Home - Rasfoiesc.com
Educatie Sanatate Inginerie Business Familie Hobby Legal
Doar rabdarea si perseverenta in invatare aduce rezultate bune.stiinta, numere naturale, teoreme, multimi, calcule, ecuatii, sisteme




Biologie Chimie Didactica Fizica Geografie Informatica
Istorie Literatura Matematica Psihologie

Informatica


Index » educatie » Informatica
» PROTEJAREA DATELOR TRANSFERATE


PROTEJAREA DATELOR TRANSFERATE


PROTEJAREA DATELOR TRANSFERATE

Organizația tratata in acest capitol, are un flux puternic de informații cu exteriorul, in mod special cu clienții curenți, prin care ii informeaza in mod constant de situația financiara a acestora, și de operațiile curente asupra acestora, prin raport și statistici.

Pentru ca transferul datelor confidențiale ale clienților sa se produca intr-o maniera sigura, și pentru ca acestea sa fie interpretate și analizate doar de catre destinatarul intenționat (in acest caz clientul, sau un reprezentat al acestuia), anumite masuri de protecție sunt necesare.



CRIPTAREA DOCUMENTELOR

Documentele transmise prin canale nesigure catre client, pot fi interceptate și analizate de catre alte persoane decat destinatarul acestora (și anume clientul), putand cauza prejudicii atat clientului cat și organizației pe care a contractat-o.

Unul din cele mai dese canale nesigure de comunicație sunt acele canale ce folosesc ca mediu de transport Internetul, și care nu sunt bazate pe protocoale de comunicație sigure (cum ar fi SSL, HTTPS care cripteaza datele transferate), lasand astfel posibilitatea interceptarii lor de catre o terța persoana. Un alt canal nesigur poate fi transportul datelor prin intermediul unor medii electronice de stocare, cum ar fii (HDD extern, CD-ROM, DVD, FlashDisk etc.), care pot fi pierdute sau furate cu ușurința.

Pentru a evita aceste probleme, este recomandat ca orice transfer de informații de natura digitala, sa fie facut doar folosind informații criptate cu cheile private ale organizației, și decriptata cu cheia publica aferenta acesteia.

PROTEJAREA AUTENTICITAȚII DATELOR IN CAZ DE LITIGIU

In acest mod, nu numai ca transferul informației este mult mai sigur prin intermediul criptarii, dar și respingerea sau negarea informațiilor transferate de catre client, intr-un eventual litigiu, este mult mai dificila, avand in vedere faptul ca toate datele trimise catre acesta au fost descifrate cu ajutorul cheii publice a organizației, evidențiata de certificatul digital al acestei, inregistrat la Autoritatea de Certificare.

Certificatul digital are valoare legala prin intermediul Legii Semnaturii Electronice, prezentata in primul capitol din aceasta lucrare.

SEMNAREA DIGITALA A DOCUMENTELOR

In cazul in care organizația nu transfera numai date cu caracter confidențial catre clienții sai, iar protejarea acestora prin criptare ar reprezenta o operație redundanta, nu trebuie ignorata asigurarea asupra autenticitații și integritații datelor trimise. Acest lucru se poate dovedi util, atat in cazul interceptarii și alterarii acestora de catre o alta persoana intr-un mod voit sau nu, și de asemenea poate fi util in cazul unui conflict cu unul din destinatarii informațiilor trimise, ce ar putea respinge autenticitatea acestora.

In acest caz, organizația poate cere clienților semnarea digitala a tuturor informațiilor trimise de catre aceștia, pentru a atesta autenticitatea și integritatea lor in orice moment, și de asemenea, poate la randul ei sa semneze digital orice document trimis catre o alta entitate, pentru a preveni denaturarea informațiilor trimise, prin alterarea lor de catre o terța persoana.

MARCAREA FRAGILA (WATERMARKING)

In cazul organizației prezentate, aceasta trimite sub forma de imagini diverse statistici istorice catre clienții sai. Pentru a evita refolosirea acestora in alte scopuri decat cele destinate, imaginile trimise, sau alte documente media, pot fi marcate fragil, fara sa afecteze lizibilitatea conținutului imaginii.



Confidențialitatea imaginilor marcate prin intermediul metodelor de watermarking, de catre organizație, poate fi precizata explicit in contractul realizat cu clienții pentru e evita refolosirea acestora sub alt nume.

CONCLUZII

Progresul tehnologic de astazi imbinat cu costurile permisive de achiziție și implementare a unui sistem informatic modern, determina mulți antreprenori sa aleaga metode cat mai tehnologizate și mai automatizate posibil, crescand astfel simțitor eficientizarea prelucrarii și obținerii informațiilor in comparație de metodele tradiționale, clasice.

Avantajele acestei decizii sunt clare: cost scazut pentru mentenanța și depozitarea datelor, schimb eficient de informații, prelucrarea datelor cu precizie si eficiența imbunatațita, comunicarea de informații in timp real cu ceilalți parteneri și clienți, stocarea datelor istorice pe perioade de timp mult mai indelungate, pastrand totodata utilitatea acestora prin intermediul accesului rapid la și a rezultatelor mult mai concludente, și multe altele.

Deoarece nimic nu este perfect, asemeni metodelor clasice și sistemele informatice prezinta dezavantaje și vulnerabilitați. Daca un antreprenor este atras de varietatea de caracteristici pozitive și numeroasele avantaje ale construirii unei intreprinderi pe baza unui sistem informatic modern, lasand la urma masurile de siguranța și protecție a datelor pe care acesta le folosește, efectul poate fi dezastruos. Indiferent daca intreprinderea s-a dezvoltat pe baza unui sistem informatic, construindu-și toate operațiile și mecanismele pe care acesta se bazeaza in jurul acestuia, sau daca intreprinderea s-a bazat mai intai pe sisteme clasice de stocare a datelor prin indosariere, și angajarea unor departamente specializate pentru stocarea și prelucrarea datelor, securizarea și protecția    sistemului informatic este obligatorie inca de la inceputul proiectarii sale.

Pe langa cele prezentate mai sus, o alta eroare fundamentala in proiectarea unui sistem informatic pentru o intreprindere, este presupunerea ca, o data protejat de majoritatea atacurilor software, cum ar fi atacurile programelor de tip worm sau virus, o data ce rețeaua intranet este atent configurata și impenetrabila exteriorului, o data ce tot traficul de date cu exteriorul este scanat de posibile amenințari, iar diverse protocoale și aplicații sigure sunt folosite pentru a proteja datele trimise sau prelucrate etc., sistemul este infailibil si protejat in totalitate. Presupunerea este cu atat mai falsa cu cat numarul accidente cauzate de neatenția umana, sau de evenimente imprevizibile (cum ar fi inundațiile. cutremurele, o pana de curent prelungita ce depașește capacitatea generatoarelor auxiliare de curent, furturile de echipamente etc.) este aproape direct proporțional cu anvergura intreprinderii și pot cauza pierderi irecuperabile de date și scurgeri de informații prețioase ce pot dezechilibra organizația pe perioade lungi de timp, sau in cazuri mai puțin fericite, definitiv.

Altfel spus, indiferent cata atenție este acordata pericolelor de natura software, securizarea și protejarea echipamentelor hardware este la fel de obligatorie ca și in cazul metodelor clasice de management al informațiilor, bazate pe stocarea acestora pe suport de hartie. Spre exemplu, indiferent de competența departamentului IT ce se ocupa cu mentenanța sistemului informatic, un jaf asupra echipamentului care este folosi in centralizarea tuturor datelor prelucrate de firma la momentul curent, sau in trecut, poate prejudicia firma la o scala inimaginabila, deși toate masurile de precauție au fost luate din punct de vedere informatic. In aceste cazuri, care par sa nu țina de competența departamentului de IT, exista tot soluții informatice ce pot preveni asemenea dezastre, care au fost prezentate in secțiunea destinata securizarii datelor stocate, cum ar fi backupul datelor intr-o locație auxiliara, sau subcontractarea unei firme specializate in aceste sens, și criptarea datelor salvate cu cheia (sau cheile) privata a organizației, pentru a impiedica descifrarea datelor in acest caz.

Un alt aspect demn de luat in considerare pentru organizațiile mari sau mijlocii, in privința securitații datelor in cadrul unui sistem informatic, il reprezinta privilegiile acordate și responsabilitatea asumata de angajații acesteia. Mai exact, cu cat o intreprindere este mai mare și mai numeroasa, cu atat mai mult informațiile și know-how-ul firmei este mai vulnerabil. Avand in vedere ca organizația (cea prezentata in studiul de caz) se bazeaza pe prelucrarea și transmiterea datelor prin intermediul unui sistem informatic proiectat de aceasta, este de datoria sistemului in sine sa minimizeze posibilitațile de prelucrare eronata a datelor, de pierdere a informațiilor sau scurgerile voite sau neintenționate de informații. Indiferent de responsabilitatea și competența angajaților, cu cat datele cu care un angajat lucreaza au un caracter mai confidențial pentru organizație, cu atat mai mult trebuiesc implementate metode informatice de protecție si securizare a datelor in cauza. Asta presupune ca angajații sa aiba acces doar la datele și serviciile strict necesare desfașurarii operațiilor lor (evitand in același timp suprimarea accesului la informații care pot imbunatații activitatea acestora) pentru a evita erori neprevazute, transferul de informații confidențiale fara avea cunoștința de importanța acestora și multe alte erori ce pot avea consecințe nemasurabile.



Metode de securizare a datelor au fost prezentate in aceasta lucrare pentru a preveni deteriorarea, pierderea sau scurgerea unor informații datorata unui acces mult prea permisiv pentru angajații unei intreprinderi. Acest scenariu este des intalnit in organizațiile cu un numar mare de angajați. Spre exemplu, pentru un contabil din organizația prezentata, care trimite des catre informații cu privire la situația financiara a unui client, informații de altfel confidențiale chiar și pentru ceilalți angajați ai organizației, intreprinderea poate impune un sistem de criptare al tuturor documentelor confidențiale trimise pentru clienți, cu cheia privata și unica a echipei din care contabilul face parte - cunoscuta doar de client și organizație -, semnand mai apoi documentul folosind un certificat digital inregistrat pe numele firmei, asigurand astfel atat clientul cat și organizația de autenticitatea, integritatea și caracterul privat al datelor. Mai exact, prin acest procedeu intreprinderea se asigura ca datele nu vor fi interceptate daca acestea se trimit printr-un canal nesigur (ex. pe un simplu CD care poate fi pierdut sau furat, prin intermediul unui serviciu de mail nesecurizat care poate fi interceptat, prin intermediul unui serviciu de transfer de date public nesecurizat, gen FTP fara SSL), și totodata organizația in cauza sau chiar cea a clientului nu vor putea altera (voit sau nu) datele trimise, fiindca acest lucru ar cauza in invalidarea secvenței criptate și implicit, in invalidarea semnaturii digitale. Daca datele nu sunt confidențiale și pot fi interpretate de mai mulți angajați, insa asigurarea integritații lor este necesara atunci semnarea digitala a acestora este o metoda sigura și suficienta pentru a evita orice intruziune sau alterare eronata a datelor.

In organizațiile moderne, unde mobilitatea informației și ușurința accesului la aceasta este o necesitate și nu doar un avantaj dorit pentru eficientizarea afacerii, implementarea unei masuri de siguranța reprezinta un aspect forte in confortul utilizarii unor metode de acces rapid și mobil. Diverși angajați ai intreprinderii menționate in prezentul studiul de caz, necesita deplasarea in interiorul și in afara organizației, avand de asemenea asupra lor informații confidențiale stocate pe calculatoarele oferite de organizație (care in general sunt laptopuri sau PDA-uri), care le sunt necesare in discuțiile cu clienți, parteneri sau diverse persoane conectate la afacerea in cauza. Acest aspect, aparent banal, este cauza multor pierderi și scurgeri de informații strict confidențiale in cadrul multor organizații mari. Protejarea acestor informații se rezolva de multe ori prin metode aparent sigure, fie prin transferarea responsabilitații legale catre angajații care transporta aceste informații, fie incheiand contracte de asigurare pentru echipamentele mobile și pentru valoarea datelor ce o transporta. Aceasta soluție, deși confortabila și la indemana, nu rezolva adevarata problema organizației, și anume pierderea sau scurgerea de informații confidențiale, mai mult decat sa rezolve problema imputarii valorii acestora. Soluții informatice in acest sens exista, și au fost prezentate sub forma criptarii dispozitivelor de stocare a datelor folosite prin diverse servicii ce sunt livrate o data cu sistemul de operare, sau care pot fi implementate de catre un program specializat. Soluția confera confortul necesar transportarii datelor oriunde inauntrul sau in afara organizației, protejand informația și confidențialitatea acesteia, și nu valoarea ei estimata la un moment dat.

Avand in vedere complexitatea sistemelor informatice și multitudinile de vulnerabilitați ce pot aparea la stocarea, transportarea și prelucrarea de informații confidențiale, atenția organizației asupra securitații și protecției datelor prelucrate, ar trebui sa fie direct proporționala cu atenția acordata eficientizarii acestor sisteme. Multe din organizațiile ce au adoptat prelucrarea digitala a datelor, și folosirea de sisteme informatice și rețele complexe pentru comunicarea datelor, ignora de multe ori siguranța datelor in detrimentul creșterii profitului survenit implementarii de metode cat mai rapide, și cat mai puternice pentru eficientizarea afacerii. Cu toate acestea, cu cat organizația se bazeaza pe prelucrarea datelor in sistem digital, iar operațiile acesteia se desfașoara cu ajutorul programelor informatice, o singura vulnerabilitate sau breșa a sistemului pe care se bazeaza se poate dovedi a-i fi fatala la un moment dat, fie ca este cauzata de o eroare umana, de un client sau angajat rau voitor, de un incident imprevizibil, de un furt sau de o penetrare a sistemului clasic de paza. O expresie care ar concentra toate cele evidențiate mai sus ar putea fi: pentru o organizație un sistem informatic proiectat pornind de la siguranța și protecția datelor pentru care este destinat poate deveni de asemenea eficient și rapid cu timpul; invers insa va fi intotdeauna mai dificil, iar de multe ori imposibil.







Politica de confidentialitate





Copyright © 2024 - Toate drepturile rezervate