E-Business

1
E-Business
Ligjerata 11
USHT - Fakulteti Ekonomik

• Fisnik Dalipi, MSc

2
Menaxhimi i sigurisë së informacionit në
organizata

• Informacioni është një aset (pasuri, vlerë) që
  është esencial për suksesin e biznesit të një
  organizate
• Siguria e informacionit paraqet mbrojtjen e
  informacionit nga një varg kërcënimesh me qëllim
  të sigurimit të kontinuitetit të biznesit dhe
  minimizimit të riskut në biznes.
• Ruajtja e të dhënave nënkupton
• Confidentiality Mirëbesim i fshehtësisëInformac
  ioni është në dispozicion vetëm për ato që janë
  të autorizuar ta përdorin
• Integrity IntegritetRuajtja e saktësisë dhe
  tërësisë së informacionit dhe metodave përpunuese
  të tij
• Availability Disponueshmëri (në
  dispozicion)Personat e autorizuar duhet të kenë
  qasje në informacion sipas nevojës

3
Shoqëria e informacionit

• Informacioni është kudo
• Gazetat/revistat online
• Emaili personal apo i punës
• Banka elektronike
• Online takimet dhe forumet etj.
• Informacioni është gjithmonë në dispozicion
• Hapja e emaileve në PDA apo telefonat e mençur
• Dëgjimi i voicemail-eve (porosive me zë)
• Surfimi në internet me anë të GPRS në një kafene
• etj.

4
Shoqëria e informacionit

• Cila është vlera e informacionit të saktë ?
• Koordinatat e shpimit gjatë nxjerrjes së naftës
• Historia elektronike e pacientëve
• Thirrjet personale në telefon me miqtë dhe
  familjen
• Informacioni për trupat ushtarake në luftë
• Kontrollimi i anijeve/robotëve kozmik në Mars
• Pa mbrojtje të mirëfilltë të informacionit
• Transaksione bankare të gabueshme
• Rënia të rrjetit të furnizimit me rrymë elektrike
• ... Krizë ekonomike dhe çrregullim shoqëror

5
Historiku i incidenteve

• Chevron (1992). Sistemi i emergjencës u sabotua
  në mbi 22 shtete nga një i punësuar i pakënaqur.
• Aeroporti Worchester (1997). Një haker i jashtëm
  e fiku sistemin për kontrollimin e fluturimeve
  për rreth 6 orë.
• Gayprom (1998). Një haker i huaj e mori
  kontrollin mbi rrjetin e gazit për EU duke
  përdorur sulme me kuaj trojan.
• Kuinslend, Australi (2000). Një punëtor i
  pakënaqur e hakoj sistemin e derdhjes së ujrave
  të zeza duke derdhur mbi një milion litra të
  ujrave të zeza në ujrat e bregdetit.

6
Historiku i incidenteve

• Porti i Venecuelës (2002). Hakerët paaftësuan
  sistemin kompjuterik të portit gjatë një proteste
  kombëtare duke e paralizuar portin në fjalë.
• Ohajo, uzina nukleare Dais-Besse (2003). Sistemi
  i uzinës për monitorimin e sigurisë u fik nga një
  krimb (Worm) me emrin Slammer për 5 orë.
• DaimlerChrysler (2005). 13 fabrika(uzina) në SHBA
  u sulmuan nga infektime me krimba (Zotob, Rbot,
  IRCBot) duke bërë ndërprerjen e prodhimit.
• Banka e Belgjikës (2007). Hakerë rus vjodhën të
  holla nga klientët e bankës duke përdorur
  infektime shumë komplekse me viruse.

7
Përse nevojitet siguria e informacionit në
organizatë ?

• Shumë sisteme të informacionit nuk janë dizajnuar
  që të jenë të mirësiguruar. Menaxhimi i sigurisë
  së informacionit të organizatës kërkon orvatje jo
  vetëm nga departamenti i IT, por edhe nga
• Menaxhmenti i organizatës
• Të punësuarit
• Klientët
• Aksionerët
• Furnizuesit
• Etj.

8
Disa standarde për sigurinë e inform.

• ISF Standard (Information Security Forum)
• COBIT (Control Objectives for Information and
  related Technology)
• AusCert (Australian Computer Emergency Response
  Team)
• NIST (National Institute of Standards and
  Technology)
• Seritë e ISO 27000 (www.27000-toolkit.com)

9
Polisa e sigurisë

• Qëllimi
• Ti ofroj menaxhmentit (udhëheqësisë) kahje dhe
  mbështetje për sigurinë e informacionit në
  pajtueshmëri me kërkesat biznesore dhe
  rregullativave ligjore
• Menaxhmenti duhet të vendos kahje të qarta të
  polisave në përputhshmëri me qëllimet biznesore
  dhe të demonstrojë mbështetje dhe përkushtim për
  sigurinë e informacionit nëpërmjet aplikimit të
  një polise të sigurisë për të gjithë organizatën
• Dokumete të polisës
• Evaluim i polisës

10
Siguria e organizatës

• Qëllimi
• Infrastruktura e sigurisë së informacionit
• Të menaxhohet siguria e informacionit në
  organizatë
• Forum për menaxhimin e sistemit informativ
• Palët e jashtme
• Të ruhet siguria e procesimit të informacionit
  nga palët e tjera të jashtme.
• Pra, një organizatë/kompani tjetër përkujdeset
  për sigurinë e informacioneve të kompanisë sonë

11
Siguria e personelit

• Qëllimi
• Siguria në punë
• Të reduktohen rreziqet nga gabimet njerëzore,
  vjedhjet, mashtrimet apo keqpërdorimet e
  resurseve të punës
• Trajnimi i përdoruesve
• Me qëllim që përdoruesit të jenë të ndërgjegjshëm
  për sigurinë e informacionit si dhe kërcënimet,
  duhet të trajnohen që të jenë të gatshëm ta
  mbështesin polisën e sigurisë së organizatës
  gjatë punës së tyre normale
• Përgjigja ndaj incidenteve të sigurisë dhe
  keqpërdorimeve
• Të minimizohet dëmtimi nga incidentet e sigurisë
  duke raportuar incidentet, dobësitë e tyre si dhe
  keqpërdorimet e tyre

12
Siguria fizike dhe e mjedisit

• Qëllimi
• Hapësira të sigurta
• Që të parandalohet qasja, dëmtimi dhe
  interferenca e paautorizuar në informacionet e
  organizatës
• Hyrje të kontrolluara nëpër hapësira të caktuara,
  zyra të siguruara etj.
• Siguria e pajisjeve teknike
• Pajisjet duhet të mbrohen nga kërcënimet fizike
  dhe natyrore (siguria e kabllove, rrymës, etj.)
• Kontrolle të përgjithshme
• Për tu parandaluar vjedhja e informacionit dhe
  resurseve tjera në organizatë

13
Menaxhimi i komunikimeve dhe operacioneve

• Qëllimi
• Procedura operacionale dhe përgjegjësi
• Që të sigurohet operacioni i saktë dhe i sigurtë
  i inforacioneve
• Procedura të dokumentuara për operacionet
• Procedura për menaxhimin e incidenteve
• Mbrojtje nga softverë të dëmshëm/rrezikshëm
• Që të mbrohet integriteti i softverit dhe
  informacioneve
• Menaxhimi i rrjetës
• Që të mbrohet informacioni në rrejta kompjuterike
• Monitorime
• Që të zbulohen aktivitete të përpunimit të
  informacionit që janë të paautorizuara

14
Kontrollimi i qasjes/hyrjes

• Qëllimi
• Menaxhimi i qasjes së përdoruesit
• Që të sigurohet qasje e autorizuar dhe të
  pamundësohet qasje e paatuorizuar në sistemin
  informativ
• Kontrolli i qasjes në rrjet
• Që të parandalohet qasje e paautorizuar në
  shërbimet e rrjetit
• Kontrolli i qasjes në sistemin operativ
• Që të parandalohet qasje e paautorizuar në
  sistemin operativ (psh. Në pjesën e menaxhimit të
  passwordeve)
• Kontrolli i qasjes në aplikacione softverike
• Kontrolli i informacionit në pajisjet mobile
  (celularët)

15
Menaxhimi i kontinuitetit të biznesit

• Qëllimi
• Të kundërveprohet ndaj obstruksioneve/pengesave
  ndaj aktiviteteve biznesore dhe të mbrohen
  proceset biznesore kruciale nga efektet e
  mosfunksionimit të sistemit informativ apo të
  katastrofave natyrore dhe të sigurohet rivënia në
  funksion e këtyre proceseve biznesore në kohë të
  arsyeshme
• Realizimi
• Zhvillimi i një plan për kontinuitetin e biznesit
  dhe vlerësimin e riskut
• implementimi i planeve të tilla
• Testimi i planeve edhe në situata normale dhe
  rishqyrtimi i planeve për kontinuitetin e
  biznesit

16
Pajtueshmëria/Marrëveshja

• Qëllimi
• Pajtueshmëri me kriteret ligjore
• Që të shmanget thyerja e ligjit, statuteve,
  kontratave
• Identifikimi i legjislativës aktuale
• Të drejtat intelektuale
• Mbrojtja e regjistrimeve të organizatës
• Mbrojtja e të dhënave dhe privatësia e
  informatave personale
• Parandalimi nga keqpërdorimi i resurseve të
  informacionit
• Nëse prishet marrëveshja/pajtueshmëria duhet të
  konsiderohet rishqyrtim i polisave të sigurisë

17
Thank You!

• PYETJE???