
Introducere
Orice organizatie are nevoie de securitate. Nu dimensiunea unei organizatii determina necesitatea de protectie a datelor, ci criticitatea sau confidentialitatea acestora.
Un aspect foarte important este cel al functionalitatii comunicatiilor si de aici necesitatea unei protectii adecvate. Sectorul financiar-bancar este cel mai constient de nevoia de securitate, aici existand si norme legislative, mai ales in conditiile in care bancile oferă servicii precum Internet Banking, insa si alte sectoare, cum ar fi infrastructurile mari utilizează continuu Internetul pe toate palierele de activitate ale acestora, dar, în special, pentru comunicare.
Solutiile de genul firewall-antivirus nu mai acopera de mult nevoia de securitate a unui sistem informatic, desi instalarea unor astfel de solutii actuale si eficiente sunt inca de interes, la ora actuala fiind cautate sistemele de protecttie antiintruziune, atat la nivel de retea, cat si de server, de sisteme pentru protectia comunicatiilor, de solutii puternice de autentificare si mai ales de servicii profesionale de consultanta, training, suport, audit si certificare.
Trebuie deci realizata o protectie reala a sistemelor informatice si nu doar asigurata securizarea lor. Securitatea IT inseamna:
- tehnologie;
- procese
- educatie.
Dezvoltarea unui sistem de protectie trebuie facuta planificat, pe baza unui buget stabilit, a unei strategii si trebuie dublata de dezvoltarea de competente pentru utilizarea sa ulterioara.
Daca la nivelul anilor trecuti nivelul de constientizare era destul de scazut la noi si din acest motiv numai companiile mari urmareau serios dezvoltarea de sisteme de protectie solide, in momentul de fata asistam la o informatizare pe scara larga a institutiilor, lucru datorat avantajelor aduse de sistemele informatice. Astfel colectarea, transmiterea, procesarea, stocarea si regasirea datelor se face mai rapid, mai ieftin, mai usor, cu o economie mai mare de spatiu, ceea ce duce la o economie semnificativa de timp si de efort, care pot fi investite astfel pentru realizarea unor activitati curente de o mai buna calitate. De asemenea, se asigura un control mai bun al sistemului, in special in ceea ce priveste costurile.
Cu toate acestea, exista si un dezavantaj major: securitatea datelor devine mai greu de asigurat. O persoana poate sa aiba acces la unele date de la distanta, fara sa fie vazuta si fara sa lase urme. De asemenea, accesul la o mare cantitate de date intr-un timp scurt si eventual preluarea lor este mult usurata. De asemenea, se pot sterge si modifica date, de multe ori fara a se lasa nici un indiciu ca acest lucru s-ar fi intamplat. Toate acestea se realizeaza cu ajutorul calculatoarelor, al retelelor de comunicatii si a dispozitivelor aferente .
Cum pot fi protejate datele in sistemele informatice, care sunt amenintarile la adresa securitatii lor si cum pot fi ele reduse ori eliminate?
Protectia datelor dintr-un sistem informatic are ca scop impiedicarea folosirii lor in mod neadecvat, intentionat sau nu, de catre diversi agenti (utilizatori sau programe), fie ca apartin sau nu organizatiei care detine sistemul informatic. Acest domeniu face parte din cadrul mai larg al securitatii informatiei, care nu este restransa la sistemele informatice sau la informatia aflata intr-o forma electronica sau usor de citit de catre o masina, ci se aplica tuturor aspectelor protejarii datelor si informatiilor .
Glosarul National de Securitate al Sistemelor Informationale, publicat de National Security Telecommunications and Information Systems Security Committee (Comitetul National de Securitate al Sistemelor Informationale si de Telecomunicatii) din cadrul guvernului federal al SUA, defineste securitatea sistemelor informationale (INFOSEC) in felul urmator:
”Protectia sistemelor informatice impotriva accesului neautorizat la informatie sau a modificarii neautorizate a informatei, in cadrul stocarii, procesarii sau tranzitului, si impotriva refuzului deservirii utilizatorilor autorizati, sau asigurarea deservirii utilizatorilor autorizati, incluzand acele masuri necesare pentru a detecta, documenta sau contracara aceste amenintari.”
Merita mentionat faptul ca securitatea informatiei nu poate fi absoluta. Nimeni nu poate elimina toate riscurile folosirii neadecvate ale informatiei. In orice situatie particulara, nivelul de securitate al informatiei va trebui sa fie stabilit in functie de valoarea informatiei si de pierderile de orice natura care are ar rezulta din folosirea necuvenita a informatiei dezvaluirea, degradarea, refuzul accesului sau altele. Este vorba de un proces de management al riscului. O politica de securitate prea stricta, spre exemplu, ar ingreuna prea mult accesul la informatie, ar mari timpul de lucru, ar avea costuri financiare prea mari, etc.
Triada confidențialitate, integritate, disponibilitate

CONFIDENȚIALITATE
Prevenirea accesului entitatilor neautorizate (persoane, grupuri de persoane, procese, dispozitive) la un set specific de date sau informatii, sau asigurarea faptului ca un set specific de date sau informatii sunt accesibile numai celor autorizati sa aiba acces la ele.

INTEGRITATE
Protectia impotriva modificarii sau distrugerii neautorizate a informatiilor. Modificarea neautorizata a informatiilor poate avea efecte grave in cazul sistemelor informatice si se poate realiza fie prin accesul la baza de date, fie prin modificarea mesajelor in tranzit.

DISPONIBILITATE
Sistemele de calcul utilizate pentru stocarea și procesarea informațiilor, controalele de securitate utilizate pentru protejarea acestora și canalele de comunicații utilizate pentru a le accesa trebuie să funcționeze corect.