e-business
DESCRIPTION
E-Business. Ligjerata 11. Fisnik Dalipi , MSc. USHT - Fakulteti Ekonomik. Menaxhimi i siguris ë së informacionit në organizata. Informacioni është një aset (pasuri, vlerë) që është esencial për suksesin e biznesit të një organizate - PowerPoint PPT PresentationTRANSCRIPT
Fisnik Dalipi, MSc
USHT - Fakulteti Ekonomik
Ligjerata 11
Menaxhimi i sigurisë së informacionit në organizataInformacioni është një aset (pasuri, vlerë) që është
esencial për suksesin e biznesit të një organizateSiguria e informacionit paraqet mbrojtjen e
informacionit nga një varg kërcënimesh me qëllim të sigurimit të kontinuitetit të biznesit dhe minimizimit të riskut në biznes.
Ruajtja e të dhënave nënkupton:1.Confidentiality – Mirëbesim i fshehtësisë
Informacioni është në dispozicion vetëm për ato që janë të autorizuar ta përdorin
2.Integrity – IntegritetRuajtja e saktësisë dhe tërësisë së informacionit dhe metodave përpunuese të tij
3.Availability – Disponueshmëri (në dispozicion)Personat e autorizuar duhet të kenë qasje në informacion sipas nevojës
Shoqëria e informacionitInformacioni është kudo :
Gazetat/revistat onlineEmaili personal apo i punësBanka elektronikeOnline takimet dhe forumet etj.
Informacioni është gjithmonë në dispozicion : Hapja e emaileve në PDA apo telefonat e mençurDëgjimi i voicemail-eve (porosive me zë)Surfimi në internet me anë të GPRS në një kafeneetj.
Cila është vlera e informacionit të saktë ?Koordinatat e shpimit gjatë nxjerrjes së naftësHistoria elektronike e pacientëveThirrjet personale në telefon me miqtë dhe
familjenInformacioni për trupat ushtarake në luftëKontrollimi i anijeve/robotëve kozmik në Mars
Pa mbrojtje të mirëfilltë të informacionitTransaksione bankare të gabueshmeRënia të rrjetit të furnizimit me rrymë elektrike ... Krizë ekonomike dhe çrregullim shoqëror
Shoqëria e informacionit
Chevron (1992). Sistemi i emergjencës u sabotua në mbi 22 shtete nga një i punësuar i pakënaqur.
Aeroporti Worchester (1997). Një haker i jashtëm e fiku sistemin për kontrollimin e fluturimeve për rreth 6 orë.
Gayprom (1998). Një haker i huaj e mori kontrollin mbi rrjetin e gazit për EU duke përdorur sulme me kuaj trojan.
Kuinslend, Australi (2000). Një punëtor i pakënaqur e hakoj sistemin e derdhjes së ujrave të zeza duke derdhur mbi një milion litra të ujrave të zeza në ujrat e bregdetit.
Historiku i incidenteve
Porti i Venecuelës (2002). Hakerët paaftësuan sistemin kompjuterik të portit gjatë një proteste kombëtare duke e paralizuar portin në fjalë.
Ohajo, uzina nukleare Dais-Besse (2003). Sistemi i uzinës për monitorimin e sigurisë u fik nga një krimb (Worm) me emrin Slammer për 5 orë.
DaimlerChrysler (2005). 13 fabrika(uzina) në SHBA u sulmuan nga infektime me krimba (Zotob, Rbot, IRCBot) duke bërë ndërprerjen e prodhimit.
Banka e Belgjikës (2007). Hakerë rus vjodhën të holla nga klientët e bankës duke përdorur infektime shumë komplekse me viruse.
Historiku i incidenteve
Shumë sisteme të informacionit nuk janë dizajnuar që të jenë të mirësiguruar. Menaxhimi i sigurisë së informacionit të organizatës kërkon orvatje jo vetëm nga departamenti i IT, por edhe nga:
Menaxhmenti i organizatësTë punësuaritKlientëtAksionerëtFurnizuesitEtj.
Përse nevojitet siguria e informacionit në organizatë ?
ISF Standard (Information Security Forum)
COBIT (Control Objectives for Information and related Technology)
AusCert (Australian Computer Emergency Response Team)
NIST (National Institute of Standards and Technology)
Seritë e ISO 27000 (www.27000-toolkit.com)
Disa standarde për sigurinë e inform.
Qëllimi:Ti ofroj menaxhmentit (udhëheqësisë) kahje dhe
mbështetje për sigurinë e informacionit në pajtueshmëri me kërkesat biznesore dhe rregullativave ligjore
Menaxhmenti duhet të vendos kahje të qarta të polisave në përputhshmëri me qëllimet biznesore dhe të demonstrojë mbështetje dhe përkushtim për sigurinë e informacionit nëpërmjet aplikimit të një polise të sigurisë për të gjithë organizatën Dokumete të polisës Evaluim i polisës
Polisa e sigurisë
QëllimiInfrastruktura e sigurisë së informacionit
Të menaxhohet siguria e informacionit në organizatë Forum për menaxhimin e sistemit informativ
Palët e jashtmeTë ruhet siguria e procesimit të informacionit
nga palët e tjera të jashtme.Pra, një organizatë/kompani tjetër përkujdeset
për sigurinë e informacioneve të kompanisë sonë
Siguria e organizatës
QëllimiSiguria në punë
Të reduktohen rreziqet nga gabimet njerëzore, vjedhjet, mashtrimet apo keqpërdorimet e resurseve të punës
Trajnimi i përdoruesveMe qëllim që përdoruesit të jenë të ndërgjegjshëm për
sigurinë e informacionit si dhe kërcënimet, duhet të trajnohen që të jenë të gatshëm ta mbështesin polisën e sigurisë së organizatës gjatë punës së tyre normale
Përgjigja ndaj incidenteve të sigurisë dhe keqpërdorimeveTë minimizohet dëmtimi nga incidentet e sigurisë
duke raportuar incidentet, dobësitë e tyre si dhe keqpërdorimet e tyre
Siguria e personelit
QëllimiHapësira të sigurta
Që të parandalohet qasja, dëmtimi dhe interferenca e paautorizuar në informacionet e organizatës Hyrje të kontrolluara nëpër hapësira të caktuara, zyra të
siguruara etj.
Siguria e pajisjeve teknikePajisjet duhet të mbrohen nga kërcënimet fizike
dhe natyrore (siguria e kabllove, rrymës, etj.)Kontrolle të përgjithshme
Për tu parandaluar vjedhja e informacionit dhe resurseve tjera në organizatë
Siguria fizike dhe e mjedisit
QëllimiProcedura operacionale dhe përgjegjësi
Që të sigurohet operacioni i saktë dhe i sigurtë i inforacioneve Procedura të dokumentuara për operacionet Procedura për menaxhimin e incidenteve
Mbrojtje nga softverë të dëmshëm/rrezikshëmQë të mbrohet integriteti i softverit dhe informacioneve
Menaxhimi i rrjetësQë të mbrohet informacioni në rrejta kompjuterike
MonitorimeQë të zbulohen aktivitete të përpunimit të
informacionit që janë të paautorizuara
Menaxhimi i komunikimeve dhe operacioneve
QëllimiMenaxhimi i qasjes së përdoruesit
Që të sigurohet qasje e autorizuar dhe të pamundësohet qasje e paatuorizuar në sistemin informativ
Kontrolli i qasjes në rrjetQë të parandalohet qasje e paautorizuar në shërbimet e
rrjetitKontrolli i qasjes në sistemin operativ
Që të parandalohet qasje e paautorizuar në sistemin operativ (psh. Në pjesën e menaxhimit të passwordeve)
Kontrolli i qasjes në aplikacione softverikeKontrolli i informacionit në pajisjet mobile (celularët)
Kontrollimi i qasjes/hyrjes
QëllimiTë kundërveprohet ndaj obstruksioneve/pengesave
ndaj aktiviteteve biznesore dhe të mbrohen proceset biznesore kruciale nga efektet e mosfunksionimit të sistemit informativ apo të katastrofave natyrore dhe të sigurohet rivënia në funksion e këtyre proceseve biznesore në kohë të arsyeshme
RealizimiZhvillimi i një plan për kontinuitetin e biznesit dhe
vlerësimin e riskutimplementimi i planeve të tillaTestimi i planeve edhe në situata normale dhe
rishqyrtimi i planeve për kontinuitetin e biznesit
Menaxhimi i kontinuitetit të biznesit
QëllimiPajtueshmëri me kriteret ligjore
Që të shmanget thyerja e ligjit, statuteve, kontratave Identifikimi i legjislativës aktuale Të drejtat intelektuale Mbrojtja e regjistrimeve të organizatës Mbrojtja e të dhënave dhe privatësia e informatave
personale Parandalimi nga keqpërdorimi i resurseve të
informacionit
Nëse prishet marrëveshja/pajtueshmëria duhet të konsiderohet rishqyrtim i polisave të sigurisë
Pajtueshmëria/Marrëveshja
PYETJE???
Thank You!Thank You!