Analiza Managementului Securitatii In Cadrul S.c. Gameloft Romania S.r.l

ACADEMIA DE STUDII ECONOMICE – BUCUREȘTI

FACULTATEA DE MANAGEMENT

ANALIZA MANAGEMENTULUI SECURITĂȚII ÎN CADRUL S.C. GAMELOFT ROMANIA S.R.L.

ELABORAREA ȘI IMPLEMENTAREA POLITICII DE SECURITATE INFORMATICĂ.

Coordonator științific:

Prof. univ.dr. Minodora Ursacescu

Absolvent:

Cristina Albineț

București

2015

Cuprins

Pag.

Introducere …………………………………………………………………………………………………………. 3

CAPITOLUL 1: Prezentarea firmei S.C. Gameloft Romania S.R.L …………………………. 4

1.1 Scurt istoric ………………………………………………………………………………………. 4

1.2 Evoluția pe piață. Relațiile cu stakeholderii …………………………………….. 6

1.3 Evoluția indicatorilor financiari ………………………………………………………… 7

CAPITOLUL 2: Considerații teoretice privind mediul virtual, criminalitatea și securitatea în domeniul IT ……………………………………………………… 9

2.1 Prezentarea contextului actual tehnologic …………………………………………. 9

2.2 Conceptul de securitate informatică ………………………………………………… 13

2.3 Securitatea rețelelor wireless ……………………………………………………….. 15

2.4 Standarde internaționale care reglementează domeniul securității IT ……. 16

CAPITOLUL 3: Stadiul actual privind asigurarea securității IT în cadrul S.C. Gameloft Romania S.R.L. ………………………………………………………. 22

3.1 Proceduri formale pentru securitatea informației …………………………… 22

3.2 Analiza SWOT a procesului de management IT la nivelul societății comerciale …………… 23

3.3 Necesitatea implementării măsurilor de securitate IT ………………………. 29

CAPITOLUL 4: Considerații personale privind perfecționarea managementului securității informației …………………………………………………………… 32

4.1 Avantaje și argumente pentru utilizarea sistemului de management al securității informatice ………………………………………………………………………… 32

4.2 Limite în implementarea sistemului de management al securității informatice …………….. 33

CAPITOLUL 5: Concluzii …………………………………………………………………………………….. 35

REFERINȚE …………………………………………………………………………………………………………. 36

Introducere

Împărțită în patru capitole, lucrarea realizează o analiză asupra mediului cibernetic, prezentând ceea ce presupune criminalitatea și securitatea în IT. De asemenea, lucrarea abordează sistemului de management informatic din cadrul S.C. Gameloft Romania S.R.L., și oferă câteva mijloace de îmbunătățire folosindu-se de tehnologii cât mai avansate.

Primul capitol tratează un scurt istoric al companiei, relația cu stakeholderii și câțiva indicatori financiari pentru a înțelege poziția și importanța acesteia pe piața dezvoltatorilor de jocuri pentru dispozitive mobile. Progresul companiei se bazează pe date confidențiale, fapt care ar putea atrage interesul concurenței și al unor posibil hackeri.

Al doilea capitol descrie situația actuală în mediul virtual, prezentând detalii despre ceea ce înseamnă Internetul, despre dezvoltarea rapidă a acestuia, despre necesitatea de zi cu zi, mai ales în afaceri, și despre problemele principale de securitate pe care le putem întâlni în domeniul IT. De asemenea, acest capitol prezintă inclusiv o lista de standarde internaționale de urmărit pentru fiecare companie ce tinde spre securizarea informațiilor deținute.

Capitolul trei descrie o parte dintre procedurile formale, deja folosite în organizația S.C. Gameloft Romania S.R.L., scoțând în evidență și necesitatea îmbunătățirii sistemului de manangement al securității acestei companii. Analiză SWOT din această parte a lucrări definește clar punctele slabe, ce trebuie eliminate sau retușate pe cât posibil. Astfel, lucrarea oferă o lista de soluții și mijloace necesare pentru a optimiza sistemul de securitate din companie.

Avantajele acestor metode sunt prezentate în capitolul patru, alături de posibilele limite pe care le putem întâmpina pe parcursul acestui proces de optimizare.

CAPITOLUL 1. Prezentarea firmei S.C. Gameloft Romania S.R.L.

1.1. Scurt istoric

Gameloft este unul dintre principalii dezvoltatori de jocuri pentru dispozitive mobile de ultimă generație și console (Apple iPad, iPhone, Nintendo DSI, Playstation Portable, XBOX 360, Playstation 3, Nintendo Wii).

La finele anului 1990 Michael Guillemot, unul dintre co-fondatorii și proprietarii firmei Ubisoft descoperea evoluția și noile perspective oferite de industria telefoanelor mobile. Realizând că aceste dispozitive vor ajunge o piață de masă, și mai târziu chiar platforma principală de divertisment în lume, Guillemot începe să își planifice intrarea pe acest domeniu. Asftel, în anul 1999, alaturi de cei 4 frați ai săi, pune bazele firmei Gameloft, cu scopul de a produce jocuri de calitate, pe care viitorii clienți să le poata obține pe telefoanele mobile sau tabletele personale.

Gameloft a devenit un lider dezvoltator de jocuri pentru platformele Java- și Brew- proiectând o gamă variată de aplicații pentru utilizatorii lor, inclusiv adaptări ale unor jocuri de console ce dețineau deja un renume, precum: „Prince of Persia” și „Tom Clancy's Splinter Cell”. Firma a început să devină profitabilă din anul 2003 având jocuri compatibile cu peste 100 de modele de telefoane mobile. A înregistrat venituri de 10.2 milioane de euro în acest an, urmând apoi o creștere evidentă în următoarele perioade.

În 2004 apar branduri noi precum Real Football și Asphalt, titluri ce reprezintă puncte principale de referință pentru viitorul gaming-ului mobil, Gameloft înregistrând peste 100 de milioane de exemplare vândute până în prezent. Tot în același an, Gameloft vine pe piață cu jocurile de tip 3D pentru prima dată. Veniturile înregistrate în 2004 depășesc cu mult anul precedent: 23.2 milioane €.

Anul 2005 reprezintă pentru Gameloft începutul aplicațiilor de gaming, de tip real-time multiplayer pentru cele mai noi modele de telefoane de la momentul respectiv. Aproximativ 400 de tipuri de telefoane erau compatibile cu acestea, fapt care dublează veniturile companiei, ajungând la 46.8 milioane €. În 2007, gama de jocuri Java atinge un total de 200 de titluri, Gameloft înregistrând un venit total de 96 milioane €.

În anul 2008 Gameloft investește cu succes în aplicații adaptate la cele mai noi tehnologii apărute: telefoanele de tip smartphone și interfețele touchscreen. Creează jocuri de renume pentru platformele Apple iOS și Android Google, cifrele de vânzări atingând astfel 110 milioane €.

Apar francizele de tip N.O.V.A: Near Orbit Vanguard Alliance și Modern Combat, produse în 2009, având parte de un succes instant. Titlurile clasice pentru telefoanele mobile (Real Football, Asphalt și Gangstar) impresionează fanii înrăiți ai jocurilor 3D și ai graficii de înaltă rezoluție, pe noile platforme de tip smartphone, ajungând chiar la standardele impuse de consolele portabile. Bestsellers precum jocurile licențiate Spider-Man și UNO, create de către Gameloft, au contribuit la veniturile cumulate de companie pentru anul 2009: 122 milioane €.

În anul următor, apar tabletele cu ecran tactil, pentru care Gameloft își adaptează titlurile importante și atinge venituri de 141 milioane €. În 2011 compania se extinde și pe domeniul platformei de Internet html5, dar se dezvoltă și pe noile platforme apărute, de tip Smart TV și set-top boxes, obținând suma de 164 m. €. În acest an primește și titulatura de cel mai bun dezvoltator al anului 2011 oferit de către Pocket Gamer.

Anul 2012 aduce companiei un venit de 208.3 m. €, datorită unui nou tip de jocuri, create pentru un public mai vast: The Oregon Trail: American Settler, Fantasy Town, Fashion Icon, targetul acestora fiind adepții jocurilor casual, sociale și free-to-play. Utilizatorilor care preferă jocurile de tip hardcore, li se dedică francize mari precum Order & Chaos, Dungeon Hunter și noi optimizări pentru seriile Modern Combat și N.O.V.A.

Până în prezent, Gameloft a cumulat parteneriate cu mari companii precum Hasbro, Disney Interractive, Illumination Entertainment și Universal Partnerships & Licensing, pentru aplicații de succes neasteptat precum: My Little Pony, Trivial Pursuite & Friends, Disney Magic Kingdoms sau Despicable Me: Minion Rush, aceasta din urmă având, chiar și la 3 ani după lansare, un număr de aproximativ de 2 milioane de utilizatori zilnici.

„Succesul semnificativ de care s-au bucurat jocuri recent lansate, cum sunt Modern Combat 4: Zero Hour, World at Arms, My Little Pony și PLAYMOBIL Pirates, precum și longevitatea unor titluri ca Ice Age Village, Order & Chaos Online, The Amazing Spider-Man și Asphalt 7: Heat au contribuit la performanța companiei în cel de-al patrulea trimestru din 2012”, au declarat reprezentanții Gameloft in 2013 pentru Forbes Romania.

America de Nord a contribuit cu 31% la vânzările companiei, în timp ce 27% au venit din regiunea EMEA, 22% din regiunea APAC și 20% din America Latină.

Potrivit reprezentanților companiei, creșterea este sporită de succesul masiv al jocurilor Gameloft pe smartphone-uri și tablete. Astfel, în trimestrul VI al anului trecut, vânzările pe segmentul telefoanelor de tip smartphone și tablete au crescut cu 66%, reprezentând un procent de 56% din vânzările totale, în comparație cu 41% în trimestrul al IV-lea din 2011.

1.2. Evoluția pe piață. Relațiile cu stakeholderii.

Pană în prezent, Gameloft a reușit să își creeze cea mai bună și completă rețea de distribuție din industria jocurilor digitale. Deține acorduri cu diferite companii majore de telefonie precum Orange sau Vodafone, cu cel puțin 200 de distribuitori în peste 100 de țări, cu marile magazine virtuale (AppStore, Google Play, Amazon), dar și cu producatorii principali de telefoane mobile, smartphone și tablete, Smart TVs și set-top boxes (Apple, Nokia, Samsung).

Toate titlurile Gameloft sunt realizate intern, compania deținând cea mai mare echipă de dezvoltare și creație din industria jocurilor digitale: peste 6000 de dezvoltatori în studio-uri din aproximativ 30 de țări (Argentina, Bulgaria, Canada, China, Coreea, Germania, Indonezia, Mexic, Romania, Rusia, Spania, Ucraina, Vietnam, etc). Datorită gamei variate de mai mult de 300 de jocuri compatibile cu peste 600 de telefoane mobile și cel puțin 400 de modele de smartphone, veniturile la sfârșitul anului 2014 ating de 227 milioane €.

Prima jumătate a anului 2015 anunță vânzări în valoare de 127.4 milioane €, fapt care atrage de asemenea o nouă companie interesată de un parteneriat cu Gameloft: Vivendi. Începând cu luna Octombrie, această din urmă observă șansă de dezvoltare pe noile tehnologii (tablete, smartphone, Apple TV) încât se decide a cumpără acțiuni în cadrul companiei. Cheltuind aproximativ 500 milioane $ pentru un procent de 6.2%, Vivendi nu se oprește aici, achiziționând până în luna Iunie a anului 2016 un total de 61.7% acțiuni și cumulând o putere de decizie de aproximativ 56%.

În urmă acestor acțiuni, se începe o reforumlare a departamentelor de management pentru a face loc unor noi strategii de dezvoltare, unor noi parteneriate ce vin odată cu noii acționari și cel mai probabil se pregătește terenul pentru aplicații din ce in ce mai diversificate.

1.3. Evoluția indicatorilor financiari

Domeniul principal de activitate al S.C. GAMELOFT ROMANIA S.R.L., conform CAEN (Clasificarea Activităților din Economia Națională), este: Activități de realizare a soft-ului la comandă (software orientat client). Datorită faptului că această piață e în permanentă dezvoltare, putem considera activitatea companiei ca fiind o afacere extrem de profitabilă, fapt ce poate fi regăsit in indicatorii prezentați în tabelele afișate în continuare.

Tabel 1.1 Indicatori din Bilanț

sursa: http://doingbusiness.ro/financiar/raport/1074283, accesat la 02.12.2015

Tabel 1.2 Indicatori de profitabilitate

sursa: http://doingbusiness.ro/financiar/raport/1074283, accesat la 02.12.2015

Tabel 1.3 Indicatori Derivați din Bilanț

sursa: http://doingbusiness.ro/financiar/raport/1074283, accesat la 02.12.2015

CAPITOLUL 2: Considerații teoretice privind mediul virtual, criminalitatea și securitatea în domeniul IT

2.1. Prezentarea contextului actual tehnologic

Internetul este un mediu informatic aflat într-o permanentă dezvoltare. Este folosit pentru comunicații (prin intermediul Yahoo Messenger, Skype, alaturi de serviciile de e-mail), pentru diferite afaceri comerciale (sau comerțul electronic), pentru promovarea de servicii sau bunuri, dar mai ales pentru simplu divertisment (retele de socializare, muzica, mass-media etc.). Internetul este practic o rețea virtuală, aflată în continuă expansiune, alcătuită din mai multe rețele interconectate: cele locale (private și publice – poartă denumirea de LAN), rețelele pe arii extinse (denumite WAN), rețelele naționale, regionale și intercontinentale.

Există o influență profundă pe care Internetul o are și o va avea în permanență asupra modului în care societatea cotidiană funcționează și comunică. Această rețea virtuală reprezintă un mediu ieftin, rapid, și mai ales global, prin care se pot obține aproape orice fel de date informaționale. Aplicativitatea acestui mediu cibernetic este extrem de vastă și foarte ușor de realizat. Printr-un singur program multifuncțional denumit browser (Mozilla Firefox, Google Chrome, Opera, Safari etc.) se pot accesa informații pentru divertisment (imagini, muzică, chat, jocuri interactive în rețea, filme, diferite rețele sociale: Facebook, Twiter, Instagram), din domeniul financiar (operațiunile bancare sau Internet banking), științifice (diferite site-uri de specialitate), din mass-media (televiziunea prin Internet, ziare on-line, radio on-line), etc.

Tabel 2.1. Numărul de aplicații site-uri înregistrate pe Internet

sursa: http://ro.wikipedia.org/wiki/Internet, accesat la data de 15.12.2015

Deși acest serviciu vine cu majore beneficii, dezvoltarea rapidă a Internetului aduce și mari dezavantaje, acestea constând în problemele de natură legală ce nu trebuiesc ignorate. Anumite state precum China, Japonia sau Coreea de Nord impun cenzură, restricții și legislații specifice pentru acest mediu virtual privind domenii precum religia, politica sau chiar interdicții referitor la rețelele wireless publice. Astfel site-urile din exteriorul statelor ce impun aceste reglementări, dar care activează global, pot intra în ilegalitate destul de ușor. Un exemplu concret pentru aceste probleme este reprezentat de o firmă organizatoare de pariuri, din Marea Britanie care a lansat o platformă Web prin care clienții japonezi pot paria pe meciuri de Sumo sau pe Oscaruri. Deși compania este localizată în Marea Britanie, în Japonia acest tip de pariuri este ilegal.

Totuși, dezavantajul major pe care îl aduce Internetul este dat de faptul că ușurința și costul redus cu care poate fi accesat nu oferă garanție despre imaginea pe care și-o poate realiza orice utilizator. Există deja o serie de programe dăunătoare cunoscute, dar se dezvoltă din ce în ce mai multe metode complexe care sporesc criminalitatea informatică: de la simpla urmărire a unor activități la furtul de date sau chiar din conturi financiare.

Criminalitatea informatică este un domeniu de maximă actualitate în materie penală, dar și un domeniu ce oferă numeroase perspective de cercetare, prin vasta diversitate și dinamicitate. Fenomenul de infracționalitate informatică a evoluat la un nivel în care nu se mai poate descoperi un corespondent proporțional în activitatea de prevenire, descoperire și aplicarea de sancțiuni, datoritata perspicacității autorilor (de cele mai multe ori necunoscuți) și tehnologiilor din ce în ce mai avansate, de care aceștia dispun.

Astfel infracțiunile informatice au căpătat același nivel de importanță că acela al infracțiunilor clasice, datorită ușurinței comiterii și camuflăriilor, cât și datorită efectelor devastatoare ale acestor acțiuni. În acest context, criminalitatea lumii virtuale reprezintă o problemă de mare actualitate, având un mediu greu de explorat, dar propice infractorilor informatici, acoperiți de diferite nivele de criptare și aflați în spatele unor protocoale restrictive de acces. Un exemplu pentru acest tip de limitare de acces a fost chiar sistemul de comunicații Skype, considerat o zonă de discuții confortabilă pentru diferite grupări criminale, deoarece acest sistem folosea metode de criptare aproape imposibil de penetrat.

De mai bine de 14 ani s-a luat în calcul necesitatea unor mecanisme de raportare pentru furnizorii de servicii de internet (ISP – Internet Service Provider) în privința materialelor ilegale, aflate într-o permanentă distribuție. Aceste măsuri ar presupune semnalarea către ISP din partea oricărui client a materialelor ilegale descoperite sau primite, chiar și în situația în care prestatorul este în altă țară. În final, furnizorul de internet poate transmite aceste informații către autoritățile competente de anchetă.

De asemenea există necesitatea unor norme internaționale pentru a ușura posibilele investigații și urmărirea în justiție a criminalilor informatici. În situațiile actuale autoritățile de anchetă nu au acces pentru a investiga rețelele de calculatoare din afară jurisdicției naționale proprii. Aceste reguli necesare exercitării unui control total sunt respinse de majoritatea țărilor. Spre exempu, Secțiunea 215 din legea USA Patriot Act, permite NSA-ului (National Security Agency) accesul la toate datele tranferate pe rețelele de telefonie și internet, dar care intră sau părăsesc doar teritoriul Statelor Unite ale Americii.

Astfel că, țara în care pornește actul de criminalitate informatică trebuie să decidă ce tip de sistem de drept privat va aplica pentru informațiile de pe Internet. Până acum s-au realizat diferite acorduri de acest gen în Europa privind comerțul electronic. Acest comerț electronic, din punctul de vedere al Organizației Economie de Cooperare și Dezvoltare (OECD) este reprezentat de vânzările de bunuri și servicii ce au loc online sau offline, dezvoltate pe Internet prin utilizarea unor programe software specifice.

Pentru asigurarea unei compatibilități internaționale referitoare la comerțul electronic s-au realizat diferite legi și directive precum:

Legea Model a Comisiei Națiunilor Unite pentru Dreptul Comerțului Internațional (apărută în anul 1996)

DIRECTIVA 1999/93/EC – facilitează semnătura electronică și legalitatea acesteia

DIRECTIVA 2000/31/EC – creează cadrul necesar pentru aplicarea legislațiilor naționale privind serviciile informatice destinate pieței interne, răspunderea intermediarilor, soluționarea litigiilor și asigură o cooperare între țările membre.

Luând în calcul faptul că Internetul a devenit un mijloc strategic, important pentru progresul tehnologic actual, putem considera faptul că există cu certitudine riscul apariției multor evenimente (obiective/subiective, voluntare/involuntare) ce pot afecta siguranța datelor aflate în permanentă circulație prin intermediul rețelei virtuale. Dacă până în ziua de azi s-au stabilit oarecum niște norme internaționale, pe plan național încă există necesitatea unor reguli stricte pentru a menține securitatea și pentru a identifica viitoare riscuri.

În anul 2014, CERT-RO (Centru Național de Răspuns la Incidente de Securitate Cibernetică) a înregistrat peste 78 de milioane de alerte referitoare la tentative de criminalitate cibernetică. Conform statisticilor 24% dintre alerte sunt IP-uri alocate spațiului virtual românesc. Pe lângă acest procent, 46% dintre alerte urmăresc sistemele informatice de pe teritorul României. Conform CERT-RO, 10.759 de domenii „.ro” sunt considerate compromise în urma acestor atacuri, iar amenințările din domeniul virtual sunt mereu diversificate, descoperindu-se noi tipul de viruși de tip malware.

Legislația din România se adaptează oarecum la normele internaționale prin hotărâri guvernamentale precum HG nr. 494 din 11.05.2011 privind înființarea Centrului Național de Răspuns la Incidente de Securitate Cibernetică – CERT-RO sau HG nr. 271 din 23.05.2013 „Strategia de Securitate Cibernetică”, dar țările cu care urmează să se alinieze tehnologic sunt la un nivel superior. Statele dezvoltate au pornit deja finanțarea unor proiecte care au scopul de a cerceta și dezvolta noi sisteme de protecție împotriva acestor atacuri din mediul virtual datorită amenințărilor de natură cibernetică aduse de hackeri precum gruparea Anonymous, terorism, dar și datorită unor atacuri informatice din interese economice, strategice ale altor țări dovedind astfel existența unui război cibernetic tacit în infiltrarea și obținerea de informații. De asemenea, există surse care afirmă că sunt țări precum China, Rusia sau SUA care se ocupă de crearea unor tehnologii ofensive pentru a stopa atacurile cibernetice pentru că țările dezvoltate au constatat importantă acestui front de lupta tehnologizat.

Din păcate, legile naționale venite în urmă uneia dintre cele mai complexe operațiuni de spionaj informatic descoperită de KasperskyLab („RedOctober”), abia se aliniază la standardele NATO și UE. Hotărârea Guvernamentală nr. 271 din 23.05.2013 doar reglementează tehnologia de securitate și aduce documente informaționale despre ce comportament ar trebui abordat în cazul unor infracțiuni de natură cibernetică.

2.2. Conceptul de securitate informatică

Securitatea informatică a devenit o parte importantă a informaticii întrucât se ocupă cu identificarea și căutarea soluțiilor pentru înlăturarea principalelor riscuri implicate de accesarea mediului virtual prin diferite dispozitive, precum calculatoare, telefoane. Criteriile prin care se urmărește asigurarea securității informației sunt: disponibilitatea și accesibilitatea, integritatea, identificarea și autentificarea, confidențialitatea, perenitatea și arhivarea electronică.

Figura 2.1. Criteriile prin care se urmărește securitatea informației

Prin disponibilitate se asigură întărirea securității rețelei sau a rețelelor de sisteme informatice și asigurarea de copii de siguranță. Reprezintă posibilitatea folosirii acestui sistem informațional în orice moment și este un prim criteriu pentru măsurarea calității și securității sistemului. Disponibilitatea este măsurată prin factorul DRN (sau durata de revenire la normal) care împarte acest criteriu în sisteme cu nivel înalt de disponibilitate (DRN: de la câteva minute la un maxim de 12 ore), sisteme cu nivel mediu de disponibilitate (DRN: 12 ore – 48 ore) și sisteme cu nivel slab de disponibilitate (DRN: mai mult de 48 ore). În corelație cu disponibilitatea, intervine și criteriul de accesibilitate, un factor important pentru descoperirea datelor, caracterizat de: nivelul de organizare a datelor prin clasificări în funcție de importanță sau sofisticare și calitatea infrastructurii cibernetice pe care o deține organizația.

Integritatea informației reprezintă „confirmarea faptului că datele transmise, recepționate și stocate de către un utilizator individual sau colectiv, sunt complete și nu au suferit modificări”, conform Agenției Europene însărcinată cu securitatea informației și a rețelelor informatice. Acest criteriu este atât de important în securitatea informației încât trebuie abordat din 3 direcții: tehnic, juridic sau organizațional.

Confidențialitatea semnifică restricționarea accesului la informație, pentru persoanele neautorizate. Pentru asigurarea acestui criteriu important, sunt necesare o serie de proceduri formale pentru alocarea de acces la resursele informaționale, iar userii autorizați urmând să treacă prin ședințe de instruire cu privire la importanța securității informațiilor și raportarea acțiunilor considerate suspecte.

2.3 Securitatea rețelelor wireless.

Rețelele wireless (WLAN) reprezintă un sistem flexibil de comunicații de date, fără cablu, ce se bazează pe unde electromagnetice, folosit ca o extensie sau chiar o alternativă la rețeaua LAN prin cablu.

Principalul avantaj al acestor sisteme fără fir este reprezentat de mobilitatea și flexibilitatea pe care o oferă utilizatorilor dintr-o anumită arie. Astfel, un individ conectat la acest tip de rețea se poate muta în diferite locații fără a pierde semnalul. O altă caracteristică importantă este dată de costurile reduse ale dezvoltării acestui tip de sistem: nu este nevoie decât de un dispozitiv hardware denumit ruter (router – eng) sau software (diferite programe ce permit conectarea mai multor rețele de calculatoare bazate pe „comutarea de pachete”)

Din păcate, aceste retele de tip wireless sunt destul de vulnerabile la atacuri deoarece nu beneficiază de securitate fizică incorporată precum retelele cu fir, fiind mai dificil de prevenit accesul la acestea.

Pentru a putea preveni posibilele breșe din securitatea rețelelor, administratorii trebuie să cunoască mai întâi, tipurile de atacuri:

atacuri pasive – sunt acele infiltrări prin care infractorul doar urmărește rețeaua („Eavesdropping”) sau monitorizează transferurile de date („packet sniffing”) . Aceste tipuri de atacuri nu produc pagube vizibile, dar pot facilita furtul de informații.

atacuri active – aceste infracțiuni au un scop bine definit, și anume furtul sau falsificarea de dată transmise sau stocate pe rețelele wireless. De asemenea, pot deteriora transferurile de date prin perturbarea sau chiar blocarea comunicațiilor prin atac fizic asupra echipamentelor din rețea.

Atacurile active pot fi:

Mascarada (Masquerading) – infractorul se dă drept utilizator cu autorizație, obținând acces la resurse sau servicii din rețea.

Refuzul serviciului (Denial of Service) – intrusul trimite un număr aproape infinit de cereri, suprasolicitând serverele din rețea. Scopul este de a forța necesitatea restartării serverului și re-autentificarea clienților, moment propice pentru infractor de a fura datele de identificare ale acestora și conturile de utilizare.

Modificarea mesajelor – acest tip de atac este foarte greu de depistat datorită subtilității cu care este realizat. Mesajele transmise sunt interceptate de către autorul atacului si apoi decriptate. După modificarea mesajelor se re-criptează cu același algoritm si apoi se corectează CRC-ul (Cyclic Redundancy Check) pentru a valida aceste date la destinație.

„Omul-din-mijloc” („man-in-the-midle”) – intrusul este conectat direct la un nod internediar al rețelei, având astfel accesul necesar pentru a intercepta mesajele transmise și înlocuirea acestora cu alte date false.

Virușii sau viermii de rețea (worms), calul troian (trojan) si rețelele botnet.

2.4. Standarde internaționale care reglementează domeniul securității IT

Comisia Electrotehnică Internațională (în engleză International Electrotechnical Commission, prescurtat IEC) este o organizație non-profit, non-guvernamentală internațională de standardizare care realizează și publică standarde internaționale pentru toate tehnologiile electrice, electronice și conexe – cunoscute sub numele de electrotehnică.

Standardele IEC sunt realizate pentru o gamă variată de tehnologii energetice, de transport și distribuție, electrocasnice, semiconductori, fibră optică, baterii, energia solară, nanotehnologie și energie marină, precum și multe altele. IEC gestionează și trei sisteme globale de evaluare a conformității care certifică conformitatea echipamentelor, sistemelor sau componentelor acestora cu standardele internaționale.

Aceste standarde internaționale ISO au o numerotare aparte și un format de tipul: ISO 99999:yyyy: Titlul, „99999” reprezentând numărul standardului, „yyyy” semnifică anul publicării, și „Titlul” descrie subiectul tratat de catre standard.

ISO 27000 Securitatea informației: Serie de norme dedicate securității informației

Un Sistem de Management al Securității Informație (sau SMSI) ISO 27000, reprezintă abordarea sistematică a managementului informației cu condiția menținerii unor standarde de siguranță. Acest lucru implică inclusiv angajații, procesele și sistemele IT.

Familia ISO/IEC 27000 conține standarde de securitate publicate în comun de către Organizația Internațională pentru Standardizare (ISO) și Comisia Electrotehnică Internațională (IEC). Seria cuprinde indicații cu privire la practicile ideale pentru gestionarea informațiilor de securitate și de control a factorilor de risc în contextul unui sistem de management al securității informației (ISMS).

Această serie deține o arie vastă de aplicabilitate, care tinde spre mai mult decât asigurarea intimității, confidențialității si rezolvarea problemelor de securitate tehnice sau IT. De asemenea, seria ISO 27000 e recomandată pentru toate organizațiile indiferent de dimensiuni. Riscurile de securitate a informațiilor trebuie evaluate si in urma acestor evaluări, e necesară aplicarea unor standarde ce pot controla si securiza sistemele, în funcție de necesitățile organizațiilor.

Ce este ISO 27001:2005 ?

BSI a realizat un cod de practică pentru aceste sisteme informatice, în prezent adoptat internațional sub formă ISO/IEC 27001:2005 Information Security Management System (ISMS), care înlocuiește BS7799-2:2002. Acest standard specifică cerințele necesare pentru impunerea unor controale de securitate realizate conform necesităților organizațiilor. Astfel, ISO 27001:2005 devine instrumentul ce stabilește cerințele importante pentru un bun Sistem de Management al Securității Informaționale. Scopul acestuia este de a identifica și minimiza posibilele amenințări ce pot afecta de regulă informația.

Pentru o organizație, ISO 27001:2005 reprezintă o serie de modalități și mijloace cu scopul de a reduce riscurile la adresa informației prin implementarea unui Sistem de Management al Securității Informaționale.

Conținând 36 de obiective, prezentate prin 127 de reglementări și controale, acest Sistem MSI urmărește să asigure un sistem de securitate ideal la toate nivelele prin: securitatea fizică și a personalului, securitatea operațională, manevrarea procesarea și transmiterea informațiilor (pe orice cai de transmitere), planificarea, modificarea, reutilizarea și scoaterea din funcțiune a sistemelor informaționale, protecția anti-virus, anti-interceptare, anti-intruziune etc.

Utilitate:

asigura securitatea informațiilor societății certificate cît și a datelor informatice ale clienților și partenerilor de afaceri.

oferă propuneri pentru ținerea sub control a riscurilor de criminalitate informațională, identifica amenințările și găsește cai de abordare ale metodelor de protecție pentru a proteja supraviețuirea companiei.

oferă managerilor un control mai bun asupra fluxurilor de informații din organizația certificată.

sunt identificate și ținute sub control riscurile care pot afecta activitatea societății.

oferă clienților și partenerilor de afaceri încredere sporită în organizația certificată.

posibilitatea de a întruni toate condițiile de eligibilitate la licitații acolo unde certificarea SMSI este un criteriu.

o poziție și imagine mai bună pe piață în fața concurenței.

Deficiențele din cadrul unei companii care pot fi înlăturate prin implementarea a Sistemul de Management al Calității conform ISO 27001:2005 sunt:

Căderi de tensiune;

Configurații defectuoase ale echipamentelor sau aplicațiilor;

Politici neadecvate de salvare a datelor;

Planificarea eronată a capacităților de stocare;

Procesare și transmitere a datelor;

Arhivarea necorespunzătoare a documentelor;

Lipsa unor reguli de transmitere a informațiilor (prin poștă clasică, fax, radio, poștă electronică etc);

Amenințări datorate unor locații improprii și multe altele.

ISO/IEC 27002 Cod de bune practici în ISMS

Standarul ISO/IEC 27002 (numit anterior ISO/IEC 17799) stabilește o serie de condiții principale pentru a iniția, implementa, menține și îmbunătăți managementul securității informației din cadrul unei organizații. Scopul acestui standard este de a oferi soluții generale pentru obiectivele stabilite în managementul securității informațiilor, conținând unele dintre cele mai bune practici de control în următoarele domenii:

organizarea securității informației;

securitatea resurselor umane;

securitatea fizică și a mediului înconjurător;

controlul accesului;

politica de securitate;

managementul comunicațiilor și al operațiilor;

achiziționarea sistemelor informaționale, mentenanță și dezvoltarea lor;

managementului incidentelor de securitate a informației, etc.

ISO/IEC 27002 este realizat că un tutorial pentru dezvoltă sistemul de management a securității cu scopul de a evalua riscurile, a dezvoltă standardele de securitate organizațională și a oferi încrederea în activitățile interne, organizaționale.

ISO/ IEC 27003 – Ghid de implementarea a sistemului de management al securității informației

ISO/IEC 27003 dezbate aspectele critice, ideale, începând de la design-ul acestui sistem, până la conceperea planurilor de implementare, cu scopul de a proiecta corect și implementa cu succes un sistem de management a securității informatice (ISMS), conform ISO/IEC 27001.

Standarul ISO/IEC prezintă inclusiv procedeul de obținere a abrobarilor de implementare a unui ISMS, definește clar acest proiect de implementare și explică modul de realizare a unui astfel de proiect ISMS.

Scopul acestuia este de a fi folosit în paralel cu ISO/IEC 27001 și ISO/IEC 27002, fără a exclude vreo condiție stipulată de cele două. Cu ajutorul acestuia se definesc conceptele de proiecare și planificare pentru un sistem de management al informației, concluzionând într-un plan riguros de implementare a unui proiect ISMS.

ISO/ IEC 27004 – Managementul securității informației – Evaluări

Acest standard presupune o varietate de îndrumări care au că scop evaluarea eficacității unui sistem de management al securității informației (ISMS), prin folosirea unui ghid de metrici și măsurători. ISO/IEC 27004 este un standard ce se aplică tuturor felurilor de organizații și oferă informații utile referitoare la controalele sau grupurile de controale specificate în ISO/IEC 27001.

ISO/ IEC 27005 – Managementul riscului securității informației

Prin standardul ISO/IEC 27005 se stabilește un ghid dedicat managementului riscului folosit în securitatea informației pentru toate tipurile de organizații (agenții guvernamentale, organizațiile non-profit, societăți comerciale, etc.) cu scopul de a reduce riscurile ce ar putea compromite siguranță informațiilor dintr-o companie.

Pentru a înțelege corect și complet ISO/IEC 27005, este necesară cunoașterea modelelor, conceptelor, terminologiei și proceselor deja prezentate în ISO/IEC 27001. Acest standard tinde să se adapteze la standardul ISO 31000:2009, preluând și din conținutul ISO/CEI 31010:2009, "Managementul riscului – Tehnici de evaluare a riscurilor", pentru a oferi organizațiilor cadrul necesar de gestionare a riscurilor privind securitatea informației.

ISO/IEC 27006 – Cerințe pentru organizațiile ce efectuează audit și certificare a sistemelor de management a securității informației

Acest standard este reprezentat de sprijinul oferit acreditării organismelor de certificare pentru sistemul de management al securității informaților. ISO/IEC 27006 conține îndrumări și caracteristici de urmărit pentru companiile ce practică audit și certificarea ISMS.

Cerințele prezentate în ISO/IEC trebuie urmărite în termeni de competență și fiabilitate de către orice companie de certificare a sistemului de management al securității informației, oferind servicii de interpretare adiționale a acestor cerințe.

ISO/IEC 270011 – Ghidul managementului securității informației pentru organizațiile din domeniul telecomunicațiilor bazat pe standardul ISO/IEC 27002

Organizațiile ce urmăresc a se adapta la prezentul standard vor putea întruni cerințele de bază ale managentului securității informațiilor: disponibilitate, integritate, confidențialitate, dar și orice altă caracteristică relevantă de securitate.

Cu ajutorul acestui standard se definesc recomandări în sprijinul implementării managementului securității informațiilor în cadrul companiilor de telecomunicații.

Capitolul 3: Stadiul actual privind asigurarea securității IT în cadrul S.C. Gameloft România S.R.L.

3.1. Proceduri formale pentru securitatea informației.

În prezent, cel mai evident sistem de securitate cibernetică folosit în cadrul Gameloft România sunt serverele proxy. Acest server este de fapt un intermediar autorizat care acționează în numele unui utilizator. Practic, orice cerere către paginile web sau serviciile ce necesită conexiunea online ajung la acest server proxy, iar apoi este transmis către paginile sau serviciile respective.

Figura 3.1. Circuitul informatiilor in mediul proxy

Cel mai important avantaj al serverelor proxy este acela că ajută compania să obțină un control mai bun asupra felului în care este utilizată conexiunea la internet. Acest intermdiar oferă un întreg jurnal detaliat cu activitatea completă a utilizatorilor pe intrernet, iar be baza acestor detalii, poate fi configurat astfel încât să blocheze accesul angajaților la site-uri pe care își pierd timpul (precum cele de socializare: Facebook, Twitter).

Întrucât discutăm despre securitatea informației, trebuie să luăm în calcul și beneficiile de confidențialitate și securitate oferite de către serverele proxy: ascunderea adresei IP, a locației utilizatorului și a altor informații importante, de asemenea și blocarea de site-uri cunoscute că fiind malware. În momentul în care pagină este accesată prin intermediul proxy, acesta poate fi configurat astfel încât să transmită un alt IP în loc de cel real sau chiar să ascundă complet IP-ul utilizatorului și poate să blocheze cookie-urile sau să le accepte fără a le transmite calculatorului, oferind mai multă anonimitate în momentul navigării pe Internet.

Împreună cu aceste servere proxy, vor fi configurate și sisteme de securitate de tip firewall: cel de tip corporativ (o aplicație instalată că o intermediar între LAN și Internet ce filtrează și urmărește transferul de date) și cel de tip personal (instalat o dată cu pachetul anti-virusului în fiecare calculator utilizabil de către angajați). Accesul pentru a modifica sau a dezactiva firewall-ul se face cu acordul administratorului și doar pentru situații excepționale.

Un alt mijloc de asigurare a securității informațiilor este nelipsitul Intranet, întrucât este cel mai utilizat mediu de transmitere a informațiilor (în special al celor confidențiale), în cadrul organizației, către un număr restrictiv de oameni, autorizați. Acest mijloc constă într-o rețea privată TCP/IP care oferă servicii de tip Internet (web, e-mail, FTP sau instrumente de consultarea diferitelor baze de date), limitând accesul utilizatorilor din exterior.

Prin intermediul Intranet-ului, angajații Gameloft România pot accesa diferite utilități necesare pentru dezvoltarea aplicațiilor, pentru asigurarea calității acestora și pentru menținerea sau îmbunătățirea relațiilor cu utilizatorii aplicațiilor companiei. Aceste utilități pot fi accesate prin intermediul contului primit de către angajat încă din prima zi cu o parolă default ce trebuie schimbată o dată la 3 luni, altfel accesul la tools, cât și la calculatorul personal, este restricționat.

Desigur, pentru evitarea unor modificări eronate în tool-urile ce pot afecta clienții, accesul începătorilor este restricționat după tipurile de servere pe care funcționează aplicațiile: BETA (aplicația este în testare, nu are contact cu utilizatorii) sau GOLD (unde toate modificările pot afecta clienții – pentru aplicații deja lansate).

Pe lângă aceste proceduri formale de tip IT, mai există și contractele individuale de muncă în care angajatorul menționează importanța datelor confidențiale cu care viitorul angajat va lucra și posibilele sancțiuni în cazul unor scurgeri de informații.

3.2 Analiza SWOT a procesului de management IT la nivelul societății comerciale.

Pentru a putea elabora o strategie de îmbunătățire a managementul sistemului de securitate informatică, trebuie mai întâi să realizăm o "radiografie" a firmei, luând în calcul punctele țări și slabe are companiei, prin intermediul analizei diagnostic (SWOT – Strenghts, Weaknesses, Opportunities, Threats).

Punctele tari și punctele slabe se referă la resursele și posibilitățile de care compania dispune sau nu în momentul actual, fiind considerate caracteristici ale mediulul intern.

Oportunitățile se referă la elemente profitabile din mediului extern, ce pot fi exploatate de către organizație (noi tehnologii, puțini concurenți pe piață. etc), iar amenințările reprezintă factori incontrolabili (precum dezvoltarea în permanentă a unor noi generații de malware) din mediul extern ce pot periclita profitabilitatea organizației.

Tabel 3.1 Analiza SWOT

Ca urmare a analizei matricii SWOT putem scoate în evidență câteva din slăbiciunile politicii IT ale companiei, pentru a putea înțelege mai ușor de ce este necesară o îmbunătățire a managementului securității cibernetice.

După cum s-a prezentat în secțiunea punctelor forte, departamentul IT al companiei este compus din persoane calificate, care trec printr-un proces strict de recrutare și evaluare înainte de a deveni parte a departamentului. Însă slăbiciunea de care aminteam survine în momentul în care se produce o problema de rețea ce ține fie de conectivitate, de viteză traficului și mai ales de securitatea rețelei. Asta deoarece personalul calificat în acest tip de probleme nu este prezent local, ci răspândit în mai multe studiouri din străinătate, comunicând cu studioul din București doar prin intermediul e-mailului. Departamentul IT local este reponsabilizat strict cu alcătuirea rețelei, configurarea și mentenanță fizică a acesteia, precum și cu asamblarea unităților de calcul.

Revenind la implementarea serverelor proxy în cadrul companiei, această pare a avea în momentul de față un singur rol, acela de a urmări traficul pe internet efectuat de fiecare angajat în parte. Asta deoarece angajatul nu întâmpină nicio piedică în a accesa site-uri ce nu țin de domeniul de activitate al companiei cum ar fi rețele sociale, torrente și chiar și pagini web cu conținut strict pentru adulți.

Având în vedere că acțiunile efectuate în instrumentele menționate mai sus au un efect direct asupra clientului companiei, faptul că metoda de acces este universal valabilă pentru orice aplicație sporește gradul general de slăbiciune în securitatea IT din cadrul firmei și poate aduce cu pierderi de clientelă datorită unor erori umane sau rea intenție.

Referindu-ne la accesul angajatului în aplicațiile folosite în companie se poate observă o nouă potențială slăbiciune, prin faptul că metoda de acces presupune folosirea adresei de email și parolă aferentă acesteia pentru oricare din aceste instrumente. Pericolul vine din faptul că odată divulgate sau scurse aceste informații, oricine din cadrul companiei se poate loga în respectivele aplicații sub numele celui care și-a dezvăluit respectivele date.

Conform obiectul de activitate al organizatiei, angajatii lucreaza non-stop cu tablete si telefoane de tip smartphone (cu sisteme de operare iOS sau Android), Apple TV etc. Oricare dintre dipozitivele enumerate mai sus folosit în cadrul companiei conectat la internet, utilizează în acest sens o adresa unică, un șir de numere cunoscut sub numele de protocol de internet (IP).

Versiunea de protocol de Internet utilizată începând cu anul 1983 este IPv4. În momentul în care acest protocol a fost dezvoltat, s-a considerat că cele peste 4 miliarde de adrese unice ce pot fi oferite prin intermediul acestui protocol nu vor putea fi epuizate. Însă introducerea pe piață și utilizarea tot mai largă a noilor dispozitive care pot fi conectate la Internet (telefoane mobile, console de jocuri, etc) au adus în atenție problema inevitabilă a epuizării adreselor IPv4.

Că răspuns la această problema s-a dezvoltat un nou protocol, IPv6, care oferă un număr infinit mai mare de adrese, și anume 2 la puterea 128. Statistică recentă arătând un grad global de implementare a IPv6 de 10%.

Figura 3.1 Utilizarea tipurilor de Internet Protocol,

sursa: https://www.ripe.net/publications/ipv6-info-centre/statistics-and-tools

Politica în cadrul companiei presupune, cel puțin momentan, folosirea în continuare a protocoalelor de internet IPv4, lucru care menține un factor de risc vis-a-vis de potențiale atacuri informatice și bineînțeles restrânge aria de adrese ce pot fi folosite.

Noul Internet Protocol v6 oferă un nivel superior de viteză prin capacitatea de a transmite mai multe pachete către mai multe destinații, în același timp, iar alocarea IP-urilor se face automatizat, evitând procedee rudimentare precum DHCP (Dynamic Host Configuration Protocol). Cea mai importantă caracteristică a acestui noi tip de Internet Protocol, o reprezintă securitatea: datorită numărului aproape infinit de mare de adrese, scanarea aleatorie pentru căutarea unor sisteme vulnerabile este inutilă.

O altă problema, legată de confidențialitate de dată această, apare în momentul în care orice manager de proiect al companiei are acces la câteva date personale ale fiecărui angajat, prin intermediul unui instrument denumit PMT (Project Management Tool). Printre cele mai importante date fiind codul numeric personal, tipul contractului, dată angajării în companie, eventuale bonusuri etc. Practic, managerul unei mini-echipe de 10 oameni, poate avea acces la informații despre absolut toți angajații organizației, inclusiv despre managerul de studio, angajații departamentului de resurse umane și chiar despre foștii angajați.

Există însă oportunități de îmbunătățire a politicii de securitate IT și una dintre ele este upgradarea tuturor sistemelor de operare de pe unitățile de calcul din firma la versiunea 10 a Microsoft Windows. Acesta vine cu un grad mai ridicat de securitate decât precedesorii săi și este optimizat în acest sens.

Mergând pe aceeași idee, în momentul de față soluția de program Antivirus oficial folosită în cadrul companiei nu se regăsește din păcate în topul lărgit al celor mai eficiente programe în acest sens. Și asta deoarece VIPRE, așa cum este denumit Antivirusul, nu reușește să țină pasul cu competitorii direcți atunci când vine vorba de depistarea virușilor absolut noi apăruți, conform site-ul TopTenReviews

De aceea se consideră o oportunitate de îmbunătățire a politicii de securitate informatică trecerea la soluțiile de program Antivirus ce s-au dovedit în ultimii ani a fi extrem de eficiente împotriva constanței apariții de viruși informatici noi.

Analizând în continuare matricea SWOT se observă amenințările din mediul exterior care pot pune în pericol integritatea politicii de securitate informatică.

Unul din pericole vine că urmare a libertății folosirii de programe tip "conectare la distanță" pe unitățile de calcul din cadrul companiei (Teamviewer sau Remote desktop) Prin această metodă absolut toate informațiile, ce în mod normal trebuie să fie incluse strict în circuitul închis al firmei, pot fi accesate de persoane din exteriorul acesteia. Adăugând la această situație slăbiciunile ce rezultă urmare a problemelor de confidențialitate descrise mai sus, va reieși un factor de risc și mai crescut al securității datelor.

Istoria foarte recentă ne arată o potențială breșă de securitate în folosirea chiar și în scop personal a acestor tipuri de programe "conectare la distanță", cu consecințe extrem de grave cum ar fi sabotajul conturilor bancare proprii.

Alături de aceste aplicații, conform unor date recente putem include și mediul de comunicare Skype, care începând cu 2014 prezintă probleme grave de securitate. Fișierele de stocare a tuturor conversațiilor, apelurilor și documentelor sunt foarte ușor de găsit și accesat prin intermediul oricărui program de editare a bazelor de date SQL. Deoarece Skype-ul este de cele mai multe ori intermediarul între echipa de dezvoltatori și echipa de testare a aplicațiilor, faptul că aceste informații confidențiale pot fi găsite foarte ușor (de regulă în AppData/Roaming/Skype) reprezintă o amenințare majoră.

O altă posibilă amentintare ce trebuie luată în calcul se focusează pe echipamentele și dispozitivele fizice ce alcătuiesc rețeaua internă în cadrul firmei. Pentru a asigura acest mod de funcționare 24/7 camerele serverelor sunt prevăzute cu aparatură tip UPS (Uninterruptible Power Supply) care protejează aparatură împotriva fluctuațiilor de tensiune de la rețea și, în cazul întreruperii de tensiune, asigura cu ajutorul energiei stocată în acumulator o funcționare temporară a aparaturii.

Problema apare în momentul în care nu toate camerele ce conțin echipamentele necesare funcționarii rețelei sunt prevăzute cu astfel de aparatură de siguranță, lucru care poate pune în pericol echipamentele, intrumentele folosite cât și toate mijloacele de comunicare între studiouri.

3.3 Necesitatea implementării măsurilor de securitate IT

Pentru a putea înțelege de ce este obligatoriu un management de securitate IT bine implementat, trebui să analizăm pericolele ce vin o dată cu avansarea tehnologiei. Ținând cont de faptul că folosirea noilor tehnologii (spre exemplu tabletele, iOS sau Android) în afaceri a ajuns la 44% în anul 2012, spre deosebire de 20% în anul 2011, putem afirmă că ritmul de creștere a domeniului IT devine tot mai greu de controlat. Astfel companiile tind să caute din ce în ce mai multe programe software dotate cu capacitățile necesare pentru a oferi securitatea informațiilor.

Conform unui raport oferit de CERT-RO, referitor la alertele de securitate din 2014, se poate observă o evidentă creștere a atacurilor cibernetice față de anul anterior: 24% dintre IP-urile destinate spațiului românesc (2.4 milioane) au generat cel puțin o alertă cibernetică (un total de aproximativ 78 milioane de alerte), față de 16% în 2013. Dintre acestea, 54% sunt datorate unor erori de configurare a sistemelor informatice, acestea fiind folosite de atacatori cu scopul de a lansa atacuri asupra altor ținte.

Existența unor vulnerabilități în programele de securitate din 2014, a permis ca 46% dintre atacuri să fie exploatate în așa fel, încât să se reușească preluarea de informații, resurse, date confidențiale, prin infectarea cu aplicații malware. În total 10.759 de domenii „.ro” au fost compromise în anul 2014, în creștere cu 5% față de anul anterior (10.239).

La finele anului 2015, CERT-RO oferă un raport ce evidențiază o scădere a numărului de IP-uri valabile pentru companiile românești (8.958.498 alocate organizațiilor din România) conform datelor de la https://www.maxmind.com/en/allocation-of-ip-addresses-by-country, astfel înregistrându-se o creștere a procentajului de atacuri cibernetice la 26%, dintre care un 78% sunt datorate configurărilor necorespunzătoare sau chiar lipsei securizărilor necesare. În total 17.088 domenii „.ro” au fost atacate, reprezentând o creștere cu aproximativ 58% fără de 2014 și 2013.

Pe baza acestor rapoarte putem formula următoarele concluzii:

instituții din România au reprezentat ținta atacurilor cibernetice de un nivel complex, de tip ATP (Advanced Persistent Threat), cu scopul de a se sustrage informații confidențiale sau alte beneficii informatice;

România afișează și un rol proxy pentru atacatorii din exteriorul spațiului național, aceștia folosindu-se de sistemele informatice compromise sau vulnerabile din mediul cibernetic național (configurate greșit sau deloc);

aceste atacuri cibernetice se multiplică și diversifică anual, fapt evidențiat prin introducerea noilor tipuri de alerte;

aparatele de rețea de uz casnic precum routerele wireless sau dispozitivele conectabile la Internet (smartphone, smart TV, tablete, camere web) pot fi exploatate de hackeri pentru a compromite întreagă rețea din care fac parte și a lansa noi atacuri asupra altor entități;

cele mai vulnerabile sisteme informatice sunt cele neconfigurate sau cele securizate necorespunzător;

în mare parte, atacurile înregistrate sunt realizate prin malware de tip botnet.

Realizând o analiză asupra posibilelor atacuri și asupra problemelor întâmpinate in S.C. Gameloft Romania S.R.L., putem constata că organizația necesită o îmbunătățire a sistemului de management informatic întrucât încă se folosesc protocoale rudimentare precum IPv4, servere proxy neconfigurate corespunzător, iar ramura departamentul dedicată securității este disponibil în studiourile din Italia, Mexic sau Canada.

Pe lângă optimizarea acestor, instrumente, dispozitive sau servere, compania trebuie să asigure și angajaților un training corespunzător legat de importanța confidențialități, despre toate pericolele cibernetice și să restricționeze accesul la informații, în funcție de fiecare departament, în funcție de rolul acestuia.

Capitolul 4: Considerații personale privind perfecționarea managementului securității informației

4.1 Avantaje și argumente pentru utilizarea sistemului de management al securității informatice

Pe parcursul producerii unei aplicații, începând din momentul creației, continuând cu asigurarea calității acesteia și terminând cu momentul lansării ei pe platformele specifice, în cadrul companiei circulă în permanență informații confidențiale, ce pot prezenta interes pentru competiție. De aceea consider că în cadrul organizației S.C. Gameloft România S.R.L. este de bun augur implementarea acestor noi măsuri de securitate.

Acestea pot fi de natură fizică, de exemplu asigurarea absolut tuturor dispozitivelor hardware care conectează rețelistica din cadrul companiei cu aparatură tip UPS (Uninterruptible Power Supply), aparatură cu rol nu numai în asigurarea temporară de energie electrică în caz de avarie dar și cu rol în stabilizarea tensiunii electrice, într-un mod continuu.

Potențialele măsuri de securitate pot fi de asemenea și de natură tehnologică, și aici mă refer la implementarea treptată a protocoalelor de internet IPv6, cu avantaje deja confirmate de toate organizațiile avizate. Acestea pleacă de la posibilitatea alocării unui număr de adrese exponențial mai ridicat, continuând cu posibilitatea trimiterii de pachete informatice către destinații multiple într-o singură secvență și terminând cu ușurință cu care respectivele pachete sunt procesate de către rutere, în comparație cu predecesorul IPv4.

De asemenea este de reținut faptul că potențiala implementare a acestor măsuri de securitate va avea un impact nu numai asupra protecției datelor interne dar și asupra calității muncii în general. Fac trimitere aici la configurarea de restricții reale în cadrul sistemelor proxy pentru a împiedică accesul nelimitat al angajaților la site-uri de tip socializare, dar în special pentru a bloca posibilitatea deschiderii de link-uri care trimit către site-uri cu conținut destinat strict adulților. Este cunoscut faptul că acest tip de pagini sunt sursă principală de infectare cu viruși tip malware / keylogger / spyware.

Metoda aceasta de securitate poate fi chiar mai mult îmbunătățită prin completarea cu o bază de date internă care să conțină o statistică a traficului total efectuat, al fiecărui angajat în parte, la categoriile de pagini web incluse în zona de risc. Statistică aceasta venind după o analiză a echipei special create pentru monitorizarea traficului consumat de unitățile de calcul în timpul orelor de muncă.

Nu trebuie trecut pe plan secundar continuarea eforturilor principalelor departamente informatice din cadrul companiei, cel Online și cel IT, de menținere în pas cu toate noutățile din domeniul cibernetic. Pe baza cercetărilor făcute se efectuează o analiză asupra mecanismului de protecție informatică actual implementat în cadrul companiei și aplicarea de soluții de prevenție și , atunci când se impune, soluții de corecție.

Recent compania a suferit modificări semnificative la nivel administrativ, în faptul că pachetul acționar majoritar a fost achiziționat de către Vivendi S.A. iar conducerea companiei s-a schimbat. Cu toate acestea sentimentul predominant în cadrul studioului intern este unul de optimism, având în vedere istoria Vivendi de ridicare a cotei de piață a companiilor precedent achiziționate.

Pentru a realiza însă acest progres pe scară valorii cotei de piață se presupune abordarea de tactici inovatoare, lucru care conduce inevitabil la sporirea riscului de compromitere a datelor confidențiale din cadrul companiei.

4.2 Limite în implementarea sistemului de management al securității informatice

Pe parcursul implementării acestor noi sisteme de protecție riscăm să întâmpinăm anumite limite ce pot ține fie de durata implementării lor, fie de posibilitățile financiare. Spre exemplu cele 2 internet protocols nu pot momentan comunica natural împreună așadar pentru a putea implementa soluția îmbunătățită IPv6 este nevoie că funcționarea instrumentelor ce necesită un Internet Protocol să fie stopată până se finalizează implementarea, fapt care ar însemna stoparea producției de aplicații pe o perioada de timp.

O posibilă limita financiară am putea întâlni în momentul în care va încerca înlocuirea programelor de tip desktop sharing. Metodă optimă de a exclude total aceste programe va fi configurarea unor telefoane sau tablete de serviciu ce vor avea acces la toate instrumentele Intranet-ului și vor stă la dispoziția fiecărui manager de proiect sau echipa inclusiv în afară programului de muncă. Această soluție este necesară pentru a pune la dispoziție, în permanență, o linie de comunicație sigură cu studiouri ce aparțin de alte fusuri orare (Montreal, Toronto, Hanoi, Saigon, Beijing etc.), dar va aduce costuri considerabile din mai multe motive:

Dispozitivele ce vor urma să fie repartizate managerilor de proiect trebuie să fie mai performante pentru a putea suportă cu ușurință accesul la e-mailuri, aplicații și numărul mare de instrumente necesare mentenanței proiectului;

În prezent, în studioul din București sunt 11 echipe cu proiecte în testare, iar în dezvoltare sunt 5 proiecte, fiecare conținând cel puțin 3 manageri, ceea ce ar presupune un total de aproximativ 50 de dispozitive;

Costurile totale de asigurare mai ridicate rezultate din faptul că dispozitivele vor fi utilizate în mod regulat, în afară orelor de muncă, riscul deteriorării și al compromiterii datelor fiind mult mai mari.

CAPITOLUL 5: Concluzii

Dacă analizăm în final importanța Internetului în cotidian, avantajele și dezavantajele pe care acesta le aduce, putem concluziona faptul că este necesară adaptarea la ce ne oferă acesta, la oportunități și amenințări.

O statistică recentă ne arată că 2.94 miliarde de oameni au acces la Internet în anul curent. Considerând faptul că termenul de hacking a apărut încă din anul 1903, prin simplă bruiere a unui proiector cu injurii în Codul Morse de către Nevil Maskelyne și că Internetul s-a dezvoltat începând cu anii ‘60, realizăm că există riscul de a rămâne mereu cu un pas în urmă abilităților hackerilor.

În opinia mea, ar trebui legată o comunicare între companii și departamentele de cercetare a mediului virtual și chiar între state, pentru a ne putea asigura un oarecare avantaj informațional. Evoluția rapida a Internetului impune din ce în ce mai multe investigații la nivel de stat, organizație si chiar personale, referitoare la descoperirea de noi metode de protecție împotriva atacurilor cibernetice. Pentru a asigura o dezvoltare de soluții care să țină pasul cu progresul mediului virtual, este nevoie că fiecare organizație să investească în a crea un departament informatic de cercetare și dezvoltare, formându-se un lanț de experți în domeniul IT, într-o relație de interacțiune reciprocă.

Pe lângă cercetarea în organizații sau stat, consider că rezultatul noilor descoperiri trebuie făcut public printr-un mijloc oficial, credibil, pentru utilizatorii de rând ai Internetului, întrucât aceștia sunt, de regulă, primele victime, datorită nesecurizarii sau configurării greșite a propriilor dispozitive sau sistemelor de protecție.

Referințe

Andone, I., Țugui A. – Sisteme inteligente în management, contabilitate, finanțe-banci și marketing, Ed Economica, 1999

MIHAI, Ioan-Cosmin; „Securitatea sistemului informatic”, ISBN 978-973-627-369-8, Editura Dunarea de jos, Galati, 2007

Nicolescu, O., Verboncu I., Fundamentele managementului organizației, Bucuresti: Editura Universitară, 2008

Oprea, D., Protecția si securitatea sistemelor informatice, Iași: Editura Universității “Al.I.Cuza”, 2004

Rusen, C., "Întrebări simple: Ce este un server proxy și de ce ai folosi unul?" [online], Disponibil la http://www.digitalcitizen.ro/intrebari-simple-este-server-proxy-si-ai-folosi-unul

Ursăcescu, M., et al 2005. Informatică și Management. București: Editura Universitară

Voicu, C. et al., 2012, Universul Juridic, „Revista de investigare a criminalității”, pp.102

Voiculescu, L., 2006. Consideratii cu referire la partile raportului juridic comercial si ale procesului de natura comerciala, Revista de Drept Comercial, nr 11/2006

http://anti-virus-software-review.toptenreviews.com/vipre-antivirus-antispyware-review.html

http://arstechnica.com/uncategorized/2006/02/6206-2

http://doingbusiness.ro/financiar/raport/1074283

http://ro.wikipedia.org/wiki/Internet

Hackeri chinezi au furat datele a 4 milioane de angajați federali americani

Ip-urile din România, implicate in incidente de securitate cibernetică

http://www.gameloft.ro/prezentare/assets

http://www.gameloft.ro/prezentare/history

http://www.gameloft.ro/stiri/details/21

http://www.tomsguide.com/us/teamviewer-possible-hack,news-22758.html

http://www.worldit.info/articole/securitatea-infrastructurilor-informatice-in-romania/

https://en.wikipedia.org/wiki/Patriot_Act

https://www.ripe.net/publications/ipv6-info-centre/statistics-and-tools

Raportul cu privire la alertele de securitate cibernetică procesate de CERT-RO în anul 2014,: https://www.cert-ro.eu/articol.php?idarticol=918

Raportul cu privire la alertele de securitate cibernetică procesate de CERT-RO în anul 2015,: https://www.cert-ro.eu/articol.php?idarticol=1043