Fisnik Dalipi, MSc

USHT - Fakulteti Ekonomik

Ligjerata 11

Menaxhimi i sigurisë së informacionit në organizataInformacioni është një aset (pasuri, vlerë) që është

esencial për suksesin e biznesit të një organizateSiguria e informacionit paraqet mbrojtjen e

informacionit nga një varg kërcënimesh me qëllim të sigurimit të kontinuitetit të biznesit dhe minimizimit të riskut në biznes.

Ruajtja e të dhënave nënkupton:1.Confidentiality – Mirëbesim i fshehtësisë

Informacioni është në dispozicion vetëm për ato që janë të autorizuar ta përdorin

2.Integrity – IntegritetRuajtja e saktësisë dhe tërësisë së informacionit dhe metodave përpunuese të tij

3.Availability – Disponueshmëri (në dispozicion)Personat e autorizuar duhet të kenë qasje në informacion sipas nevojës

Shoqëria e informacionitInformacioni është kudo :

Gazetat/revistat onlineEmaili personal apo i punësBanka elektronikeOnline takimet dhe forumet etj.

Informacioni është gjithmonë në dispozicion : Hapja e emaileve në PDA apo telefonat e mençurDëgjimi i voicemail-eve (porosive me zë)Surfimi në internet me anë të GPRS në një kafeneetj.

Cila është vlera e informacionit të saktë ?Koordinatat e shpimit gjatë nxjerrjes së naftësHistoria elektronike e pacientëveThirrjet personale në telefon me miqtë dhe

familjenInformacioni për trupat ushtarake në luftëKontrollimi i anijeve/robotëve kozmik në Mars

Pa mbrojtje të mirëfilltë të informacionitTransaksione bankare të gabueshmeRënia të rrjetit të furnizimit me rrymë elektrike ... Krizë ekonomike dhe çrregullim shoqëror

Shoqëria e informacionit

Chevron (1992). Sistemi i emergjencës u sabotua në mbi 22 shtete nga një i punësuar i pakënaqur.

Aeroporti Worchester (1997). Një haker i jashtëm e fiku sistemin për kontrollimin e fluturimeve për rreth 6 orë.

Gayprom (1998). Një haker i huaj e mori kontrollin mbi rrjetin e gazit për EU duke përdorur sulme me kuaj trojan.

Kuinslend, Australi (2000). Një punëtor i pakënaqur e hakoj sistemin e derdhjes së ujrave të zeza duke derdhur mbi një milion litra të ujrave të zeza në ujrat e bregdetit.

Historiku i incidenteve

Porti i Venecuelës (2002). Hakerët paaftësuan sistemin kompjuterik të portit gjatë një proteste kombëtare duke e paralizuar portin në fjalë.

Ohajo, uzina nukleare Dais-Besse (2003). Sistemi i uzinës për monitorimin e sigurisë u fik nga një krimb (Worm) me emrin Slammer për 5 orë.

DaimlerChrysler (2005). 13 fabrika(uzina) në SHBA u sulmuan nga infektime me krimba (Zotob, Rbot, IRCBot) duke bërë ndërprerjen e prodhimit.

Banka e Belgjikës (2007). Hakerë rus vjodhën të holla nga klientët e bankës duke përdorur infektime shumë komplekse me viruse.

Historiku i incidenteve

Shumë sisteme të informacionit nuk janë dizajnuar që të jenë të mirësiguruar. Menaxhimi i sigurisë së informacionit të organizatës kërkon orvatje jo vetëm nga departamenti i IT, por edhe nga:

Menaxhmenti i organizatësTë punësuaritKlientëtAksionerëtFurnizuesitEtj.

Përse nevojitet siguria e informacionit në organizatë ?

ISF Standard (Information Security Forum)

COBIT (Control Objectives for Information and related Technology)

AusCert (Australian Computer Emergency Response Team)

NIST (National Institute of Standards and Technology)

Seritë e ISO 27000 (www.27000-toolkit.com)

Disa standarde për sigurinë e inform.

Qëllimi:Ti ofroj menaxhmentit (udhëheqësisë) kahje dhe

mbështetje për sigurinë e informacionit në pajtueshmëri me kërkesat biznesore dhe rregullativave ligjore

Menaxhmenti duhet të vendos kahje të qarta të polisave në përputhshmëri me qëllimet biznesore dhe të demonstrojë mbështetje dhe përkushtim për sigurinë e informacionit nëpërmjet aplikimit të një polise të sigurisë për të gjithë organizatën Dokumete të polisës Evaluim i polisës

Polisa e sigurisë

QëllimiInfrastruktura e sigurisë së informacionit

Të menaxhohet siguria e informacionit në organizatë Forum për menaxhimin e sistemit informativ

Palët e jashtmeTë ruhet siguria e procesimit të informacionit

nga palët e tjera të jashtme.Pra, një organizatë/kompani tjetër përkujdeset

për sigurinë e informacioneve të kompanisë sonë

Siguria e organizatës

QëllimiSiguria në punë

Të reduktohen rreziqet nga gabimet njerëzore, vjedhjet, mashtrimet apo keqpërdorimet e resurseve të punës

Trajnimi i përdoruesveMe qëllim që përdoruesit të jenë të ndërgjegjshëm për

sigurinë e informacionit si dhe kërcënimet, duhet të trajnohen që të jenë të gatshëm ta mbështesin polisën e sigurisë së organizatës gjatë punës së tyre normale

Përgjigja ndaj incidenteve të sigurisë dhe keqpërdorimeveTë minimizohet dëmtimi nga incidentet e sigurisë

duke raportuar incidentet, dobësitë e tyre si dhe keqpërdorimet e tyre

Siguria e personelit

QëllimiHapësira të sigurta

Që të parandalohet qasja, dëmtimi dhe interferenca e paautorizuar në informacionet e organizatës Hyrje të kontrolluara nëpër hapësira të caktuara, zyra të

siguruara etj.

Siguria e pajisjeve teknikePajisjet duhet të mbrohen nga kërcënimet fizike

dhe natyrore (siguria e kabllove, rrymës, etj.)Kontrolle të përgjithshme

Për tu parandaluar vjedhja e informacionit dhe resurseve tjera në organizatë

Siguria fizike dhe e mjedisit

QëllimiProcedura operacionale dhe përgjegjësi

Që të sigurohet operacioni i saktë dhe i sigurtë i inforacioneve Procedura të dokumentuara për operacionet Procedura për menaxhimin e incidenteve

Mbrojtje nga softverë të dëmshëm/rrezikshëmQë të mbrohet integriteti i softverit dhe informacioneve

Menaxhimi i rrjetësQë të mbrohet informacioni në rrejta kompjuterike

MonitorimeQë të zbulohen aktivitete të përpunimit të

informacionit që janë të paautorizuara

Menaxhimi i komunikimeve dhe operacioneve

QëllimiMenaxhimi i qasjes së përdoruesit

Që të sigurohet qasje e autorizuar dhe të pamundësohet qasje e paatuorizuar në sistemin informativ

Kontrolli i qasjes në rrjetQë të parandalohet qasje e paautorizuar në shërbimet e

rrjetitKontrolli i qasjes në sistemin operativ

Që të parandalohet qasje e paautorizuar në sistemin operativ (psh. Në pjesën e menaxhimit të passwordeve)

Kontrolli i qasjes në aplikacione softverikeKontrolli i informacionit në pajisjet mobile (celularët)

Kontrollimi i qasjes/hyrjes

QëllimiTë kundërveprohet ndaj obstruksioneve/pengesave

ndaj aktiviteteve biznesore dhe të mbrohen proceset biznesore kruciale nga efektet e mosfunksionimit të sistemit informativ apo të katastrofave natyrore dhe të sigurohet rivënia në funksion e këtyre proceseve biznesore në kohë të arsyeshme

RealizimiZhvillimi i një plan për kontinuitetin e biznesit dhe

vlerësimin e riskutimplementimi i planeve të tillaTestimi i planeve edhe në situata normale dhe

rishqyrtimi i planeve për kontinuitetin e biznesit

Menaxhimi i kontinuitetit të biznesit

QëllimiPajtueshmëri me kriteret ligjore

Që të shmanget thyerja e ligjit, statuteve, kontratave Identifikimi i legjislativës aktuale Të drejtat intelektuale Mbrojtja e regjistrimeve të organizatës Mbrojtja e të dhënave dhe privatësia e informatave

personale Parandalimi nga keqpërdorimi i resurseve të

informacionit

Nëse prishet marrëveshja/pajtueshmëria duhet të konsiderohet rishqyrtim i polisave të sigurisë

Pajtueshmëria/Marrëveshja

PYETJE???

Thank You!Thank You!