doc. dr. Tomislav Rozman
[email protected]@bicero.com
www.bicero.comTwitter: @tomirozman
LinkedIn: http://si.linkedin.com/in/tomislavrozman
DOBA, Fakuteta za uporabne poslovne in družbene študije Maribor
Informacijska varnost
Vsebina
1. Uvod v poslovno informatiko2. Poslovni informacijski sistemi3. Sistemi za podporo upravljanja4. E-poslovanje5. PIS in strateško načrtovanje v podjetju6. Razvoj PIS (splošno)7. Management poslovne informatike -
INFORMACIJSKA VARNOST
5 sklop
Management poslovne informatike - INFORMACIJSKA VARNOST
Management informacijske varnosti● Zakaj?
○ po izgubi podatkov 90% podjetij (informacijskih) propade v roku 1 leta
● Kako?○ Neprekinjeno poslovanje:
■ arhiviranje podatkov■ PREVERJANJE ARHIVA!■ neprekinjeno napajanja (UPS), agregati,
redundantne komunikacije■ oddaljena lokacija, Lampretz-celica■ izobraževanje in dvig zavesti zaposlenih
Skrb za neprekinjeno delovanje in varnost
Upoštevati pri pripravi IKT strategije v podjetju!
● Zakaj? Varnost in neprekinjeno poslovanje ni poceni!
● ISO 27000!● Plan neprekinjenega poslovanja● Varnostni načrt● Osnovni pristop:
○ Planiranje IT varnosti○ Izvajanje○ Ocenitev○ Vzdrževanje
Informacijska varnost
1. ISA = Information Security Awareness● = zavest o tem, kakšna varnostna
tveganja obstajajo / kako se jim izognemo
● dnevno se soočamo z varnostnimi tveganji!
● nam je vseeno - dokler ne zaboli
Informacijska varnost - vaša odgovornost ?● kot zaposleni / podpogodbenik ste dolžni
varovati in primerno uporabljati informacije in digitalna sredstva:○ računaniki,○ telefoni,○ tiskalniki,○ e-mail,○ programska oprema,○ ...
Informacijska varnost - teme
● gesla● varnost PCja● arhiviranje● dostop do zgradb● (social engineering)● tajnost podatkov● raba e-pošte● raba interneta● virusi● piratstvo in avtorske pravice
Informacijska varnostGesla● integralni del splošne varnosti● najpogostejša tarča vdorov v sisteme● varovanje gesel
○ slabi primeri:■ vaše ime, priimek, ■ imena hišnih ljubljenčkov■ hobiji■ priljubljene ekipe■ rojstni dnevi■ besede iz slovarja■ samo številke
Informacijska varnostGesla● dobri primeri konstrukcije gesel:
○ Kombinacija črk, številk in posebnih znakov○ Fraze
■ primer:● Rodil Sem Se V Mariboru Leta 69= RSSVML69● Srečko Je Moj Pes = SJMojP● Ne Povem Ti Šifre Nikoli = NPTSNikoli
○ Napačno črkovanje■ primer:
● Password = Pssawodr○ Zamenjava znakov s številkami
■ primer:● ToJeMojeGeslo = T01EM0JE6ESL0
Informacijska varnostVarovanje gesel● nikomur ne povej● ne zapiši gesla (niti na monitor / tipkovnico /
kartico :) )● ne povej po telefonu● v primeru računalniške pomoči - sam vnesi geslo,
ne povej je serviserju
Informacijska varnostVarovanje PCja● Varovalnik zaslona - z zaklepanjem● Odjavi se, ko končaš z delom● Fizično zavaruj računalnik
V USA ukradejo letno 400 000 prenosnikov - preko 1000/dan!
Najpogosteje:letališče, rent-a-car, taksi, javni telefon, vlak,
avtobus, hotel, konference
Informacijska varnostVarovanje PCja● Na letališču:
○ ne puščaj torbe brez nadzora○ PC ne sodi v prtljago (ki jo oddamo)
● Na vlaku/letalu:○ ves čas drži roko na torbi○ pazi na motnje / vabe, ki ti pritegnejo pozornost
● V hotelu:○ ne predaj prenosnika postreščku○ v sobi ga pritrdi na fiksno podlago○ zaklepaj sobo
Informacijska varnostArhiviranje● Poln backup - ne samo inkrementalni● Arhiviraj na več medijev● Prilagodi frekvenco vrsti podatkov
○ primer: dnevno spreminjajoči se podatki - dnevno arhiviranje!
● Preverjanje arhivov (restore) - ali sploh deluje?● Plan povrnitve podatkov - kdo, kdaj, v katerih
primerih?
Informacijska varnostZaupnost podatkov● Zakaj?
○ zaupanje strank○ vzdrževanje javne podobe○ konkurenčnost○ zaščita sebe in drugih zaposlenih
● Primeri:○ ne puščaj dokumentov na kopirnem stroju/faksu○ uniči pomembne dokumente (mlin - shredder, varno
brisanje - Windows 'delete' ni varno)○ šifriraj e-pošto○ čista miza - brez pomembnih dokumentov○ tabla - očisti po uporabi (po sestanku)
Informacijska varnostDostop do zgradb● Primeri:
○ ponoči zapuščaj stavbo skupaj s sodelavci○ pazi na zasledovalce ob vstopu v zavarovana območja○ ob izgubi kartice za dostop - takoj prijavi○ "Vam lahko pomagam?" - je koristna fraza, če naletite na
neznanca v podjetju
Informacijska varnost"Social engineering"● = oseba, ki od vas pridobi podatke, ki jih v
normalnih okoliščinah ne bi delili● Ali ga opazite?
Informacijska varnost"Social engineering"● Običajno ne opazimo - ali prepozno● Primer:
○ Če vas kdo po tel. sprašuje o zaupnih informacijah, vprašajte nazaj:■ Kako se črkuje priimek klicatelja■ Na katero številko lahko vrnem klic?■ Zakaj potrebujete to informacijo?■ Kdo je odobril to vprašanje?■ Če niste prepričani, preusmerite
● Primer 2: Vaš informatik po službi v lokalu spije pivo (2,3...), kjer se mu 'zareče' vsebina kakšne zaupne e-pošte direktorja - prijateljem
Informacijska varnostUporaba e-pošte● Neprimerna uporaba:
○ nadlegovanje, grožnje, namigovanje, rasizem● Predlog:
○ politika (kodeks) uporabe e-pošte v podjetju■ kratka sporočila■ Subject naj bo povzetek■ Fokus na prejemnika (ti, NE jaz)■ Ena tema / sporočilo■ Prijazen ton■ Pazljivo s Kp: in SKp:■ Slovnica!■ Službena pošta ni zasebna!
● ... nadaljevanje -->
Informacijska varnostUporaba e-pošte● ...nadaljevanje:
○ Službena pošta ni zasebna!○ E-pošta ni namenjena prepirom: dvigni telefon ali
obišči osebo○ V jezi: napiši osnutek in ga pošlji naslednji dan○ Pazi na 'rep': redno ga briši
●● Več: http://theoatmeal.com/comics/email
● Imejte v mislih: zelo enostavno je prestrezati in brati e-pošto
Informacijska varnostUporaba e-pošte● SPAM:
○ neželena / nenaslovljena pošta○ verižna pisma
● Ukrepi:○ Brisanje○ Dodajanje v 'spam' filter (odjemalec IN strežnik)○ Prijava administratorju
● Primer 1:○ Kaj, če zaide pomembna pošta v 'spam'?
■ Zakaj se to zgodi?■ Je to 'spam' primeren izgovor za izogibanje
odgovoru?
Informacijska varnostUporaba e-pošte, "pametni" spam (phishing)
● Primer 2:○ Kombinacija 'social engineering' in 'spam':
■ Pismo, ki obljublja objavo članka v znani reviji - privlačno za akademski kader
■ Objava v roku 3 tednovDear dr. Tomislav Rozman , This is Journal of Business and Economics (ISSN 2155-7950), a professional journal published by Academic Star Publishing Company, USA. We have learned your paper" ECQA Support for Business Process Manager Training and Certification "in the Management,Knowledge and Learning International Conference 2011 . We are very interested in publishing your paper in the Journal of Business and Economics. If you have the idea of making our journal a vehicle for your research interests, please send the electronic version of your papers or books to us through email attachment in MS word format. All of your original papers which have not been published are welcome. Hope to keep in touch by email and publish some papers or books from you and your friends in USA. As an American academic publishing group, we wish to become your friends if necessary. we also want to invite some people to be our reviewers or become our editoral bo ard members. If you are interested in our journal, you can send your CV to us. Expect to get your reply soon. Best regards,Aaron Journal of Business and EconomicsFang-Chi Lu
Academic Star Publishing Company
[email protected], [email protected]
228 East 45th Street #CN0267, New York NY 10017, USA
pravo imepravi članek
sumljivo...
prava konferenca
Informacijska varnostUporaba e-pošte, verižna pisma
● Verižna pisma○ igrajo na:
■ sočutje (operacija, bolezen)■ pohlep (zadeli ste 3M na loteriji)■ vraževerje (če ne pošlješ naprej 10-im, se ti bo nekaj
zgodilo)
○ uporabljajo dragoceno pasovno širino / diskovne kapacitete○ = ročni virus
Informacijska varnostUporaba interneta
● Puščanje sledi: ○ prijave○ cookies○ zgodovina obiskanih strani○ search history○ IP številka (dinamična ali statična - ni pomembno)
■ Kako vas lahko odkrijejo?
● Anonimnost? ○ TOR omrežje in brskalnik
Informacijska varnostVirusi
● 100 000 različnih virusov?○ 500 novo odkritih vsak mesec
● Letna škoda: 55 000 000 000$● Viri virusov:
○ prenesene datoteke○ e-pošta in priponke (tudi dokumenti, ne samo izvršljivi
programi)○ spletne strani○ tudi kupljena programska oprema○ internet kot tak (tvegamo že samo s priklopom na omrežje)
Informacijska varnostVirusi - obramba
● Anti-virusni program na:○ odjemalcu○ strežnikih
● Redno osveževanje virusnih definicij● AV skeniranje:
○ prenesenih datotek, priponk○ USB, CD, DVD,...
● Varno obnašanje● Primeri:
○ Norton AV, Avast, AVG, Panda, ESET NOD, Microsoft Security Essentials...
Informacijska varnostPiratstvo in avtorske pravice
● V podjetju je dovoljena uporaba komercialne programske opreme (če je kupljena)
● Preganja: BSA○ "Piratstvo programske opreme je nepooblaščeno kopiranje ali
distribucija programske opreme, zaščitene z avtorskimi pravicami, v obliki kopiranja, prenosa, izmenjave, prodaje ali namestitve več kopij na osebne ali službene računalnike.
○ Veliko ljudi se ne zaveda oziroma ne pomisli na to, da z nakupom programske opreme ne kupimo same programske opreme, temveč licenco za njeno uporabo. Ta licenca vključuje navodila o tem, kolikokrat lahko programsko opremo namestimo, zato je pomembno, da jih preberemo. Če naredimo več kopij programske opreme, kot je to dovoljeno z licenco, je to piratstvo." (vir: http://ww2.bsa.org/country.aspx?sc_lang=sl-SI )
Informacijska varnostPiratstvo in avtorske pravice
● Vrste licenc za programsko opremo:○ freeware
■ prosta uporaba, brez sprememb○ shareware
■ prosta uporaba za določen čas○ odprtokodne licence
■ prosta uporaba, spreminjanje○ CC (creative commons)
■ prosta uporaba za umetniška dela○ komercialne licence
■ plačljiva uporaba● licenca / PC● licenca / podjetje● časovna omejitev?
Informacijska varnostPrimer: Creative Commons
● CC (creative commons)■ CC licence so prostodostopna pravna orodja za
ustvarjalce.○ Creative Commons je neprofitna organizacija,
osnovana na ideji, da nekateri ustvarjalci ne želijo uveljaviti vseh pravic, ki jim jih predpisuje zakon o avtorskih pravicah
○ www.creativecommons.org
Viri● doc. dr. Srečko Natek, Poslovna informatika, predstavitveno gradivo
DOBA, 2010● T. Rozman, Upravljanje poslovnih procesov, gradivo za seminar, 2011● http://www.slideshare.net/hafeez1981/flower-daisies