Online bez ikakvih razloga pustio u javnost oko 20 miliona korisničkih naloga - 2013. se ponovo desio neovlašćeni sigurnosni pristup koji je rezultovao sa 2,4 miliona oštećenih • Blizzard Entertainment - Blizzardova igračka mreža, tzv. Battle.net, je hakovana i ukradeni su kodovi, sigurnosne reči sa unutrašnjih servera koje se koriste radi kontrole korisničkih naloga i računa - Blizzard nije hteo da izjavi o kolikom broju naloga se radi ali se predpostavlja da je oko 14 miliona • Sony Plastation network i Sony Online Entertainment - pored toga što im je hakerska organizcika LulzSec probila Playstation mrežu i time kompromizovala 77 miliona naloga, vise od 23000 finansijskih podataka je nestalo kako je izjavio Sony • T-Mobile Deutsche Telecom - prijavili da im je ukraden uređaj sa bazom podataka u kojoj je bilo oko 17 miliona imena ,adresa I brojeva telefona
Računarski zločini • Osnovni pristupi u namernim napadima: - neovlašćeno menjanje podataka - podvale u programiranju • Metode napada: - virus (broj se kreće do 70.000,a mesečno se u proseku pojavi oko 100-150 novih virusa) - crv - trojanski konj - sečenje salame - tajna vrata - logička bomba - njuškavac - podvala - ostalo