Category Archives: riscuri de securitate

Ce este pirateria software

Pirateria software reprezintă reproducerea sau distribuirea neautorizată de programe pentru calculator (software) protejate prin drept de autor.

Pirateria se realizează prin copierea, distribuirea sau vânzarea, descărcarea, punerea la dispoziţie prin Internet sau alte rețele sau reproducerea de software pe calculatorul personal sau pe cel utilizat la locul de muncă.

Aceste fapte sunt prevăzute ca infracțiuni în Legea nr. 8 din 1996, privind dreptul de autor și drepturile conexe, modificată.

Conform acestei legi, oricare dintre următoarele activități care implică un software fără licență reprezintă infracțiune:

  • Instalarea, totală sau parțială, pe un sistem de calcul, chiar fără a fi folosit;
  • Stocarea pe un sistem de calcul, completă sau parțială, chiar și sub formă de kit și chiar fără a fi folosit;
  • Folosirea efectivă, prin rulare sau executare, indiferent de perioada de timp sau de scopul folosirii;
  • Afișare, de pildă, pe un thin-client;
  • Transmitere în rețeaua internă, chiar dacă nu se află instalat pe fiecare calculator din rețea.

Tot o încălcare a legii reprezintă și situația în care termenii și condițiile de licențiere sunt încălcați – de pildă, atunci când o licență educațională este utilizată în mediu de business sau atunci când se instalează programul pentru calculator pe mai multe calculatoare decât numărul permis de licență. De asemenea, reprezintă infracțiune situația în care se folosește o altă versiune sau ediție a unui program pentru calculator decât cea pentru care se deține licență.

Ceea ce multe persoane nu realizează – sau la ce nu se gândesc – este faptul că, la cumpărarea software-ului, se achiziţionează, de fapt, licenţa de a-l utiliza, iar nu software-ul ca atare (software-ul se licențiază, nu se vinde).

Această licenţă este cea care informează de câte ori se poate instala software-ul și în ce condiții, aşadar este important să fie citită. Dacă se realizează mai multe copii ale software-ului decât cele pe care le permite licenţa sau se încalcă condițiile de utilizare permise, înseamnă piraterie.

 mai multe detalii gasiti aici

Tratarea riscurilor de securitate

Înainte de a aborda tratarea unui anumit risc, organizaţia trebuie să stabilească criterii pe baza cărora să decidă dacă riscurile pot fi acceptate sau nu. Riscurile pot fi acceptate dacă se estimează, de exemplu, că riscul este scăzut sau că tratarea nu este eficientă pentru organizaţie din punct de vedere al costului. Astfel de decizii trebuie înregistrate.

Pentru fiecare dintre riscurile identificate prin determinarea de risc este necesară o decizie privind tratarea riscului. Opţiunile posibile pentru tratarea riscului cuprind:

a) aplicarea măsurilor adecvate de securitate pentru reducerea riscului;

b) acceptarea conştientă şi obiectivă a riscurilor cu condiţia ca acestea să fie conforme politicii şi criteriilor organizaţiei privind acceptarea riscului;

c) evitarea riscurilor prin interzicerea acţiunilor care ar putea cauza apariţia de riscuri;

d) transferul riscurilor asociate către terţe părţi, spre exemplu asigurători sau furnizori.

Pentru acele riscuri pentru tratarea cărora s-a luat decizia de aplicare a măsurilor de securitate adecvate, respectivele măsuri trebuie selectate şi implementate pentru a răspunde cerinţelor identificate prin determinarea riscului. Măsurile trebuie să asigure reducerea riscurilor la un nivel acceptabil ţinând cont de:

  • cerinţele şi constrângerile reglementărilor şi legislaţiei internaţionale;
  • obiectivele organizaţiei;
  • cerinţele şi constrângerile operaţionale;
  • costul implementării şi operării în raport cu riscurile care se reduc, păstrând proporţionalitatea faţă de cerinţele şi limitările specifice organizaţiei;
  • necesitatea de realizare a unui echilibru între investiţia în implementarea şi operarea măsurilor de securitate şi pagubele probabile de pe urma breşelor de securitate.

Măsurile de securitate pot fi selectate din prezentul standard sau din alte seturi de măsuri, sau pot fi proiectate noi măsuri corespunzătoare nevoilor specifice ale organizaţiei. Este necesar să se recunoască faptul că s-ar putea ca unele măsuri de securitate să nu fie aplicabile oricărui sistem informaţional sau mediu şi să nu poată fi practicate de orice organizaţie.

Măsurile de securitate a informaţiei trebuie avute în vedere în faza de proiectare a cerinţelor sistemelor şi proiectelor. În caz contrar se pot înregistra costuri suplimentare şi soluţii mai puţin eficiente şi, în cel mai rău caz, se ajunge la incapacitatea de realizare a unei securităţi adecvate.

Trebuie reţinut faptul că nici un set de măsuri de securitate nu poate realiza o securitate totală şi că sunt necesare acţiuni manageriale suplimentare pentru monitorizarea, evaluarea şi îmbunătăţirea eficienţei măsurilor de securitate în sprijinul ţelurilor organizaţiei.

Determinarea riscului de securitate

Determinarea riscului trebuie să identifice, să cuantifice şi să stabilească prioritatea riscului prin prisma criteriilor de risc acceptabil şi a obiectivelor relevante pentru organizaţie. Acţiunile de management şi priorităţile adecvate pentru managementul riscurilor de securitate a informaţiei şi pentru implementarea măsurilor de securitate selecţionate pentru protecţia împotriva riscurilor trebuie orientate şi stabilite pe baza acestor rezultate. S-ar putea să fie necesar ca procesul de determinare a riscului şi de selecţie a măsurilor de securitate să fie reluat de câteva ori pentru a fi acoperite diverse zone ale organizaţiei sau sisteme de informaţii individuale.

Determinarea riscului trebuie să cuprindă abordarea sistematică a estimării mărimii riscurilor (analiza de risc) şi procesul de comparare a riscurilor estimate faţă de criteriile de risc, pentru stabilirea semnificaţiei riscurilor (evaluarea riscului).

Determinările de risc trebuie efectuate periodic pentru a se răspunde schimbărilor înregistrate de cerinţele de securitate şi de situaţiile de risc, spre exemplu în privinţa resurselor, ameninţărilor, vulnerabilităţilor, impacturilor, evaluării riscului, precum şi în cazul unor schimbări semnificative. Aceste determinări de risc trebuie realizate într-o manieră metodică capabilă să producă rezultate comparabile şi reproductibile.

Determinarea riscului privind securitatea informaţiei trebuie să vizeze un domeniu precis pentru a fi eficientă şi trebuie să cuprindă legături cu determinările de risc din alte domenii, dacă este cazul.

Domeniul unei determinări de risc poate cuprinde fie întreaga organizaţie, părţi din acea organizaţie, un sistem individual de informaţii, componente specifice de sistem sau servicii unde acest lucru este realizabil, realist şi util. în ISO/IEC TR 13335-3 (Guidelines for the Management of IT Security; Techniques for the Management of IT Security) sunt analizate exemple de metodologii de determinare a riscului.