Analiza Firmei S.c. Gameloft Romania S.r.l

CAPITOLUL 1. Prezentarea firmei S.C. Gameloft Romania S.R.L.

1.1. Scurt istoric

Gameloft este unul dintre principalii dezvoltatori de jocuri pentru dispozitive mobile de ultimă generație și console (Apple iPad, iPhone, Nintendo DSI, Playstation Portable, XBOX 360, Playstation 3, Nintendo Wii).

La finele anului 1990 Michael Guillemot, unul dintre co-fondatorii și proprietarii firmei Ubisoft descoperea evoluția și noile perspective oferite de industria telefoanelor mobile. Realizând că aceste dispozitive vor ajunge o piață de masă, și mai târziu chiar platforma principală de divertisment în lume, Guillemot începe să își planifice intrarea pe acest domeniu. Asftel, în anul 1999, alaturi de cei 4 frați ai săi, pune bazele firmei Gameloft, cu scopul de a produce jocuri de calitate, pe care viitorii clienți să le poata obține pe telefoanele mobile sau tabletele personale.

Gameloft a devenit un lider dezvoltator de jocuri pentru platformele Java- și Brew- proiectând o gamă variată de aplicații pentru utilizatorii lor, inclusiv adaptări ale unor jocuri de console ce dețineau deja un renume, precum: „Prince of Persia” și „Tom Clancy's Splinter Cell”. Firma a început să devină profitabilă din anul 2003 având jocuri compatibile cu peste 100 de modele de telefoane mobile. A înregistrat venituri de 10.2 milioane de euro în acest an, urmând apoi o creștere evidentă în următoarele perioade.

În 2004 apar branduri noi precum Real Football și Asphalt, titluri ce reprezintă puncte principale de referință pentru viitorul gaming-ului mobil, Gameloft înregistrând peste 100 de milioane de exemplare vândute până în prezent. Tot în același an, Gameloft vine pe piață cu jocurile de tip 3D pentru prima dată. Veniturile înregistrate în 2004 depășesc cu mult anul precedent: 23.2 milioane €.

Anul 2005 reprezintă pentru Gameloft începutul aplicațiilor de gaming, de tip real-time multiplayer pentru cele mai noi modele de telefoane de la momentul respectiv. Aproximativ 400 de tipuri de telefoane erau compatibile cu acestea, fapt care dublează veniturile companiei, ajungând la 46.8 milioane €. În 2007, gama de jocuri Java atinge un total de 200 de titluri, Gameloft înregistrând un venit total de 96 milioane €.

În anul 2008 Gameloft investește cu succes în aplicații adaptate la cele mai noi tehnologii apărute: telefoanele de tip smartphone și interfețele touchscreen. Creează jocuri de renume pentru platformele Apple iOS și Android Google, cifrele de vânzări atingând astfel 110 milioane €.

Apar francizele de tip N.O.V.A: Near Orbit Vanguard Alliance și Modern Combat, produse în 2009, având parte de un succes instant. Titlurile clasice pentru telefoanele mobile (Real Football, Asphalt și Gangstar) impresionează fanii înrăiți ai jocurilor 3D și ai graficii de înaltă rezoluție, pe noile platforme de tip smartphone, ajungând chiar la standardele impuse de consolele portabile. Bestsellers precum jocurile licențiate Spider-Man și UNO, create de către Gameloft, au contribuit la veniturile cumulate de companie pentru anul 2009: 122 milioane €.

În anul următor, apar tabletele cu ecran tactil, pentru care Gameloft își adaptează titlurile importante și atinge venituri de 141 milioane €. În 2011 compania se extinde și pe domeniul platformei de Internet html5, dar se dezvoltă și pe noile platforme apărute, de tip Smart TV și set-top boxes, obținând suma de 164 m. €. În acest an primește și titulatura de cel mai bun dezvoltator al anului 2011 oferit de către Pocket Gamer.

Anul 2012 aduce companiei un venit de 208.3 m. €, datorită unui nou tip de jocuri, create pentru un public mai vast: The Oregon Trail: American Settler, Fantasy Town, Fashion Icon, targetul acestora fiind adepții jocurilor casual, sociale și free-to-play. Utilizatorilor care preferă jocurile de tip hardcore, li se dedică francize mari precum Order & Chaos, Dungeon Hunter și noi optimizări pentru seriile Modern Combat și N.O.V.A.

Până în prezent, Gameloft a cumulat parteneriate cu mari companii precum Hasbro, Disney Interractive, Illumination Entertainment și Universal Partnerships & Licensing, pentru aplicații de succes neasteptat precum: My Little Pony, Trivial Pursuite & Friends, Disney Magic Kingdoms sau Despicable Me: Minion Rush, aceasta din urmă având, chiar și la 3 ani după lansare, un număr de aproximativ de 2 milioane de utilizatori zilnici.

„Succesul semnificativ de care s-au bucurat jocuri recent lansate, cum sunt Modern Combat 4: Zero Hour, World at Arms, My Little Pony și PLAYMOBIL Pirates, precum și longevitatea unor titluri ca Ice Age Village, Order & Chaos Online, The Amazing Spider-Man și Asphalt 7: Heat au contribuit la performanța companiei în cel de-al patrulea trimestru din 2012”, au declarat reprezentanții Gameloft in 2013 pentru Forbes Romania.

America de Nord a contribuit cu 31% la vânzările companiei, în timp ce 27% au venit din regiunea EMEA, 22% din regiunea APAC și 20% din America Latină.

Potrivit reprezentanților companiei, creșterea este sporită de succesul masiv al jocurilor Gameloft pe smartphone-uri și tablete. Astfel, în trimestrul VI al anului trecut, vânzările pe segmentul telefoanelor de tip smartphone și tablete au crescut cu 66%, reprezentând un procent de 56% din vânzările totale, în comparație cu 41% în trimestrul al IV-lea din 2011.

1.2. Evoluția pe piață. Relațiile cu stakeholderii.

Pană în prezent, Gameloft a reușit să își creeze cea mai bună și completă rețea de distribuție din industria jocurilor digitale. Deține acorduri cu diferite companii majore de telefonie precum Orange sau Vodafone, cu cel puțin 200 de distribuitori în peste 100 de țări, cu marile magazine virtuale (AppStore, Google Play, Amazon), dar și cu producatorii principali de telefoane mobile, smartphone și tablete, Smart TVs și set-top boxes (Apple, Nokia, Samsung).

Toate titlurile Gameloft sunt realizate intern, compania deținând cea mai mare echipă de dezvoltare și creație din industria jocurilor digitale: peste 6000 de dezvoltatori în studio-uri din aproximativ 30 de țări (Argentina, Bulgaria, Canada, China, Coreea, Germania, Indonezia, Mexic, Romania, Rusia, Spania, Ucraina, Vietnam, etc). Datorită gamei variate de mai mult de 300 de jocuri compatibile cu peste 600 de telefoane mobile și cel puțin 400 de modele de smartphone, veniturile la sfârșitul anului 2014 ating de 227 milioane €.

Prima jumătate a anului 2015 anunță vânzări în valoare de 127.4 milioane €, fapt care atrage de asemenea o nouă companie interesată de un parteneriat cu Gameloft: Vivendi. Începând cu luna Octombrie, această din urmă observă șansă de dezvoltare pe noile tehnologii (tablete, smartphone, Apple TV) încât se decide a cumpără acțiuni în cadrul companiei. Cheltuind aproximativ 500 milioane $ pentru un procent de 6.2%, Vivendi nu se oprește aici, achiziționând până în luna Iunie a anului 2016 un total de 61.7% acțiuni și cumulând o putere de decizie de aproximativ 56%.

În urmă acestor acțiuni, se începe o reforumlare a departamentelor de management pentru a face loc unor noi strategii de dezvoltare, unor noi parteneriate ce vin odată cu noii acționari și cel mai probabil se pregătește terenul pentru aplicații din ce in ce mai diversificate.

1.3. Evoluția indicatorilor financiari

Domeniul principal de activitate al S.C. GAMELOFT ROMANIA S.R.L., conform CAEN (Clasificarea Activităților din Economia Națională), este: Activități de realizare a soft-ului la comandă (software orientat client). Datorită faptului că această piață e în permanentă dezvoltare, putem considera activitatea companiei ca fiind o afacere extrem de profitabilă, fapt ce poate fi regăsit in indicatorii prezentați în tabelele afișate în continuare.

Tabel 1.1 Indicatori din Bilanț

sursa: http://doingbusiness.ro/financiar/raport/1074283, accesat la 02.12.2015

Tabel 1.2 Indicatori de profitabilitate

sursa: http://doingbusiness.ro/financiar/raport/1074283, accesat la 02.12.2015

Tabel 1.3 Indicatori Derivați din Bilanț

sursa: http://doingbusiness.ro/financiar/raport/1074283, accesat la 02.12.2015

CAPITOLUL 2: Considerații teoretice privind mediul virtual, criminalitatea și securitatea în domeniul IT

2.1. Prezentarea contextului actual tehnologic

Internetul este un mediu informatic aflat într-o permanentă dezvoltare. Este folosit pentru comunicații (prin intermediul Yahoo Messenger, Skype, alaturi de serviciile de e-mail), pentru diferite afaceri comerciale (sau comerțul electronic), pentru promovarea de servicii sau bunuri, dar mai ales pentru simplu divertisment (retele de socializare, muzica, mass-media etc.). Internetul este practic o rețea virtuală, aflată în continuă expansiune, alcătuită din mai multe rețele interconectate: cele locale (private și publice – poartă denumirea de LAN), rețelele pe arii extinse (denumite WAN), rețelele naționale, regionale și intercontinentale.

Există o influență profundă pe care Internetul o are și o va avea în permanență asupra modului în care societatea cotidiană funcționează și comunică. Această rețea virtuală reprezintă un mediu ieftin, rapid, și mai ales global, prin care se pot obține aproape orice fel de date informaționale. Aplicativitatea acestui mediu cibernetic este extrem de vastă și foarte ușor de realizat. Printr-un singur program multifuncțional denumit browser (Mozilla Firefox, Google Chrome, Opera, Safari etc.) se pot accesa informații pentru divertisment (imagini, muzică, chat, jocuri interactive în rețea, filme, diferite rețele sociale: Facebook, Twiter, Instagram), din domeniul financiar (operațiunile bancare sau Internet banking), științifice (diferite site-uri de specialitate), din mass-media (televiziunea prin Internet, ziare on-line, radio on-line), etc.

Tabel 2.1. Numărul de aplicații site-uri înregistrate pe Internet

sursa: http://ro.wikipedia.org/wiki/Internet, accesat la data de 15.12.2015

Deși acest serviciu vine cu majore beneficii, dezvoltarea rapidă a Internetului aduce și mari dezavantaje, acestea constând în problemele de natură legală ce nu trebuiesc ignorate. Anumite state precum China, Japonia sau Coreea de Nord impun cenzură, restricții și legislații specifice pentru acest mediu virtual privind domenii precum religia, politica sau chiar interdicții referitor la rețelele wireless publice. Astfel site-urile din exteriorul statelor ce impun aceste reglementări, dar care activează global, pot intra în ilegalitate destul de ușor. Un exemplu concret pentru aceste probleme este reprezentat de o firmă organizatoare de pariuri, din Marea Britanie care a lansat o platformă Web prin care clienții japonezi pot paria pe meciuri de Sumo sau pe Oscaruri. Deși compania este localizată în Marea Britanie, în Japonia acest tip de pariuri este ilegal.

Totuși, dezavantajul major pe care îl aduce Internetul este dat de faptul că ușurința și costul redus cu care poate fi accesat nu oferă garanție despre imaginea pe care și-o poate realiza orice utilizator. Există deja o serie de programe dăunătoare cunoscute, dar se dezvoltă din ce în ce mai multe metode complexe care sporesc criminalitatea informatică: de la simpla urmărire a unor activități la furtul de date sau chiar din conturi financiare.

Criminalitatea informatică este un domeniu de maximă actualitate în materie penală, dar și un domeniu ce oferă numeroase perspective de cercetare, prin vasta diversitate și dinamicitate. Fenomenul de infracționalitate informatică a evoluat la un nivel în care nu se mai poate descoperi un corespondent proporțional în activitatea de prevenire, descoperire și aplicarea de sancțiuni, datoritata perspicacității autorilor (de cele mai multe ori necunoscuți) și tehnologiilor din ce în ce mai avansate, de care aceștia dispun.

Astfel infracțiunile informatice au căpătat același nivel de importanță că acela al infracțiunilor clasice, datorită ușurinței comiterii și camuflăriilor, cât și datorită efectelor devastatoare ale acestor acțiuni. În acest context, criminalitatea lumii virtuale reprezintă o problemă de mare actualitate, având un mediu greu de explorat, dar propice infractorilor informatici, acoperiți de diferite nivele de criptare și aflați în spatele unor protocoale restrictive de acces. Un exemplu pentru acest tip de limitare de acces a fost chiar sistemul de comunicații Skype, considerat o zonă de discuții confortabilă pentru diferite grupări criminale, deoarece acest sistem folosea metode de criptare aproape imposibil de penetrat.

De mai bine de 14 ani s-a luat în calcul necesitatea unor mecanisme de raportare pentru furnizorii de servicii de internet (ISP – Internet Service Provider) în privința materialelor ilegale, aflate într-o permanentă distribuție. Aceste măsuri ar presupune semnalarea către ISP din partea oricărui client a materialelor ilegale descoperite sau primite, chiar și în situația în care prestatorul este în altă țară. În final, furnizorul de internet poate transmite aceste informații către autoritățile competente de anchetă.

De asemenea există necesitatea unor norme internaționale pentru a ușura posibilele investigații și urmărirea în justiție a criminalilor informatici. În situațiile actuale autoritățile de anchetă nu au acces pentru a investiga rețelele de calculatoare din afară jurisdicției naționale proprii. Aceste reguli necesare exercitării unui control total sunt respinse de majoritatea țărilor. Spre exempu, Secțiunea 215 din legea USA Patriot Act, permite NSA-ului (National Security Agency) accesul la toate datele tranferate pe rețelele de telefonie și internet, dar care intră sau părăsesc doar teritoriul Statelor Unite ale Americii.

Astfel că, țara în care pornește actul de criminalitate informatică trebuie să decidă ce tip de sistem de drept privat va aplica pentru informațiile de pe Internet. Până acum s-au realizat diferite acorduri de acest gen în Europa privind comerțul electronic. Acest comerț electronic, din punctul de vedere al Organizației Economie de Cooperare și Dezvoltare (OECD) este reprezentat de vânzările de bunuri și servicii ce au loc online sau offline, dezvoltate pe Internet prin utilizarea unor programe software specifice.

Pentru asigurarea unei compatibilități internaționale referitoare la comerțul electronic s-au realizat diferite legi și directive precum:

Legea Model a Comisiei Națiunilor Unite pentru Dreptul Comerțului Internațional (apărută în anul 1996)

DIRECTIVA 1999/93/EC – facilitează semnătura electronică și legalitatea acesteia

DIRECTIVA 2000/31/EC – creează cadrul necesar pentru aplicarea legislațiilor naționale privind serviciile informatice destinate pieței interne, răspunderea intermediarilor, soluționarea litigiilor și asigură o cooperare între țările membre.

Luând în calcul faptul că Internetul a devenit un mijloc strategic, important pentru progresul tehnologic actual, putem considera faptul că există cu certitudine riscul apariției multor evenimente (obiective/subiective, voluntare/involuntare) ce pot afecta siguranța datelor aflate în permanentă circulație prin intermediul rețelei virtuale. Dacă până în ziua de azi s-au stabilit oarecum niște norme internaționale, pe plan național încă există necesitatea unor reguli stricte pentru a menține securitatea și pentru a identifica viitoare riscuri.

În anul 2014, CERT-RO (Centru Național de Răspuns la Incidente de Securitate Cibernetică) a înregistrat peste 78 de milioane de alerte referitoare la tentative de criminalitate cibernetică. Conform statisticilor 24% dintre alerte sunt IP-uri alocate spațiului virtual românesc. Pe lângă acest procent, 46% dintre alerte urmăresc sistemele informatice de pe teritorul României. Conform CERT-RO, 10.759 de domenii „.ro” sunt considerate compromise în urma acestor atacuri, iar amenințările din domeniul virtual sunt mereu diversificate, descoperindu-se noi tipul de viruși de tip malware.

Legislația din România se adaptează oarecum la normele internaționale prin hotărâri guvernamentale precum HG nr. 494 din 11.05.2011 privind înființarea Centrului Național de Răspuns la Incidente de Securitate Cibernetică – CERT-RO sau HG nr. 271 din 23.05.2013 „Strategia de Securitate Cibernetică”, dar țările cu care urmează să se alinieze tehnologic sunt la un nivel superior. Statele dezvoltate au pornit deja finanțarea unor proiecte care au scopul de a cerceta și dezvolta noi sisteme de protecție împotriva acestor atacuri din mediul virtual datorită amenințărilor de natură cibernetică aduse de hackeri precum gruparea Anonymous, terorism, dar și datorită unor atacuri informatice din interese economice, strategice ale altor țări dovedind astfel existența unui război cibernetic tacit în infiltrarea și obținerea de informații. De asemenea, există surse care afirmă că sunt țări precum China, Rusia sau SUA care se ocupă de crearea unor tehnologii ofensive pentru a stopa atacurile cibernetice pentru că țările dezvoltate au constatat importantă acestui front de lupta tehnologizat.

Din păcate, legile naționale venite în urmă uneia dintre cele mai complexe operațiuni de spionaj informatic descoperită de KasperskyLab („RedOctober”), abia se aliniază la standardele NATO și UE. Hotărârea Guvernamentală nr. 271 din 23.05.2013 doar reglementează tehnologia de securitate și aduce documente informaționale despre ce comportament ar trebui abordat în cazul unor infracțiuni de natură cibernetică.

2.2. Conceptul de securitate informatică

Securitatea informatică a devenit o parte importantă a informaticii întrucât se ocupă cu identificarea și căutarea soluțiilor pentru înlăturarea principalelor riscuri implicate de accesarea mediului virtual prin diferite dispozitive, precum calculatoare, telefoane. Criteriile prin care se urmărește asigurarea securității informației sunt: disponibilitatea și accesibilitatea, integritatea, identificarea și autentificarea, confidențialitatea, perenitatea și arhivarea electronică.

Figura 2.1. Criteriile prin care se urmărește securitatea informației, sursa: http://www.securitatea-informatiilor.ro/solutii-de-securitate-it/asigurarea-securitatii-informatiilor/

Prin disponibilitate se asigură întărirea securității rețelei sau a rețelelor de sisteme informatice și asigurarea de copii de siguranță. Reprezintă posibilitatea folosirii acestui sistem informațional în orice moment și este un prim criteriu pentru măsurarea calității și securității sistemului. Disponibilitatea este măsurată prin factorul DRN (sau durata de revenire la normal) care împarte acest criteriu în sisteme cu nivel înalt de disponibilitate (DRN: de la câteva minute la un maxim de 12 ore), sisteme cu nivel mediu de disponibilitate (DRN: 12 ore – 48 ore) și sisteme cu nivel slab de disponibilitate (DRN: mai mult de 48 ore). În corelație cu disponibilitatea, intervine și criteriul de accesibilitate, un factor important pentru descoperirea datelor, caracterizat de: nivelul de organizare a datelor prin clasificări în funcție de importanță sau sofisticare și calitatea infrastructurii cibernetice pe care o deține organizația.

Integritatea informației reprezintă „confirmarea faptului că datele transmise, recepționate și stocate de către un utilizator individual sau colectiv, sunt complete și nu au suferit modificări”, conform Agenției Europene însărcinată cu securitatea informației și a rețelelor informatice. Acest criteriu este atât de important în securitatea informației încât trebuie abordat din 3 direcții: tehnic, juridic sau organizațional.

Confidențialitatea semnifică restricționarea accesului la informație, pentru persoanele neautorizate. Pentru asigurarea acestui criteriu important, sunt necesare o serie de proceduri formale pentru alocarea de acces la resursele informaționale, iar userii autorizați urmând să treacă prin ședințe de instruire cu privire la importanța securității informațiilor și raportarea acțiunilor considerate suspecte.

2.3 Securitatea rețelelor wireless.

Rețelele wireless (WLAN) reprezintă un sistem flexibil de comunicații de date, fără cablu, ce se bazează pe unde electromagnetice, folosit ca o extensie sau chiar o alternativă la rețeaua LAN prin cablu.

Principalul avantaj al acestor sisteme fără fir este reprezentat de mobilitatea și flexibilitatea pe care o oferă utilizatorilor dintr-o anumită arie. Astfel, un individ conectat la acest tip de rețea se poate muta în diferite locații fără a pierde semnalul. O altă caracteristică importantă este dată de costurile reduse ale dezvoltării acestui tip de sistem: nu este nevoie decât de un dispozitiv hardware denumit ruter (router – eng) sau software (diferite programe ce permit conectarea mai multor rețele de calculatoare bazate pe „comutarea de pachete”)

Din păcate, aceste rețele de tip wireless sunt destul de vulnerabile la atacuri deoarece nu beneficiază de securitate fizică incorporată precum retelele cu fir, fiind mai dificil de prevenit accesul la acestea. Pentru a putea preveni posibilele breșe din securitatea rețelelor, administratorii trebuie să cunoască mai întâi, tipurile de atacuri:

atacuri pasive – sunt acele infiltrări prin care infractorul doar urmărește rețeaua („Eavesdropping”) sau monitorizează transferurile de date („packet sniffing”) . Aceste tipuri de atacuri nu produc pagube vizibile, dar pot facilita furtul de informații.

atacuri active – aceste infracțiuni au un scop bine definit, și anume furtul sau falsificarea de dată transmise sau stocate pe rețelele wireless. De asemenea, pot deteriora transferurile de date prin perturbarea sau chiar blocarea comunicațiilor prin atac fizic asupra echipamentelor din rețea.

Atacurile active pot fi:

Mascarada (Masquerading) – infractorul se dă drept utilizator cu autorizație, obținând acces la resurse sau servicii din rețea.

Refuzul serviciului (Denial of Service) – intrusul trimite un număr aproape infinit de cereri, suprasolicitând serverele din rețea. Scopul este de a forța necesitatea restartării serverului și re-autentificarea clienților, moment propice pentru infractor de a fura datele de identificare ale acestora și conturile de utilizare.

Modificarea mesajelor – acest tip de atac este foarte greu de depistat datorită subtilității cu care este realizat. Mesajele transmise sunt interceptate de către autorul atacului si apoi decriptate. După modificarea mesajelor se re-criptează cu același algoritm si apoi se corectează CRC-ul (Cyclic Redundancy Check) pentru a valida aceste date la destinație.

„Omul-din-mijloc” („man-in-the-midle”) – intrusul este conectat direct la un nod internediar al rețelei, având astfel accesul necesar pentru a intercepta mesajele transmise și înlocuirea acestora cu alte date false.

Virușii sau viermii de rețea (worms), calul troian (trojan) si rețelele botnet.

2.4. Standarde internaționale care reglementează domeniul securității IT

Comisia Electrotehnică Internațională (în engleză International Electrotechnical Commission, prescurtat IEC) este o organizație non-profit, non-guvernamentală internațională de standardizare care realizează și publică standarde internaționale pentru toate tehnologiile electrice, electronice și conexe – cunoscute sub numele de electrotehnică.

Standardele IEC sunt realizate pentru o gamă variată de tehnologii energetice, de transport și distribuție, electrocasnice, semiconductori, fibră optică, baterii, energia solară, nanotehnologie și energie marină, precum și multe altele. IEC gestionează și trei sisteme globale de evaluare a conformității care certifică conformitatea echipamentelor, sistemelor sau componentelor acestora cu standardele internaționale.

Aceste standarde internaționale ISO au o numerotare aparte și un format de tipul: ISO 99999:yyyy: Titlul, „99999” reprezentând numărul standardului, „yyyy” semnifică anul publicării, și „Titlul” descrie subiectul tratat de catre standard.

ISO 27000 Securitatea informației: Serie de norme dedicate securității informației

Un Sistem de Management al Securității Informație (sau SMSI) ISO 27000, reprezintă abordarea sistematică a managementului informației cu condiția menținerii unor standarde de siguranță. Acest lucru implică inclusiv angajații, procesele și sistemele IT.

Familia ISO/IEC 27000 conține standarde de securitate publicate în comun de către Organizația Internațională pentru Standardizare (ISO) și Comisia Electrotehnică Internațională (IEC). Seria cuprinde indicații cu privire la practicile ideale pentru gestionarea informațiilor de securitate și de control a factorilor de risc în contextul unui sistem de management al securității informației (ISMS).

Această serie deține o arie vastă de aplicabilitate, care tinde spre mai mult decât asigurarea intimității, confidențialității si rezolvarea problemelor de securitate tehnice sau IT. De asemenea, seria ISO 27000 e recomandată pentru toate organizațiile indiferent de dimensiuni. Riscurile de securitate a informațiilor trebuie evaluate si in urma acestor evaluări, e necesară aplicarea unor standarde ce pot controla si securiza sistemele, în funcție de necesitățile organizațiilor.

Ce este ISO 27001:2005 ?

BSI a realizat un cod de practică pentru aceste sisteme informatice, în prezent adoptat internațional sub formă ISO/IEC 27001:2005 Information Security Management System (ISMS), care înlocuiește BS7799-2:2002. Acest standard specifică cerințele necesare pentru impunerea unor controale de securitate realizate conform necesităților organizațiilor. Astfel, ISO 27001:2005 devine instrumentul ce stabilește cerințele importante pentru un bun Sistem de Management al Securității Informaționale. Scopul acestuia este de a identifica și minimiza posibilele amenințări ce pot afecta de regulă informația.

Pentru o organizație, ISO 27001:2005 reprezintă o serie de modalități și mijloace cu scopul de a reduce riscurile la adresa informației prin implementarea unui Sistem de Management al Securității Informaționale.

Conținând 36 de obiective, prezentate prin 127 de reglementări și controale, acest Sistem MSI urmărește să asigure un sistem de securitate ideal la toate nivelele prin: securitatea fizică și a personalului, securitatea operațională, manevrarea, procesarea și transmiterea informațiilor (pe orice căi de transmitere), planificarea, modificarea, reutilizarea și scoaterea din funcțiune a sistemelor informaționale, protecția anti-virus, anti-interceptare, anti-intruziune etc.

Utilitățile IOS 27001:2005:

asigură securitatea informațiilor societății certificate cît și a datelor informatice ale clienților și partenerilor de afaceri.

oferă propuneri pentru ținerea sub control a riscurilor de criminalitate informațională, identifică amenințările și găsește căi de abordare ale metodelor de protecție pentru a proteja supraviețuirea companiei.

oferă managerilor un control mai bun asupra fluxurilor de informații din organizația certificată.

sunt identificate și ținute sub control riscurile care pot afecta activitatea societății.

oferă clienților și partenerilor de afaceri încredere sporită în organizația certificată.

posibilitatea de a întruni toate condițiile de eligibilitate la licitații acolo unde certificarea SMSI este un criteriu.

o poziție și imagine mai bună pe piață în fața concurenței.

Deficiențele din cadrul unei companii care pot fi înlăturate prin implementarea a Sistemul de Management al Calității conform ISO 27001:2005 sunt:

Căderi de tensiune;

Configurații defectuoase ale echipamentelor sau aplicațiilor;

Politici neadecvate de salvare a datelor;

Planificarea eronată a capacităților de stocare;

Procesare și transmitere a datelor;

Arhivarea necorespunzătoare a documentelor;

Lipsa unor reguli de transmitere a informațiilor (prin poștă clasică, fax, radio, poștă electronică etc);

Amenințări datorate unor locații improprii și multe altele.

ISO/IEC 27002 Cod de bune practici în ISMS

Standarul ISO/IEC 27002 (numit anterior ISO/IEC 17799) stabilește o serie de condiții principale pentru a iniția, implementa, menține și îmbunătăți managementul securității informației din cadrul unei organizații. Scopul acestui standard este de a oferi soluții generale pentru obiectivele stabilite în managementul securității informațiilor, conținând unele dintre cele mai bune practici de control în următoarele domenii:

organizarea securității informației;

securitatea resurselor umane;

securitatea fizică și a mediului înconjurător;

controlul accesului;

politica de securitate;

managementul comunicațiilor și al operațiilor;

achiziționarea sistemelor informaționale, mentenanță și dezvoltarea lor;

managementului incidentelor de securitate a informației, etc.

ISO/IEC 27002 este realizat că un tutorial pentru a ajuta la construirea sistemul de management a securității cu scopul de a evalua riscurile, a dezvolta standardele de securitate organizațională și a oferi încrederea în activitățile interne, organizaționale.

ISO/ IEC 27003 – Ghid de implementarea a sistemului de management al securității informației

ISO/IEC 27003 dezbate aspectele critice, ideale, începând de la design-ul acestui sistem, până la conceperea planurilor de implementare, cu scopul de a proiecta corect și implementa cu succes un sistem de management a securității informatice (ISMS), conform ISO/IEC 27001.

Standarul ISO/IEC prezintă inclusiv procedeul de obținere a abrobarilor de implementare a unui ISMS, definește clar acest proiect de implementare și explică modul de realizare a unui astfel de proiect ISMS.

Scopul acestuia este de a fi folosit în paralel cu ISO/IEC 27001 și ISO/IEC 27002, fără a exclude vreo condiție stipulată de cele două. Cu ajutorul acestuia se definesc conceptele de proiecare și planificare pentru un sistem de management al informației, concluzionând într-un plan riguros de implementare a unui proiect ISMS.

ISO/ IEC 27004 – Managementul securității informației – Evaluări

Acest standard presupune o varietate de îndrumări care au că scop evaluarea eficacității unui sistem de management al securității informației (ISMS), prin folosirea unui ghid de metrici și măsurători. ISO/IEC 27004 este un standard ce se aplică tuturor felurilor de organizații și oferă informații utile referitoare la controalele sau grupurile de controale specificate în ISO/IEC 27001.

ISO/ IEC 27005 – Managementul riscului securității informației

Prin standardul ISO/IEC 27005 se stabilește un ghid dedicat managementului riscului folosit în securitatea informației pentru toate tipurile de organizații (agenții guvernamentale, organizațiile non-profit, societăți comerciale, etc.) cu scopul de a reduce riscurile ce ar putea compromite siguranța informațiilor dintr-o companie.

Pentru a înțelege corect și complet ISO/IEC 27005, este necesară cunoașterea modelelor, conceptelor, terminologiei și proceselor deja prezentate în ISO/IEC 27001. Acest standard tinde să se adapteze la standardul ISO 31000:2009, preluând și din conținutul ISO/CEI 31010:2009, "Managementul riscului – Tehnici de evaluare a riscurilor", pentru a oferi organizațiilor cadrul necesar de gestionare a riscurilor privind securitatea informației.

ISO/IEC 27006 – Cerințe pentru organizațiile ce efectuează audit și certificare a sistemelor de management a securității informației

Acest standard este reprezentat de sprijinul oferit acreditării organismelor de certificare pentru sistemul de management al securității informaților. ISO/IEC 27006 conține îndrumări și caracteristici de urmărit pentru companiile ce practică audit și certificarea ISMS.

Cerințele prezentate în ISO/IEC trebuie urmărite în termeni de competență și fiabilitate de către orice companie de certificare a sistemului de management al securității informației, oferind servicii de interpretare adiționale a acestor cerințe.

ISO/IEC 270011 – Ghidul managementului securității informației pentru organizațiile din domeniul telecomunicațiilor bazat pe standardul ISO/IEC 27002

Organizațiile ce urmăresc a se adapta la prezentul standard vor putea întruni cerințele de bază ale managentului securității informațiilor: disponibilitate, integritate, confidențialitate, dar și orice altă caracteristică relevantă de securitate.

Cu ajutorul acestui standard se definesc recomandări în sprijinul implementării managementului securității informațiilor în cadrul companiilor de telecomunicații.