2. DICKA PËR TË MENDUAR
..... every human endeavour operates partly in light and partly
in shadow; and, especially, in those fields that delve deeply
into shadow, some succumb to temptation.
..... çdo përpjekje njerëzore vepron pjesërisht në dritë dhe
pjesërisht në hije; dhe, veçanërisht, në ato fusha që zhyten
thellë në hije, disa i nënshtrohen tundimit.
- Richard Power
4. DISA MENDIME TË TJERA (MË TË THJESHTA)
• Ne kemi trotuare por nuk mund të ecim mbi to!
• Në parqe thonë ... largohu nga bari!
• Përdorimi i kompjuterave … dhe ekziston rreziku që
gjithçka të shkojë keq!
• …..
• Rregulla… rregulla dhe më shumë rregulla!!
5. RREGULLAT E MIA
• Mos ki turp… bëj pyetje (kemi shumë kohë)
• Mos ngurroni të më ndërprisni
• Lëvizni kokën me inteligjencë edhe nëse ju zë gjumi
• Më korrigjoni nëse bëj një gabim (mos harroni se jam në
një gjendje mësimi të vazhdueshme)
• Rrëmbeni këtë prezantim dhe e ktheni atë në një debat!
• Nuk ka asnjë test në fund të këtij leksioni Ju merrni nota
për të qenë një audiencë e mirë dhe ndërvepruese!
• Së fundmi - ju lutemi sigurohuni që telefonat tuaj celularë
të jenë “silent mode”!
8. … CFARË …
për
mbrojtjen e
informacionit dhe
sistemeve të
informacionit
nga
aksesi i paautorizuar,
përdorimi,
ekspozimi,
humbja,
modifikimi, ose
shkatërrimi
Konfidencialiteti
Integriteti
Disponueshmëria
Cilësia apo gjendja e
parandalimit të zbulimit
ose ekspozimit ndaj
individëve apo sistemeve
të paautorizuara.
Informacioni
duhet të bëhet i
disponueshëm
kur dhe ku
duhet, dhe në
formatin korrekt.
Cilësia apo gjendja
e të qënit i tërë, i
plotë, dhe i
pakorruptuar.
9. NEVOJA PËR SIGURINË E
INFORMACIONIT
Organizatat kërkojnë një qasje të strukturuar
për menaxhimin e këtyre sfidave dhe të tjera.
IT funksionale
Siguria
Vlera/kosto
Menaxhimi i
Kompleksitetit
Përafrimi i
IT me
Biznesin
Pajtueshmëria
me rregulloren
10. PSE SIGURIA E INFORMACIONIT
• Siguron Disponueshmërinë e Biznesit
• Kujdeset për rrezikun e humbjes së Konfidencialitetit,
Integritetit dhe Disponueshmërisë së Aseteve të
Informacionit
• Mbron të Dhënat dhe Sistemet e Informacionit
• Rritja e produktivitetit nëpërmjet “Best Practices”
• Nivele më të larta sigurie
• Avantazh konkurrues
• Aktivizon Vazhdimësinë e Biznesit dhe Rikuperimin nga
Fatkeqësitë
Dhe për këtë na duhen Kontrollet e Sigurisë.
11. KONTROLLET E SIGURISË
3. Kontrollet Teknike
• Enkriptimi
• Kartat inteligjente
• Autentifikimi i rrjetit
• Listat e kontrollit të aksesit (ACL)
• Softueri i auditimit të integritetit të
skedarëve
2. Kontrollet Administrative
• Trajnim dhe ndërgjegjësim
• Planet e përgatitjes dhe rimëkëmbjes
ndaj fatkeqësive
• Strategjitë e rekrutimit dhe ndarjes së
personelit
• Regjistrimi i personelit
1. Kontrollet Fizike
• Kamerat e vëzhgimit
• Sistemet e alarmit që detektojnë lëvizjet
ose ato termike
• Rojet e sigurimit
• ID-të me foto
• Dyer të mbyllura
• Biometrika
13. ELEMENTET KRYESORE TË SIGURISË SË INFORMACIONIT
Teknologjia
Proceset
Njerëzit
- System Security
- UTM. Firewalls
- IDS/IPS
- Data Center
- Physical Security
- Vulnerability
- Penetration
Testing
-Application
Security
- Secure SDLC
- SIM/SIEM
- Managed Services
- Risk Management
- Asset Management
- Data Classification
- Info Rights Mgt
- Data Leak Prevention
- Access Management
- Change Management
- Patch Management
- Configuration Management
- Incident Response
- Incident Management
- Training
- Awareness
- HR Policies
- Background
Checks
- Roles /
responsibilities
- Mobile Computing
- Social
Engineering
- Social Networking
- Acceptable Use
- Policies
“Kush jemi ne”
“Cfarë bëjmë”
“Cfarë përdorim për të
përmirësuar atë që
bëjmë”
14. PRAKTIKAT KRYESORE TË
SIGURISË SË INFORMACIONIT
• ANGAZHIMI I MENAXHERËVE
• MENAXHIMI I RISKUT
• INVENTARI DHE MENAXHIMI I ASETEVE
• MENAXHIMI I NDRYSHIMIT
• REAGIMI DHE MENAXHIMI I INCIDENTIT
• MENAXHIMI I KONFIGURIMIT
• TRAJNIMI DHE NDËRGJEGJËSIMI
• AUDITIM I VAZHDUESHËM
• METRIKA DHE MATJA
15. PRAKTIKAT KRYESORE TË SIGURISË
SË INFORMACIONIT (VAZHD.)
• VLERËSIMI I CENUESHMËRISË (VUNLNERABILITY)
• TESTIMI I SIGURISË SË APLIKACIONIT
• MENAXHIMI I PAJISJES
• MONITORIMI, ANALIZA DHE MENAXHIMI I REGJISTRAVE
• ZHVILLIM I SIGURT
16. MENAXHIMI I RISKUT
Rreziku është efekti i pasigurisë mbi objektivat (pozitive
ose negative) - ISO 31000
Menaxhimi i Riskut: procesi i identifikimit të riskut që
përfaqësohet nga dobësitë e aseteve të informacionit dhe
infrastrukturës së një organizate, dhe ndërmarrja e
hapave për të ulur këtë rrezik në një nivel të pranueshëm.
Strategjitë e menaxhimit të riskut:
• Shmang (elimino, tërhiqu ose mos u përfshi)
• Redukto (optimizo - zbut)
• Ndaj (Share) (transfero – outsoure-ing ose siguro)
• Mbaj (prano)
17. STANDARDET / KORNIZAT / UDHËZIMET / RREGULLATORET
E PËRBASHKËTA
ISO:27001 – 2005
PCI-DSS
CobiT
BS:25999
ISO 2000
ITIL
Clause 49 (SEBI Guideline,
Government of India)
CTCL
NERC-CIP
Data Protection Act
IT Act and applicable Criminal /
Civil legislation
HIPAA
GLBA
Sarbanes Oxley
Basel II
PCAOB
SAS 70
Privacy Laws (e.g.PIPEDA)
… shumë të tjera…..
18. CIKLI I JETËS SË INFORMACIONIT
Informacioni mund të:
• Krijohet
• Ruhet
• Shkatërrohet
• Përpunohet
• Transmetohet
• Përdoret (Për qëllime të mira dhe/ose të këqija)
• Korruptohet
• Humb
• Vidhet
19. TIPET E INFORMACIONIT
• I printuar ose shkruar në letër
• I ruajtur elektronikisht
• I transmetuar me postë ose duke përdorur mjete
elektronike
• I shfaqur në videot e koorporatës
• I shfaqur / publikuar në rrjet/internet
• Verbal - e folura në biseda
"...Çfarëdo forme që merr informacioni, ose mjetet me
të cilat ndahet ose ruhet, ai gjithmonë duhet të
mbrohet siç duhet"
(BS ISO 27002:2005)
20. STATISTIKA NË LIDHJE ME
HUMBJEN E TË DHËNAVE - 2023
• Pothuajse 70% e bizneseve të vogla mbyllen brenda një viti nga një
humbje e madhe e të dhënave. (Consoltech)
• 33% e të gjithë dosjeve në një kompani mesatare nuk janë fare të
mbrojtura. (Comparitech)
• Kostoja mesatare globale e shkeljes së të dhënave në vitin 2022 ishte
4.35 milionë dollarë. (Statista)
• 96% e kompjuterave të punës nuk po mbrohen/backup siç duhet. (Uni
Trends)
• 38% e profesionistëve të IT shqetësohen për politikat e
lëvizshmërisë/BYOD në punë. (Storage Craft)
21. CERTIFIKATAT E
SIGURISË SË INFORMACIONIT
ISACA - Information Systems Audit and Control Association
CISA - Certified Information Systems Auditor
CISM - Certified Information Security Manager
CGEIT - Certified in the Governance of Enterprise IT
CRISC - Certified in Risk and Information Systems Control
(ISC)²
CISSP - Certified Information Systems Security Professional
SSCP® - Systems Security Certified Practitioner
Institute of Internal Auditors
CIA - Certified Internal Auditor
(CGAP®) - The Certified Government Auditing Professional
CFSA® - Certified Financial Services Auditor
CCSA® Certification in Control Self-Assessment
PMI
PMP
The Security Industry Association (SIA)
CSPM - Certified Security Project Manager (CSPM)
22. CERTIFIKATAT E
SIGURISË SË INFORMACIONIT
[ITIL]
ITIL Service Management Foundations Certificate
ITIL Service Manager
ITIL Practitioner
DRI - Institute for Continuity Management
ABCP - Associate Business Continuity Professional
CBCP - Certified Business Continuity Professional
CFCP - Certified Functional Continuity
MBCP - Master Business Continuity
Association of Certified Fraud Examiners (ACFE)
CFE - Certified Fraud Examiner
Forensics - EnCase®
EnCE® - EnCase® Certified Examiner (EnCE®)
CISCO
CCSP – Cisco Certified Security Professional
23. SIGURIMI I VETES
• Common Sense
• Ndërgjegjësimi
• Përditësoni rregullisht aplikacionet/programet
• Anti virus, anti spyware…
• Kini kujdes me ndarjen e skedarëve P2P .. çfarë shkarkoni
• Lexoni mesazhet e kompjuterit
• Mos klikoni verbërisht Next > Next > Next
• Kini kujdes kur lexoni email, veçanërisht nëse i përket
dikujt tjetër
• Mos u përpiqni të hapni çdo document bashkangjitur
• Mbajeni fjalëkalimin tuaj për veten tuaj
• CybeSecurity – Cyberetics – CyberSecurity
26. PRA, ÇFARË KENI BËRË NË
INTERNET KOHËT E FUNDIT
• Jam lidhur me miq të vjetër në internet
• Kam ndarë një ose dy sekrete ose disa gjëra personale në
internet
30. CFARË MUND TË BËNI
• Cyber Security (virus, online habits, filesharing etc)–
Cyberethics (kopjimi dhe përdorimi i IP) – Cybersafety
(identifiko mbrojtjen, bullizmin kibernetik etj)
• Edukoni miqtë dhe familjen tuaj (trojans, keyloggers,
phishing, scams)
• Kompjuterë të sigurt në shtëpi dhe për familjen/miqtë
(wireless, backup etc)
• Kujdesuni për rreziqet e Rrjeteve Sociale
31. CFARË MUND TË BËNI
(VAZHD.)
• Think out of the box
• Vlerësoni mjetet dhe teknologjitë si pjesë e projekteve
tuaja
• Zhvilloni mjete dhe skripte
• Ndani gjetjet me industrinë, qeverinë dhe zbatuesit e ligjit
• Kerkoni dhe studioni tendencat e malware, metodat e
mbrojtjes
• Krijoni një bibliotekë virtuale të punës suaj në mënyrë që
bashkëmoshatarët dhe ndjekësit tuaj të përfitojnë
gjithashtu
• Politikat dhe procedurat e sigurisë institucionale
• Kryeni herë pas here vlerësimet e rrjetit në universitet dhe
ndajini gjetjet me të gjithë
32. Case
Study:
Clicking
blindly!
CLICKING BLINDLY
Duke u rehatuar për të ndenjur në internet në Bibliotekë!
Studioni ! Ah hah ! Thjesht mos e kliko linkun verbërisht !
Uuppss ! Kjo është një ngarkesë e madhe malware që
sapo keni marrë me efektet zanore !
From EDUCAUSE
But how to evaluate the info sec of an organization? For this we use the benchmark model, shortly called CIA.
CIA in more detail…
Confidentiality — Sensitive information must be available only to a set of predefined individuals. Unauthorized transmission and usage of information should be restricted. For example, confidentiality of information ensures that a customer's personal or financial information is not obtained by an unauthorized individual for malicious purposes such as identity theft or credit fraud.
Integrity — Information should not be altered in ways that render it incomplete or incorrect. Unauthorized users should be restricted from the ability to modify or destroy sensitive information.
Availability — Information should be accessible to authorized users any time that it is needed. Availability is a warranty that information can be obtained with an agreed-upon frequency and timeliness. This is often measured in terms of percentages and agreed to formally in Service Level Agreements (SLAs) used by network service providers and their enterprise clients.
Continuity — Information should be continuously available to the business user and this is ensured thorough appropriate business continuity and disaster preparedness.
Computer security is often divided into three distinct master categories, commonly referred to as controls:
Physical
Technical
Administrative
1. Physical Controls - is the implementation of security measures in a defined structure used to deter or prevent unauthorized access to sensitive material. Examples of physical controls are:
Closed-circuit surveillance cameras
Motion or thermal alarm systems
Security guards
Picture IDs
Locked and dead-bolted steel doors
Biometrics (includes fingerprint, voice, face, iris, handwriting, and other automated methods used to recognize individuals)
2. Administrative Controls - define the human factors of security. It involves all levels of personnel within an organization and determines which users have access to what resources and information by such means as:
Training and awareness
Disaster preparedness and recovery plans
Personnel recruitment and separation strategies
Personnel registration and accounting
3. Technical Controls - use technology as a basis for controlling the access and usage of sensitive data throughout a physical structure and over a network. Technical controls are far-reaching in scope and encompass such technologies as:
Encryption
Smart cards
Network authentication
Access control lists (ACLs)
File integrity auditing software
1- People “Who we are”
People who use or interact with the Information
2- Process “what we do”
The processes refer to "work practices" or workflow. Processes are the repeatable steps to accomplish business objectives. Typical process in our IT Infrastructure could include:
3- Technology “what we use to improve what we do”
Risk is defined in ISO 31000 as the effect of uncertainty on objectives (whether positive or negative).
Risk management: the identification, assessment, and prioritization of risks followed by coordinated and economical application of resources to minimize, monitor, and control the probability and/or impact of unfortunate events or to maximize the realization of opportunities.
Risks can come from uncertainty in financial markets, project failures, legal liabilities, credit risk, accidents, natural causes and disasters as well as deliberate attacks from an adversary.
Strategies to manage risk:
Avoidance (eliminate, withdraw from or not become involved)
Reduction (optimise - mitigate)
Sharing (transfer - outsource or insure)
Retention (accept and budget)