SPECIALIZAREA: STUDII DE SECURITATE CULTURA DE SECURITATE – NECESITATE DE BAZĂ ÎN ORGANIZAȚII Coordonator științific Lect. Dr. Ioan Manci Absolvent… [627066]
UNIVERSITATEA “BABE Ș-BOLYAI”
FACULTATEA DE ISTORIE Ș I FILOSOFIE
DEPARTAMENTUL DE STUDII INTERNAȚIONALE ȘI
ISTORIE CONTEMPORANĂ
SPECIALIZAREA: STUDII DE SECURITATE
CULTURA DE
SECURITATE –
NECESITATE DE BAZĂ ÎN
ORGANIZAȚII
Coordonator științific
Lect. Dr. Ioan Manci
Absolvent: [anonimizat]
2019
Declara ție
Prin prezenta declar că Lucrarea de licen ță cu titlul CULTURA DE SECURITATE
– NECESITATE DE BAZĂ ÎN ORGANIZAȚII, este scrisă de mine și nu a mai fost
prezentată niciod ată la o altă facultate sau institu ție de învă țământ superior din țară sau
străinătate. De asemenea, declar că toate sursele utilizate, inclusiv cele online, sunt indicate
în lucrare, cu respectarea regulilor de evitare a plagiatului:
− toate fragmentele d e text reproduse exact, chiar și în traducere proprie din altă limbă,
sunt scrise între ghilimele și dețin referin ța precisă a sursei;
− reformularea în cuvinte proprii a textelor scrise de către al ți autori de ține referin ța
precisă;
− rezumarea ideilor al tor autori de ține referin ța precisă la textul original.
Cluj-Napoca, 2019
Absolvent: [anonimizat]
_______________________
Profesor coordonator ,
Lect. Dr. Ioan Manci
Cuprins
Capitolul 1. Rolul leadership -ului în cultura organizației ………………………….. ………………… 7
1.1 Rolul de lider ………………………….. ………………………….. ………………………….. ………. 7
1.2 Dezvoltarea echipei ………………………….. ………………………….. ………………………….. . 9
1.3 Scopul organizației ………………………….. ………………………….. …………………………. 11
1.4 Concluzii ………………………….. ………………………….. ………………………….. …………… 13
Capitolul 2. Conștientizarea securității ………………………….. ………………………….. ……………. 14
2.1 Rolul informațiilor clasificate ………………………….. ………………………….. ……………….. 14
2.2 Dimensiunile secur ității și importanța în cultura de securitate ………………………….. .. 15
2.3 Concluzii ………………………….. ………………………….. ………………………….. ……………….. 17
Capitolul 3. Cultura de securitate cibernetică. ………………………….. ………………………….. ….. 18
3.1 Cercetarea culturii de securitate ………………………….. ………………………….. …………….. 18
3.2 Raport de diagno ză a securității cibernetice într -o organizație ………………………….. .. 20
3.3 Impresii personale ………………………….. ………………………….. ………………………….. …… 35
3.4 Concluzii ………………………….. ………………………….. ………………………….. ……………….. 39
Concluzii ………………………….. ………………………….. ………………………….. ………………………… 40
Bibliografie ………………………….. ………………………….. ………………………….. …………………….. 41
Lista tabelelor
Tabel 3.1 : Matricea de analiz ă a riscurilor , pagina 32
Tabel 3.2: Matricea de analiz ă a riscurilor , pagina 33
Tabel 3.3: Matricea de analiz ă a riscurilor , pagina 33
Lista figurilor
Figura 1.1 : Modelul celor 3 cercuri : interacțiunea ariilor de nevoi , pagina 4
Figura 1.2 : Procesul info rmațional, pagina 9
Figura 3.1 : Tabelul instrumentelor de diagnostic , pagina 14
5
Introducere
Într-o eră a dezvoltării și schimbării continue, percepția noastră asupra a ceea ce
înseamnă vulnerabilitățile, riscurile și amenințăr ile trebuie să se actualizeze cu aceeași
viteză.
Am ales tema culturii de securitate deoarece, odată cu începerea studiilor
universitare , am fost de părere că modul de răspuns la o situație de criză reprezintă 80%
din rezultat, în timp ce problema în sine reprezintă doar 20%.
Tema c ulturii de securitate nu este un subiect amplu dezbătut, cel puțin în lucrările
mondene, asta deoarece cultura de securitate este un concept abstract, apărut în Româna
abia după căderea comunismului, întrucât în perioada comunismului nu era necesară o
astfel de cultură. Totodată, tema este o componentă a securității umane, care reprezintă o
dimensiune a securității, analizată și abordată ca temă distinctă în toate studiile despre
securitate deoarece reprezintă un pilon esențial în proiectarea analizei și po liticilor
elaborate.
Dacă ar fi să ofer o definiție culturii de securitate, aceasta ar suna în felul următor :
Cultura de Securitate reprezint ă conștientizarea tuturor riscurilor în vederea asigurării
securității.
Cultura de securitate înseamnă un set de v alori, de principii, convenite să asigure
bunăstarea atât la nivelul individului cât și la nivel național , influențată în mare parte de
modul în care percepem riscurile, percepție care este marcată de lipsa de educație de
securitate la nivelul instituțiilo r de învățământ, dar și de dezinformarea publică.
Consider că abordarea acestei teme va releva diferențele la nivel organizațional pe
care le aduce interpretarea corectă a culturii de securitate , rolul său în dezvoltarea
organizației, dar și problemele cu care se confruntă organizațiile în asigurarea securității.
Cultura de securitate este un aspect care apare chiar și în Strategia Națională de
Apărare a Țării pentru perioada 2015 -2019 : “dezvoltarea culturii de securitate, inclusiv
prin educație continuă, care să promoveze valorile, normele, atitudinile sau acțiunile care
să permită asimilarea conceptului de securitate națională ”1.
Securitatea cibernetică este un domeniu tot mai des dezbătut, datorită modificărilor
continue la nivelul sistemelor cibern etice. Informații confidențiale ale statelor,
organizațiilor sau a indiviziilor trec încontinuu prin servere din întreaga lume. Astfel,
1 Strategia Na țională de Apărare a Țării pentru perioa da 2015 -2019, București 2015, p. 21, disponibilă la :
https://www.presidency.ro/files/userfiles/Strategia_Nationala_de_Aparare_a_Tarii_1.pdf , accesat ă la
12.06.2019.
6
cunoașterea modului în care ne putem proteja devine fundamentală, tocmai de aceea am
decis să realizez și un raport de d iagnoză a securității cibernetice asupra unei instituții de
învățământ locală.
Consider că societatea românească este încă marcată de instituția comunistă
Securitate, astfel că multe persoane sunt încă reticente să folosească acest cuvânt. Chiar și
perso nal m-am confruntat cu nedumeriri din partea pe rsoanelor care aflau faptul că m -am
înscris la un profil numit studii de securitate, astfel, rezultă și reticența persoanelor de a
studia securitatea.
Ca ipoteză de cercetare am avut î n vedere cultura organizațională și cultura
managerială și modul în care aceste cu lturi pot fi implementate în cultura de securi tate, iar
ca întrebare de cercetare “Conștientizarea securității pleacă de la lider sau de la individ ?”
Abrudan George -Alexandru Capitolul 1. Rolul leadership -ului în cultura organizației
7
Capitolul 1. Rolul leadership -ului în cultura organiz ației
1.1 Rolul de lider
Un lider este acea persoană care este pusă în cârmuirea unei organizații, fie ea
militară sau civilă, responsabil de îndeplinirea misiunii. Un lider trebuie să aibă mai multe
calități, fiind considerat o persoană la care se poate apela în cazul unui conflict, în cartea
sa, Leadership strategic, John Adair prezintă o discuție între Xenofon și Socrate, care
ilustrează cel mai bine argumentul meu. Discuția prezentată conturează aspectele esențiale
ale unui lider și modul în care acesta est e considerat a fi cel mai bun din domeniul său,
Socrate comparând situația cu cea a unui bolnav care merge la medic, întrucât acea
persoană oferă cea mai multă încredere.2
Liderul trebuie să indice direcția în care organizația trebuie să se îndrepte, întru cât
stabilirea direcției este principalul mod de a atinge obiectivele. Liderul trebuie să se uite
atât la poziția în care trebuie să ajungă organizația, cât și la locul de plecare al organizației.
Tot liderul este cel care stabilește “metrica ” organizației , adică modul de măsurare a
progresului pentru a se asigura că organizația este pe drumul cel bun. În contextul
securității, direcția poate fi prevenirea scurgerii de informații sau asigurarea securității
fizice a organizației.
Coeziunea echipei este, de a semenea, un alt aspect foarte important. Tot John Adair
spune în cartea sa că liderului îi este însărcinată această funcție, deoarece liderului este cel
care este responsabil atât de reușita obiectivului, cât și de eșecul acesteia3, dând ca
exemplu intervi ul mareșalului francez Joffre, cel care a câștigat bătălia de pe Marna din
Primul Război Mondial. Când acesta a fost întrebat cine a câștigat bătălia, acesta a răspuns
“Nu pot răspunde la întrebarea asta, dar pot să vă spun că dacă bătălia de pe Marna ar f i
fost pierdută, atunci vina ar fi fost a mea” .
Așadar, uniunea echipei și responsabilizarea acesteia sunt direct corelate cu
succesul misiunii. Într -o organizație în care cultura de securitate nu este dezvoltată,
problemele de securitate devin “problema altuia ”. Acest lucru este, însă, total greșit,
deoarece securitatea organizației înseamnă și securitate a fiecărui individ și viceversa,
securitatea devenind un bun comun. O breșă la nivelul unui individ poate duce la pierderea
de informații clasificate imp ortante pentru organizație, în același fel în care căderea
2 Adair John, Leadership strategic, București, editura Meteor Publishing, 2015, p. 11
3 Ibidem, p. 27
Abrudan George -Alexandru Capitolul 1. Rolul leadership -ului în cultura organizației
8
organizației duce la pierderea jobului, care înseamnă o amenințare la adresa securității
individului.
Fiecare echipă își dezvoltă propria personalitate, precum un individ, astfel că
fiecare echipă este diferită de următoarea, însă, precum spune și John Adair, toate au
aceleași trei mari nevoi, prezentate în modelul din figura 1.1 . Nu poate exista o echipă fără
un scop comun, un scop fără munca fiecărui individ sau un individ fără un scop. Persoana
din conducere trebuie să echilibreze toate cele 3 cercuri, întrucât se poate crea un
dezechilibru. Despre scop voi vorbi mai detaliat în capitolul 1, subcapitolul 3 și despre
echipă în subcapitolul ce urmează, astfel că rămâne individ ul.
Figura nr. 1.1 : Modelul celor 3 cercuri : interacțiunea ariilor de nevoi4
Este în natura omului ca acesta să își stabilească anumite scopuri sau obiective în
viață, cum sunt visurile din copilărie, astfel că un om care nu simte că își atinge potențialul
sau că se îndreap tă către obiectivul său la locul de muncă, nu va oferi niciodată 100% .
Toți liderii au nevoie de :
Conștientizare: Care sunt problemele, punctele tari, punctele slabe și
oportunitățile organizației ;
Înțelegere : Care este pasul urm ător, dar punctul în care trebuie să ajungă ;
Competență : Capacitatea de a acționa eficient, rapid și decisiv.
4 Adair John, Leadership Strategic, Meteor Publishing, 2015, p. 23 Sarcină
Individ Echipă
Abrudan George -Alexandru Capitolul 1. Rolul leadership -ului în cultura organizației
9
Este important pentru subordonații săi să primească un feedback legat de munca
prestată, având, astfel, rolul de direcționare a fiecărui individ în dezvoltarea proprie,
motivează echipa și se oferă drept model de urmat5. Este importantă această comunicare
deoarece ea creează competitivitate, deoarece acceptarea diferențelor dintre angajați
stimulează capacitatea individului de a lua inițiativa și de a fi creativ6.
În gene ral, liderul unei echipe de dimensiuni mari, tinde să împartă din atribuțiile
sale către lideri de grupuri mai mici, la fel cum un director de companie desemnează mai
mulți manageri, sau un general de armată are mai mulți comandanți. Este foarte importantă
stabilirea unei ierarhii a companiei și responsabilizarea fiecărui subordonat în legătură cu
atribuțiile sale, atât în conducerea echipei cât și în comunicarea cu superiorii.
Peter Drucker spunea odată, citat de Frances Hesselbein, “Niciodată nu prezic. Pur
și simplu mă uit pe geam și văd ceea ce este vizibil dar încă nevăzut. ”7. Eu consider că
acesta este unul din atuurile unui lider, de a putea vedea ceea ce alții nu văd, atât situații cât
și rezolvări. De asemenea, este foarte important pentru un lider , mai ales în structurile de
intelligence, să poată să prevadă amenințările care vin către organizația sa și să poată să
prevină din timp un incident, dând astfel dovadă de viziune.
Rezultă, astfel, prin argumentele aduse mai sus, faptul că rolul liderulu i este de a
crea un scop comun, organizația devenind comunitatea în a cărei valori și obiective se
regăsește.
1.2 Dezvoltarea echipei
Cu toate acestea, un lider nu își poate duce la bun sfârșit misiunea dacă nu trece și
peste prob lemele interne ale organizație i, întrucât el nu este singura persoană care lucrează
în acea organizație și nici nu poate realiza totul de unul singur. Fie că vorbim despre
probleme la nivelul personalului, sau discrepanțele apărute datorită relaționării inter –
instituționale, aceste luc ruri sunt obstacole apărute de multe ori neașteptat, pe care doar un
lider cu viziune asupra importanței realizării obiectivelor le poate trece. Pentru a putea
5 Tracy Brian, Cum conduc cei mai buni lideri, București, Curtea Veche Pub lishing, 2018, p. 167
6 Năstase Marian, Leadership -ul, cultura organizațională și cultura managerială, 29 de pagini, https://se –
ag.spiruharet.ro/images /secretariat/secretariat -facultate -seag/Capitolul_4.pdf , accesat la 23.06.2019
7 Hesselbien Frances, Transforming the National Security Culture, Raport al Proiectului de Leadership al
Apărării al Școlii Harvard Kennedy ,
https://www.researchgate.net/publication/281377842_Transforming_the_National_Security_Culture_A_re
port_of_the_Harvard_Kennedy_S chool's_Defense_Leadership_Project , accesat la data de 23.06.2019
Abrudan George -Alexandru Capitolul 1. Rolul lead ership -ului în cultura organizației
10
realiza o cultură de securitate într -o organizație, este necesar ca prima dată să existe o
cultu ră a companiei.
Cultura organizațională reprezintă modul în care persoanele care lucrează în companie
se identifică cu mediul de lucru, etica, obiectivele și scopul organizației. Astfel, o
organizație în care per sonalul se poate identifica cu organizația , acesta este mult mai dispus
să își dea interesul în p ăstrarea integrității companiei, deoarece un angajat are unul din
două motive să facă ceea ce i -a spus liderul8:
Au același scop, ori urmând calea liderului își pot îndeplini propriul scop ;
Printr -un mo d sau altul sunt constrânși să acț ioneze astfel .
Al doilea mod este mai puțin recomandat, deoarece el se bazează pe o motivare punitivă,
într-o situație în care angajatul nu crede în valorile liderului și se poate întoarce împotriva
acestuia. Un astfel de exemplu procesul de “destalinizare ” din URSS de dup ă moartea
liderului sovietic Iosif Stalin9.
Un anumit nivel de training al personalului este necesar, realizându -se o diferențiere
clară între sarcinile unui angajat și datoria sa în securitatea companiei . Cultura de securitate
nu vine să înlocuiască sarcinile din fișa postului, ci să le completeze. Totodată, ar trebui
făcută o distincție dintre nivelurile de angajați, pentru persoanele de entry -level fiind
nevoie de un training general, privind protecția datelor cu caracter personal și a securității
fizice a organizației, crescând până la nivelul conducerii, unde trebuie implementat un
secret de serviciu acompaniat de “need -to-know”, dar și un plan de prevenire a scurgerii de
informații clasificate, plan c are să cuprindă și după încetarea contractului de muncă.10 De
asemenea, acest training trebuie să fie reluat de fiecare dată când apar noi amenințări,
pentru a se asigura pregătirea personalului pentru orice problemă poate apărea. Există mai
multe subiecte de abordat privind trainingul de securitate, iar eu consider că stabilirea unor
criterii pentru setarea parolei este un punct cheie. De asemenea, trebuie reglementat
accesul persoanelor la alte echipamente sau în anumite încăperi în care se pot afla
8 State Olimpia, Diagnosticul și in strumentele sale în cultura organizației , 20 de pagini,
http://www.biblioteca -digitala.ase.ro/biblioteca/pagina2.asp?id=cap8 , accesat la 23.06.2019
9 Scott Michael Rank, De-stalinization : Dismantling a cult of personality , articol extras din cartea lui Edwards
Lee și Edwards Elizabeth, A brief history of the Cold War, https://www.historyonthenet.com/de –
stalinization , accesat la 23.06.2019
10 Preja Amos Corneliu, Bogdan Ioan, Introducere în teoria generală a informației și studii de intelligence,
Cluj-Napoca, CA Publishing, 2017, p. 308
Abrudan George -Alexandru Capitolul 1. Rolul leadership -ului în cultura organizației
11
inform ații la care ei nu au acces. Limitarea accesului se poate face prin mai multe metode
precum o cartelă de acces sau chiar metoda clasică a sigiliului.
Angajatul trebuie să înțeleagă ce trebuie protejat și de ce, clasificarea informațiilor în
organizație și înțelegerea importanței comunicării între angajat și superior sau managerul
de securitate din organizație, sau orice altă persoană cu funcție în acest sens.
Tot secretul pentru realizarea unei echipe eficiente vine din motivarea ei și motivarea
individul ui. Dacă activitatea este una provocatoare, care să necesite interes și să îndemne
angajatul să se autodepășească, atunci acesta va fi mai înclinat să lucreze activ și să se
implice în dezvoltarea organizației. Brian Tracy spune că salariul și mediul de mu ncă
ocupă doar locurile cinci, respectiv șase pe lista de factori care motivează un angajat11.
Motto -ul departamentului securității statului (Department of Homeland Security) al
Statelor Unite ale Americii este ”Dacă vezi ceva, spune ceva ”. Acest principiu poate fi
utilizat și în organizații, unde fiecare individ trebuie conștientizat să raporteze orice lucru
suspect, care ar putea pune în primejdie securitatea sau integritatea organizației.
1.3 Scopul organizației
După cum spuneam anterior, este o funcție de bază în natura omului ca acesta să aibă
scopuri și obiective în viață, precum spunea și distinsul Andrei Pleșu12, toată lumea își
dorește să ajungă să își îndeplinească visele, să ajungă la o stare de succes, astfel,
devenind clar faptul că și organizația trebuie să tindă către stabilirea și îndeplinirea
scopului principal. La nivel micro, însă, un individ care nu simte acțiunea lui la nivelul
organizației drept o înaintare în realizarea scopurilor proprii, nu se poate dezvolta și nu mai
creează competitivi tatea, lucru care periclitează și dezvoltarea echipei, deci a organizației.
Același John Adair, spunea că pentru a stabili scopul oricărui individ sau a unei organizații,
trebuie puse întrebări care să înceapă cu “de ce?”:13
De ce am început acest proiect?
De ce am pornit această organizație?
De ce am intrat în această organizație ?
11 Tracy Brian, op. cit. , 2018, p. 166-167
12 Andrei Pleșu, Discurs despre succes, Atelierul de leadership moral “Despre responsabilitate și încredere ”,
https://www.youtube.com/watch?v=IlW2gvyG1x4 , accesat la 21.06.2019
13 Adair John , op.cit., pp. 44 -47
Abrudan George -Alexandru Capitolul 1. Rolul leadership -ului în cultura organizației
12
Răspunsurile la aceste întrebări vor releva care este scopul, moment în care trebuie
stabilite țelurile, care sunt punctele care necesită dezvoltare pentru atingerea scopului, și
obiective, adică o realizare palpabilă a scopului. De asemenea, un lider ține să facă aceste
răspunsuri cunoscute și pentru angajați, în timp ce un șef normal doar spune ce să se facă14.
Acest lucru este important deoarece le oferă angajaților un sentiment de apartenență, că
știu cum merg lucrurile în organizație, lucru care îi face să gândească pentru organizație și
să realizeze importanța realizării scopurilor propuse.
De asemenea, în vederea realizării scopului, trebuie urmărite valorile personale.
După c um spunea Winston Churchill, referindu -se la președintele de Gaulle, citat de John
Adair : “Am avut anumite ne înțelegeri personale, dar am navigat după aceleași stele ”15.
Stelele reprezintă valorile la care noi ne raportăm, fără să putem să ajungem vreodată la
ele, însă le putem folosi pentru ghidare spre scopul nostru.
Dacă ar fi să transpunem într -o situație practică, să spunem un meci de fotbal,
scopul echipei este câștigarea meciului, țelurile fiind dezvoltarea abilităților sportive iar ca
obiective ident ificăm înscrierea golurilor. În aceeași referință, liderul este evident
căpitanul, deoarece liderul trebuie să poată acționa la același nivel cu persoanele
subordonate din organizație, el stabilind pe rând țelurile și mai apoi obiectivele.
Pentru a rămâne în afaceri, o organizație trebuie să își cunoască piața, competitorii
și activitatea partenerilor, pentru a ști la ce riscuri se expune16. Astfel, se ajunge la
Competitive Intelligence, care are rolul de a anticipa piața, creșterea oportunităților și
reduce rea riscurilor. Compania dezvoltând competitivitatea pentru a asigura prosperitatea
și continuitatea organizației . Procesul de competitive intelligence este unul liniar, prezentat
în figura 1.2. În procesul de colectare a datelor se folosesc în special sur sele de tip OSINT,
dar și HUMINT, precum în cazul spionajului industrial, unde o persoană capabilă care
ajunge la informații secrete le poate reproduce fără să mai fie nevoită să realizeze cercetări
ulterioare. Despre acest proces am învățat în cadrul mate riei Securitatea Documentelor
împreună cu domnul profesor asoc iat Alexandru Miron .
14 Ibidem , p. 47
15 Ibidem, p. 48
16 El Khoury Pierre, Shaping Business Strategy through Competitive Intelligence , Implementarea Strategiei
Naționale a proprietății Intelectuale și protecția drepturilor proprietății intelectuale pentru fi rmele mici și
mijlocii, Bishkek, 20 -21 Noiembrie, 2013, 30 de pagini,
https://www.wipo.int/edocs/mdocs/sme/en/wipo_smes_bik_13/wipo_smes_bik_13_ k_pierre_el_khoury.p
df, accesat la 23.06.2019
Abrudan George -Alexandru Capitolul 1. Rolul leadership -ului în cultura organizației
13
Figura 1.2 : Procesul informational
1.4 Concluzii
În opinia mea, rolul leadership -ului, atât într -o organizație, cât și în implementarea
culturii de securitate este unul foar te important, dacă nu chiar fundamental. Am demonstrat
în acest capitol atât faptul că un lider are nevoie de anumite calități pentru a îndeplini
această funcție, trebuie să își asume responsabilitatea întregii organizații și să o dezvolte.
Cum putem obse rva și în figura 1.1, este necesar să se realizeze un echilibru între
toate cele 3 cercuri.
Astfel, prin crearea unei culturi de securitate la nivelul personalului, fiecare individ
știe de ce este nevoie să protejeze datele companiei, știe cum să o facă și cui să îi raporteze
o situație suspectă. În această situație ideală, în care angajatul se identifică cu organizația,
angajatul conștientizează faptul că succesul organizației înseamnă succesul său personal,
demonstrând, astfel, rolul culturii organizațion ale și de securitate într -o organizație.
Evaluarea
nevoilor Colectarea
de date Analiza
datelor Livrarea
informațiilor
Abrudan George -Alexandru Capitolul 2. Conștientizarea securități i
14
Capitolul 2. Conștientizarea securității
2.1 Rolul informațiilor clasificate
În acest capitol, am avut ca punct de pornire cartea domnului profesor Lect. Dr.
Vasile Adrian Cămărășan și cursul acestuia, împreună c u seminariile ținute de domnul
profesor Dr. Raul Dăncuță, cursul denumit Informații clasificate, predat în semestrul 2 din
anul I de facultate. M-a atras, în special, seminarul în care am discutat despre importanța
culturii de securitate și a unei educații de securitate. Într -o organizație, rolul informațiilor
clasificate este unul vital pentru asigurarea competi tivității și dezvoltării organizației. După
cum spune domnul Vasile Adrian Cămărășan în cartea sa, Informații clasificate, cel mai
mare factor de r isc este cel uman17, devenind astfel punctul de concentrare al educației de
securitate. Deși se pune mult accentul pe dezvoltarea tehnologiei pentru evitarea
infracțiunilor cibernetice sau a spargerilor fizice, tot factorul uman este cel mai predispus
să of ere informațiile clasificate, de multe ori chiar fără intenție. De aceea, consider eu,
principiile de “need -to-know” și “need -to-share ” stau la baza educației de securitate.
Conștientizarea de către angajați a valorii informațiilor clasificate la care au a cces poate
reduce semnificativ scurgerea de informații clasificate din organizație. Persoanele sunt
adesea victimele înșelătoriilor de tipul “inginerie socială ” sau “phishing”, oferind, fără
măcar să realizeze , informații cu caracter personal unor rău făcă tori, informații care pot fi
importante pentru organizație . Un bun exemplu de inginerie socială care a produs pagube
imense, este furtul de la firma nemțească Leoni Wiring Systems, care a lăsat firma fără 40
de milioane de euro18. Ținta a fost chiar locația din România, din Bistrița. Una sau mai
multe persoane, s -au dat drept oameni din conducerea de la sediul central din Germania și
le-ar fi cerut să transfere banii într -un cont. Acest lucru nu era ceva neobișnuit, întrucât s –
au mai efectuat astfel de trans feruri. Totuși, niciun angajat care a fost implicat nu a
semnalat ceva suspicios, deși a fost vorba de jumătate din profitul efectuat de companie în
acel an19. Astfel, prin lipsa de instrumente de verificare a identității persoanelor cu care
comunicau, câți va angajați au ajuns să simtă pe pielea lor ce înseamnă lipsa unei culturi de
securitate în domeniul economic. Totodată, personalul trebuie să înțeleagă toate
dimensiunile riscurilor de securitate20, de la protecția datelor cu caracter personal până la
17 Cămărășan Vasile Adrian, Informații clasificate , Cluj-Napoca, CA Publishing, 2013, p. 138
18 Romania Insider, Hackers steal EUR 40 mln from German group Leoni ’s subsidiary in Romania,
https://www.romania -insider.com/hackers -steal -eur-40-mln-german -group -leoni -subsidiary -romania ,
accesat la 23.06.2019
19 Ibidem
20 Cămărășan Vasile Adrian, ibidem, p. 140
Abrudan George -Alexandru Capitolul 2. Conștientizarea securității
15
informațiile secret de serviciu sau chiar secret de stat în cazul unor organizații
guvernamentale.
O clasificare corectă și bine delimitată a informațiilor clasificate este un punct cheie
în asigurarea integrității secretelor organizației. Totodată, fiecare a ngajat trebuie să știe de
ce are acces la acele informații, în ce context și cu cine are voie să le discute în interiorul
organizației. Întrucât toate organizațiile au informații clasificate, de un nivel mai mare sau
mai mic de importanță pentru securitate a organizației, este necesară stabilirea clară de către
responsabilul de securitate asupra condițiilor în care o persoană primește acces la
informații și modul în care le poate transmite mai departe. În aceeași lucrare, domnul
Cămărășan vorbește și despre un plan de pregătire, pentru a se efectua educația de
securitate21, care presupune pregătirea de la general la particular a personalului. Astfel,
dânsul vorbește despre o pregătire generală, în funcție de aria de responsabilități a fiecărui
individ, o parte a principiului necesității de cunoaștere despre care am discutat mai sus, și o
pregătire particulară pentru fiecare persoană responsabilă. O pregătire generală este
necesară încă din clasele în care se începe studierea materiei cultură civică, unde ar tre bui
învățați termenii risc, vulnerabilitate și amenințare. Consider că este fundamental
înțelegerea celor 3 termeni, întrucât ei stau la baza culturii de securitate. Odată ce omul
înțelege care sunt riscurile, vulnerabilitățile din viața de zi cu zi, își p oate dezvolta cultura
de securitate pe arii de specialitate, cum ar fi cibernetica sau informațiile clasificate.
2.2 Dimensiunile securității și importanța în cultura de securitate
Odată cu sfârșitul Războiului Rece, Organizația Tratatului Atlanticului de Nord și -a
schimbat conceptul strategic , în special cel din 1999, pentru a cuprinde toate dimensiunile
securității, nu doar cea militară, ci și politică, economică, socială și de mediu22. În opinia
mea, acest lucru a făcut ca NATO să reziste chiar și în ziu a de astăzi, dând dovadă de o
capacitate de adaptare la situația apărută ieșită din comun. Astfel, punând accent și pe
celelalte dimensiuni, NATO se implică activ în asigurarea securității spațiului cibernetic23
și în combaterea terorismului24.
21 Cămărășan Vasile Adrian, ibidem , pp. 140 -141
22 Strategic Concepts, site -ul oficial NATO, https://www.nato.int/cps/en/natohq/topics_56626.htm# ,
accesat la 26.03.2019
23 Cyber defence, sit e-ul oficial NATO, https://www.nato.int/cps/en/natohq/topics_78170.htm , accesat la
29.03.2019
24 Countering terrorism, site -ul oficial NATO, https://www.nato.int/cps/en/natohq/topics_77646.htm ,
accesat la 29.03.2019
Abrudan George -Alexandru Capitolul 2. Conștientizarea securității
16
Toate aces te dimensiuni sunt vitale în asigurarea securității oricărui stat, drept
exemplu avem cazul rezolvat de Mossad, cazul băiatului Yossele25, unde a fost nevoie de
intervenția serviciului de informații israelian pentru a recupera un băiat, situație care nu
intră în mod obișnuit în jurisdicția unei astfel de instituții, însă acest caz era unul special,
extrem de mediatizat care risca să pornească un război civil între laici și ultraortodocși.
Băiatul, crescut într -o familie de evrei moderniști, care nu aveau, în să, posibilitatea să îl
crească, l -au dat în grija bunicilor ultraortodocși, care doreau să îi ofere o educație
ortodoxă . Abia după doi ani, în urma implicării Mossad -ului, băiatul a ajuns înapoi la
părinții săi. Devine, astfel, evident faptul că o tensiun e socială poate duce la o amenințare
majoră la adresa securității naționale, care necesită atenția serviciilor secrete ale statului.
În Venezuela se poate vedea ce înseamnă o criză economică și care sunt
repercusiunile asupra securității naționale . De la cea mai bogată țară din America Latină,
Venezuela suferă astăzi din cauza inflației și a războiului civil26. Aproape 3 milioane de
persoane au plecat din Venezuela27 în speranța găsirii unui trai mai bun, adăugând și mai
mult la criza prin care trece țara . Cu o rată a inflației de 1.3 milioane %28, bancnotele din
Venezuela își pierd valoarea de pe o zi pe alta. Totodată, Venezuela trece și printr -o criză
politică, cauzată de conflictul politic dintre președintele ales în urma alegerilor din Mai
2018, Nicolas Ma duro, și președintele Adunării Naționale, Juan Guaido29. În momentul
actual, nu este recunoscut 100% cine este președintele țării. Parlamentul European l -a
recunoscut drept președinte interimar pe Juan Guaido, îndemnând și celelalte state ale
Uniunii Europe ne să îl recunoască drept președinte interimar pe Guaido până la
organizarea unor noi alegeri prezidențiale democratice și transparente.30
25 Bar-Zohan Michael, Mishal Nissim, Mossad. Istoria sângeroasă a spionajului israelian , București, Editura
Litera, 2014, pp. 113 -138
26 Fisher Max, Taub Amanda, How Venezuela went from the richest economy in South America to the brink
of financial ruin , site-ul oficial al ziarului Independent, 21.05.2017,
https://www.independent.co.uk/news/long_reads/how -venezuela -went -from -the-richest -economy -in-
south -america -to-the-brink -of-financial -ruin-a7740616.html , accesat la 7.05.2019
27 Venezuela, Events of 20 18, site-ul Human Rights Watch, https://www.hrw.org/world –
report/2019/country -chapters/venezuela , accesat la data de 07.05.2019
28 Venezuela Consumer Price Index, https://tradingeconomics.com/venezuela/consumer -price -index -cpi,
ccesat la 07.05.2019
29 Venezuela crisis : How to political situation escalated, https://www.bbc.com/news/world -latin -america –
36319877 , accesat la 07.05.2019
30 Narrillos Estefania, Venezuela : Parliament recognises Guaido, urges EU to follow suit , declarație de presă
a Parlamentului European, http://www.europarl.europa.eu/news/en/press –
room/20190125IPR24303/venezuela -parliament -recognises -guaido -urges -eu-to-follow -suit, accesat la
07.05.2019
Abrudan George -Alexandru Capitolul 2. Conștientizarea securității
17
Zona Cernobîl a primit foarte multă atenție din partea mass -media în ultima
perioadă, datorită serialului -documentar31. Acest caz este unul care arată foarte clar care
sunt efectele unui astfel de dezastru nuclear asupra mediului înconjurător și a vieții din
zonă. Chiar și după 30 de ani de la dezastru, zona este în continuare considerată drept
extrem de radioactivă și ci rculația este strict reglementată. În anul 2011, Ucraina a deschis
zona pentru turiști32, pentru creșterea responsabilității legată de impactul dezastrelor
nucleare asupra mediului înconjurător.
2.3 Concluzii
Consider că este foarte important să se realize ze un nivel de securitate pe toate ce le
5 dimensiuni ale securității. Trecerea de la investiția în apărare la investiția în celelalte
domenii poate crea noi șanse de dezvoltare și asigurare a unei bunăstări generale. Totodată,
nu se poate să nu remarc fapt ul că toate aceste crize, politice, economice, societale sau de
mediu, au fost create de factorul uman, care este, după cum spuneam în capitolul anterior,
cel mai mare factor de risc. Astfel, consider eu, crearea unei culturi de securitate va reduce
riscul apariției unor noi crize, conștientizarea pagubelor produse de aceste insecurități
îngreunând dezvoltarea umană.
31 Chernobyl este un miniserial de tip dramă -istoric, creat de către HBO, care prezintă întâmplările din seara
incidentului din 26 Aprilie 1986 și eforturile care au urmat pentru controlul pagubelor.
32 Ukraine to open Chernobyl Area t o tourists in 2011 , site-ul ofical de știri FOX News,
https://www.foxnews.com/world/ukraine -to-open -chernobyl -area -to-tourists -in-2011 , accesat la data de
22.0 6.2019
Abrudan George -Alexandru Capitolul 3. Cultura de securitate cibernetică.
18
Capitolul 3. Cultura de securitate cibernetică .
Studiu de caz la școala gimnazială Traian Dârjan, Cluj -Napoca.
3.1 Cercetarea culturii de s ecuritate
Pentru a vedea exact cum se manifestă cultura de securitate într -o organizație, am
realizat un raport practic asupra securității cibernetice a unei școli din Cluj -Napoca, unde
am avut acces din partea conducerii instituției. Prin această cercetar e am dorit să depistez
punctele vulnerabile din cadrul acestei organizații în ceea ce privește securitatea
cibernetică, respectiv implementarea acestei noțiuni la nivelul utilizatorilor de echipamente
informatice, existența politicilor interne de securitat e cibernetică, cât și nivelul de
conștientizare a securității la nivelul personalului.
Am făcut mai multe vizite la școala respectivă, pentru a vedea cum sunt protejate
echipamentele electronice și care este nivelul de pregătire al personalului. Am analiza t
echipamentele cibernetice alături de responsabilul de echipamente, care este un angajat al
unei firme cu care unitatea are un contract. Apoi, am răspuns la mai multe întrebări alături
de secretara instituției, care m -a ajutat să înțeleg nivelul de securi tate al organizației. Ca
instrumente de diagnostic, cele mai utilizate sunt prezentate în figura următoare .
Figura 3.1: Tabelul instrumentelor de diagnostic
State Olimpia, http://www.biblioteca -digitala.ase.ro/biblioteca/pagina2.asp?id=cap8
Analiza documentelor
Chestionar
Observarea
Interviuri
Munca în grup
Anchete complementare
Abrudan George -Alexandru Capitolul 3. Cultura de securitate cibernetică.
19
Design -ul cercetării
1. Obiectivele cercetării
– Evidențierea importanței conștientizării culturii de securitate cibernetice;
– Conturarea rolurilor fiecărui utilizator de echipament informatic;
– Dezvoltarea noțiunii de securitate cibernetică;
– Elaborarea unui plan de intervenție eficient în vederea dezvoltării și
implementării culturii de securitate cibern etică în rândul personalului
organizației cercetate;
2. Ipoteza cercetării
Prin esența realizabilă a ”alfabetizării” în domeniul studiilor de securitate
cibernetică, implementarea conștientizării riscurilor la care sunt expuse datele
stocate atât pe propriul calculator și/ sau pe serverul intern, care poate aduce
progres în cultura securității cibernetice, inclusiv prin limitarea accesului sau chiar
interzicerea accesării altor pagini de internet decât cele strict în legătură cu
activitatea profesională, mi -am propus să valorific interesul și competențele
personalului organizației care face obiectul cercetării în vederea implementării
educației de securitate cibernetică.
3. Variabilele cercetării
Pornind de la stabilirea ipotezei, în cazul cercetării de față, pr ecizăm variabilele:
Variabila independentă:
Consider că utilizarea cu maximă responsabilitate și strict pe interesul activității
desfășurate, necesare activității de bază, fiecare utilizator din cadrul organizației
care face obiectul cercetării de față, vo m reuși modificarea obiceiului de a naviga
pe internet fără nicio măsură de securitate, chiar prin limitarea accesului, reușind
astfel să -i constrângem la activitatea și paginile de interes strict al profesiei;
Variabila dependentă:
Este reprezentată de pr ogresul realizat de către utilizatorii activi ai organizației,
conștientizarea riscurilor unui atac cibernetic.
4. Instrumente utilizate
Chestionarul aplicat persoanei din organizație care dispune de cea mai mare și
importanta bază de date stocată pe calculat orul propriu și serverul intern;
5. Metode utilizate
– Observarea
– Convorbirea
Abrudan George -Alexandru Capitolul 3. Cultura de secur itate cibernetică.
20
3.2 Raport de diagnoză a securității cibernetice într -o organizație
Consultant: Abrudan George -Alexandru
Client/Beneficiar: Școala Gimnazială Traian Dârjan, Cluj -Napoca
Descrierea o rganizației33: Școala din Someșeni a luat ființă în anul 1761. Anul 1939 a
fost anul în care a început construcția noului local, ridicat pe actuala poziție a școlii. În
anul 1948 a început reconstrucția școlii din fondurile comunei Someșeni și ale
Inspector atului Școlar Regional Cluj, pentru ca în anul 1950 școala să primească
denumirea de „Școala de 7 ani Mixtă nr. 28” orașul Cluj. În același an este dat în folosință
parterul, iar în anul 1955 a fost terminată construcția, cu toate instalațiile, școala avâ nd
două clădiri, 13 săli de curs, o sală pentru director, sală profesorală, sală pentru bibliotecă
și laborator.
Anul 1961 a adus schimbări: denumirea școlii era „Școala de 7 ani nr. 28” orașul
Cluj. Din anul 1962 denumirea școlii va fi: „Școala Generală nr. 12 Cluj”.
Din 1 septembrie 1991 până în 15.11.2004 denumirea școlii va fi: „Școala cu
clasele I -VIII nr. 12” Cluj -Napoca.
În anul 2002 începe a doua etapă de finisaje la parter, etajul I și hol clădirea veche,
iar în 2003 se termină lucrările interi oare de finisaje și instalații la mansarda corpului de
clădire „E”, finanțare PHARE, proiect 01.04.02/10.
Prin programul PHARE, demarat în anul 2002, se continuă lucrările de modernizare
(geamuri termopan, faianțare, lambrisarea și pavoazarea holurilor, a coperirea cu covor,
executarea panoului de la intrarea în școală) se reorganizează spațiile creându -se biroul
pentru director, director adjunct, consilier educativ, mediator școlar, sala profesorală,
magazia de materiale, „Sala drepturilor omului” și secre tariatul. Tot acum este pus în
funcțiune și laboratorul TIC dotat cu aparatură de ultimul tip, pentru acea dată. Școala
primește, printr -un program guvernamental, un ”laborator AEL”, constând în 11
calculatoare (10 calculatoare și o unitate server). Astfel , este prima dată când în această
organizație sunt conectate 10 unități PC la internet, unități date spre utilizare elevilor
școlii. Se achiziționează de asemenea, calculatoare pentru biroul directorului, secretarei,
mediatorului școlar și consilierului ed ucativ.
Începând cu 01.01.2005, s -a aprobat schimbarea denumirii din Școala cu clasele I –
VIII nr. 12 Cluj -Napoca, în Școala cu clasele I -VIII ”Traian Dârjan” Cluj -Napoca,
33 Monografia Școlii Gimnaziale ”Traian Dârjan”, Cluj -Napoca, 2004;
Abrudan George -Alexandru Capitolul 3. Cultura de securitate cibernetică.
21
atribuindu -i-se numele eroului din cel de -al doilea război mondial, aviatorul Trai an Dârjan,
localnic și fost elev al școlii.
Astăzi, elevii școlii beneficiază de cele mai bune condiții de studiu, sunt școlarizați
copiii din cartierul Someșeni dar și din colonia Pata Rât. În acest an școlar sunt înscriși 356
elevi dispuși în 24 clase: 180 elevi în clase primare cu predare în limba română și rromani,
120 elevi în 8 clase de gimnaziu cu frecvență zi și 56 elevi în 4 clase de gimnaziu cu
frecvență redusă. Obiectul de activitate este educație -învățământ, CAEN 8531 -învățământ
secundar gener al. Școala are în prezent 45 angajați, profesori, personal didactic auxiliar și
nedidactic.
Dacă la sfârșitul anului 2004 organizația avea în dotare doar 14 calculatoare cu
conexiune prin cablu la internet, în prezent există un calculator în fiecare sal ă de clasă,
acestea fără conexiune la internet, dar au fost modernizate două laboratoare TIC și
Multimedia, câte un calculator conectat la internet în fiecare birou (director, secretariat,
contabilitate, mediator școlar, consilier educativ), sala profesora lă, bibliotecă etc34.
Conexiunea la internet este realizată prin fibră optică.
Organizația beneficiază de asigurare împotriva riscurilor de securitate cibernetică :
Organizația nu beneficiază în prezent de asigurare împotriva riscurilor de securitate
cibern etică, și nu beneficiază nici de asigurare în caz de incendiu.
Scopul diagnozei: Oferirea, managementului instituției, sprijinului necesar asigurării
securității informațiilor din cadrul organizației în scopul asigurării unei activități
continue și eficie ntă în instituție prin evaluare corectă a sistemelor de securitate
cibernetică, definirea sau evaluarea politicilor interne de securitate cibernetică, evaluarea
rezilienței organizației în fața incidentelor de securitate cibernetică, alinierea practicilor și
procedurilor din cadrul organizației evaluate la standardele și reglementările în vigoare,
identificarea, evaluarea și analiza unor noi riscuri -amenințări -vulnerabilități de securitate
cibernetică. Măsurile ar trebui să asigure protecția informațiilor î mpotriva pierderii,
distrugerii sau divulgării neautorizate.
Perioada evaluării : 01.02.2019 -01.05.2019;
34 Date colectate din statistica școlii, administrator de patrimoniu;
Abrudan George -Alexandru Capitolul 3. Cultura de securitate cibernetică.
22
Responsabilitățile lucrătorului desemnat cu securitate cibernetică în organizație :
Responsabilitățile sunt externalizate, întrucât statul de funcții nu permite încadrarea cu
persoană specializată în acest sens iar atribuirea acestei sarcini unei persoane deja încadrate
ar însemna supraîncărcarea acesteia și scăderea randamentului în realizarea sarcinilor de
serviciu pentru funcția de bază. Școala are înch eiat contract de prestări servicii cu o firmă
care asigură mentenanță, suport și instruire privind securitatea echipamentelor cibernetice ,
astfel:
Obținerea acceptanței și suportului managementului pentru strategia de securitate
aliniată cu obiectivele ins tituției;
Definirea politicilor de securitate IT în concordanță cu strategia;
Definirea standardelor de securitate pentru toate politicile relevante;
Alinierea practicilor și procedurilor din cadrul organizației, cu politica centrală de
securitate;
Asignar ea clară a rolurilor și responsabilităților relativ la securitatea informației în
cadrul organizației;
Integrarea securității IT în lanțul administrării informației la nivelul întregii
organizații;
Identificarea și clasificarea bunurilor informaționale în funcție de criticalitate și
senzitivitate;
Definirea, implementarea și mentenanța unor obiective de control eficace pentru
managemenul securității;
Implementarea unor procese de monitorizare eficiente ale acestor controale;
Managementul incidentelor de sec uritate, testarea capabilităților de răspuns;
Desfășurarea activităților specifice continuității activității, testarea planurilor de
recuperare în caz de dezastru;
Aprobarea din perspectiva securității în cadrul proceselor de change management;
Identificar ea, evaluarea, comunicarea și managementul riscurilor de securitate;
Managementul proceselor de obținere și menținere a conformității cu
reglementările obligatorii;
Inițierea, facilitarea și promovarea activităților menite să ducă la sporirea
conștientizăr ii importanței securității atât în cadrul organizației cât și pentru
colaboratori, furnizori, personalul organizației, elevi și alte structuri care au relații
directe cu organizația;
Abrudan George -Alexandru Capitolul 3. Cultura de securitate cibernetică.
23
Asigurarea conformității cu politicile și procedurile de securitate pentr u toți
angajații, la nivel individual, prin impunerea regulilor stabilite;
Asistarea la realizarea unor profile de securitate corecte ale personalului și
menținerea unor dosare exacte cu profilele de securitate potrivite fiecarei poziții în
cadrul organiza ției;
Monitorizarea utilizării eficiente a resurselor de securitate;
Dezvoltarea și implementarea metricilor și a monitorizării activităților de
securitate;
Intocmirea rapoartelor privind evenimentele de securitate.
Consultant: Abrudan George -Alexandru
CONSTATĂRI PRIVIND LOCAȚIA FIZICĂ: Sediul organizației este în Cluj -Napoca,
strada Traian Vuia, nr. 76. Locația este compusă din cinci clădiri cu nivelul de înălțime P
(2 clădiri), P+E (1 clădire), P+E+M (2 clădiri), toate spațiile fiind destinate procesului de
educație -învățământ, birouri, iar la mansarda unei clădiri se regăsește arhiva organizației.
Birourile sunt poziționate la etajul întâi al clădirii principale, etaj la care se găsesc
și laboratoarele TIC și Multimedia. Există un număr de 3 birouri (di recțiune,
contabilitate și secretariat), sala profesorală și cabinetul consilierului educativ. Una
dintre clădiri este destinată strict cabinetului medical al organizației, o altă clădire
este structurată în 3 săli de clasă și sala de sport. Celelalte clăd iri, având doar scop
educativ, sunt compuse doar din săli de clasă.
Echipamentele cibernetice din sălile de clasă sunt folosite în scop educativ, iar cele
din birourile de management sunt folosite pentru constituire baze de date, atât pe
server local cât ș i aplicații online (SIIIR, ADLIC, REVISAL, EDUSAL), raportări
statistice, resurse umane și financiare, redactare de e -mailuri, preluare arhivă cu
subiecte la evaluări naționale.
In ceea ce privește măsurile de securitate fizică, a fost întocmită evaluarea riscurilor
la securitate fizică pentru întreaga locație. Există contract cu o firmă de pază care
asigură paza clădirilor precum și verificarea persoanelor care intră în sediul
societății, asigurată și cu personal propriu. De asemenea, serverul central este situat
într-o cameră cu ușă de tip termopan pentru protecția împotriva eventualelor
incendii sau temperaturi extreme, încăperea este prevăzută cu geam de aerisire de
dimensiune 30×150 cm cu sticlă normală și protejată cu jaluzele verticale. Locația
Abrudan George -Alexandru Capitolul 3. Cultura de securitate cibernetică.
24
dispun e de camere de supraveghere atât în interiorul clădirilor cât și în curțile
interioare pentru supravegherea perimetrului. Pe intrările în clădiri sunt poziționate
camere de supraveghere cu infraroșu și senzori de mișcare. Geamurile de la parterul
clădirilo r sunt prevăzute cu gratii. De asemenea, în birouri, arhivă și în
laboratoarele TIC și Multimedia sunt instalați senzori de mișcare și de alarmare în
caz de incendiu.
Clasificarea echipamentelor cibernetice în funcție de criticabilitate/importanța
pentru organizație.
Nu este facută o clasificare clară a echipamentelor în funcție de criticabilitate, însă,
s-ar putea face o împărțire după cum urmează: Secretariat (Baze de date elevi și
personal, programul de salarizare, statistici și aplicații cu acces cer tificat digital ),
contabilitate (program de contabilitate și gestiune a patrimoniului, note contabile,
aplicații financiare cu certificat digital), administrația (program achiziții publice –
SICAP, gestiunea patrimoniului, baze de date).
CONSTATĂRI HARDWARE35
Ca și echipamente cibernetice, la sediul organizației există un număr de 70
calculatoare și 1 laptop, 15 imprimante, din care 1 wireless și 2 routere distribuite
departamentelor aflate la sediul societății, astfel : Departamentul de management – 1
Calcul ator no name processor Ryzen 7 2700, 8Gb DDR4, 1Tb HDD . Echipamentul este
funcțional, utilizat de către directorul școlii pentru desfășurarea activităților curente,
recepționarea email -urilor, crearea de documente office, urmărirea imaginilor de pe
camerel e de supraveghere, accesarea bazei de date a personalului propriu.
La secretariat se găsește 1 Calculator no name processor Ryzen 7 2700, 8Gb
DDR4, 1Tb HDD , Tray load DVD Drive (Reads and Writes to DVD/CD), 802.11bgn +
Bluetooth 4.0, 2.4 GHz, 1×1, I/O Por ts: 2x USB 3.0, Universal Audio Jack, 4x USB 2.0,
RJ- 45, HDMI, VGA, 3 -stack audio jacks supporting 5.1 surround sound, Slots: 2x PCIe x
, 1x PCIe x 16, Power Supply Unit: Standard 180W PSU Active PFC, Dell Optical Mouse –
MS116 – Black, Dell Entry Keyboard KB216 Black, US International QWERTY. Tot aici
35 Specificațiile tehnice al e echipamentului informatic a fost obținut de la firma de mentenanță cu care
organizația are contract;
Abrudan George -Alexandru Capitolul 3. Cultura de securitate ciber netică.
25
se găsește și o multifuncțională color, A4/A3, SHARP MX -2614N cu următoarele
specificații:
Interfața USB 2.0
10Base -T/100Base -TX/1000Base_T
Sistem de operare Windows Server 2003/2008, Windows 2000/XP, Windo ws Vista,
Windows 7, Mac OS 9.0 -9.2.2, Mac OS X 10.2.8, 10.3.9, 10.4 –
10.4.11, 10.5 -10.5.8, 10.6 – 10.6.2
Protocoale de rețea TCP/IP (IPv4, Ipv6), IPX/SPX (NetWare), NetBEUI, EtherTalk
(AppleTalk), LPR, Raw TCP (port 9100), POP3 (e -mail printing), HTT P
Emulații PDL Standard PCL6, Optional PS3 cu MX -PK11, XPS cu MX -PUX1
Network Scanner
Metodă de scanare Push scan
Pull scan
Rezoluție Push scan: 100, 200, 300, 400, 600 dpi
Pull scan: 75, 100, 150, 200, 300, 400, 600 dpi
50 – 9600 dpi prin interpo lare
Formate suportate TIFF, PDF, encrypted PDF, JPEG
Destinații Scan to e -mail, desktop, FTP server, network folder (SMB)
Exerciții, temperaturi de operare.
Imprimanta deservește secretariatul, direcțiune, contabilitatea și sala profesorală.
Echipamen tele (calculatoarele) sunt folosite de către secretara organizației pentru
recepționarea și transmiterea de email -uri, pentru crearea de documente office,
comunicarea cu furnizorii și partenerii organizației, și a forurilor superioare, precum și
verificare a legislației în domenii de interes cu ajutorul softului LEXO. Tot la acest
departament se găsește un Laptop Lenovo Latitude 3350 cu procesor Intel Core i3 -5005U
2.00GHz, Skylake, 13.3", 4GB, 128GB SSD, Intel HD Graphics, Microsoft Windows 7
Pro + Microsof t Windows 10 Pro, Black. Laptopul este utilizat de către secretară pentru
situații urgente, în afara spațiului de lucru, precum inspectorat sau alte unități de
învățământ.
În sala profesorală se găsec 2 calculatoare no name processor Ryzen 7 2700, 8Gb
DDR4 , 1Tb HDD 7200rpm, DVD / -RW, LAN 10/100/1000, no WLAN, Porturi
6xUSB3.0/ 4xUSB2.0/ 1xinternal USB2.0/ 1xRJ -45/ 1xSerial/ 2xDP/ 1xHDMI/ 2xPS2/
Abrudan George -Alexandru Capitolul 3. Cultura de securitate cibernetică.
26
1xUAJ/ 1xline out, Sloturi 1 full height PCIe x16/ 1 full height PCIe x16 (wired x 4)/ 1 full
height PCIe x1/ 1 fu ll height PCI/ 1 M.2 (22x80mm), Certificare ENERGY STAR 6.0,
EPEAT Registered9, CEL, WEEE, Japan Energy Law, South Korea E -standby, South
Korea Eco – label, EU RoHS, China RoHS BFR/CFR/PVC, Sursa 240W, Culoare neagră,
Greutate 8kg, dimensiuni 35×15.4×27.4 m m, mouse și tastatură. Echipamentele sunt
folosite de către cadrele didactice pntru receptionarea și transmiterea de e -mailuri, crarea
de documente office, statistici, raportări on -line etc.
La departamentul contabilitate există un desktop PC Business HP B9C44AW, Elite
8300 Convertible Minitower, Intel Core i5 -3470 (6M Cache, up to 3.60 GHz) RAM 2GB
DDR3 1600MHz (1x2GB), HDD 500GB 7200rpm, DVD SuperMulti Drive, Porturi:
4xUSB3.0/6xUSB2.0/1xserial/2 PS -2/1xVGA/1xDisplayPort/1xaudio in/1xaudio
out/1xRJ -45/1xheadphone/1xmicrophone, Bays: 3×5.25" (extern), 3×3.5" (intern), Sursa
320W, greutate 11.2kg, dimensiuni: 178x445x448mm, standard keyboard EURO, optical
mouse și o imprimantă multifuncțională color. Echipamentele sunt utilizate de către
personalul angajat la departamentul de contabilitate fiind utilizate în scopul introducerii
facturilor în program, transmiterea și recepționarea e -mailurilor, efectuarea plății facturilor,
comunicarea cu furnizorii, utilizarea FOREXEBU C etc.
În sala de calculatoare TIC sun t 15 calculatoare no name processor i3 -3220, 4 Gb DDR
3, 500 Gb HDD , Ports and connectors Front: 3.5mm headphone output and microphone
jacks, (2) USB 3.0 ports; one port with Fast Charge technology Rear: (4) USB 3.0 ports,
(1) VGA video port, (2) DisplayPo rt with multistream video ports, (1) RJ -45 network
connector, 3.5mm audio out jack, Expansion slots (1) internal M.2 connector for optional
wireless NIC module (1) internal M.2 connector for optional SSD drive, Integrated
IntelHD Graphics, DTS Studio Sound , Realtek ALC 221 Audio (all ports stereo),
microphone and headphone jacks, stereo audio line out and integrated speaker, Integrated
Intel I217LM Gigabit Network Connection; optional wireless LAN card available,
Wireless Keyboard and Mouse, External 65W P ower Supply, Active PFC, 87% efficient,
HP ProDisplay P191 (C9E54AA). Tot aici se mai găsesc încă 3 calculatoare no name
processor i3 -4170, 4 Gb DDR 3, 500 Gb HDD și un calculator no name processor Ryzen 7
2700, 8Gb DDR4, 1Tb HDD . Echipamentele sunt utiliz ate de către elevi și profesori,
utilizate în activități didactice și educative, atât în predarea materiei TIC, lecții AEL, cât și
de profesorii de alte discipline care doresc să își predea materia în format electronic. Tot în
această sală se află și o imp rimantă multifuncțională HP DeskJet 1510 . În această sală se
Abrudan George -Alexandru Capitolul 3. Cultura de securitate cibernetică.
27
regăsește un Router Cisco RV082 8 dual Wan 8port 100 RX/TX cu următoarele
caracteristici: Interfață1 Port USB 2.0, 1 Port WAN 10/100/1000 Mbps, 4 Porturi LAN
10/100/1000 Mbps, Porturi USB:1 x USB , Viteza de transfer:11b: până la 11 Mbps
(dinamic), 11g: până la 54Mbps (dinamic), 11n: până la 450Mbps (dinamic), frecvența
(GHz): 2.4 -2.4835 GHz, Secur itate: 64/128/152 -bit WEP/WPA/WPA2, WPA -PSK
/WPA2 -PSK, Control Acces, Control Parental, Control Manage ment Local, Host List,
Acces Programat, Administrare Reguli DHCP Server, Client, Listă Clienți DHCP,
Rezervare Adresă, DNS Dinamic NO -IP, DynDns, Comexe, Guest Network 2.4GHz Guest
Network, Port Forwarding Virtual Server, Port Triggering, UPnP, DMZ, Tip WA N IP
Dinamic/ IP Static/ PPPoE/ PPTP (acces dual)/ L2TP (acces dual)/ BigPond VPN Pass –
Through PPTP, L2TP, IPSec (ESP Head), Activare/Dezactivare funcție wireless, Bridge
WDS, Dime nsiuni 225x141x30mm, Alimentare 12VDC/ 1.5A, Antena: 3*5dBi Antene
detașabil e omnidirecționa le (RP -SMA), Frecvență Wireless Single Band, Management
Control Acces, Management Local, Management la Distanță, Protocoale suportate suport
IPv4 și IPv6, Putere de transmisie CE: <20dBm (2.4GHz), Senzitivitate receptor: 108M:
68dBm@10% PER , 11M: -85dBm@8% PER, 130M: -68dBm@10% PER, 1M: –
90dBm@8% PER, 270M: -68dBm@10% PER, 54M: -68dBm@10% PER, 6M: –
88dBm@10% PER. Aici se mai găsesc un Switch Allied Telesis GS -950 48 port gigabit +
4 port SFP, un Switch Back Cisco 2900 48 port 100 Mb, un Swi tch HP 2500 8 port 100
Mb POE, un Cisco AP -1124A acces point dual band 5 ghz și 2,4 ghz și un Rack 42 U HP.
În sala de calculatoare MULTIMEDIA se găsesc 20 Calculatoare Acer Veriton
processor I3 -8100, 4 Gb DDR 4, SSD 256 GB Kingston , Ports and connectors F ront:
3.5mm headphone output and microphone jacks, (2) USB 3.0 ports; one port with Fast
Charge technology Rear: (4) USB 3.0 ports, (1) VGA video port, (2) DisplayPort with
multistream video ports, (1) RJ -45 network connector, 3.5mm audio out jack, Expansi on
slots (1) internal M.2 connector for optional wireless NIC module (1) internal M.2
connector for optional SSD drive, Integrated IntelHD Graphics, DTS Studio Sound,
Realtek ALC 221 Audio (all ports stereo), microphone and headphone jacks, stereo audio
line out and integrated speaker, Integrated Intel I217LM Gigabit Network Connection;
optional wireless LAN card available, Wireless Keyboard and Mouse, External 65W
Power Supply, Active PFC, 87% efficient, HP ProDisplay P191 (C9E54AA) .
Echipamentele sunt ut ilizate de către elevi și profesori, utilizate în activități didactice și
Abrudan George -Alexandru Capitolul 3. Cultura de securitate cibernetică.
28
educative, atât în predarea materiei TIC, cât și de profesorii de alte discipline care doresc
să își predea materia în format electronic.
În celelalte spații ale școlii se găsesc 28 de calculatoare Dell Vostro Calculator Dell
Vostro 3600 processor i3 -6100, 4 Gb DDR 3, 500 Gb HDD , Tray load DVD Drive (Reads
and Writes to DVD/CD), 802.11bgn + Bluetooth 4.0, 2.4 GHz, 1×1, I/O Ports: 2x USB 3.0,
Universal Audio Jack, 4x USB 2.0, RJ – 45, H DMI, VGA, 3 -stack audio jacks supporting
5.1 surround sound, Slots: 2x PCIe x , 1x PCIe x 16, Power Supply Unit: Standard 180W
PSU Active PFC, Dell Optical Mouse -MS116 – Black, Dell Entry Keyboard KB216 Black,
US International (QWERTY). Echipamentele sunt distribuite în fiecare sală de clasă,
folosite doar de către personalul didactic pentru prezentarea unui proiect sau fișiere de tip
power -point sau pentru vizionarea de documentare educative.
Mentenanța acestor echipamente este efectuată de către o firmă externă cu care
organizația are contract. Nu există persoane interne care se ocupă de mentenanța
echipamentelor cibernetice, nu există proceduri sau instrucțiuni interne de utilizare a
echipamentelor iar mentenanța se face la nevoie nu după un program bine stabilit. Nu a
fost făcută o evaluare a fiabilității și a performanței echipamentelor. De asemenea, nu toate
echipamente dispun de manuale tehnice iar unele echipamente au manuale tehnice dar
acestea nu corespund echipamentului respectiv.
Identificarea e chipamentelor cibernetice principale și periferice (calculatoare,
laptopuri, tablete, routere, imprimante etc), dacă se află sau nu în funcțiune, unde sunt
depozitate, dacă beneficiază de condiții optime de depozitare, cine sunt utilizatorii
acestora, în c e scopuri sunt folosite echipamentele (procesele pentru care sunt utilizate),
cine sunt responsabilii interni de mentenanța acestora, evaluarea preliminară a stării
tehnice în care se află, sunt echipamentele folosite eficient în cadrul proceselor interne ale
organizației. O atenție deosebită trebuie acordată echipamentelor și sistemelor care nu sunt
incluse în inventarul organizației, cum ar fi diversele dispozitive mobile personale, sisteme
de test etc. și care nu sunt conectate în mod permanent la rețea. În general, acest tip de
echipament tind să nu fie securizate în mod corespunzător sau să nu aibă controale de
securitate care să răspunda cerințelor de securitate. Chiar dacă aceste echipamente nu sunt
utilizate pentru a procesa, stoca s au accesa date sau informații critice, odată introduse în
rețea, pot oferi atacatorilor o cale de acces spre alte resurse și un punct de unde pot fi
Abrudan George -Alexandru Capitolul 3. Cultura de securitate cibernetică.
29
lansate atacuri avansate. Se vor identifica orice echipamente depistate care nu sunt
autorizate a fi u tilizate în locația supusă diagnozei.
CONSTATĂRI SOFTWARE – Inventarierea aplicațiilor și sistemelor de operare autorizate
și neautorizate.
Lista completă a softurilor care au fost identificate și denumirea terminalelor unde
au fost identificate. De as emenea, se va proceda la identificarea datelor, clasificarea
pe nivele de importanță și corelarea cu aplicațiile utilizate în organizație
Ca si sisteme de operare toate calculatoarele au instalat sistemul de operare Windows 7
Proffesional 32 biti, suita o ffice 2010, antivirus ESET ENDPOINT ANTIVIRUS,
WinRAR, Adobe Reader, Google Chrome, SkyDrive, TeamViewer. Pe lângă aceste
programe, terminalul de la secretariat mai are instalat și softul de legislatie LEXO.
Departamentul contabiliate are instalat și progr amul WinMENTOR, certificat digital
pentru accesarea CAB, FOREXEBU C, finantare.org etc. La departamentul secretariat
este instalat și aplicația REVISAL versiunea 6.0.6., ADLIC, SIIIR. Laptopul Lenovo
de la departamentul secretariat funcționează cu sistemul de operare Windows 10 având
instalate suita office professional plus 2010, antivirus ESET ENDPOINT
ANTIVIRUS, WinRAR, Adobe Reader, Google Chrome, SkyDrive, TeamV iewer,
Corel graphics suite x7 dar și aplicația de redactere a actelor de studii DiploStar2014 ,
aplicație care conține toate datele personale ale elevilor, inclusiv mediile care fac
departajarea în aplicația de admitere computeriizată .
Dacă softurile identificate sunt licențiate sau nu? Pe ce durată sunt valabile
licențele? Softurile identificate sunt licențiate, licentele de la antivirus sunt valabile
până la data de 20.12.2019.
Programele de operare sunt actualizate la zi pe majoritatea echipamentelor? Da,
acestea sunt actualizate pe toate echipamentele, de acest lucru se ocupă firma de
mentenan ță.
Dacă setările de securitate și control al accesului sunt conforme practicilor
universal acceptate? Accesul la echipamente se face cu parolă creată de fiecare
utilizator în parte, parolele fiind centralizate într -un document sigilat aflat la
secretaritu l organizației.
Dacă există instalate și sunt operaționale softuri specializate de securitate
cibernetică?
Abrudan George -Alexandru Capitolul 3. Cultura de securitate cibernetică.
30
Nu sunt instalate softuri speciale de securitate cibernetica cu exceptia programului
anti virus și a firewall -ului.
Lista incidentelor de securitate cibernetică care au avut loc pe terminalul inventariat
în ultimele 12 luni (chestionar utilizator sau evaluare la fața locului)?
A fost identificată prezența virusului Java/Exploit.CVE -2013 -2460.EV Trojan pe
echipamentele din sala profesorală și sala TIC u nde s -au utilizat în mod frecvent
unități de stocare externă.
Cum sunt stocate datele? Cine are acces la ele? Există copii de siguranță ale
acestora?
Datele sunt stocate atât pe echipamente cât și pe server. La datele de pe
echipamente ar trebui să aibă ac ces doar utilizatorul dar au fost semnalate situații în
care utilizatori diferiți (inclusiv persoane de la departamente diferite) au utilizat
același calculator. Pentru unele departamente (contabilitate, secretariat,
administrație) există copii de siguranț ă, însă, au fost raportate pierderi de date, la
departamentul administrație, care nu au mai putut fi recuperate. Aceste pierderi au
fost înregistrate după intervențiile personalului de la societatea de mentenanță.
Există vreun plan de recuperare în cazul u nui incident nefast de securitate
cibernetică?
Nu este întocmit nici un plan de intervenție sau recuperare a datelor în cazul unui
incident de securitate.
Sunt folosite instrumente criptografice pentru securizare?
Nu sunt folosite astfel de instrumente.
Există instalate aplicații specializate de jurnalizare a activității pe terminalele
inventariate? Dacă da, care?
Nu există astfel de aplicații.
Există o conexiune a terminalelor inventariate cu exteriorul? Sunt legate la
internet? Dacă da, beneficiază de o c onexiune securizată?
Toate echipamentele, mai puțin cele din sălile de clasă, beneficiază de conexiune la
internet prin fibră optică, laptopul de la secretariat prin sistem wireless, conexiunea
făcându -se cu ajutorul parolei de acces.
Dacă au fost identif icate tentative de instalare și executate de software malițios la
nivelul echipamentelor identificate? Dacă dacă, descriere succintă. De asemenea,
Abrudan George -Alexandru Capitolul 3. Cultura de securitate cibernetică.
31
dacă s -a realizat o diagnoză specializată post -eveniment și ce măsuri au fost luate
de către personalul admi nistrativ sau conducere.
Datorită faptului că nu există implementat un sistem de identificare și evaluare a
incidentelor de securitate cibernetică nu se știe dacă, în decursul timpului, au fost
instalate programe cu software malițios.
Dacă există mijloace de blocare a instalării și prevenire a executării software -ului
malițios și de alertare a personalului administrativ/specializat.
Nu există programe sau mijloace de blocare a instalării de soft malițios iar
organizația nu dispune de personal specializa t pe probleme de securitate
cibernetică.
Dacă se aplică setarea lungimii minime acceptabile a parolei, de exemplu la 12
caractere sau a unui algoritm de complexitate corespunzător.
Nu se aplică setarea minimă acceptabilă a parolei sau algoritmi de complexi tate
corespunzători, fiecare utilizator de echipament își setează lungimea și
complexitatea parolei în funcție de dorința personală. S -a observat că lungimea
medie a parole este de 5 caractere cu o complexitate medie.
Dacă există mijloace software care sun t capabile să detecteze toate încercările de
acces fără privilegii corespunzătoare și să aibă capabilități de alertare?
La nivelul organnizației nu există astfel de software.
Dacă sistemele sunt capabile să identifice conturile de utilizator neaut orizate, atunci
când acestea există în sistem? Intâlniri, stenograme, protejare împotriva
înregistrării.
Sistemele nu sunt capabile să identifice astfel de utilizări.
CONSTATĂRI ASUPRA PERSONALULUI
Dacă personalul are pregătirea necesară operării în co ndiții de siguranță a
echipamentelor ?
Personalul nu are pregătirea necesară operării în condiții de siguranță a
echipamentelor și nici nu a beneficiat de instruire în acest sens.
Dacă accesul fiecărui angajat se realizează prin locuri anume stabilite, pe baza
permisului de acces?
Accesul angajaților nu se realizează printr -un loc special stabilit, intrarea fiind pe
poarta principală unde există un agent de pază care permite doar accesul
personalului organizației.
Abrudan George -Alexandru Capitolul 3. Cultura de securitate cibernetică.
32
Dacă există posibilități de raportare, investigare și evidență a încălcării măsurilor de
securitate cibernetică de către personalul propriu?
In prezent nu există posibilitatea de raportare, investigare sau ținerea evidenței
încălcării măsurilor de securitate cibernetică din partea angaja ților.
Dacă personalul beneficiază de sisteme de control al accesului în locație și la
nivelul echipamentelor cibernetice?
Personalul organizației, beneficiază de sisteme de control al accesului la
echipamentele cibernetice, fiecare calculator dispunând de user și parolă la
deschidere.
Dacă fiecare grup de utilizatori sau angajați au clar specificate în cerințele postului
ce tip de informații trebuie sau au nevoie să acceseze în scopul îndeplinirii
atribuțiilor?
În fișa postului nu sunt specificate concret tipurile de informații pe care personalul
are voie să le aceseze, nu există specificații, în ceea ce privește accesul și utilizarea
informațiilor.
Dacă există posiblități periodice de instruire și avertizare timpurie a personalului în
domeniul sec urității cibernetice? Dacă după instruire, utilizatorii nu respectă o
anumită politică de securitate, este aceasta evidențiată prin conștientizare?
Nu exis tă implementată o politică de securitate, nu se face instruirea personalului în
domeniul secur ității cibernetice, nu exista proceduri de lucru privind utilizarea
echipamentelor cibernetice.
Dacă au fost raportați sau există angajați nemulțumiți de calitatea și funcționalitatea
echipamentelor cibernetice? Dacă da, se va detalia situația.
Au fost ra portate de căatre angajați deficiente în funcționarea echipamentelor
cibernetice. S -au inregistrat dificultăți în pornirea echipamentelor (echipametele
porneau foarte greu iar după ce porneau se blocau), s -au înregistrat restartări
neprogramate ale calcula torului de la departamentul management, dificultății în
conectarea la internet, cel mai adesea s -a semnalat ”căderea internetului” mai ales
la compartimentul contabilitate. Au fost semnalate probleme în funcționarea
imprimantelor (imprimanta din biroul dir ectorului primea comanda dar nu executa).
De asemenea, la echipamentul de la secretariat au fost înregistrate probleme cu
funcționarea e -mailului (au fost inrgistrate blocări frecvente ale mailului, nu se mai
primeau notificările, iar în luna martie a aces tui an, mailurile, mai ales de la
Abrudan George -Alexandru Capitolul 3. Cultura de securitate cibernetică.
33
adresele cele mai frecvent utilizate intrau în Spam). Calculatoarele din Sala
profesorală și Mediator școlar au fost infectate cu Java/Exploit.CVE -2013 –
2460.EV trojan.
Dacă au existat tentative de utilizare a echipamentelo r cibernetice în scopuri ilicite
sau contrare atribuțiilor personalului? Dacă da, se vor descrie și detalia.
Din câte se știe nu au fost încercări în a utiliza echipamentele în scopuri ilicite.
Dacă fișa postului a persoanelor responsabile de planul de re cuperare în caz de
dezastru conținea detalii despre responsabilitățilre acestora în cadrul planului de
recuperare în caz de dezastru?
Nu există persoane interne desemnate cu responsabilități în verificare,
supravegherea echipamentelor cibernetice.
Dacă personalul desemnat a procedat la realizarea (sau nerealizarea) acțiunilor de
avertizare timpurie în cadrul unor întâlniri cu angajații?
Reprezentanții firmei de mentenanță poartă duscuții cu personalul școlii care
utilizează calculatoare în cadrul organizației, prezentându -le riscurile și mai ales
situațiile care ar trebui semnalizate pentru a se putea interveni din timp în cazul
unui atac cibernetic.
Dacă există un cod de conduită al angajaților în domeniul securității cibernetice și
utilizării ech ipamentelor cibernetice pe durata programului?
Nu există cod de conduită în domeniul utilizării echipamentelor cibernetice.
Dacă este posibil (și în ce condiții anume) schimbul de date între terminalele de la
locul de muncă și cele personale aparținând angajaților?
Schimbul de date între terminalele de la locul de muncă se poate face prin email,
stick -uri, Hdd extern.
Dacă personalul propriu/ angajații folosesc social media în timpul programului,
chiar și în scop profesional, în mod autorizat sau neauto rizat?
Personalul folosește social media în timpul programului de muncă, atât personalul
care are atribuții în acest sens (verificarea paginii web, a pagini de facebook) pentru
verificarea eventualelor reclamații, cât și personalul care nu are atribuții pe partea
de social media. Nu este necesară o autorizare în sensul utilizării rețelelor sociale la
locul de muncă.
Abrudan George -Alexandru Capitolul 3. Cultura de securitate cibernetică.
34
ALTE CONSTATĂRI
Tehnice – întreruperi, viruși, viermi, hackeri, probleme de alimentare cu energie
electrică, fiabilitatea echipamentelor.
In ultimul an au fost înregistrate probleme tehnice, au fost înregistrate defectări ale
echipamentelor (imprimantelor, unităților de calculator) datorate căderilor de
tensiune, au fost înregistrate probleme în funcționarea internetului, a routerelor.
Ident ificarea funcțiilor critice și prioritățile pentru restaurare;
Identificarea sistemelor suport necesare funcțiilor critice;
Identificarea resurselor minime necesare pentru recuperare în caz de
dezastru/incident de securitate cibernetică;
Identificarea persoanei (persoanelor) care vor conduce reluarea activit ății și
procesul de testare;
Dacă au fost realizate teste de penetrare manuale sau automate în ultimele 6 luni?
Dacă da, care au fost rezultatele, ce măsuri s -au luat de către conducere și care e ste
gradul de implementare al acestora la momentul diagnozei?36
Nu au fost realizate teste de penetrare de către personalul organizației. Nu există
nici un raport în acest sens nici din partea firmei de mentenanță.
Dacă sunt efectuate scănări periodice și testări ale vulnerabilităților interne?
Personalul propriu al organizației nu a efectuat astfel de scanări, iar din partea
firmei de mentenanță nu avem nici un raport în acest sens.
Dacă remedierea problemelor de securitate se realizează pe baza rapoartel or
rezultate în urma testelor de scanare periodică de securitate? Dacă remedierea se
realizează prin implementarea patch -urilor de securitate furnizate de catre
producătorii de software, actualizarea la ultima versiune a aplicațiilor,
reconfigurarea s istemelor informatice?
Remedierea problemelor de securitate s -a realizat în momentul depistării unor
probleme, s -a implementat la toate calculatoarele organizației un antivirus gratuit
pe care firma de mentenanță l -a instalat pe fiecare punct de lucru iar periodic îi
verifică versiunea să fie actualizată.
36 Este recomandat ca un test de penetrare e tern și intern să fie efectuat anual. Testele de penetrare nu
rezolvă problemele aplicațiilor și siste melor informatice, ci doar le identifică. După fiecare test de penetrare
sunt necesare acțiuni de corectare și actualizare a sistemelor și aplicațiilor în testate.
Abrudan George -Alexandru Capitolul 3. Cultura de securitate cibernetică.
35
Dacă în trecut au avut loc incidente de securitate cibernetică care au cauzat un
prejudiciu patrimonial organizației? Dacă da, se vor detalia și oferi informații
suplimentare?
În luna iulie 2018 a fost sem nalat de către persoana responsabilă cu întreținerea și
actualizarea site -ului școlii faptul că au fost șterse toate datele de pe pagina
organizației și postate reclame și alte informații care nu aveau nicio legătură cu
domeniul de activitate al organizați ei, postări care nu au fost făcute de cineva din
interiorul organizației. Acea pagină nu a mai putut fi utilizată, deși a fost schimbată
parola iar se intervenea din afară. S -a renunțat la acea pagină, tot ce s -a putut
realiza pentru a nu denigra și mai mu lt organizația a fost schimbarea denumirii
paginii, să nu mai apară sub numele organizației, mai ales că domeniul de activitate
a acesteia este educație -învățământ, nu ceea ce se promova pe pagină prin acel atac
cibernetic.
3.3 Impresii personale
Datorit ă faptului că cele mai multe incidente de securitate sunt generate de personal
din interiorul organizației, prin acțiuni rău intenționate sau chiar erori sau neglijență în
utilizarea resurselor informaționale este necesară implementarea unor măsuri specifi ce
precum includerea responsabilităților legate de securitatea informațiilor în descrierea și
sarcinile de serviciu ale postului, implementarea unor politici de verificare a angajaților,
încheierea unor acorduri de confidențialitate și prin clauze specific e în contractele de
muncă.
Totodată, datorită faptului că există incidente și la nivelul calculatoarelor din sălile
de informatică, unde au acces elevii, este nevoie de o pregătire mai bună a elevilor asupra
protejării echipamentelor, dar datorită faptului că aceste calculatoare nu dețin informații
clasificate și sunt pe o rețea închisă, nu pot provoca pagube de natură informațională la
nivelul organizației.
Chiar dacă securitatea unei anumite zone IT, cum ar fi securitatea rețelei revine
unei entități exte rne, este o practică bună ca și în interiorul organizației să existe
competențele și abilitatea de a evalua cum sunt satisfăcute cerințele de securitate. Trebuie
dezvoltate proceduri și mecanisme de raportare care să identifice utilizarea
necorespunzătoare a resurselor precum și perioadele de utilizare. Intreținerea sistemului,
incluzând realizarea copiilor de siguranță, întreținerea jurnalelor de operare, menținerea
Abrudan George -Alexandru Capitolul 3. Cultura de securitate cibernetică.
36
înregistrărilor cu erori de operare și execuție. Întocmirea procedurilor specifice care să
descrie acțiunile prin care se realizează întreținerea serviciilor și echipamentelor IT.
Abrudan George -Alexandru Capitolul 3. Cultura de securitate cibernetică.
37
3 clase de risc si 10 riscuri
Tabel: 3.1 Matricea de analiz ă a riscurilor
IMPACTUL PROBABILITATEA Scăzut Mediu Mare
(impact redus,
trebuie notat, nu
poate gene ra
pierderi
semnificative) (impact rezonabil,
necesită
monitorizare
poate genera
pierderi) (va avea un
impact
semnificativ,
poate duce la
pierderi mari
afectând
organizația atât
din punct de
vedere economic
cât și din punct de
vedere al
personalului)
Mică
C C B (puțin probabil să se întâmple,
riscului sau amenințării ii lipsește
motivația iar controalele pot preveni
apariția)
Medie
C B A (se poate produce la un moment dat,
există motivație dar controalele pot
preveni parțial apariția )
Mare
B A A (probabil se va produce, există
motivație iar controalele și alte
măsuri nu pot preveni apariția
amenințării)
Abrudan George -Alexandru Capitolul 3. Cultura de securitate cibernetică.
38
Tabel 3.2: Matricea de analiză a riscurilor
Tabel 3.3: Matricea de analiză a riscurilor
Nr.
crt. Risc Probabilitatea de
apariție Impactul Grad de expunere al
riscului
Probabilitate Scor Probabilitate Scor Probabilitat e Scor
1.
Căderi ale tensiunii
de alimentare Mică 10 Mare 60 Medie 35
2.
Dezvăluire
informații Mică 20 Mare 65 Medie 42.5
3. Erori de operare ale
personalului Mică 25 Medie 35 Mica 30
4. Modificări
neautorizate ale
softwareului Medie 50 Mare 80 Mare 65
5. Erori ale elevilor Mare 65 Mare 90 Mare 77.5
6. Incendii Medie 55 Mare 90 Mare 72.5
7. Introducere și
falsificare date Medie 50 Mare 80 Mare 65
8. Viruși, troieni Medie 48 Mare 90 Mare 69
9. Acces neautorizat la
echipamente Mică 18 Medie 45 Medie 31.5
10. Acte frauduloase,
interceptări și
înregistrări Medie 35 Mediu 50 Medie 42.5
Probabilitatea de
apariție Scor
Mică 0-30
Medie 31-60
Mare 61-100
Abrudan George -Alexandru Capitolul 3. Cultura de securitate cibernetică.
39
3.4 Concluzii
După cum spuneam și în introducerea capitolului, am pornit acest raport pentru a
avea o viziune practică și realistă asupra modului în care sunt responsabilizați angajații
unei instituții în vederea asigurării securității cibernetice. Mă declar mulțumit de ceea ce
am învățat în această perioadă, deoarece m -am aflat chiar în mijlocul instituției, verificând
personal nivelul organizației. Totuși, spuneam și mai sus, instituția are nevoie de
modificări în ceea ce privește secu ritatea cibernetică proprie, în dezvoltarea unei culturi de
securitate și în protejarea datelor deținute. Consider că soluția ar veni din training -uri de
bază pentru fiecare angajat și training -uri de specialitate pentru angajații cu acces la
informații i mportante pentru organizație. Sau, dacă ne referim la tineri, soluția este
predarea în școli unor materii menite să crească înțelegerea elevilor asupra a ceea ce
înseamnă securitate.
Abrudan George -Alexandru Concluzii
40
Concluzii
În opinia mea, cultura de securitate este un domeniu vital î n studierea securității și
în cultura oricărei organizații. Am în vedere, când spun acestea, rolul pe care îl au toate
dimensiunile securității în asigurarea bunăstării. Totodată, nu se poate realiza securitatea
fără o cultură și o educație de securitate. Consider că studierea acestor discipline în
sistemele de învățământ superior sunt necesare, indiferent de profilul studiat, deoarece
securitatea afectează fiecare domeniu al vieții . Cultura de securitate a dus, în cele din urmă,
la crearea comunităților de intelligence, în România chiar Serviciul Român de Informații
fiind organizația care se ocupă intensiv de crearea unei culturi de securitate, fie prin
conferințe, postări publice sau dezbateri, dar și prin relaționarea cu instituții de învățământ
sau de ce rcetare37.
Chiar dacă mă pot declara norocos că am fost învățat cum să îmi protejez datele,
cum să îmi asigur securitatea fizică și alte beneficii datorită studierii la facultate a unor
materii în care profesorii ne -au dezvoltat cultura de securitate, nu m ultă lume poate spune
la fel. Trebuie creată o responsabilizare socială la nivel național asupra implicațiilor
insecurității. Consider că o mare parte din populație încă nu conștientizează problemele de
mediu sau seriozitatea unor viruși.
Tocmai faptul c ă securitatea se întinde de la managementul deșeurilor și până la
setarea parolei sau alegeri politice ar trebui să ofere o perspectivă asupra importanței
culturii de securitate. Cultura de securitate nu înseamnă doar conștientizarea unui pericol
fizic, cu m ar fi un atac militar sau o tâlhărie, ci conștientizarea tuturor pericolelor din
fiecare din cele 5 dimensiuni ale securității.
Consider că am fost limitat de către reticența persoanelor de a vorbi despre
securitate, după cum spuneam și în introducere, reticență datorată Securității din timpul
regimului comunist.
Pe viitor, aș dori să aprofundez cercetarea, prin realizarea unui chestionar asupra
unui grup de persoane de diferite vârste, pentru a afla nivelul cunoștințelor acestora despre
securitate, cât și importanța pe care o acordă securității.
Pentru a r ăspunde întrebării, cultura de securitate circulă în ambele direcții în
organizație , deoarece atât liderul o poate impune, cât și angajații o p ot promova.
37 Calangea Claudia Diana, Cultura de securitate. Surse și resurse , Revista Intelligen ce varianta online,
https://intelligence.sri.ro/cultura -de-securitate -surse -si-resurse/ , accesat la data de 23.06.2019
Abrudan George -Alexandru Bibliografie
41
Bibliografie
Adair John, Leadership strategic, București, Meteor Publishing, 2015
Bar-Zohar Michael, Mishal Nissim, Mossad. Istoria sângeroasă a spionajului israelian ,
București, Editura Litera, 2014
Cămărășan Vasile Adrian, Informații clasificate, Cluj-Napoca, CA Publishing, 2013
Preja Amos Corneliu, Bogdan Ioan, Introducere în teoria generală a informației și studii
de intelliigence , Cluj -Napoca, CA Publishing, 2017
Tracy Brian, Cum conduc cei mai buni lideri, București, Curtea Veche Publishing, 2018
Webografie
o Hesselbien Frances, Transforming the National Security Culture, Raport al
Proiectului de Leadership al Apărării al Școlii Harvard Kennedy ,
https://www.researchgate.net/publication/281377842_Transforming_the_National_
Security_Culture_A_report_of_the_Harvard_Kennedy_S chool's_Defense_Leaders
hip_Project , accesat la data de 23.06.2019
o Calangea Claudia Diana, Cultura de securitate. Surse și resurse , Revista
Intelligen ce varianta online, https://intelligence.sri.ro/cultura -de-securitate -surse -si-
resurse/ , accesat la data de 23.06.2019
o Strategia Na țională de Apărare a Țării pentru perioa da 2015 -2019, Buc urești 2015,
p. 21, disponibilă la:
https://www.presidency.ro/files/userfiles/Strategia_Nationala_de_Aparare_a_Tarii_
1.pdf , accesat ă la 12.06.2019.
o Năstase Marian, Leadership -ul, cultura organizațională și cultura managerială, 29
de pagini, https://se -ag.spiruharet.ro/images /secretariat/secretariat -facultate –
seag/Capitolul_4.pdf , accesat la 23.06.2019
o Scott Michael Rank, De-stalinization : Dismantling a cult of personality , articol
extras din cartea lui Edwards Lee și Edwards Elizabeth, A brief history of the Cold
War, https://www.historyonthenet.com/de -stalinization , accesat la 23.06.2019
o https://www.youtube.com/watch?v=IlW2gvyG1x4, Andrei Pleșu, discurs despre
succes
Abrudan George -Alexandru Bibliografie
42
o El Khoury Pierre, Shaping Business Strategy through Competitive Intelligence ,
Implementarea Strategiei Naționale a proprietății Intelectuale și protecția
drepturilor proprietății intelectuale pentru fi rmele mici și mijlocii, Bishkek, 20 -21
Noiembrie, 2013, 30 de pagini,
https://www.wipo.int/edocs/mdocs/sme/en/wipo_smes_bik_13/wipo_smes_bik_13
_k_pierre_el_khoury.pdf , accesat la 23.06.2019
o State Olimpia, Diagnosticul și in strumentele sale în cultura organizației , 20 de
pagini, http://www.biblioteca -digitala.ase.ro/biblioteca/pagina2.asp?id=cap8 ,
accesat la 23.06.2019
o Romania Insider, Hackers steal EUR 40 mln from German group Leoni ’s
subsidiary in Romania, https://www.romania -insider.com/hackers -steal-eur-40-
mln-german -group -leoni -subsidiary -romania , accesat la 23.06.2019
o Strategic Concepts, site -ul oficial NATO,
https://www.nato.int/cps/en/natohq/topics_56626.htm# , accesat la 26.03.2019
o Cyber defence, sit e-ul oficial NATO,
https://www.nato.int/cps/en/natohq/topics_78170.htm , accesat la 29.03.2019
o Countering terrorism, site -ul oficial NATO,
https://www.nato.int/cps/en/natohq/topics_77646.htm , accesat la 29.03.2019
o Fisher Max, Taub Amanda, How Venezuela went from the richest economy in South
America to the brink of financial ruin , site-ul oficial al ziarului Independent,
21.05.2017, https://www.independent.co.uk/news/long_reads/how -venezuela -went –
from -the-richest -economy -in-south -america -to-the-brink -of-financial -ruin-
a7740616.html , accesat la 7.05.2019
o Venezuela, Events of 20 18, site-ul Human Rights Watch,
https://www.hrw.org/world -report/2019/country -chapters/venezuela , accesat la data
de 07.05.2019
o Venezuela Consumer Price Index,
https://tradingeconomics.com/venezuela/consumer -price -index -cpi, ccesat la
07.05.2019
o Venezuela crisis : How to political situation escalated,
https://www.bbc.com/news/world -latin-america -36319877 , accesat la 07.05.2019
o Narrillos Estefania, Venezuela : Parliament recognises Guaido, urges EU to follow
suit, declara ție de presă a Parlamentului European,
Abrudan George -Alexandru Bibliografie
43
http://www.europarl.europa.eu/news/en/press -room/20190125IPR24303/venezuela –
parliament -recognises -guaido -urges -eu-to-follow -suit, accesat la 07.05.2019
o Ukraine to open Chernobyl Area t o tourists in 2011 , site-ul ofical de știri FOX
News, https://www.foxnews.com/world/ukraine -to-open -chernobyl -area-to-
tourists -in-2011 , accesat la data de 22.0 6.2019
o Andrei Pleșu, Discurs despre succes, Atelierul de leadership moral “Despre
responsabilitate și încredere ”, https://www.youtube.com/watch?v=IlW2gvyG1x4 , accesat
la 21.06.2019
Copyright Notice
© Licențiada.org respectă drepturile de proprietate intelectuală și așteaptă ca toți utilizatorii să facă același lucru. Dacă consideri că un conținut de pe site încalcă drepturile tale de autor, te rugăm să trimiți o notificare DMCA.
Acest articol: SPECIALIZAREA: STUDII DE SECURITATE CULTURA DE SECURITATE – NECESITATE DE BAZĂ ÎN ORGANIZAȚII Coordonator științific Lect. Dr. Ioan Manci Absolvent… [627066] (ID: 627066)
Dacă considerați că acest conținut vă încalcă drepturile de autor, vă rugăm să depuneți o cerere pe pagina noastră Copyright Takedown.