1 / 63

Upravljanje informacionim resursima i bezbednost

Upravljanje informacionim resursima i bezbednost. Tijana Star čević 778/10 Sunčica Jaukovi ć 1132 /10 Aleksandar Maleti ć 1092/10.

griffith-santana
Download Presentation

Upravljanje informacionim resursima i bezbednost

An Image/Link below is provided (as is) to download presentation Download Policy: Content on the Website is provided to you AS IS for your information and personal use and may not be sold / licensed / shared on other websites without getting consent from its author. Content is provided to you AS IS for your information and personal use only. Download presentation by click this link. While downloading, if for some reason you are not able to download a presentation, the publisher may have deleted the file from their server. During download, if you can't get a presentation, the file might be deleted by the publisher.

E N D

Presentation Transcript

  1. Upravljanjeinformacionimresursimaibezbednost • Tijana Starčević 778/10 • Sunčica Jauković1132/10 • Aleksandar Maletić 1092/10

  2. Upravljanje informacionim resursima (Information Resources Managemengt - IRM) obuhvata sve aktivnosti u vezi sa planiranjem, organizovanjem, sticanjem, održavanjem, obezbedjivanjem i kontrolisanjem resursa IT. • Na nivou odeljenja ISD • U odeljenjima , jedinicama i timovima krajnjih korisnika

  3. Direktor IS naziva se rukovodiocem informacionog sistema Odeljenje za informacioni sistem moze da podnosi izvestaje: • Potpredsedniku zaduženom za administraciju • Izvršnom direktoru operativnog odseka • Izvršnom potpredsedniku • Glavnom izvršnom rukvodiocu (CEO)

  4. Važni su dobri odnosi ISD i krajnjih korisnika ! Četiri pristupa korišćenja računara krajnjih korisnika: • Da ih pusti da potonu ili isplivaju • Da koristi štap • Da koristi šargarepu • Da ponudi podršku

  5. Negovanje odnosa ISD i krajnjih korisnika • Osnivanje specijalne jedinice za podrsku krajnjim korisnicima • Uvođenje obuke krajnjim korisnicima • Davanje prioriteta računarskim aktivnostima krajnjih korisnika • Obučavanje zaposlenih • Angažovanje specijalnog tima za rešavanje sukoba

  6. Priznavanje CIO za člana vrhovnog izvršnog tima organizacije • Ovlašćenje zaposlenih da donose odluke na licu mesta • Svođenje smetnji u radu na minimum

  7. Koordinacioni komitet Zadaci: • Određivanje pravca • Opskrbljivanje • Strukturiranje • Kadrovsko popunjavanje • Komunikacija • Procena

  8. Sporazumi o nivou usluga Formalni sporazumi o podeli odgovornosti između krajnjih korisnika i ISD. Uprava krajnjih korisnika ima slobodu da izabere količinu i vrstu potrebne podrške.

  9. Sporazumi o nivou usluga definišu : • Odgovornosti u računarskim aktivnostima • Daju okvir za projektovanje usluga podrške • Dopuštaju krajnjim korisnicima da zadrže najveći mogući stepen kontrole nad sopstvenim računarskim aktivnostima.

  10. Prednosti • Jasno navodi čija je odgovornost • Obezbeđuje strukturu za projektovanje i pružanje usluga ISD krajnjim korisnicima • Podstiče krajnje korisnike da poboljšaju svoj rad na računaru • Sporazum je sredstvo ISD za koordiniranje računarske aktivnosti korisnika

  11. Četiri koraka postizanja SLA • Definisanje nivoa usluga • Podela odgovornosti na svakom nivou • Projektovanje detalja nivoa usluga • Sprovođenje nivoa usluga

  12. Informacioni centar • Korisnički servis ili centar za pomoć • Pružanje pomoći krajnjim korisnicima u rešavanju računarskih problema • Pružanje opšte tehničke pomoći • Opšte ulsluge podrške

  13. Nova organizacija IT • Postići dvosmerno strateško usaglašavanje • Razvijati delotvorne odnose sa linijom upravljanja • Brzo razvijati i uvoditi nove sisteme • Graditi i upravljati infrastrukturama

  14. Prekvalifikacija organizacije IT • Urediti odnose sa snabdevačima • Izgraditi visoki radni učinak • Rekonstruisati i upravljati “saveznom” organizacijom IT

  15. Rukovodilac informacionog sistema • Prvenstvena uloga je da uskladi IT sa poslovnom strategijom • Sekundarne uloge: sprovođenje rešenja proisteklih iz pregleda stanja i poboljšanje pristupa informaicjama

  16. CIO je član korporativnog izvršnog komiteta • Izvršni komitet obezbeđuje vrhovni nadzor nad iformacionim resursima organizacije • Razumeti složenost poslovanja u konkurentom globalnom okruženju. • Nositi se sa tehnološkim promenama • Poznavati oblast poslovanja kompanije • Koristiti poslovne a ne tehničke termine u komunikaciji s korporativnom upravom • Uspostaviti kredibilitet odeljenja IS • Povećati tehnološku zrelost kompanije • Održati kompetentnost tehnologije • Razumeti umrežavanje na globalnoj osnovi • Upravljati sigurnošću i bezbednošću sistema IT • Obrazovati direktore koji nisu iz IT

  17. CIO u eri interneta • Na ulogu utiču: • Tehnologija i upravljanje njome • Menjaju se stavovi izvršnih direktora • Isporučioci utiču na strateško razmišljanje svojih klijenata

  18. CIO preuzima sve veću odgovornost za definisanje strateške budućnosti • CIO treba da pomogne da se izbegne razočarenje u IT • Potrebno je da CIO razume da je era interneta vise fundamentalna promena poslovanja nego tehnologije

  19. Potrebno je da se CIO zalaže za više centralne kontrole • CIO i krajnji korisnici moraju da sarađuju više • CIO je odgovoran za razvoj novih modela poslovanja zasnovanih na Webu • CIO postaje poslovni vizionar koji pokreće poslovnu strategiju

  20. Zbog velikog pritiska CIO se obično ne zadržava dugo u jednoj organizaciji • Kako tehnologija postaje sve važnija za poslovanje, CIO postaje ključni pokretač u redovima višeg rukovodstva.

  21. Bezbednosne mere • Bezbednost mreže je potrebna da bi se obezbedila tačnost i pristupačnost podataka, poverljivost i privatnost, dostupnost sistema i nemogućnost reprodukcije. • Kontrola pristupa- sistem kontrole pristupa čuva od neovlašćenih pokušaja uključivanja telefonom. Sistem kontrole pristupa proverava autentičnost PIN-a i lozinke. Problem modema – U mnogim kompanijama zaposleni koji su na putu ili na terenu koriste modeme za pristup na intranet kompanije putem telefona. Postoje dva tipa modema: ovlašćeni i neovlašćeni. Modemi su vrlo riskantni.

  22. Šifrovanje – šifrovanjem se regularan digitalizovan tekst pretvara u nečitljiv ispreturan tekst i brojeve koji se po prijemu dekoduju.Masovno prihvaćeni algoritam za šifrovanje je Standard za šifrovanje podataka • Otkrivanje i otklanjanje problema – npr. uređaj za testiranje kabla, analizator protokola • Obezbeđenje od korisnog tereta – šifrovanje ili druga vrsta manipulisanja podacima koji se šalju u mrežu.

  23. Komercijalni proizvodi • Otkrivanje upada – uređaj se postavlja blizu tačke ulaza Interneta na intranet. Pr. BladeRunner, IDS

  24. Mrežna barijera • Mrežna barijera je sistem ili grupa sistema koji sprovode politiku kontrole pristupa između dve mreže. • Mrežne barijere su najisplativija rešenja za brobu protiv hakerisanja. • Mrežne barijere ne zaustavljaju viruse koji mogu prikriveni postojati u mrežama.

  25. Uvođenje mera bezbednosti • Pregled informacionih sistema Sredstva za kontrolu se uvode da bi se osiguralo da informacioni sistemi rade pravilno. O kontroli se govori kao periodičnom ispitivanju i proveri finansijske i računovodstvene evidencije i procedura.

  26. Postoje dva tipa revizora: unutrašnji i spoljni (pregleda nalaze unutrašnjeg pregleda i ulazne podatke, obradu i izlaz iz informacionog sistema). • Pregled IT je usredsređen na teme kao što su dalji razvoj sistema, operacije i održavanje, celovitost podataka, softverska aplikacija, nabavke, budžet i troškovi, obuka, kontrola cena, predviđanja katastrofa i obnavljanje, produktivnost i dr.

  27. Postupci pregleda IT se mogu klasifikovati u tri kategorije: • pregled oko računara, • pregled kroz računar( pregled programske logike) • pregled pomoću računara.

  28. Revizori koriste alatke da bi povećali sopstvenu delotvornost i efikasnost. Npr. spiskovi za proveru, formule i dijagrami. • Računarski programi za podršku posla revizora: 1. programi za testiranje 2. programi za sumiranje 3. programi za uzimanje uzoraka 4. programi za upoređivanje • Revizori i konsultanti za bezbednost mogu da pokušaju da prodru u računarski sistem. (primer revizori države Ilinois)

  29. Primer • Revizoridržave Ilinois su izdali saopštenje 1993. godine kojim su obavestili državu da su postigli uspeh u svom zadatku da prodru u centralni računar koji opslužuje 109 državnih organa. Ovlašćeni haker radeći sa udaljenog mesta uspeo je da uđe u sistem, očita, izmeni i obriše podatke kao što su platni spisak i zatvorska evidencija.

  30. 2. Planiranje obnavljanja posle katastrofe • Uništenje svih računarskih uređaja može da prouzrokuje značajnu štetu; • Svrha obnavljanja je da se poslovanje nastavi pošto se dogodi katastrofa; • Planiranje obnavljanja je deo zaštite imovine; • Plan treba napisati kako bi se aktivirao u slučaju katastrofe.

  31. Primer • Kreditna zajednica Heritage Trust Credit Federal je nastavila sa normalnim radom kada je uragan Hugo pogodio Čarlston. Imala je razrađeni plan za obnavljanje rada posle katastrofa pomoću softvera za PC s napajanjem na baterije (Recovery Pac)

  32. Rezervni mehanizam • U slučaju katastrofe često je neophodno preseliti centralizovani računarski sistem na udaljenu rezervnu lokaciju • Spoljni prodavci vrućih lokacija obezbeđuju smeštaj u potpuno konfigurisane rezervne centre. (Charles Schwab Corporation) • Kod spoljašnje hladne lokacije se obezbeđuje prazan poslovan prostor sa uređenim podom, ventilacijom i instalacijama

  33. Izbegavanje katastrofa • Pristup koji je usmeren ka preventivi • Cilj je da se mogućnost da dođe do katastrofe svede na minimum

  34. 3.Upravljanjerizikom i analiza troškova i koristi • Upravljanje rizikom je pristup koji pomaže da se utvrde opasnosti i izaberu isplative mere obezbeđenja. • Analizu upravljanja rizikom može da olakša primena paketa softbera DSS Očekivani gubitak=P1*P2*L P1-verovatnoća napda P2-verovatnoća da će napad biti uspešan L – gubitak koji nastaje ako je napad uspešan

  35. Bezbednost IT u 21.veku • Povećanje pouzdanosti sistema – cilj vezan za pouzdanost je da koristi toleranciju na greške da bi informacioni sistemi mogli da nastave da funkcionišu čak i kada neki delovi zataje.

  36. Inteligentni sistemi za rano otkrivanje – Ekspertski sistemi i neuronske mreže se koriste u te svrhe. Ovim pristupom se porede aktivnosti korisnika na mreži radne stanice u odnosu na profile u prošlosti i analizira se značaj neslaganja. • Pristup koristi više vladinih organa i velike korporacije.

  37. Veštačka inteligencija u biometriji: • Ekspertski sistemi – inteligentni računarski programi kojima se emulira rešavanje problema na način na koji to čine eksperti • Neuronsko računarstvo • Prepoznavanje glasa

  38. Ekspertski sistemi za dijagnozu, prognozu i predviđanje katastrofa – koristi se za dijagnostifikovanje problema u računarskim sistemima i predlaganje rešenja. • Inteligentne kartice – Excel MAR 10 nudi šest nivoa bezbednosti: identifikacija ovlašćenog korisnika, izvršavanje unapred utvrđenih programa, proveru autentičnosti, šifrovanje programa, šifrovanje komunikacija i stvaranje datoteka o praćenju podataka.

  39. Borba protiv hakera – Firma Secure Networks je razvila proizvod koji je u svojoj osnovi mreža mamac u okviru mreže.

  40. Ranjivost • Vrste opasnosti: - nenamerne - namerne • Nenamerne opasnosti: - ljudske greške - opasnosti okruženja (primer ciklona Tamara i nestanak struje na Terazijama) - kvarovi računarskih sistema

  41. Ranjivost • Namerne opasnosti - računarski zločini i kriminal • Primeri: - krađa podataka - neodgovarajuća upotreba podataka - krađa vremena na velikim računarima - krađa opreme ili programa - namjerna manipulacija u rukovanju, unosu, obradi, prenosu ili programiranju podataka - štrajkovi radnika - nemiri ili sabotaža-ostalo • Do njih dolazi na četiri načina: - računar može biti cilj - računar može biti medijum - računar može biti oruđe - računar se može koristiti za zaplašivanje

  42. Ranjivost

  43. Ranjivost • Lica koja su povezana sa računarskim zločinima: - insajderi - autsajderi (najčešće hakeri) • Hakeri mogu biti: - dobronamerni - zlonamerni (krekeri)

  44. Računarski zločini • PROFIL hakera: - pol - belci, muškarci između 19 i 30 god. (žene su uglavnom saučesnici) - zanimanje - programer, student, menadžer - izgled - samouveren, brz, energičan - pristup poslu - vrlo motivisan, avanturistički • MOTIVI hakera: ekonomski (novac), ideološki (pravda), egocentrični (izazov), psihološki (osveta), iz zabave (‘nako, dosada) • Na meti cyber-kriminala nisu izostavljena privatna lica kao ni male i velike kompanije

  45. Računarski zločini • TeslaTeam - organizacija iz Srbije. - Mete: političke grupe, albanski vebsajtovi,anti-srpski vebsajtovi i novinske agencije - jedina organizacija u Srbiji koja organizuje hakerske napade • Anonymous - osnovana 2003. preko mreže 4chan - protivnici cyber posmatranja i praćenja i cyber-cenzure - zalažu se za internet aktivizam. - poznati su u popularnoj kulturi po svojim maskama - učestvovali u obaranju sajtova Sientološke crkve, napadali kompanije koje su bile protiv Wikileak-sa • P.H.I.R.M. - jedna od najstarijih hakerskih grupacija, osnovani su 1983. i do raspada 1990 imali su oko 100 clanova. - jedna od njihovih uspešnih akcija je da su uspeli da upadnu u Bank of America bazu podataka - veći broj članova kasnije pridružio organizaciji Anonymous • LulzSec - organizacija koja hakuje sajtove radi zabave - oni su mala organizacija proizasla iz kako se smatra glavnih članova Anonymous-a - poznati su po tome sto su hakovali sajt Američkog X-faktora i nekokiko sajtova kompanija za video igre - na njihovoj listi su Sony, Nitendo, Americki senat i još neki koji nisu potvrđeni

  46. http://www.informationisbeautiful.net/visualizations/worlds-biggest-data-breaches-hacks/http://www.informationisbeautiful.net/visualizations/worlds-biggest-data-breaches-hacks/ • Veliko hakovanje u SAD-u - roku od osam godina hakerska grupa je ukrala oko 160 miliona brojeva kreditnih i debitnih kartica i oko 800 hiljada bankarskih računa - kompanije kao JC Penny, Hannaford, Heartland , Jet Blue, Dow Jones, Visa Jordan, Global payment , Diners Singapore, Ingenicard su bile na meti ovog napada

  47. Računarski zločini • Facebook - nekoliko puta hakovan - najveći se desio slučajno koristeći "Download your information" članovi Facebook su neznajući slali brojeve telefona i internet adrese svojih prijatelja - oštećeno oko 6 miliona korisnika. • AOL (American Online) - 3 velika incidenta - prvi 2005. kada je jedan od radnika na software-u ukrao 92 miliona naloga i prodao ih - drugi put je American Online bez ikakvih razloga pustio u javnost oko 20 miliona korisničkih naloga - 2013. se ponovo desio neovlašćeni sigurnosni pristup koji je rezultovao sa 2,4 miliona oštećenih • Blizzard Entertainment - Blizzardova igračka mreža, tzv. Battle.net, je hakovana i ukradeni su kodovi, sigurnosne reči sa unutrašnjih servera koje se koriste radi kontrole korisničkih naloga i računa - Blizzard nije hteo da izjavi o kolikom broju naloga se radi ali se predpostavlja da je oko 14 miliona • Sony Plastation network i Sony Online Entertainment - pored toga što im je hakerska organizcika LulzSec probila Playstation mrežu i time kompromizovala 77 miliona naloga, vise od 23000 finansijskih podataka je nestalo kako je izjavio Sony • T-Mobile Deutsche Telecom - prijavili da im je ukraden uređaj sa bazom podataka u kojoj je bilo oko 17 miliona imena ,adresa I brojeva telefona

  48. Računarski zločini • Osnovni pristupi u namernim napadima: - neovlašćeno menjanje podataka - podvale u programiranju • Metode napada: - virus (broj se kreće do 70.000,a mesečno se u proseku pojavi oko 100-150 novih virusa) - crv - trojanski konj - sečenje salame - tajna vrata - logička bomba - njuškavac - podvala - ostalo

More Related