170 likes | 351 Views
E-Business. Ligjerata 11. Fisnik Dalipi , MSc. USHT - Fakulteti Ekonomik. Menaxhimi i siguris ë së informacionit në organizata. Informacioni është një aset (pasuri, vlerë) që është esencial për suksesin e biznesit të një organizate
E N D
E-Business Ligjerata 11 Fisnik Dalipi, MSc USHT - Fakulteti Ekonomik
Menaxhimi i sigurisë së informacionit në organizata • Informacioni është një aset (pasuri, vlerë) që është esencial për suksesin e biznesit të një organizate • Siguria e informacionit paraqet mbrojtjen e informacionit nga një varg kërcënimesh me qëllim të sigurimit të kontinuitetit të biznesit dhe minimizimit të riskut në biznes. Ruajtja e të dhënave nënkupton: • Confidentiality – Mirëbesim i fshehtësisëInformacioni është në dispozicion vetëm për ato që janë të autorizuar ta përdorin • Integrity – IntegritetRuajtja e saktësisë dhe tërësisë së informacionit dhe metodave përpunuese të tij • Availability – Disponueshmëri (në dispozicion)Personat e autorizuar duhet të kenë qasje në informacion sipas nevojës
Shoqëria e informacionit • Informacioni është kudo : • Gazetat/revistat online • Emaili personal apo i punës • Banka elektronike • Online takimet dhe forumet etj. • Informacioni është gjithmonë në dispozicion : • Hapja e emaileve në PDA apo telefonat e mençur • Dëgjimi i voicemail-eve (porosive me zë) • Surfimi në internet me anë të GPRS në një kafene • etj.
Shoqëria e informacionit • Cila është vlera e informacionit të saktë ? • Koordinatat e shpimit gjatë nxjerrjes së naftës • Historia elektronike e pacientëve • Thirrjet personale në telefon me miqtë dhe familjen • Informacioni për trupat ushtarake në luftë • Kontrollimi i anijeve/robotëve kozmik në Mars • Pa mbrojtje të mirëfilltë të informacionit • Transaksione bankare të gabueshme • Rënia të rrjetit të furnizimit me rrymë elektrike • ... Krizë ekonomike dhe çrregullim shoqëror
Historiku i incidenteve • Chevron (1992). Sistemi i emergjencës u sabotua në mbi 22 shtete nga një i punësuar i pakënaqur. • Aeroporti Worchester (1997). Një haker i jashtëm e fiku sistemin për kontrollimin e fluturimeve për rreth 6 orë. • Gayprom (1998). Një haker i huaj e mori kontrollin mbi rrjetin e gazit për EU duke përdorur sulme me kuaj trojan. • Kuinslend, Australi (2000). Një punëtor i pakënaqur e hakoj sistemin e derdhjes së ujrave të zeza duke derdhur mbi një milion litra të ujrave të zeza në ujrat e bregdetit.
Historiku i incidenteve • Porti i Venecuelës (2002). Hakerët paaftësuan sistemin kompjuterik të portit gjatë një proteste kombëtare duke e paralizuar portin në fjalë. • Ohajo, uzina nukleare Dais-Besse (2003). Sistemi i uzinës për monitorimin e sigurisë u fik nga një krimb (Worm) me emrin Slammer për 5 orë. • DaimlerChrysler (2005). 13 fabrika(uzina) në SHBA u sulmuan nga infektime me krimba (Zotob, Rbot, IRCBot) duke bërë ndërprerjen e prodhimit. • Banka e Belgjikës (2007). Hakerë rus vjodhën të holla nga klientët e bankës duke përdorur infektime shumë komplekse me viruse.
Përse nevojitet siguria e informacionit në organizatë ? • Shumë sisteme të informacionit nuk janë dizajnuar që të jenë të mirësiguruar. Menaxhimi i sigurisë së informacionit të organizatës kërkon orvatje jo vetëm nga departamenti i IT, por edhe nga: • Menaxhmenti i organizatës • Të punësuarit • Klientët • Aksionerët • Furnizuesit • Etj.
Disa standarde për sigurinë e inform. • ISF Standard (Information Security Forum) • COBIT (Control Objectives for Information and related Technology) • AusCert (Australian Computer Emergency Response Team) • NIST (National Institute of Standards and Technology) • Seritë e ISO 27000 (www.27000-toolkit.com)
Polisa e sigurisë • Qëllimi: • Ti ofroj menaxhmentit (udhëheqësisë) kahje dhe mbështetje për sigurinë e informacionit në pajtueshmëri me kërkesat biznesore dhe rregullativave ligjore • Menaxhmenti duhet të vendos kahje të qarta të polisave në përputhshmëri me qëllimet biznesore dhe të demonstrojë mbështetje dhe përkushtim për sigurinë e informacionit nëpërmjet aplikimit të një polise të sigurisë për të gjithë organizatën • Dokumete të polisës • Evaluim i polisës
Siguria e organizatës Qëllimi • Infrastruktura e sigurisë së informacionit • Të menaxhohet siguria e informacionit në organizatë • Forum për menaxhimin e sistemit informativ • Palët e jashtme • Të ruhet siguria e procesimit të informacionit nga palët e tjera të jashtme. • Pra, një organizatë/kompani tjetër përkujdeset për sigurinë e informacioneve të kompanisë sonë
Siguria e personelit Qëllimi • Siguria në punë • Të reduktohen rreziqet nga gabimet njerëzore, vjedhjet, mashtrimet apo keqpërdorimet e resurseve të punës • Trajnimi i përdoruesve • Me qëllim që përdoruesit të jenë të ndërgjegjshëm për sigurinë e informacionit si dhe kërcënimet, duhet të trajnohen që të jenë të gatshëm ta mbështesin polisën e sigurisë së organizatës gjatë punës së tyre normale • Përgjigja ndaj incidenteve të sigurisë dhe keqpërdorimeve • Të minimizohet dëmtimi nga incidentet e sigurisë duke raportuar incidentet, dobësitë e tyre si dhe keqpërdorimet e tyre
Siguria fizike dhe e mjedisit Qëllimi • Hapësira të sigurta • Që të parandalohet qasja, dëmtimi dhe interferenca e paautorizuar në informacionet e organizatës • Hyrje të kontrolluara nëpër hapësira të caktuara, zyra të siguruara etj. • Siguria e pajisjeve teknike • Pajisjet duhet të mbrohen nga kërcënimet fizike dhe natyrore (siguria e kabllove, rrymës, etj.) • Kontrolle të përgjithshme • Për tu parandaluar vjedhja e informacionit dhe resurseve tjera në organizatë
Menaxhimi i komunikimeve dhe operacioneve Qëllimi • Procedura operacionale dhe përgjegjësi • Që të sigurohet operacioni i saktë dhe i sigurtë i inforacioneve • Procedura të dokumentuara për operacionet • Procedura për menaxhimin e incidenteve • Mbrojtje nga softverë të dëmshëm/rrezikshëm • Që të mbrohet integriteti i softverit dhe informacioneve • Menaxhimi i rrjetës • Që të mbrohet informacioni në rrejta kompjuterike • Monitorime • Që të zbulohen aktivitete të përpunimit të informacionit që janë të paautorizuara
Kontrollimi i qasjes/hyrjes Qëllimi • Menaxhimi i qasjes së përdoruesit • Që të sigurohet qasje e autorizuar dhe të pamundësohet qasje e paatuorizuar në sistemin informativ • Kontrolli i qasjes në rrjet • Që të parandalohet qasje e paautorizuar në shërbimet e rrjetit • Kontrolli i qasjes në sistemin operativ • Që të parandalohet qasje e paautorizuar në sistemin operativ (psh. Në pjesën e menaxhimit të passwordeve) • Kontrolli i qasjes në aplikacione softverike • Kontrolli i informacionit në pajisjet mobile (celularët)
Menaxhimi i kontinuitetit të biznesit Qëllimi • Të kundërveprohet ndaj obstruksioneve/pengesave ndaj aktiviteteve biznesore dhe të mbrohen proceset biznesore kruciale nga efektet e mosfunksionimit të sistemit informativ apo të katastrofave natyrore dhe të sigurohet rivënia në funksion e këtyre proceseve biznesore në kohë të arsyeshme • Realizimi • Zhvillimi i një plan për kontinuitetin e biznesit dhe vlerësimin e riskut • implementimi i planeve të tilla • Testimi i planeve edhe në situata normale dhe rishqyrtimi i planeve për kontinuitetin e biznesit
Pajtueshmëria/Marrëveshja Qëllimi • Pajtueshmëri me kriteret ligjore • Që të shmanget thyerja e ligjit, statuteve, kontratave • Identifikimi i legjislativës aktuale • Të drejtat intelektuale • Mbrojtja e regjistrimeve të organizatës • Mbrojtja e të dhënave dhe privatësia e informatave personale • Parandalimi nga keqpërdorimi i resurseve të informacionit • Nëse prishet marrëveshja/pajtueshmëria duhet të konsiderohet rishqyrtim i polisave të sigurisë
Thank You! • PYETJE???