disertacion - brandville luxury collection€¦ · ii universiteti i tiranËs fakulteti i...
TRANSCRIPT
UNIVERSITETI I TIRANËS
FAKULTETI I EKONOMISË
DEPARTAMENTI I STATISTIKËS DHE
INFORMATIKËS SË ZBATUAR
DISERTACION
PËR MBROJTJEN E GRADËS SHKENCORE
DOKTOR
Siguria e Informacionit në Institucionet Publike Shqiptare
Kandidati Udhëheqësi shkencor
Elda KUKA (BALILI) Prof. Asoc. Dr. Rovena BAHITI
Tiranë, 2018
ii
UNIVERSITETI I TIRANËS
FAKULTETI I EKONOMISË
DEPARTAMENTI STATISTIKË DHE INFORMATIKË E ZBATUAR
DISERTACION
Paraqitur nga:
Znj. Elda KUKA (BALILI)
PËR MBROJTJEN E GRADËS SHKENCORE
“DOKTOR”
TEMA:
SIGURIA E INFORMACIONIT
NË INSTITUCIONET PUBLIKE SHQIPTARE
Mbrohet më datë ____/_____/ 2018, para Komosionit të përbërë
nga:
1. __________________________________ Kryetar
2. __________________________________ Anëtar/oponent
3. __________________________________ Anëtar/oponent
4. __________________________________ Anëtar
5. __________________________________ Anëtar
iii
Dedikuar
Vajzave të mia!
Elda Kuka
Siguria e Informacionit në institucionet publike shqiptare
iv
ABSTRAKT
Në ditët e sotme komunikimi në kohë reale po ndihmon dhe njëkohësisht, po kushtëzon
jetën tonë të përditshme. Rritja e volumit të komunikimeve përbën një vlerë të shtuar në
zhvillimin ekonomik dhe social të një vendi, por në të njëjtën kohë e ekspozon atë ndaj
rreziqeve kibernetike. Interneti me të gjitha shërbimet që ofron si rrjetet sociale, mobile
computing dhe Cloud computing kanë ndryshuar botën duke dhënë akses në një rang të
gjerë informacioni, kudo dhe kurdo, për gjithsecilin. Pavarësisht, avantazheve
konkurruese që ofrojnë teknologjitë e reja, zhvillimi i tyre, ofron gjithashtu mundësi dhe
teknika të reja për abuzuesit për të keqpërdorur ose shkatërruar këtë avantazh
konkurrues. Tashmë është e rendesishme si për pronarët dhe per përdoruesit e
informacionit të mbrohen dhe për t‟u mbrojtur në mënyrë sa më efiçente duhet të kenë
praktika të mira të sigurisë së informacionit. Këto praktika kanë në fokus të sigurojnë
disponueshmërinë, integritetin dhe konfiencialitetin e informacionit. Megjithëse kjo
është përgjithësisht e mirëpranuar, vendet në zhvillim duket se nuk i kanë kuptuar
rreziqet shkatërruese të kërcënimeve të sigurisë së informacionit. Ky punim ka si qëllim
të studiojë sigurinë e informacionit në detaje duke analizuar praktikat e sigurisë së
informacionit në institucionet publike, në kontekstin e vendeve në zhvillim si Shqipëria.
Menaxhimi i sigurisë në sektorin publik është i rëndësishëm pasi institucionet publike
nëpërmjet sistemeve që përdorin dhe shërbimeve që ofrojnë janë përdoruesit dhe në një
këndvështrim edhe pronarët e të dhënave personale të të gjithë popullsisë së një vendi.
Prandaj është shumë e rëndësishme që lidhjet midis klientëve të jashtëm të sistemeve të
e-qeverisjes të menaxhohen me kujdes.
Fjalë kyçe: siguria e informacionit, institucione publike, praktikat e sigurisë së
informacionit, InfoSec, vende në zhvillim
Elda Kuka
Siguria e Informacionit në institucionet publike shqiptare
v
ABSTRACT
Nowadays, real-time communication is helping and at the same time conditioning our
daily lives. Increasing the volume of communications is an added value in the country's
economic and social development, but at the same time it exposes it to cyber-threats.
The Internet with all the services it offers like social networks, mobile computing and
cloud computing have changed the world by providing access to a wide range of
information, anywhere and anytime, for everyone. Despite the competitive advantages
offered by new technologies, their development also offers new opportunities and
techniques for abusers to misuse or destroy this competitive advantage. It is now
essential for owners and users of information to be protected. For their protection, it is
essential for owners and users of information to have good information security
practices. These practices focus on ensuring the availability, integrity and
confidentiality of information. Although this is generally accepted, developing countries
do not seem to understand the devastating risks of information security threats. This
thesis aims studying the security of information in detail by analyzing information
security practices in public institutions in the context of emerging countries such as
Albania. Security management in the public sector is important because public
institutions through the systems they use and the services they provide are users and in
even the owners of personal data of the entire population of a country. It is therefore
very important that links between external customers of e-government systems to be
carefully managed.
Keywords: information security management, public institutions, InfoSec, information
security practices, developing countries
Elda Kuka
Siguria e Informacionit në institucionet publike shqiptare
vi
FALËNDERIME
Në finalizimin e kësaj teme, pas një rrugëtimi disavjeçar, dëshiroj të shpreh
falënderimet e mia për të gjithë personat që më kanë mbështetur përgjatë kësaj rruge të
gjatë dhe shpershherë sfiduese.
Në radhë të parë, dëshiroj të falenderoj udhëheqësen time shkencore, Prof. Asoc. Dr.
Rovena Bahitin. Ajo më ka ofruar mbështjetjen e saj pa kufizime duke më drejtuar,
këshilluar dhe udhëzuar, gjatë punës me temën për t’a përfunduar atë me sukses.
Dëshiroj të shpreh mirënjohjen time për Prof. Dr. Kozeta Sevranin, për besimin që pati
tek unë dhe për mbështjetjen që më ka ofruar për të arritur këtu ku jam sot.
Një falenderim të veçantë për Prof. Asoc. Dr. Nevila Bacin, për inkurajimin,
këmbënguljen dhe përkrahjen e saj të çmuar.
Dëshiroj të falëndëroj të gjithë kolegët e departamentit për fjalët inkurajuese, idetë,
sugjerimet, diskutimet dhe këshillat e tyre, të cilat më kanë ndihmuar në përmbushjen e
detyrimeve të mia akademike.
Një falenderim shkon për të gjithë punonjësit e institucioneve shtetëtore që u bënë pjesë
e këtij studimi. Pa bashkëpunimin e tyre të çmuar nuk do të kisha arritur të përfundoja
studimin tim.
Së fundmi dëshiroj të falënderoj thellësisht nga zemra familjen time, që më ka
mbështetur gjithmonë pa kushte në jetën time profesionale, për kohën e munguar gjatë
punës me temën si dhe për togfjalëshin e dëgjuar aq shpesh “kur të mbaroj
doktoraturën”.
Elda Kuka (Balili),
Tiranë, 2018
Elda Kuka
Siguria e Informacionit në institucionet publike shqiptare
vii
Përmbajtja
ABSTRAKT ................................................................................................................ iv
ABSTRACT ................................................................................................................. v
FALËNDERIME ......................................................................................................... vi
Lista e Figurave ........................................................................................................... ix
Lista e Tabelave ............................................................................................................ x
Shkurtime dhe akronime .............................................................................................. xi
KAPITULLI I ............................................................................................................ 12
1 HYRJE ................................................................................................................ 12
1.1 Motivimi ....................................................................................................... 13
1.1.1 Menaxhimi i Sigurisë së Informacionit në sektorin publik ...................... 14
1.1.2 Konteksti i Shqipërisë si vend në zhvillim .............................................. 15
1.1.3 Ndryshimet që sjell Rregullorja e Përgjithshme e Mbrojtjes së të Dhënave
(GDPR) të BE-së ................................................................................................. 19
1.2 Qëllimi dhe objektivat ................................................................................... 21
1.3 Pyetjet e kërkimit shkencor ........................................................................... 22
1.4 Metodologjia................................................................................................. 23
1.5 Rëndësia e studimit ....................................................................................... 23
1.6 Kufizime të studimit ..................................................................................... 24
1.7 Struktura e tezës ............................................................................................ 24
KAPITULLI II ........................................................................................................... 26
2 Rishikim i Literaturës .......................................................................................... 26
2.1 Hyrje ............................................................................................................ 26
2.2 Qasjet e Sigurisë së Informacionit ................................................................. 27
2.2.1 Një vështrim mbi menaxhimin e Sigurisë së Informacionit..................... 27
2.2.2 Menaxhimi i sigurisë në Sektorin publik ................................................ 28
2.3 Modeli CIA i Menaxhimit të Sigurisë së Informacionit ................................. 29
2.3.1 Konfidencialiteti .................................................................................... 30
2.3.2 Integriteti ............................................................................................... 30
2.3.3 Disponueshmëria ................................................................................... 30
2.3.4 Kërcënimet e Informacionit ................................................................... 31
2.3.5 Një kornizë për menaxhimin e Sigurisë së Informacionit........................ 34
Elda Kuka
Siguria e Informacionit në institucionet publike shqiptare
viii
2.4 Përdorimi i Standarteve në Sigurisë së Informacionit .................................... 35
2.4.1 Standartet ISO ....................................................................................... 35
2.4.2 Standartet BSI ........................................................................................ 36
2.4.3 COBIT 5 ................................................................................................ 37
2.4.4 Korniza e Sigurise Kibernetike të NIST-it .............................................. 38
2.4.5 Guida e ITIL (Information Technology Infrastructure Library) .............. 39
2.4.6 Standarti i Praktikave më të Mira (The Standard of Good Practice) ........ 39
2.5 Menaxhimi i Riskut ...................................................................................... 42
2.5.1 Identifikimi i riskut ................................................................................ 44
2.5.2 Analiza e riskut dhe vlerësimi ................................................................ 45
2.5.3 Kontrolli i riskut .................................................................................... 46
2.6 Politikat e Sigurisë ........................................................................................ 47
2.7 Ndërgjegjësimi i Sigurisë së Informacionit .................................................... 48
2.8 Këndvështrime për implementimin e Sigurisë së Informacionit ..................... 49
2.9 Konkluzione mbi rishikimin e literaturës ....................................................... 50
KAPITULLI III ......................................................................................................... 51
3 Metodologjia........................................................................................................ 51
3.1 Hyrje ............................................................................................................ 51
3.2 Pyetjet e kërkimit shkencor ........................................................................... 51
3.3 Përshkrim i metodës së zgjedhur të kërkimit ................................................. 52
3.3.1 Metoda e kërkimit përshkrues ................................................................ 52
3.3.2 Pyetësorët .............................................................................................. 53
3.4 Hapat e metodologjisë së kërkimit ................................................................ 55
3.5 Analizimi i të dhënave .................................................................................. 57
3.6 Konkluzione ................................................................................................. 58
KAPITULLI IV .......................................................................................................... 59
4 Analiza e të dhënave ............................................................................................ 59
4.1 Hyrje ............................................................................................................ 59
4.2 Sfondi i përgjithshëm .................................................................................... 59
4.3 Rregulloret, Politikat dhe Standartet e Sigurisë në Organizatë ....................... 65
4.3.1 Rregullohet e Sigurisë së Informacionit në Organizatë ........................... 65
4.3.2 Standartet e Sigurisë në Organizatë ........................................................ 67
4.3.3 Politikat e Sigurisë së Informacionit në organizatë. ................................ 70
Elda Kuka
Siguria e Informacionit në institucionet publike shqiptare
ix
4.4 Sigurimi i Informacionit (Rreziqet e sigurisë së informacionit) .................... 71
4.4.1 Mjete dhe matje në organizatë ................................................................ 73
4.4.2 Rreziqet e informacionit në organizatë ................................................... 81
4.5 Preferencat e promovimit .............................................................................. 83
4.6 Konkluzione ................................................................................................. 85
Kapitulli V .................................................................................................................. 87
5 Përfundime dhe Rekomandime ............................................................................ 87
5.1 Hyrje ............................................................................................................ 87
5.2 Përfundimet e studimit .................................................................................. 87
5.3 Rekomandime ............................................................................................... 89
6 Referencat ............................................................................................................ 91
Shtojca A .................................................................................................................... 98
Shtojca B .................................................................................................................. 108
Lista e Figurave
Figura 2-1 Zhvillimi me valë i ISMS ........................................................................... 27
Figura2-2.Trekendëshi CIA ......................................................................................... 29
Figura 2-3 Procesi i menaxhimit të riskut .................................................................... 44
Figura 2-4 Qasjet e implementimit të Sigurisë së Informacionit................................... 50
Figura 3-1 Korniza e metodologjisë së kërkimit .......................................................... 56
Figura 4-1 Menaxhimi i lartë dhe siguria e informacionit ............................................ 60
Figura 4-2 Mbështetja e menaxhimit për sigurinë e informacionit ............................... 60
Figura 4-3 Qasjet për menaxhimin e sigurisë së informacionit ..................................... 61
Figura 4-4 Faktorët kritikë të suksesit për menaxhimin e sigurisë së informacionit ...... 61
Figura 4-5 Njësitë përgjegjëse të TI-së ........................................................................ 63
Figura 4-6 Buxheti për TI-në ....................................................................................... 63
Figura 4-7 Buxheti për Sigurinë e Informacionit ......................................................... 64
Figura 4-8 Ekzistenca e njësisë së ndarë për sigurinë e informacionit .......................... 64
Figura 4-9 Ekzistenca e personit përgjegjës për sigurinë e informacionit ..................... 65
Figura 4-10 Rregulloret për sigurinë e informacionit ................................................... 66
Figura 4-11 Cilësia e rregullores ................................................................................. 66
Figura 4-12 Përshtatshmëria e rregullores ................................................................... 67
Figura 4-13 Zbatueshmëria e rregullores ..................................................................... 67
Figura 4-14 Ekzistenca e standarteve të sigurisë .......................................................... 68
Elda Kuka
Siguria e Informacionit në institucionet publike shqiptare
x
Figura 4-15 Aplikimi i standarteve në të ardhmen ....................................................... 68
Figura 4-16 Ndjesia e sigurisë pas aplikimit të standarteve .......................................... 69
Figura 4-17 Ekzistenca e një personi përgjegjës për standartet e sigurisë ..................... 69
Figura 4-18 Ekzistenca e politikës së sigurisë .............................................................. 70
Figura 4-19 Zbatueshmëria e politikës së sigurisë ....................................................... 70
Figura 4-20 Procesi i vlerësimit të riskut ..................................................................... 71
Figura 4-21 Procedura për krijimin dhe menaxhimin e llogarive të përdoruesve .......... 72
Figura 4-22 Politikë për backup dhe recovery të të dhënave ........................................ 72
Figura 4-23 Plan të përgjigjes ndaj incidentet .............................................................. 73
Figura 4-24 Vlerësimi i Dobësive ................................................................................ 73
Figura 4-25 Procesi/praktika e vendosjes së fjalëkalimeve .......................................... 74
Figura 4-26 Autentikimi me dy faktorë ....................................................................... 74
Figura 4-27 Siguria e sistemit Firewall ........................................................................ 75
Figura 4-28 Rregullat e aksesit për rrjetin wireless ...................................................... 75
Figura 4-29 Rregullat për të aksesuar vetëm faqet Internet të nevojshme ..................... 76
Figura 4-30 Përditësimi i sistemeve te shfrytëzimit ..................................................... 77
Figura 4-31 Fortësia e programit antivirus ................................................................... 77
Figura 4-32 Efektiviteti i enkriptimit të të dhënave ...................................................... 78
Figura 4-33 Siguria fizike e dhomave te serverave ...................................................... 78
Figura 4-34 Kufizimi i përdorimit te pasjisjeve si CD/DVD dhe kujtesave USB .......... 79
Figura 4-35 Trainime të vecanta apo programe për ndërgjegjesimin ............................ 80
Fig 4-36 Certifikime në sigurinë e Informacionit ........................................................ 80
Figura 4-37 Rënia e sistemeve të informacionit për shkak të viruseve komjuterike ...... 81
Figura 4-38 Subjekt i sulmit nga hakerat faqja web ..................................................... 82
Figura 4-39 Sulme të hakerave mbi sistemet e informacionit ....................................... 82
Figura 4-40 Rreziqet në organizatë .............................................................................. 83
Figura 4-41 Sfidat për aplikimin e standarteve ............................................................ 84
Figura 4-42 Pengesat e hasura për marrjen e certifikimeve në Siguri Informacioni ...... 84
Figura 4-43 Përfitimet për të marrë certifikim ne Siguri Informacioni ......................... 85
Lista e Tabelave
Tabela 1-1 Përdoruesit e internetit në Shqipëri ............................................................ 16
Tabela 1-2 Vendet ku përdoruesit përballen me rrezikun më të madh të infektimi nga
malware në internet ..................................................................................................... 17
Tabela 1-3 Global CyberSecurity Index ...................................................................... 18
Tabela 1-4 Struktura e tezës ........................................................................................ 24
Tabela 2-1 Përmbledhje e standarteve, kush i inicioi, kur janë iniciuar, të dhëna dhe
certifikimet ................................................................................................................. 41
Elda Kuka
Siguria e Informacionit në institucionet publike shqiptare
xi
Shkurtime dhe akronime
AKSHI – Agjencia Kombëtare e Shoqërisë së Informacionit
AKCESK – Autoriteti Kombëtar për Certifikimin Elektronik dhe Sigurinë Kibernetike
CIA- Konfidencialiteti (Confidentiality), Integriteti (Integrity), Disponueshmëria
(Availability)
DoS – Sulme të mohimit të shërbimit (Denial-of-Service)
ENISA – Agjencia e Rrjetit Europian dhe Sigurisë së Informacionit
GDPR - Rregullorja e Përgjithshme e Mbrojtjes së të Dhënave të BE-së
InfoSec - Siguria e Informacionit (Information Security)
ISA – Ndërgjegjësimi i Sigurisë së Informacionit (Information Security Awareness)
ISMS – Sistem i Menaxhimit të Sigurisë së Informacionit
TIK – Teknologjia e Informacionit dhe Komunikimit
TI – Teknologjia e Informacionit
Elda Kuka
Siguria e Informacionit në institucionet publike shqiptare
12
KAPITULLI I
1 HYRJE
Në ditët e sotme komunikimi në kohë reale po përcakton dhe njëkohësisht po kushtëzon
jetën tonë të përditshme. Rritja e volumit të komunikimeve përbën një vlerë të shtuar në
zhvillimin ekonomik dhe social të një vendi, por në të njëjtën kohë e ekspozon atë ndaj
rreziqeve kibernetike. Afyouni (2006), argumenton se World Wide Web, mobile
computing dhe Cloud computing kanë ndryshuar botën duke dhënë akses në një rang të
gjerë informacioni, kudo dhe kurdo për të gjithë. Por, pavarësisht avantazheve që
ofrojnë, zhvillimi i këtyre teknologjive të reja, ofron gjithashtu teknika të reja për
abuzuesit për të keqpërdorur ose shkatërruar informacionin (Bragg et al. 2004). Këta
“vandalë kibernetikë” mund të aksesojnë ilegalisht ose të shkatërrojnë informacionin
online duke përdorur programet malware (p.sh. viruset, trojanet dhe krimbat), hakerimin
ose sulmet e ndryshme (Easttom 2006).
Për t‟u mbrojtur nga këto kërcënime është esenciale për pronarët dhe përdoruesit e
informacionit të kenë praktika të mira të sigurisë së informacionit. Këto praktika kanë
në fokus të sigurojnë disponueshmërinë, integritetin dhe konfiencialitetin e
informacionit (Turban et al. 1996; Stallings & Brown 2008; Whitman & Mattord 2008).
Megjithatë, që prakikat e sigurisë së informacionit të kthehen në rutinë, atëherë është e
nevojshme një nivel i përshtatshëm për Ndërgjegjësimin e Sigurisë së Informacionit
(ISA). ISA është një gjendje në të cilën përdoruesit e informacionit janë të
ndërgjegjshëm për rreziqet e informacionit dhe kuptojnë fuqinë e sigurisë fizike dhe jo-
fizike të informacionit (Siponen 2000; Kruger et al. 2010). ISA është shndërruar në një
nga linjat më të forta të mbrojtjes përkundrejt kercenimeve të vazhdueshme të sigurisë
së informacionit (Siponen 2000).
Megjithëse kjo është përgjithësisht e mirëpranuar, disa vende duket se nuk i kanë
kuptuar rreziqet shkatërruese të kërcënimeve të sigurisë së informacionit (InfoSec). Kjo
është zakonisht e vërtetë për vendet në zhvillim.
Në këtë kapitull do të paraqesim një përmbledhje të tezës, do të përcaktojmë termat që
lidhen me sigurinë e informacionit, do të bëjmë një shpjegim mbi pyetjet e kërkimit
shkencor dhe metodat e kërkimit të përdorura. Së fundmi, do të paraqesim një diskutim
mbi rëndësine e tezës, kufizimet e kërkimit dhe strukturës së tezës.
Elda Kuka
Siguria e Informacionit në institucionet publike shqiptare
13
1.1 Motivimi
Në ditët e sotme, informacioni shpesh përmendet si një mall i vlefshëm. Kjo është e
vërtetë në çdo sektor publik ose privat, por është veçanërisht i dukshëm në sektorin e
financave ndërkombëtare, pasi është i përfshirë në përpunimin dhe transferimin e
informacionit të vlefshëm pa kufij (Alarifi et al., 2012; Bandi & Rusell, 2004). Në këtë
mjedis që ndryshon me shpejtësi dhe evoluon, informacioni si një aset i vlefshëm është
gjithmonë nën kërcënim. Bazuar në literaturë, ka më shumë se dymbëdhjetë kategori
kërcënimesh informacioni, por ne mund t'i klasifikojmë ato në tri kategori më të gjera:
kategoria e parë e kërcënimeve përfshin kërcënime që mund të klasifikohen si
aksidentale ose të paqëllimshme, të tilla si forcat e natyrës apo fatkeqësitë natyrore;
kategoria e dytë e kërcënimeve përfshin kërcënime të qëllimshme ose të qëllimshme si
sulmet malware, pirateria, pirateria, sulmet e mohimit të shërbimit (DoS), aksesi i
paautorizuar etj; kategoria e tretë e kërcënimit përfshin kërcënimet që mund të
klasifikohen si kontribuese ose instrumentale, si p.sh. çështjet e fjalëkalimeve, dështimi
i pajisjeve ose dështimi i backup-it (Stulz 2003; Afyouni 2006; Easttom 2006).
Gabimet njerëzore janë ato që paraqesin rrezik më të madh për informacionin. Hakerët
mbështeten tek punonjësit e pakujdesshëm dhe qe bëjnë gabime si: hapja e çdo materiali
bashkëngjitur mesazheve të postës elektronike, përdorimi i fjalëkalimeve të
papërshtatshme për të mbrojtur kompjuterat ose llogaritë e tyre, përdorimi i kujtesave
USB të cilat në shumicën e kohës janë të infektuar me malware. Sulmet DoS përdorin
kompjutera të pambrojtur nga firewall-et, për të dërguar miliona transaksione false në
drejtim të kompjuterave të targetuar, duke mos i lejuar këta të fundit të kryerjen
veprimet që duhet.
Për të reduktuar ashpërsinë e sulmeve të shkaktuara nga njerëzit është e domosdoshme
të rritet niveli i sigurisë së informacionit dhe ndërgjegjësimi për sigurinë e informacionit
brenda organizatës. Politikat e sigurisë së informacionit janë baza që mbeshtet burimet e
sigurisë së informacionit në një organizatë. Gjithashtu ka disa standarte të mirënjohura
ndërkombëtare për menaxhimin e sigurisë së informacionit te cilët do të paraqiten me
detaje në kapitullin e dytë. Politikat dhe standartet e sigurisë janë të zakonshme në
shumicën e organizatave. Ato u ofrojnë punonjësve një guidë të qartë mbi atë që lejohet
dhe nuk lejohet për të rritur sigurinë e informacionit që zotëron organizata.
Sulmet e hakerëve evoluojnë dhe sofistikohen shumë shpejt, duke shfrytëzuar gabimet
në sistem dhe gabimet njerëzore. Shembulli i përsosur është sulmi ransomware i
Elda Kuka
Siguria e Informacionit në institucionet publike shqiptare
14
ndodhur në vitin 2017. Sipas Cybersecurity Ventures1, dëmet e ransomware arritën në 5
miliardë dollarë në vitin 2017. Ata parashikojnë se sulmet ransomware në organizatat e
kujdesit shëndetësor do të katërfishohen deri në vitin 2020. Në këtë mjedis që ndryshon
ne duhet të jemi të përgatitur për të ndaluar sulmet kibernetike ose të paktën për të
zvogëluar ashpërsinë e tyre. Reduktimi i ashpërsisë së sulmeve kibernetike mund të
zvogëlojë shpenzimet, duke pasur parasysh se shpenzimet për infrastrukturën e TI-së
përbëjnë mbi 58% të një buxheti organizativ tipik IT (Byrd & Turner 2000). Është e
nevojshme që qasja e organizatës ndaj sigurisë së informacionit të përqendrohet në
politikat e sigurisë së informacionit, standardet e sigurisë së informacionit, menaxhimin
e riskut dhe ndërgjegjësimin për sigurinë e informacionit. Organizatat kanë filluar të
investojnë në zhvillime të vazhduesme për sigurinë teknologjike për të përballuar sfidat
në rritje në këtë fushë (Ferrari & Thuraisingham 2006; Peltier 2006; Knapp et al. 2006).
Duke pasur parasysh rëndësinë e ruajtjes së një informacioni i cili kategorizohet si
sensitiv apo konfidencial për një organizate, kontrolli efektiv i sigurisë së informacionit
është kritik për të gjitha organizatat private apo publike qofshin ato. Ekzistojnë disa
standate ndërkombëtarë të mirënjohur për menaxhimin e sigurisë së informacionit të
cilët do t‟i paraqesim me detaje në kapitullin 2. Ato vijnë në ndihmë dhe shërbejnë për
t‟u dhënë punojësve udhëzime mbi çfarë duhet të bëjnë apo çfarë nuk duhet të bëjnë për
të rritur sigurinë e informacionit në organizatë.
1.1.1 Menaxhimi i Sigurisë së Informacionit në sektorin publik
Menaxhimi i sigurisë në sektorin publik është i rëndësishëm pasi lidhjet midis klientëve
të jashtëm të sistemeve të e-qeverisjes duhe të menaxhohen me kujdes. Kërkuesit e
organizatave publike argumentojnë që qeveritë operojnë në ambiente të ndryshme nga
organizatat private dhe për këtë kanë nevojë për qasje të ndryshme (Caudle 1991; Fryer
2007; Joia 2003; Moon 2000). Megjithatë organizatat publike kanë karakteristika që i
identifikojnë si:
i. Sektori publik karakterizohet nga mungesa e tregjeve ekonomike për rezultatet
përfundimtare të produktit;
ii. Sektori publik mbështetet në ndarjen që bën qeveria për burimet financiare. Kjo
mbështetje prodhon një tjetër kufizim;
iii. ndikimin politik;
1 https://cybersecurityventures.com/ransomware-damage-report-2017-5-billion/ last accessed 28.04.2018
Elda Kuka
Siguria e Informacionit në institucionet publike shqiptare
15
Shpesh mendohet se institucionet publike nuk kanë nevojë për siguri informacioni të
strukturuar, pasi nuk janë pjesë e një ambient konkurrues dhe kanë tendencë të kenë
infrastrukturë TI më të thjeshtësuar, pasi pjesa më e madhe e sistemeve te
informacaionit janë për përdorim të brendshëm dhe për këtë arsye janë më pak të
ekspozuar ndaj kërcënimeve të jashtme. Megjithatë, kjo nuk është më e vërtetë.
Institucionet publike kanë informacione shumë sensitive, ruajnë gjithashtu dhe
informacione konfidenciale për individë dhe organizata duke i bërë kështu shënjstra të
mundshme të hakerave të shumtë.
Hutton (1996) argumenton se organizatat e sektorit publik kanë një numër specifik
karakteristikash, të cilat mund të kenë ndikim në çdo ndyshim që bën menaxhimi. Disa
nga këto përfshijnë: hierarkitë e ngurta; kulturën; ndryshime të papritura dhe dramatike
në drejtimin e politikave; mbivendosja e iniciativave; fushëveprimi i gjerë i aktiviteteve;
si dhe stafi i cili është një pjesë e rëndësishme e organizatave të sektorit publik. Një pikë
tjetër kritike është se sektori publik është shumë i ndjeshëm ndaj ndonjë incidenti të
sigurisë së informacionit. Këto incidente mund të mos kenë lidhje me direkte me e-
qeverisjen, por mund të kenë një ndikim negativ në përshtatjen dhe implementimin e
aplikacioneve të e-qeverisjes.
1.1.2 Konteksti i Shqipërisë si vend në zhvillim
Një aspekt i rëndësishëm është konteksti i vendit ku fenomeni po studiohet. Shqipëria
është një vend në zhvillim, me të ardhura të mesme të larta, por terminologjia “vend në
zhvillim” nuk nënkupton që të gjitha vendet në zhvillim përjetojnë të njëjtin zhvillim.
Çdo vend ka kufizime unike politike dhe ekonomike. Në fund të fundit, këto kufizime
do të imponojnë çështje të ndryshme që lidhen me menaxhimin e sigurisë së
informacionit. E rëndësishme është të theksojmë se Shqipëria ka përjetuar një
zhvillimim të vrullshëm përsa i përket teknologjisë së informacionit dhe komunikimit
(TIK) në dhjetëvjecarin e fundit. Gjatë kësaj kohe numri i përdoruesve të internetit
është rritur në mënyrë spektakolare. Tabela 1.1 paraqet rritjen e numrin të përdoruesve
të internetit nga 9.6% në vitin 2006 deri në 62.8% vitin 2016 sipas Internet Live Stat.
Elda Kuka
Siguria e Informacionit në institucionet publike shqiptare
16
Tabela 1-1 Përdoruesit e internetit në Shqipëri
Burimi: Internet Live Stats 2
Gjithashtu kemi një shtim të përdorimit të internetit edhe për vitin 2017, i cili arriti
65.8% penetrim për numër të popullsisë në vend sipas Internet World Stat3. Por, në të
njëjtën kohë me zhvillimin e teknologjisë së informacionit dhe komunikimit, me
zhvillimin e e-qeverisjes, me shtimin e përdorimit të internetit janë rritur sulmet e
ndryshme si: sulme me malware, sulme phishing etj.
Statistikat e Kaspersky Lab per 20174 në vlerësimin e rrezikut të infektimit online me të
cilin ballafaqohen përdoruesit në vende të ndryshme, kanë llogaritur përqindjen e
përdoruesve të Kaspersky Lab në çdo vend që kanë zbuluar infektime malware në
makinat e tyre. Të dhënat e paraqitura në tabelën 1.2 paraqesin një tregues të
agresivitetit të mjedisit në të cilin kompjuterat punojnë në vende të ndryshme. Shohim
që Shqipëria ndodhet midis 10 vendeve me rrezik të lartë.
2 http://www.internetlivestats.com/internet-users/albania/ last accessed 10.05.2018 3 https://www.internetworldstats.com/stats4.htm last accessed 10.05.2018 4 https://securelist.com/it-threat-evolution-q3-2017-statistics/83131/ last accessed 15.05.2018
Elda Kuka
Siguria e Informacionit në institucionet publike shqiptare
17
Tabela 1-2 Vendet ku përdoruesit përballen me rrezikun më të madh të infektimi nga malware në
internet
(Burimi: Kaspersky Lab, 2017)
Gjithashtu sipas Raportit të Inteligjencës së Sigurisë së Microsoft, volumi 23, i
gjashtëmujorit të parë të vitit 2018, Shqiperia ka patur një numër shumë të lartë të
tentativave phishing (188.5 për 1.000.000 faqe të para). Nga raporti vjetor i 2017 i
AKSHI5-t, shohim që gjatë vitit 2017 në portal janë rregjitruar 2.579.000 tentativa
sulmesh kibernetike nëpërmjet sistemeve të mbrojtjes dhe burimeve njerëzore.
Për të ofruar mbrojtjen e duhur për përdoruesit dhe për të rritur besimin e tyre në
teknologjinë e informacionit dhe komunikimit (TIK), legjislacioni luan një rol të
rëndësishëm. Kuadri ligjor në drejtim të sigurisë kibernetike në Shqipëri është ende në
zhvillim. Deri në këtë moment, në Shqipëri ka disa ligje që rregullojnë ndjekjen penale
të krimeve kompjuterike në Republikën e Shqipërisë. Shqipëria si vend kandidat për t‟u
bërë pjesë e Bashkimit Europian, në pajtueshmëri me detyrimet që rrjedhin nga
Marrëveshja e Stabilizim Asociimit (MSA) në këtë fushë, ka të aprovuar Ligjin Nr.
8888, të datës 25.04.2002 “Për Ratifikimin e Konventës për Krimin Kibernetik”. Ky ligj
është reflektuar në Kodin Penal si dhe Ligji Nr. 9262 i datës 29.07.2004 “Për
Ratifikimin e Protokollit shtesë të Konventës për krimin kibernetik, për penalizimin e
akteve me natyrë raciste dhe ksenofobe të kryera nëpërmjet sistemeve kompjuterike” të
reflektuar në Kodin Penal me Ligjin Nr. 9859 datë 21.01.2008 “Për disa shtesa dhe
ndryshime në Ligjin Nr. 7895 datë 27.01.1995.
Në përputhje me angazhimet e marra në MSA në vendin tonë janë hartuar dhe miratuar
edhe një sërë ligjesh të tjera të rëndësishme në fushën e shoqërisë së informacionit:
Ligji Nr. 9880, datë 25.02.2008 “Për nënshkrimin elektronik”;
Ligji Nr. 9887, datë 10.03.2008, “Për mbrojtjen e të dhënave personale”;
5 http://akshi.gov.al/wp-content/uploads/2018/04/raporti-vjetor-2017-AKSHI.pdf last accessed
15.05.2018
Elda Kuka
Siguria e Informacionit në institucionet publike shqiptare
18
Ligji Nr. 9643, datë 20.11.2006, i ndryshuar, “Për prokurimet publike”;
Ligji Nr. 9723, datë 3.05.2007 “Për Qendrën Kombëtare të Regjistrimit”;
Ligji Nr. 9918 datë 19.05.2008, “Për komunikimet elektronike në Republikën e
Shqiperise”;
Ligji Nr. 2/2017, "Për Sigurinë Kibernetike". Ky ligj është përafruar pjesërisht
me Direktivën (BE) 2016/1148 të Parlamentit Europian dhe të Këshillit, datë 6
korrik 2016, “Mbi masat për një nivel të përbashkët të lartë të sigurisë së rrjeteve
dhe sistemeve të informacionit në Bashkimin Europian”. Numri CELEX:
32016L1148, Fletorja Zyrtare e Bashkimit Europian, Seria L, nr. 194, datë
19.7.2016, faqe 1-30;
Dokumenti i politikave për sigurinë kibernetike 2015-2017, i miratuar me VKM
nr. 973, datë 02.12.2015;
VKM Nr. 222, datë 26.04.2018, "Për miratimin e Listës së Infrastrukturave
Kritike të Informacionit dhe të Listës së Infrastrukturave të Rëndësishme të
Informacionit";
Megjithëse në kuadrin ligjor ka përmirësime të ndjeshme, përsëri ka nevojë për
angazhime të mëtejshme në lidhje më sigurinë e informacionit. Kjo shihet dhe ne
raportin Global CyberSecurity Index të International Telecommunication Union (ITU)
publikuar nga International Telecommunication Union (ITU). Sipas Global
CyberSecurity Index (2017), niveli i angazhimit për Shqipërinë është vlerësuar më
ngjyrë të kuqe ku “Vlerësimi i nivelit të angazhimit” është nga Jeshile (më i larti) në të
Kuqe (më i ulëti). Në tabelën mëposhtë paraqitet vlerësimi i detajuar për Shqipërinë
sipas fushave që janë marrë në studim dhe janë paraqitur në Raportin “Global
CyberSecurity Index, 2017”, të ITU-së. Në këtë raport kemi marrë vlerësimin ngjyrë
jeshile për institucionin e AKCESK, për mbrojtjen online të fëmijëve, për pjesëmarrjen
ndërkombëtare dhe partneritete më agjenci të tjera. Kemi vlerësim me ngjyrë të verdhë
për legjislacionin mbi sigurinë e kibernetike, strategjinë, fushatat e ndërgjegjësimit të
publikut, programet e trainimit, marrëveshjet dypalëshe, bashkëpunimin. Për pjesën
tjetër vlerësimi është me ngjyrë të kuqe.
Tabela 1-3 Global CyberSecurity Index
Burimi: ITU, 2017
Elda Kuka
Siguria e Informacionit në institucionet publike shqiptare
19
1.1.3 Ndryshimet që sjell Rregullorja e Përgjithshme e Mbrojtjes së të Dhënave (GDPR)
të BE-së
Pas disa vitesh debati dhe përgatitje, Rregullorja e Përgjithsme e Mbrojtjes së të
Dhënave (GDPR) 6 u miratua nga Parlamenti i BE-së në prill 2016 me datë të hyrjes në
fuqi në 25 maj 2018. GDPR-ja zëvendëson Direktivën 95/46 / EC për Mbrojtjen e të
Dhënave dhe është hartuar për të harmonizuar ligjet e privatësisë së të dhënave në të
gjithë Evropën, për të mbrojtur dhe fuqizuar mbi të gjitha privatësinë e të dhënave të
qytetarëve të BE-së dhe për të reformuar mënyrën se si organizatat në të gjithë rajonin i
qasen të dhënave personale.
Qëllimi i GDPR-së, është që të mbrojë të gjithë qytetarët e BE-së nga shkeljet e
privatësisë dhe të të dhënave në një botë gjithnjë e më të orientuar nga përdorimi i të
dhënave. Megjithëse parimet kryesore të privatësisë së të dhënave janë akoma në
përputhje me direktivat e mëparshme, janë propozuar shumë ndryshime për politikat
rregullatore.
Shtrirja e fushës territoriale (zbatueshmëria jashtë territoriale)
Ndoshta një nga ndryshimet më të rëndësishme në peizazhin rregullator të privatësisë së
të dhënave vjen me juridiksionin e zgjeruar të GDPR-së. Ajo vlen për të gjitha
kompanitë që përpunojnë të dhënat personale të subjekteve të të dhënave që banojnë
brenda BE-së, pavarësisht vendndodhjes së kompanisë. GDPR-ja e bën zbatueshmërinë
e saj shumë të qartë - ajo do të zbatohet për përpunimin e të dhënave personale nga
kontrolluesit dhe përpunuesit në BE, pavarësisht nëse përpunimi zhvillohet në vendet e
BE-së apo jo. Pra, të gjitha subjektet shqiptare që përpunojnë të dhënat personale të
qytetarëve të BE-së duhet të sigurojnë pajtueshmëri me GDPR-në.
Gjobat
Organizatat të cilat do të gjenden në shkelje të GDPR-së mund të gjobiten deri në 4% të
xhiros vjetore globale ose 20 milion EUR (cilado që është më e madhe). Kjo është gjoba
maksimale që mund të vendoset për shkeljet më serioze, p.sh. që nuk ka pëlqim të
mjaftueshëm të konsumatorëve për të përpunuar të dhëna ose është shkelur thelbi i
koncepteve të “Privacy by Design”. Është e rëndësishme të theksohet se këto rregulla
zbatohen si për kontrolluesit ashtu dhe për përpunuesit - që do të thotë 'Cloud-i' nuk do
të përjashtohen nga zbatimi i GDPR-së.
6 https://www.eugdpr.org/the-regulation.html last accesed on 30.05.2018
Elda Kuka
Siguria e Informacionit në institucionet publike shqiptare
20
Pëlqimi
Kushtet për pëlqimin janë forcuar dhe kompanitë nuk do të jenë në gjendje të përdorin
terma dhe kushte të palexueshme, pasi kërkesa për pëlqim duhet të jepet në një formë të
kuptueshme dhe lehtësisht të aksesueshme. Pëlqimi duhet të jetë i qartë dhe i
dallueshëm nga çështjet e tjera dhe të ofrohet në një formë të kuptueshme dhe lehtësisht
të qasshme, duke përdorur një gjuhë të qartë dhe të thjeshtë. Duhet të jetë po aq e lehtë
të tërhiqet pëlqimi ashtu siç është dhënia e tij.
Njoftimi për shkelje
Sipas GDPR-së, njoftimi për shkelje do të bëhet i detyrueshëm në të gjitha shtetet
anëtare ku një shkelje e të dhënave ka të ngjarë të "rezultojë në një rrezik për të drejtat
dhe liritë e individëve". Kjo duhet të bëhet brenda 72 orëve nga moment kur bëhet e
njohur shkelja. Procesorë të të dhënave gjithashtu do të kërkohet që të njoftojnë klientët
e tyre, kontrolluesit, "pa vonesa të panevojshme" pasi të jenë bërë të vetëdijshëm për një
shkelje të të dhënave.
E drejta për të hyrë
Një pjesë e të drejtave të zgjeruara të subjekteve të të dhënave të përshkruara nga
GDPR-ja është e drejta që subjektet e të dhënave të marrin nga konfirmuesi i
kontrollorit të të dhënave nëse janë duke u përpunuar apo jo të dhënat personale në
lidhje me to, ku dhe për çfarë qëllimi. Për më tepër, kontrolluesi duhet të sigurojë një
kopje të të dhënave personale, pa pagesë, në një format elektronik. Ky ndryshim është
një ndryshim dramatik në transparencën e të dhënave dhe fuqizimin e subjekteve të të
dhënave.
E drejta për t'u harruar
E njohur edhe si Shuarje e të Dhënave, e drejta për t'u harruar i jep të drejtë subjektit të
të dhënave që të ketë kontrolluesin e të dhënave të fshijë të dhënat personale, të
ndërpresë shpërndarjen e mëtejshme të të dhënave dhe potencialisht palët e treta të
ndalojnë përpunimin e të dhënave. Duhet gjithashtu të theksohet se kjo e drejtë kërkon
që kontrollorët të krahasojnë të drejtat e subjekteve me "interesin publik në
disponueshmërinë e të dhënave" gjatë shqyrtimit të kërkesave të tilla.
Bartja e të dhënave
GDPR-ja paraqet transportueshmërinë e të dhënave - e drejta për një subjekt të dhënash
për të marrë të dhënat personale në lidhje me ta, të cilat ato kanë dhënë më parë në një
'format të përdorimit dhe të leximit të makinës' dhe kanë të drejtë t'i transmetojnë këto
të dhëna tek një kontrollues tjetër.
Elda Kuka
Siguria e Informacionit në institucionet publike shqiptare
21
Privatësia nga Dizenjimi (Privacy by Design)
Privatësia me dizajn si një koncept ka ekzistuar prej vitesh, por vetëm me GDPR-në
është duke u bërë pjesë e një kërkese ligjore. Në thelb, privatësia me dizajn kërkon
përfshirjen e mbrojtjes së të dhënave që nga fillimi i dizajnimit të sistemeve, në vend të
shtimit. Neni 23 bën thirrje që kontrolluesit të mbajnë dhe përpunojnë vetëm të dhënat e
domosdoshme për përmbushjen e detyrave të tyre (minimizimin e të dhënave), si dhe
kufizimin e qasjes në të dhënat personale për ata që kanë nevojë për veprim jashtë
përpunimit.
Zyrtarët e Mbrojtjes së të Dhënave
Aktualisht, kontrollorët duhet të njoftojnë aktivitetet e tyre të përpunimit të të dhënave
tek Zyrtarët lokalë të Mbrojtjes së të Dhënave (DPA). Kjo për kompanitë
shumëkombëshe, mund të jenë një makth burokratik, me shumicën e vendeve anëtare që
kanë kërkesa të ndryshme njoftimi. Sipas GDPR-së nuk do të jetë e nevojshme të
dorëzohen njoftime / regjistrime në çdo DPA vendore të aktiviteteve të përpunimit të të
dhënave dhe as do të jetë një kërkesë për të njoftuar / marrë miratimin për transfertat
bazuar në Klauzolat e Kontratës Model (MCCs). Në vend të kësaj, do të ketë kërkesa të
brendshme të mbajtjes së shënimeve, siç shpjegohet më poshtë dhe emërimi i Zyrtarëve
të Mbrojtjes së të Dhënave do të jetë i detyrueshëm vetëm për ata kontrollues dhe
përpunues, aktivitetet kryesore të të cilave përbëhen nga operacionet e përpunimit që
kërkojnë monitorim të rregullt dhe sistematik të subjekteve të të dhënave në shkallë të
gjerë kategoritë e të dhënave ose të dhënave në lidhje me dënimet dhe veprat penale.
Kjo rregullore nuk sjell ndryshime në këtë moment për vendin tonë, por ajo ka bërë një
ndryshim të rrënjësor në legjislacionin e BE-së përsa i takon mbrojtjes së të dhënave
personale dhe privatësisë brenda BE-së. GDPR-ja do të ndikojë në ndryshimin e
politikave të të dhënave personale dhe privatësisë për kompanitë shqiptare që operojnë
në marrëdhënie me tregun europian.
1.2 Qëllimi dhe objektivat
Qëllimi i këtij punimi është të analizohet gjendja e sigurisë së informacionit në
institucionet publike shqiptare.
Elda Kuka
Siguria e Informacionit në institucionet publike shqiptare
22
Objektivat e kësaj teze janë:
i. Të identifikojë, përcaktojë dhe diskutojë praktikat e menaxhimit të sigurisë së
informacionit dhe cilët janë faktorët që mund të ndikojnë implementimin dhe
zhvillimin e menaxhimit të sigurisë së informacionit në institucionet publike
shqiptare;
ii. Të kuptojë rëndësinë e komponentëve të identifikuar dhe ndërveprimin me njëri-
tjetrin;
iii. Të përcaktojë nivelin e ndërgjegjësimit për sigurinë e informacionit në
institucionet publike si dhe të përcaktojë nëse mund të bëhën përmirësime në
menaxhimin e sigurisë së informacionit;
1.3 Pyetjet e kërkimit shkencor
Në mënyrë që të arrihen objektivat e këtij studimi, janë formuluar këto pyetje
kërkimore:
1. Cilat janë praktikat e menaxhimit të sigurisë së informacionit në
institucionet publike?
Literatura mbi menaxhimin e sigurisë së informacionit thekson nevojën e adresimit të
çështjeve teknike dhe jo-teknike në lidhje me sigurinë e informacionit. Veçanërisht në
vendet në zhvillim ka një mungesë vëmendje në literaturë për adresimin e këtyre
çështjeve si dhe për nivelin e ndërgjegjësimit mbi sigurinë e informacionit. Për këtë
arsye duhet marrë masat e duhura për të mbrojtur asetet kritike të organizatës.
2. Cilët janë faktorët që influencojnë efektivitetin e praktikave të menaxhimit
të sigurisë së informacionit?
Kjo pyetje kërkon të identifikojë dhe të kuptojë faktorët që lidhen me menaxhimin e
sigurisë së informacionit duke bërë një hulumtim të literaturës në përgjithësi dhe për
institucionet publike në veçanti duke u fokusuar në vendet në zhvillim.
3. Si mund të përmirësohet siguria e informacionit në institucionet publike
shqiptare?
Kjo pyetje kërkon të parashtrojë hapat konkretë, që duhet të ndërrmerren për të
përmirësuar sigurinë e informacionit në institucionet publike shqiptare duke u bazuar jo
vetëm në literaturë, por edhe në karakteristikat e përbashkëta që këto institucione kanë.
Elda Kuka
Siguria e Informacionit në institucionet publike shqiptare
23
Të treja pyetjet e kërkimit fokusohen mbi gjendjen aktuale të sigurisë së informacionit
në institucionet publike, ndërveprimet dhe proceset. Kjo provon një lidhje me qëllimin e
studimit, me rishikimin e literaturës dhe mbështet në realitetet e përditshme (Marshall &
Rossman, 1999).
1.4 Metodologjia
Pavarësisht nivelit të kuptimit të praktikave të sigurisë së informacionit dhe të
ndërgjegjësimit të sigurisë së informacionit në institucionet publike shqiptare, në
literaturë koncepti i sigurisë së informacionit është përcaktuar dhe shpjeguar shumë
qartë, si dhe ekzistojnë disa instrumente shumë të mira për të vlerësuar sigurinë e
informacionit. Ky studim kërkon të mbledhë të dhëna nga punonjësit e njësive të
teknologjisë së informacionit (TI) në institucionet publike shqiptare, kështu që pyetësori
është një teknikë ideale për mbledhjen e të dhënave (Creswell 2003; Hancock &
Algozzine 2006). Në mënyrë më të detajuar metodologjia e përdorur do të shpjegohet në
kapitullin 3.
1.5 Rëndësia e studimit
Siç kemi përmendur më lart, institucionet publike nëpërmjet sistemeve që përdorin dhe
shërbimeve që ofrojnë janë përdoruesit dhe në një këndvështrim edhe pronarët e të
dhënave personale të të gjithë popullsisë së një vendi. Ato përmbajnë informacion
shumë të rëndësishëm në version elektronik që duhet mbrojtur nga kërcënimet serioze të
cilat mund të jenë abuzimi si dhe veprime të paligjshme me të dhënat, por edhe
shkatërrimi i tyre (Thuraisingham 2005; Afyouni 2006). Zhvillimi i shpejtë i teknikave
që kërcënojnë informacionin krijojnë një rrezik serioz për informacionin (Bragg et al.
2004). Zhvillimi dhe menaxhimi i një mbrojtje të vazhdueshme është e nevojshme për të
mbajtur informacionin sa më të sigurtë që të mundemi.
Për përdoruesit e sistemeve të informacionit është e rëndësishme të garantohet siguria
për të dhënat e tyre qofshin personale ose jo. Për këtë arsye është thelbësore që
përdoruesit të kenë njohje të mirë dhe ndërgjegjësim mbi praktikat e sigurisë së
informacionit duke u mbështetur tek rregulloret, politikat dhe praktikat. Ky studim do të
pasqyrojë gjendjen e këtij dokumentacioni në institucionet publike shqiptare dhe do të
japë sugjerime sesi mund të bëhen përmirësime.
Elda Kuka
Siguria e Informacionit në institucionet publike shqiptare
24
Faktorë të tjerë që i japin rëndësi këtij studimi janë:
i. Mungesa e studimeve mbi sigurinë e informacionit në Shqipëri;
ii. Zhvillime relativisht të reja përsa i përket sigurisë së informacionit në
institucionet publike shqiptare.
1.6 Kufizime të studimit
Si kufizime të këtij studimi mund të përmendim mungesën e studimeve akademike në
fushën e sigurisë së informacionit në Shqipëri. Faza e hartimit të pyetësorit u zgjat më
shumë nga parashikimi pasi pati veshtirësi në plotësimin e pyetësorit në variantin e tij
fillestar në fazën e pilotimit. Faza e mbledhjes së të dhënave të studimit gjithashtu u
zgjat më shumë sesa ishte parashikuar për shkak të vështirësisë në marrjen e përgjigjes
së të anketuarve. Arsyet mund të përfshijnë mungesën e familjaritetit më pyetësorët,
kultura e ulët e bashkëpunimit në studime të tilla, mungesa e informacionit dhe të mos
kuptuarit drejt të qëllimit të këtij studimi.
1.7 Struktura e tezës
Kjo tezë përmban gjashtë kapituj të paraqitur në tabelën 1.1. Kapitulli i parë jep një
pamje të përgjithshme të punimit duke përfshirë qëllimin, objektivat, metodologjinë,
rëndësine dhe kufizimet e kërkimit.
Kapitujt
Përshkrimi
1 Hyrje, motivimi, qëllimi, objektivat, metodologjia, rëndësia, kufizimet e
kërkimit dhe struktura e tezës
2 Rishikimi i literaturës
3 Përshkrim i metodologjisë së përdorur për të mbledhur dhe analizuar të
dhënat
4 Analizimi i të dhënave
5 Prezantimi i gjetjeve dhe Konkluzionet
Tabela 1-4 Struktura e tezës
Kapitulli 2 paraqet një rishikim të literaturës. Fillimisht paraqiten përkufizimet në
sigurinë e informacionit. Përshkruhen kërcënimet e informacionit dhe në këtë punim
eksplorohen kërcënimet aksidentale dhe të qëllimshme. Dështimet e sigurisë dhe procesi
Elda Kuka
Siguria e Informacionit në institucionet publike shqiptare
25
i menaxhimit të riskut përshkruhen në terma të përgjithshëm dhe në lidhje me sigurinë e
informacionit. Diskutimet mbi standartet e sigurisë së informacionit, politikat dhe
legjislacionin n‟a japin një pamje më të qartë mbi standartet dhe ligjet ndërkombëtare.
Kapitulli 3 paraqet metodologjinë e kërkimit që është përdorur për të arritur objektivat e
këtij kërkimi. Fillon me paraqitjen filozofike të metodave sasiore që janë të bazë të
metodave të kërkimit. Shpjegohen me detaje dy pyetësorët e përdorur.
Kapitulli 4 paraqet analizën krahasuese dhe statistikore të bërë me të dhënat e
mbledhura nga dy pyetësorët.
Kapitulli 5 bazohet mbi interpretimin, diskutimin e rezultateve të marra dhe
konkluzionet e punimit. Ai përcakton dhe paraqet nivelin e praktikave të InfoSec në
institucionet publike shqiptare. Paraqiten kontributet me të rëndësishme dhe
rekomandimet e punimit, duke sugjeruar përmirësimet që duhen bërë për sigurinë e
informacionit në institucionet publike shqiptare.
Elda Kuka
Siguria e Informacionit në institucionet publike shqiptare
26
KAPITULLI II
2 Rishikim i Literaturës
2.1 Hyrje
Me shpikjen e kompjuterave, të telekomunikimit dhe internetit, sasi të mëdha
informacioni u bënë të diponueshme për të gjithë me vetëm një klikim, tashmë jo vetëm
me anë të kompjuterave, por dhe duke përdorur celularët apo pajisje të tjera inteligjente.
Sot, secili nga ne përdor shumë faqe interneti dhe aplikacione në internet duke filluar
nga përdorimi i postës elektronike, aksesimi i llogarive bankare, rrjetet sociale etj.
Megjithatë, përdorimi i interntetit në mënyrë të tillë duke n‟a bërë shpesh të varur prej
tij, nuk është pa probleme. Duhet theksuar se janë krijuar probleme me abuzimin me
informacionin si: keqinformimi, keqinterpretimi, mungesë informacioni apo dhe
mbingarkesë informacioni. Për me tepër, të njëjtat teknologji që japin akses mbi gjithë
këtë informacion, shfrytëzohen nga njerëz të paskrupuj për të aksesuar informacionin,
për t‟a kopjuar, dëmtuar apo dhe shkatërruar atë.
Në këtë kapitull do të paraqesim një rishikim të përmbledhur të literaturës mbi Sigurinë
e Informacionit në vendet në zhvillim, mbi disa burime. Këto burime përfshijnë libra,
artikuj, revista shkencore, conference proceedings dhe një varietet burimesh që gjenden
në internet. Objektivi kryesor i rishikimit të literaturës ishte të gjendej një lidhje midis
njohurive të tanishme dhë zonat kyçe të studimit si dhe të gjenim hapësirat që ekzistojnë
me aplikimin e tyre në instiucionet publike shqiptare. Në literature rekomandohet fort
menaxhimi i sigurisë së informacionit me anë të një programi të quajtur “Programi për
Manxhimin e Sigurisë së Informacionit” ose “Sistemi i menaxhimit të Sigurisë së
Informacionit” (ISMS). Standartet ndëkombëtare për zhvillimin e një ISMS-je
rekomandojnë si hap të parë përcaktimin e politikës. Në mënyrë të ngjashme, një qëllim
më i madh i politikës së sigurisë është pajtueshmëria për të minimizuar rreziqet;
ndërgjegjësimi për sigurinë e informacionit, që është dhe më sfiduesi, lidhet në mënyrë
më integrale për të rritur pajtueshmërinë. Për këtë arsye rishikimi i literaturës do të
fokusohet në këto çështje, që lidhin pyetjet kërkimore dhe objektivat.
.
Elda Kuka
Siguria e Informacionit në institucionet publike shqiptare
27
2.2 Qasjet e Sigurisë së Informacionit
Siguria e informacionit është shumë e gjerë dhe mbulon një varietet çështjesh
teknologjike dhe jo-teknologjike dhe ka ndryshuar shumë përgjatë viteve.
2.2.1 Një vështrim mbi menaxhimin e Sigurisë së Informacionit
Është e rëndësishme të kuptohet siguria e informacionit sot, duke bërë një përshkrim të
shkurtër historik. Von Solms (2000) dhe Von Solms (2006), n‟a ofronjne një
këndvështrim dhe një pamje mbi zhvillimin e sigurisë së informacionit si rezultat i kater
“valëve” të dallueshme të gjeneratave.
Figura 2-1 Zhvillimi me valë i ISMS
(Von Solms 2000; 2006)
Von Solms propozon si gjeneratën e parë, “valën e parë” atë që ai e quan “vala teknike”,
që ekzistoi deri në fillim të viteve 80 dhe që dallohej për një qasje teknike përsa i përket
sigurisë së informacionit. “Vala e dytë”, nga fillimi i viteve 80 deri në mes të viteve 90
është quajtur “vala e menaxhimit”. Kjo valë është karakterizuar nga një interes i shtuar
dhe përfshirje e menaxhimit në sigurinë e informacionit. Kjo valë plotësoi valën teknike
dhe rriti rëndësinë e sigurisë së informacionit.
Megjithëse i përmirësoi disi gjërat, shumë shpejt u bë e qartë që nevojitej të kuptohej
vlera dhe efektiviteti i sigurisë së informacionit. Kjo solli nevojën për të krahasuar
sigurinë e informacionit me një nivel bazë si dhe të krahasohej me institucione të tjera.
Kjo solli zhvillimin e valës së tretë të quajtur “vala institucionale” që ekzistoi deri në
vitet 2000. Vala e tretë përfaqësohet nga njohja dhe interesi për standartet
Elda Kuka
Siguria e Informacionit në institucionet publike shqiptare
28
ndërkombëtare, kodin e praktikave, certifikimet e sigurisë, kultivimi i një kulture të
sigurisë në organizatë, si dhe matje dinamike dhe të vazhdueshme të sigurisë. Vala e
katërt, “vala e qeverisjes”, filloi në vitet 2000 dhe vazhdon dhe sot.
Kjo paraqitje jep qasjen e përgjithshme të teknologjisë së informacionit dhe menaxhimit
të saj në periudhat kohore të paraqitura. Koncepti i kësaj rruge në evolucionin e
Teknologjisë së Informacionit dhe Komunikimit (TIK) mund të luajë një rol të
rëndësishëm në të kuptuarit të ndyshimeve midis teknologjisë TIK dhe maturitetit të
sistemeve të menaxhimit të sigurisë së informacionit në vende të cilat mund të jenë në
tranzicion diku nëpër këtë rrugë. Për shembull mund të mos kenë arritur valën e tretë
ose të katërt të nivelin të zhvillimit.
2.2.2 Menaxhimi i sigurisë në Sektorin publik
Menaxhimi i sigurisë në sektorin publik është i rëndësishëm pasi lidhjet midis klientëve
të jashtëm të sistemeve të e-qeverisjes duhe të menaxhohen me kujdes. Studiuesit e
organizatave publike argumentojnë që qeveritë operojnë në ambiente të ndryshme nga
organizatat private dhe për këtë kanë nevojë për qasje të ndryshme (Caudle 1991; Fryer
2007; Joia 2003; Moon 2000). Ato kanë disa karakterisitika që i identifikojnë:
i. Sektori publik karakterizohet nga mungesa e tregjeve ekonomike për rezultatet
përfundimtare të produktit;
ii. Sektori publik mbështetet në ndarjen që bën qeveria për burimet financiare. Kjo
mbështetje prodhon një tjetër kufizim;
iii. ndikim politik.
Shpesh mendohet se institucionet publike nuk kanë nevojë për siguri informacioni të
strukturuar pasi nuk janë pjesë e një ambient konkurrues dhe kanë tendencë të kenë
infrastrukturë TI më të thjeshtësuar pasi pjesa më e madhe e sistemeve te informacionit
janë për përdorim të brendshëm dhe për këtë arsye janë më pak të ekspozuar ndaj
kërcënimeve të jashtme. Megjithatë, kjo nuk është më e vërtetë. Institucionet publike
kanë informacione shumë sensitive, informacione konfidenciale për individë dhe
organizata duke i bërë kështu shënjstra të mundshme të hakerave të shumtë.
Hutton (1996) argumenton se organizatat e sektorit publik kanë një numër specifik
karakteristikash, të cilat mund të kenë ndikim në çdo ndyshim që bën menaxhimi. Disa
nga këto përfshijnë: hierarkitë e ngurta; kulturën; ndryshimet në drejtimin e politikave
mund të jenë të papritura dhe dramatike; mbivendosja e iniciativave; fushëveprimi i
gjerë i aktiviteteve; si dhe stafi është një pjesë e rëndësishme e organizatave të sektorit
Elda Kuka
Siguria e Informacionit në institucionet publike shqiptare
29
publik. Një pikë tjetër kritike është se sektori publik është shumë i ndjeshëm ndaj
ndonjë incidenti të sigurisë së informacionit. Ato mund të kenë një ndikim negativ në
adoptimin dhe implementimin e aplikacioneve të e-qeverisjes.
2.3 Modeli CIA i Menaxhimit të Sigurisë së Informacionit
Informacioni është një avantazh konkurrues. Që të vlejë si avantazh konkurrues ai duhet
që të jetë i aksesueshëm, i plotë dhe i besueshëm dhe mundësisht të mos jetë
disponueshëm për konkurrentët.
Në literaturë ka disa mënyra të shprehuri të sigurisë së informacionit por të gjitha kanë
në bazë tre karakteristikat: disponueshmërinë, plotësinë dhe besueshmërinë. Sipas
Ferrari & Thuraisingham (2006) dhe Merkow & Breithaupt (2006), siguria e
informacionit mund të përshkruhet si mbrojtja e informacionit dhe sistemeve nga
rreziqet e aksesit të paautorizuar, përdorimit ilegal, zbulimit, modifikimit apo
shkatërrimit. Sipas Turban et al. (1996), Stallings & Brown (2008), Whitmann &
Mattord (2008) siguria e informacionit mund të përcaktohet në terma të
konfidencialitetit, integritetit dhe disponueshmërisë së informacionit. Figura 2.2 tregon
trekëndëshin C.I.A. (Afyouni 2006).
Figura2-2.Trekendëshi CIA
Burimi: (Afyouni 2006)
Secili nga tre elementët e trekëndëshit C.I.A. (konfidencialiteti, integriteti, dhe
disponueshmeria) është një pjesë thelbësore e aftësisë TI të organizatës për të mbajtur
konkurueshmëri afatgjatë (Stoneburner, 2002).
Diponueshmeri
Availability
Integriteti
Integity
Konfidencialitet
Confidentiality
Elda Kuka
Siguria e Informacionit në institucionet publike shqiptare
30
2.3.1 Konfidencialiteti
Konfidencialitet do të thotë që informacioni duhet të mbrohet nga zbulimi i paautorizuar
tek të tretë. Sipas Whitman & Mattord (2008), konfidencialiteti është “cilësia ose
gjendja e informacionit që ndalon zbulimin apo ekspozimin nga individë të paautorizuar
ose sisteme të paautorizuara”. Cënim i konfidencialitetit mund të jetë p.sh. vjedhja nga
një haker e informacioneve të një klienti nga baza e të dhenave të një organizate.
2.3.2 Integriteti
Integritet nënkupton që informacioni duhet të mbrohet nga modifikime të paautorizuara
dhe që informacioni, të jetë i saktë dhe i plotë. Integriteti mund të përcaktohet si një
garanci për plotësinë dhe saktësinë ose saktësinë e cilësisë së informacionit (Whitman &
Mattord 2008). Psh., shumë viruse dhe krimba kompjuterike krijojnë incidente
integriteti duke korruptuar të dhënat në skedarë. Punonjës të paautorizuar që bëjnë
ndryshime në të dhëna, gjithashtu kompromentojnë integritetin e informacionit.
2.3.3 Disponueshmëria
Sipas Afyouni (2006) dhe Whitman & Mattord (2008), disponueshmëri do të thotë që
sistemi duhet të jetë i aksesueshëm për të autorizuarit në çdo kohë, që t‟a aksesojnë në
mënyrë që të arrijnë informacionin e kërkuar. Sherwood (2000) thotë se disponueshmëri
do të thotë që informacioni të përftohet kur përdoruesit kanë nevojë për të. Psh. disa
sulme kompjuterike (si DoS), mund të ndërpresin vizibilitetin dhe disponueshmërinë e
informacionit.
Konfidencialiteti, integriteti dhe disponueshmëria e informacionit janë vazhdimisht nën
kërcënim.
Pavarësisht pranimit gjerësisht të modelit CIA si një model sigurie, studiuesit sugjerojnë
që është një model shumë i thjeshtë për të përshkruar elementet bazë të sigurisë. P.sh. në
këtë model mungojnë përgjegjësia dhe llogaridhënia. Kjo shpjegohet ndoshta me faktin
që modeli CIA është zhvilluar në erën kompjuterike dhe siguria e informacionit ishte
më shumë një funksion teknik. Për të siguruar konfidencialitetin, integritetin dhe
disponueshmërine e informacionit është e rëndësishme të kuptohen kërcënimet që
hasen.
Elda Kuka
Siguria e Informacionit në institucionet publike shqiptare
31
2.3.4 Kërcënimet e Informacionit
Whitmann & Mattord (2011) i ndajnë në 14 lloje të ndryshme kërcënimesh të sigurisë së
informacionit që mund të rezultojnë në humbje të konfidencialitetit, integritetit ose
disponueshmërisë. Ata i kategorizojë në:
vjedhje të pronësisë intelektuales; shkeljet më të zakonshme përfshijnë piraterinë
e programeve kompjuterike;
sulme ndaj programeve; viruset, krimbat, Kuajt e Trojës, bombat logjike, dyert e
pasme apo dyert kurth, kërcënimet polimorfike, mashtrimet me viruse dhe
krimba;
devijime në cilësine e shërbimit; sistemet e informacionit varen nga shumë
sisteme mbështetëse të ndërvarura te cilat kane problem kur produktet ose
shërbimet nuk janë dorëzuar sic pritet,
spiunazh ose ndërhyrje; aksesimi i informacionit të mbrojtur nga persona të
paautorizuar;
forcat e natyrës; zjarr, përmbytje,tërmet, etj.;
gabime njerëzore; përfshin akte të kryera pa qëllime keqdashëse
zhvatje informacioni;
i munguar, i papërshtatshëm ose i paplotë; eshtë politikë ose planifikim i
zhdukur, i papërshtatshëm, ose i Paplotë qe mund ta bëjë organizatën të
pambrojtur ndaj humbjes, dëmtimit ose bërjes publike të informacioneve të
ndjeshme;
kontrolle të muguara, të papërshtatshme apo të paplota; mund ta bëjnë një
organizatë me shumë gjasa të vuaj humbjet kur kërcënimet e tjera çojnë në
sulme;
vjedhja;
sabotazhi apo vjedhja;
dështime ose gabime teknike të hardware;
dështime ose gabime teknike të software;
vjetërimi teknologjik;infrastruktura e vjetëruar mund të çojë në sisteme të jo të
besueshme dhe të pasigurta.
Stulz (2003) dhe Afyouni (2006) bëjnë një kategorizim tjetër të kërcënimeve të
informacionit duke i kategorizuar si:
Elda Kuka
Siguria e Informacionit në institucionet publike shqiptare
32
aksidentale ose të paqëllimshme; Kërcënimet aksidentale ose të paqëllimshme
janë ato që shkaktohen nga ngjarje jashtë pajisjeve të TI-së si: fatkeqësitë
natyrore, fatkeqësitë teknologjike dhe gabimet njerëzore (Shaluf 2007; Hoo
2000).
të paramenduara ose të qëllimeshme; Kërcënimet e paramenduara ose të
qëllimeshme mund të jenë ose të dëmshme ose të padëmshme. Ato janë
kërcënime të dizenjuara për qëllime të këqija, shkatërruese për informacionin e
shënjuar përdorin teknika si malware (kodet e këqija), hakerimet, ndërhyrjet,
sulmet DoS, vjedhjen, mashtrimin ose spiunazhin (Easttom 2006; Bragg et al.
2004).
kontribuese ose instrumentale; Kërcënimet kontribuese ose instrumentale vijnë
nga dështimi ose mosekzistenca e procedurave të duhura. Kjo mund të përfshijë
një dështim të përdorimit të: backup-it, praktikave për fjalëkalime të forta,
politikave kufizuese në lidhje më aksesin në website, përdorimin e kujtesave të
jashtme ose politikave të sigurisë së postës elektronike (Geric & Hutinski 2007).
Kërcënimet aksidentale
Kërcënimet aksidentale ose të paqëllimshme janë shkaktuar nga incidente që janë përtej
kontrollit njerëzor, siç janë fatkeqësitë natyrore, fatkeqësitë teknologjike dhe gabimet
njerëzore.
Zjarri;
Përmbytja;
Termeti, rënia e një ndërtese ose kërcënimi për rënien e një ndërtese;
Ndërprerja e energjisë elektrike;
Dështime të kompjuterave ose telekomunikimeve, që mund të ndalojë ose të
shkatërrojë plotësisht sistemet kompjuterike dhe informacionin që ato mbajnë;
Dështimi i ajrit të kondicionuar në dhomat e serverave;
Hedhje jo korrekte e të dhënave nga përdoruesit fundorë ose stafi i autorizuar;
Bug-e në sistemet software-ike;
Kërcënimet e qëllimshme
Kërcënimet e qëllimshme mund të përkufizohen si kërcënime me qëllime të këqija për
të shkatërruar informacionin e targetuar. Këto përfshijnë kodet malware, hakerimet,
ndërhyrjet, sulmet DoS, vjedhjet, mashtrimet, spiunazhin (Ateeq 2012; Easttom 2006).
Elda Kuka
Siguria e Informacionit në institucionet publike shqiptare
33
Malware është një program i dizenjuar për qëllim të dëmshëm. Programi mund të
përmbajë viruse, kuaj Troje dhe spyware (Bragg et al. 2004). Viruset qarkullojnë
lehtësisht në kompjuteart e përdoruesve me qëllimin që të shpërndahen në përdorues të
tjerë dhe të dëmtojnë ose shkatërrojnë informacionin e tyre. Efekti mund të jetë i
padëmshëm, ose mund të jetë një korruptim serioz i të dhënave ose programeve (Turban
et al.1996). Hakerat mund të krijojnë viruse, bomba logjike, krimba dhe kuaj Troje, e
secili prej tyre mund të çojë në humbje të konfidencialitetit të të dhënave (Brag et
al.2004).
Ndërhyrjet (intrusions) janë sulme që përdorin çdo metodë për siguruar akses të
paautorizuar në një sistem (Vacca 2009). Sulmet DoS janë dizenjuar për të parandaluar
aksesin legjitim në një sistem dhe të shkaktojnë mos disponueshmërine e burimeve
(Kizza 2005). Hakerimi dhe përgjimi ndodhin kur dikush, pa autorizim, ekzaminon të
dhënat që ndodhen në kompjuter. Hakerimi bëhet zakonisht për të provuar aftësitë
teknike të një hakeri, por mund të cënojë konfidencialitetit, integritetin dhe
disponueshmërinë e të dhënave.
Vjedhja e laptopë-ve është një kërcënim serioz për përdoruesit e këtyre pajisjeve.
Viktimat e vjedhjes së laptopë-ve mund të humbasin hardware, programe dhe të dhëna
të rëndësishme të cilat mund të mos jenë ruajtur diku tjetër. Hajdutët mund të aksesojnë
të dhëna personale dhe të një natyre sensitive (Brown 2009). Në përgjigje të ketij
problemi janë zhvilluar shumë metoda për të mbrojtur të dhënat dhe për të parandaluar
vjedhjen si alarme dhe elemente vizualë frenues si etiketa apo ngjitesa, shifrim it ë
dhënave në hard disk, apo dhe instalimi i programeve për gjetjen e tyre në largësi.
Mashtrimi është çdo akt i qëllimshëm për t‟i zhvatur dikujt para ose prona duke e
mashtruar me dinakëri ose zgjuarsi. Është një nga kërcënimet që mund të ndikojë
seriozisht mbi informacionin. Mashtrimi përdoret në shumë sektorë për qëllime të
ndryshme si mashtrime financiare dhe mashtrime në Internet. Mashtrimi në Internet
është bërë një nga mënyrat më të lehta për vandalët që të përfitojnë para ose
informacione të rëndësishmë duke përdorur teknika phishing. Mënyra më e mirë për të
luftuar mashtrimin ne Internet është të mësosh sesi të evitosh të bëhesh viktimë
(Crescenzo 2006).
Kërcënimet kontribuese
Kërcënimet kontribuese janë prezantuar nga dështimi ose mos-ekzistenca e procedurave
të përshtatshme. Sic kemi theksuar siguria e informacionit është në thelb një funksion
menaxherial. Akses i pakontrolluar në pajisjet e TI-së do të çonte në një kërcënim
procedural (Poulsen 2003). Kërcënimet proceduriale shkaktojnë anashkalim të
Elda Kuka
Siguria e Informacionit në institucionet publike shqiptare
34
procedurave korrekte. Stafi pa experiencë apo jo i trainuar kontribuon në rreziqet e
informacionit sepse ata shpesh bejne supozimet të gabuara, nuk kanë njohuritë ose
aftësitë për të parandaluar ose për të reduktuar rreziqet e informacionit (Huang et al.
2011). Sipas Shaw et al. (2008) dhe Huang et al. (2003), niveli i riskut rritet nëse ka
ndërgjegjësim të ulët ose trainim jo të duhur për punonjesit. Punonjësit duhet të
trainohen për të rritur ndërgjegjësimin e tyre si dhe për të kuptuar sa më mirë dhe
përgjigjur sic duhet ndaj kërcënimeve potenciale dhe reale të sigurisë, që hasin
gjithmonë sistemet e informacionit.
2.3.5 Një kornizë për menaxhimin e Sigurisë së Informacionit
Whitson (2003) thekson se siguria fillimisht arrihet nëpërmjet analizës së riskut,
politikave të sigurisë, procedurave dhe dokumentacionit, ndërgjegjësimit, trainimit dhe
përgatitjes për të evituar shkatërrimet (disaster) dhe rimëkëmbje (recover). Andersen
(2001) dhe Von Solms (1999) përfshijnë në përkufizimin e tyre përfshirje thelbësore të
palëve të interesuara dhe aplikimin e standarteve të sigurisë. Pra, në këtë pikë edhe pse
modeli CIA është pranuar nga të gjithe, ai është shumë i thjeshtë për të përfaqësuar si
duhet sigurinë e informacionit.
Megjithatë, deri më sot pavarësisht modelit CIA dhe standarteve apo modeleve të tjera,
ka një mungesë pikpamje dhe zbatimi praktik të menaxhimit të sigurisë së
informacionit.
Një numër i madh standartesh dhe kornizash janë zhvilluar vitet e fundit dhe kanë
ndihmuar në zhvendosjen e fokusit nga një pikëpamje e ngushtë për sigurinë e
informacionit në një kornizë më të gjerë. Kjo lloj kornize merr parasysh një perspektivë
biznesi, duke përfshirë jo vetëm një serë masash, por edhe duke u fokusuar në
strukturën organizative, politikën, kapacitetet për matje dhe certifikimin. Një koncept i
ri vjen nga zhvillimi i këtyre kornizave dhe në lidhje me aplikimin e menaxhimit të
sigurisë së informacionit është përdorimi i Sistemit të Menaxhimit të Sigurisë së
Informacionit (ISMS) bazuar në standarte te njohura. ISMS-të janë në fakt një kornizë
organizacionale për funksionimin e sigurisë së informacionit.
Qëllimi i një ISMS-je lidhet me mënyrën, procesin apo metodën sesi siguria e
informacionit menaxhohet nga prespektiva organizative. Përdorimi i një ISMS-je për
menaxhimin e sigurisë së informacionit është i rëndësishëm dhe rekomandohet nga
shumë studiues (Eloff & Eloff, 2003), Von Solms 1998c).
Elda Kuka
Siguria e Informacionit në institucionet publike shqiptare
35
2.4 Përdorimi i Standarteve në Sigurisë së Informacionit
Standardet luajnë rol kyç në përmirësimin e mbrojtjes së sigurisë midis rajoneve dhe
komuniteteve të ndryshme gjeometrike. Shtetet i krijojnë standardet për të arritur
objektivat dhe në disa raste standardet e krijuara janë konkuruese dhe kontradiktore.
Standarde të tjera favorizojnë kompanitë që dominojnë fushën ku operojnë. Bashkimi
Europian (BE), me suportin e Agjencisë së Rrjetit Europian dhe Sigurisë së
Informacionit (ENISA) ka nisur të përfshijë standartet në strategjitë dhe politikat që
krijon, por ende ka shumë për të bërë. Zhvillimi dhe përdorimi i standardeve është i
nevojshëm, emergjent dhe kërkon përfshirjen e aktorëve të sektorit publik dhe privat, siç
konfirmon vetë ENISA në raportin e saj mbi standartizimin7
. Ka disa standarte
ndërkombëtare në lidhje me menaxhimin e sigurisë së informacionit. Më poshtë po
përmendim pesë më të mirënjohurit.
2.4.1 Standartet ISO
Një nga modelet më të njohura të sigurisë është Kodi i Praktikës së Teknologjisë së
Informacionit për Menaxhimin e Sigurisë së Informacionit, i cili u botua fillimisht si
Standarti Britanik BS7799. Në vitin 2000, ky kod i praktikës u miratua si një kornizë
standarde ndërkombëtare për sigurinë e informacionit nga Organizata Ndërkombëtare
për Standardizim (ISO) dhe Komisioni Ndërkombëtar Elektroteknik (IEC) si ISO / IEC
17799. Dokumenti u rishikua në vitin 2005 (duke u bërë ISO 17799: 2005), dhe u
riemërtua në ISO 27002 në vitin 2007 për ta lidhur atë me dokumentin ISO 27001 (ISO
2017).
ISO/IEC 27002
Qëllimi i deklaruar i ISO/IEC 27002 është të "japë rekomandime për menaxhimin e
sigurisë së informacionit për përdorim nga ata që janë përgjegjës për fillimin, zbatimin
ose ruajtjen e sigurisë në organizatën e tyre. Synon të sigurojë një bazë të përbashkët për
zhvillimin e standardeve organizative të sigurisë dhe praktikën efektive të menaxhimit
të sigurisë dhe për të siguruar besim në marrëdhëniet ndërorganizative" (ISO 2016).
ISO/IEC 27002 është fokusuar në një pasqyrim të gjerë të fushave të ndryshme të
sigurisë, duke ofruar informacion për mbi 127 kontrolle në mbi dhjetë fusha të gjera,
ndërsa ISO/IEC 27001 jep informacion se si të implementohet ISO/IEC 27002 dhe si të
ngrihet një system menaxhimi për sigurinë e informacionit (Whitman & Mattord 2011).
7 https://www.enisa.europa.eu/topics/standards/standards
Elda Kuka
Siguria e Informacionit në institucionet publike shqiptare
36
ISO/IEC 27001
Versioni aktual i publikuar më 2013 specifikon kërkesat për krijimin, zbatimin,
mirëmbajtjen dhe përmirësimin e vazhdueshëm të një sistemi të menaxhimit të sigurisë
së informacionit brenda kontekstit të organizatës. Ajo gjithashtu përfshin kërkesa për
vlerësimin dhe trajtimin e rreziqeve të sigurisë së informacionit të përshtatura sipas
nevojave të organizatës (ISO 2017). Kërkesat e përcaktuara në ISO/IEC 27001:2013
janë të përgjithshme dhe kanë për qëllim të jenë të zbatueshme për të gjitha organizatat,
pavarësisht nga lloji, madhësia ose natyra e tyre. Standarti 27001: 2013, si një standart i
ri i kushton më shumë rëndësi matjes dhe vlerësimit se sa mirë funksionon ISMS e një
organizate (Sistemi i Menaxhimit të Sigurisë së Informacionit) dhe ekziston një seksion
i ri mbi marrëdhënit me të tretët, që pasqyron faktin se shumë organizata mbështeten tek
palët e treta për të ofruar disa aspektet e TI. Nuk thekson ciklin Plan-Do-Check-Act siç
ka bërë 27001: 2005, por ky cikël vepron si një çadër për të gjithë standartin.
2.4.2 Standartet BSI8
Standardet BSI përmbajnë rekomandime nga Zyra Federale për Sigurinë e Informacionit
(BSI) e qeverisë Federale Gjermane për metodat, proceset, procedurat, qasjet dhe masat
që lidhen me sigurinë e informacionit. Për këtë BSI trajton çështjet që janë me rëndësi
thelbësore për sigurinë e informacionit në autoritetet publike dhe kompanitë dhe për të
cilat janë krijuar qasje të përshtatshme, praktike, kombëtare ose ndërkombëtare.
Nga njëra anë, standardet BSI përdoren për të siguruar mbështetje teknike për
përdoruesit e teknologjisë së informacionit. Agjencitë publike dhe kompanitë mund të
përdorin rekomandimet e BSI dhe t'i përshtasin ato sipas nevojave të tyre. Kjo lehtëson
përdorimin e sigurt të teknologjisë së informacionit, pasi përdoren metoda, procese ose
procedura të besuara.
Nga ana tjetër, standardet BSI përdoren gjithashtu për të përshkruar qasjet e provuara në
bashkëpunim.
BSI Standard 100-1 Sistemet e Menaxhimit të Sigurisë së Informacionit (ISMS)
BSI Standard 100-1 përcakton kërkesat e përgjithshme për një ISMS. Është plotësisht
në përputhje me ISO Standard 27001 dhe për më tepër merr në konsideratë
rekomandimet në Standardet ISO të familjes ISO 2700x. Ai u siguron lexuesve
8 https://www.bsi.bund.de/EN/Publications/BSIStandards/BSIStandards_node.html last accessed on
15.05.2018
Elda Kuka
Siguria e Informacionit në institucionet publike shqiptare
37
udhëzime lehtësisht të kuptueshme dhe sistematike, pa marrë parasysh se cilat metoda
ata dëshirojnë të përdorin për të zbatuar kërkesat.
BSI-Standard 100-2: IT-Grundschutz Metodologjia
Metodologjia IT-Grundschutz përshkruan progresivisht (hap pas hapi) se si menaxhimi i
sigurisë së informacionit mund të krijohet dhe të përdoret në praktikë. Detyrat e
menaxhimit të sigurisë së informacionit dhe krijimi i një organizate sigurie janë lëndë të
rëndësishme në këtë kontekst. Metodologjia IT-Grundschutz ofron një përshkrim të
detajuar se si të krijojë një koncept praktik të sigurisë, si të zgjedhin masat e duhura të
sigurisë gjatë zbatimit të konceptit të sigurisë. Gjithashtu ky standard i është përgjigjur
pyetjes se si të ruhet dhe përmirësohet siguria e informacionit në operacionet në
vazhdim.
BSI-Standard 100-3: Analiza e Riskut bazuar në IT-Grundschutz
Katalogët IT-Grundschutz të BSI përmbajnë standardet mbrojtëse të sigurisë të kërkuara
në fushat organizative, personeli, infrastruktura dhe teknika, të cilat përgjithësisht janë
të përshtatshme për kërkesat normale të sigurisë dhe për të mbrojtur domenet tipike të
informacionit. Shumë përdorues, të cilët tashmë po punojnë me sukses me IT-
Grundschutz, ballafaqohen me pyetjen se si duhet të merren me zonat, kërkesat e të
cilave të sigurisë duken qartë përtej masës normale. Është e rëndësishme që
metodologjia bazë të mos prodhojë shumë përpjekje dhe shpenzime shtesë dhe të
ripërdorë sa më shumë qasje të mundshme nga IT-Grundschutz.
2.4.3 COBIT 5
Objektivat e Kontrollit për Informacionin dhe që lidhen me Teknologjinë (CobiT) janë
një grup praktikash më të mira për menaxhimin e teknologjisë së informacionit të
zhvilluar nga ISACA (Shoqata e Auditit dhe Kontrollit të Sistemeve të Informacionit)
në vitin 19969 10
. COBIT 5 bashkon pesë parimet që i lejojnë ndërmarrjes të ndërtojë një
kornizë efektive të qeverisjes dhe menaxhimit të bazuar në një tërësi gjithëpërfshirëse,
9
http://www.qualified-audit-
partners.be/user_files/QECB_GLC_COBIT_5_ISACA_s_new_framework_201303.pdf
10
http://www.isaca.org/About-ISACA/History/Pages/default.aspx
Elda Kuka
Siguria e Informacionit në institucionet publike shqiptare
38
që optimizon investitorët e informacionit dhe teknologjisë dhe përdorin për të mirën e
palëve të interesuara.
Parimet e COBIT 5, takimi i nevojave të palëve të interesuara; mbulimi i sipërmarrjes;
zbatimi i një kuadri të vetëm, të integruar; mundësimi i njw qasje holistike, ndarja e
qeverisjes nga menaxhimi si dhe mundësuesit Parimet; Politikat dhe kornizat; Proceset;
Strukturat organizative, Kultura, Etika dhe Sjellja, Informacioni, Shërbimet,
Infrastruktura dhe Aplikimet, Njerëzit, Aftësitë dhe Kompetencat janë të përgjithshme
dhe të dobishme për ndërmarrjet e të gjitha madhësive, qofshin komerciale, jo për
përfitim ose në sektorin publik.
2.4.4 Korniza e Sigurise Kibernetike të NIST-it
E themeluar në vitin 1901, Instituti Kombëtar i Standardeve dhe Teknologjisë (NIST)
është një agjenci federale jo-rregullatore brenda Departamentit të Tregtisë të SHBA-ve.
Misioni i NIST është të promovojë inovacionin e SHBA-së dhe konkurrencën
industriale duke avancuar shkencën, standardet dhe teknologjinë e matjes në mënyra që
rrisin sigurinë ekonomike dhe përmirësojnë cilësinë e jetës.
Korniza siguron një gjuhë të përbashkët për të kuptuar, menaxhuar dhe shprehur
rrezikun e sigurisë kibernetike si nga brenda dhe nga jashtë. Mund të përdoret për të
ndihmuar në identifikimin dhe prioritizimin e veprimeve për zvogëlimin e rrezikut të
sigurisë kibernetike dhe është një mjet për të përshtatur politikat, biznesin dhe qasjet
teknologjike për të menaxhuar atë rrezik. Mund të përdoret për të menaxhuar rrezikun e
sigurisë kibernetike në të gjithë organizatën ose mund të përqendrohet në ofrimin e
shërbimeve kritike brenda një organizate. Llojet e ndryshme të entiteteve - duke
përfshirë strukturat koordinuese të sektorit, shoqatat dhe organizatat - mund të përdorin
Kornizën për qëllime të ndryshme, duke përfshirë krijimin e Profilet e përbashkëta.
Kuadri siguron një mjet për të shprehur kërkesat e sigurisë kibernetike për partnerët e
biznesit dhe klientët dhe mund të ndihmojë në identifikimin e boshllëqeve në praktikat e
sigurisë së kibernetikës të një organizate11
.
11
https://www.nist.gov/sites/default/files/documents/cyberframework/cybersecurity-framework-
021214.pdf last accessed 20.05.2018
Elda Kuka
Siguria e Informacionit në institucionet publike shqiptare
39
2.4.5 Guida e ITIL (Information Technology Infrastructure Library)12
ITIL (IT Infrastructure Library) ofron një kornizë të udhëzimeve për praktikat më të
mira për Menaxhimin e Shërbimeve të TI-së
dhe që nga krijimi i saj, ITIL është bërë
qasja më e pranuar në Menaxhimin e Shërbimeve të TI-së
në botë.
Në vend të një sërë rregullash të ngurtë, ITIL siguron një kornizë që kompanitë mund të
përshtaten për të përmbushur nevojat e tyre. Organizatat nuk kanë nevojë të zbatojnë
çdo proces, vetëm ato që kanë kuptim dhe përshtaten në mënyrën se si organizata
dëshiron të bëjë biznes në të ardhmen. Disa procese mund të braktisen më vonë kur
komentet pas zbatimit tregojnë vlera të kufizuara, ndërsa të tjerë mund të zbatohen pasi
janë zbuluar boshllëqet ose kanë nevojë për ndryshim. ITIL i zbërthen funksionet e TI-së
në komponente të veçanta dhe me funksion të plotë që përfshijnë ndërmarrjen dhe i
quan shërbime. Këto shërbime janë dizajnuar në mënyrë të tillë që ato të mund të
sigurohen lehtë ose nga brenda ose nëpërmjet përdorimit të një ofruesi të jashtëm të
shërbimit. Në secilin rast identifikohen praktikat më të mira për ofrimin e shërbimit dhe
adresohen në tri nivele të ndryshme:
Strategjik - Qëllimet afatgjata të shërbimit të veçantë dhe aktivitetet e nivelit të
lartë të nevojshëm për t'i përmbushur ato;
Taktik – Proceset specifike që udhëheqin detyrat dhe aktivitetet e nevojshme për
kryerjen dhe ofrimin e shërbimit;
Operacional - Ekzekutimi aktual i proceseve për të ofruar shërbimin për
konsumatorin dhe përdoruesit përfundimtarë. Përfundimi i suksesshëm i
detyrave operacionale do të thotë që qëllimet strategjike realizohen brenda
afateve kohore të pritshme.
2.4.6 Standarti i Praktikave më të Mira (The Standard of Good Practice)13
Standardi i Praktikës së Mirë (SoGP) u lëshua në vitin 1996 nga Forumi i Sigurisë së
Informacionit (ISF) dhe paraqet një dokumentacion të hollësishëm të praktikave më të
mira për sigurinë e informacionit. Është botuar dhe rishikuar çdo vit. SoGP për Sigurinë
e Informacionit 2016 (Standardi) ofron kontrolle dhe udhëzime gjithëpërfshirëse mbi
temat e sigurisë aktuale dhe të reja që u mundësojnë organizatave t'u përgjigjen ritmit të
shpejtë në të cilin kërcënimet, teknologjia dhe rreziqet evoluojnë.
12
http://www.itinfo.am/eng/information-technology-infrastructure-library-guide/
13
https://www.securityforum.org/tool/the-isf-standardrmation-security/
Elda Kuka
Siguria e Informacionit në institucionet publike shqiptare
40
Edicioni i fundit i Standardit përfshin futjen e temave të tilla si: Inteligjenca e
Kërcënimeve, Mbrojtja nga Sulmet Kibernetike dhe Sistemet e Kontrollit Industrial, si
dhe përmirësimi i rëndësishëm i temave ekzistuese, duke përfshirë Vlerësimin e Rrezikut
të Informacionit, Arkitekturën e Sigurisë dhe Menaxhimin e Mobilitetit të Ndërmarrjeve.
Standarti, së bashku me standartin e ISF-së; një instrument gjithëpërfshirës për
vlerësimin e kontrollit të sigurisë, siguron mbulim të plotë të temave të përcaktuara në
ISO/IEC 27002: 2013, COBIT 5 për Sigurinë e Informacionit, Kornizën e Sigurisë së
Informacionit të NIST, CIS Top 20 Kontrollet Kritike të Sigurisë për Mbrojtjen
Efektive të Kibernetikës dhe Standardin e Sigurisë së të Dhënave të Industrisë së Kartës
së Pagesave (PCI DSS) versioni 3.1.
Elda Kuka
Siguria e Informacionit në institucionet publike shqiptare
41
ISO 27001 COBIT5 BSI Standards NIST
Framework
ITIL SoPG
Profili i
Standarteve
Specifikon kërkesat për krijimin, zbatimin,
mirëmbajtjen dhe përmirësimin e vazhdueshëm të një sistemi të menaxhimit të sigurisë së informacionit brenda kontekstit të organizatës. Kërkesat
janë të përgjithshme dhe kanë për qëllim të jenë të zbatueshme për të gjitha organizatat, pavarësisht nga lloji, madhësia ose natyra e tyre.
COBIT 5 bashkon pesë parimet që i lejojnë ndërmarrjes të
ndërtojë një kornizë efektive të qeverisjes dhe menaxhimit të bazuar në një tërësi gjithëpërfshirëse, që optimizon investitorët e informacionit dhe teknologjinë dhe e përdorin për të mirën e palëve të interesuara. Janë të përgjithshme dhe të
dobishme për ndërmarrjet e të gjitha madhësive , qoftë tregtare, jo fitim prurëse apo në sektorin publik
Standardet BSI përmbajnë
rekomandime për metodat, proceset, procedurat, qasjet dhe masat që lidhen me sigurinë e informacionit.
Kuadri siguron një gjuhë të
përbashkët për të kuptuar, menaxhuar dhe shprehur rrezikun e sigurisë kibernetike si brenda dhe jashtë.
Në vend se një sërë rregullash të ngurtë, ITIL
siguron një kornizë që kompanitë mund të përshtaten për të përmbushur nevojat e tyre. ITIL i zbërthen funksionet e IT-së në komponente të veçanta dhe me funksion të plotë që përfshijnë
ndërmarrjen, te quajtur shërbime.
Standardi, një instrument i plotë i
vlerësimit të kontrollit të sigurisë, ofron mbulim të plotë të temave të përcaktuara në ISO / IEC 27002: 2013, COBIT 5 për Sigurinë e
Informacionit, Kornizën e Sigurisë së NIST-it, CIS Top 20 Kontrollet Kritike të Sigurisë për Mbrojtjen Efektive të Kibernetikës dhe Kartën e Pagesave
Standardi i Sigurisë së të Dhënave (PCI DSS) version 3.1.
Iniciuar nga Delegatë nga 25 vende Është zhvilluar nga ISACA (Information Systems Audit and Control Association) dhe Instituti i qeverisjes IT
Zyra Federale për Sigurinë e Informacionit (BSI) e qeverisë Federale Gjermane
Departamenti i Tregtisë
UK government‟s Central Computer and Telecommunications Agency (CCTA) and the OGC, an office of
the UK Treasury
Information Security Forum (ISF)
Nisur në 1947 1996 2006 2014 1980 1989
Emri i
Certifikatës
Certfikate ISO e serisë 27002s
Certified Information System Auditor (CISA)
Certified Information Security Manager (CISM)
Certified in the Governance of Enterprise IT (CGEIT)
Certified in Risk and Information Systems Control (CRISC)
Leshon certifikaten IT-Grundschutz Certificate
te bazuar në një auditim të berë nga një
auditues i jashtem i licensuar
Fondacioni NIST CSF ofron kurse trainimi
Certificate of ITIL Compliance
-
Tabela 2-1 Përmbledhje e standarteve, kush i inicioi, kur janë iniciuar, të dhëna dhe certifikimet
Burimi: (Kuka & Bahiti, 2017; Susanto et al. 2011)
Elda Kuka
Siguria e Informacionit në institucionet publike shqiptare
42
Duke patur parasysh koston e implementimit të këtyre standarteve ndërkombëtare disa
organizata preferojnë të mos i përdorin duke përjashtuar rastet kur janë të detyruara me
ligj. Këto standarte jashë shumë të mira, por si të gjitha standartet përdorimi i tyre është
vullnetar. Megjithatë duhet të përmendim faktin që standartet BSI janë në të njëjtën linjë
si standartet ISO/IEC 2700x dhe ofrohen me shembuj te detajuar falas, pa pagesë.
2.5 Menaxhimi i Riskut
Risku mund të përcaktohet formalisht si probabiliteti që një veprim apo ngjarje do të
ndikojë negativisht ose pozitivisht mbi aftësinë e një organizate për të arritur objektivat
e veta (Jones &Ashenden 2005; Brotby 2009). Ka disa mënyra të paraqitjes së
menaxhimit të riskut në literaturë. Sipas Stoneburner, (2002), menaxhimi i riskut të
sigurisë së informationit është aktiviteti i drejtuar drejt vlerësimit duke zbutur (në një
nivle të pranueshëm) dhe monitoruar rreziqet e lidhura me informacionin. Qëllimi
kryesor i procesit të menaxhimit të riskut të një organizate duhet të jetë të mbrojë
organizatën dhe aftësinë e saj për të përmbushur misionin e saj dhe jo vetëm asetet e saj
të TI-së. Sipas Whitman & Mattord 2008, Slay & Koronios (2006), Bragg et al. (2004),
menaxhimi i riskut është një process i vazhdueshëm i krijuar për të kontrolluar
mundësinë e ngjarjeve të pafavorshme dhe mund të përcaktohen si “procesi i
identifikimit të dobesive në një sistem informacioni të organizatës dhe ndërrmarrja e
hapave për të siguruar që humbjet e përjetuara nga sistemi janë brenda limiteve të
pranueshme të organizatës”. Siç përshkruhet nga Lee (2004), "një sistem informacioni
nuk është vetëm teknologjia e informacionit, por sistemi që del nga ndërveprimet
transformuese reciproke midis teknologjisë së informacionit dhe organizatës". Sipas
Stulz (2003), menaxhimi i riskut përfaqëson një qasje sistematike për problemet që
shkaktojën kërcënimet. Shumë metoda, teknika dhe mjete software mund të asistojnë në
menaxhimin e riskut.
Menaxhimi i Riskut përfshin tre ndërrmarje të mëdha: identifikimi i riskut, vlerësimi i
riskut dhe kontrolli i riskut. Identifikimi i Riskut eshte ekzaminimi dhe dokumentimi i
gjendjes aktuale të TI në organizatë dhe rreziqet me të cilat ajo përballet. Vlerësimi i
Riskut është përcaktimi sesa janë të ekspozuara apo të rrezikuara asetet e informacionit
të organizatës. Kontrolli i Riskut është aplikimi i kontrolleve për të ulur riskun për të
dhënat dhe SI të një organizate.
Elda Kuka
Siguria e Informacionit në institucionet publike shqiptare
43
Vitet e fundit, janë zhvilluar një numër i madh metodologjish të menaxhimit të riskut
(Stoneburner, 2002). Shumica e këtyre metodologjive, ndërsa ofrojnë një process të
strukturuar dhe sistematik për menaxhimin e riksut, kanë mungesë në udhëzime
specifike se cilat metoda për vlerësimin e riskut të përdoren.
Megjithatë, një vlerësim risku tipikisht përfshin hapat e mëposhtëm:
Identifikimi i dobësive për t‟u testuar;
Testimi i këtyre kontrolleve për efikasitetitn e tyre;
Analiza e rezultateve të testimi‟
Rekomandimet për përmirësimet e sigurisë bazuar në analizë.
Sipas (Erbschloe 2003; Jones & Ashenden 2005; Slay &Koronios 2006), modeli i
zakonshëm per menaxhimin e riskut eshtë:
o Identifiko rreziqet;
o Vlerëso këto rreziqe;
o Zhvillo kontrolle dhe merr vendime të riskut;
o Implemento kontrollet;
o Mbikqyr dhe vlerëso situatën.
Mantel et al. (2001) prezantojnë gjithashtu hapa të ngjashëm në modelin e tyre. Modeli i
tyre gjithashtu tregon dy unaza që kthejnë përgjigje dhe dy funksione mbështetës, të
quajtur mjete të menaxhimit të riskut dhe komunikimi i menaxhimit të riskut siç shihet
në Figurën 2.3.
Elda Kuka
Siguria e Informacionit në institucionet publike shqiptare
44
Figura 2-3 Procesi i menaxhimit të riskut
Burimi: (Mantel at al. 2001)
Modelet e procesit të menaxhimit të riskut ndjekin modelet e përgjithshme të
përshkruara mësipër me disa shtesa te tjera ne model. Caelli et al. (1989) sugjeron si hap
paraprak identifikimin e aseteve që kanë nevojë për mbrojtje. Caelli et al. (1989)
gjithashtu përfshin një hap të quajtur zgjedhja e kundërmasave, e lidhur me
përzgjedhjen e kundërmasava më kosto efektive që do të ulin riskun në një nivel të
përshtatshëm. Gjithashtu Coyne et al. (2004), përfshin përgatitjen e një plani
emergjence duke u bazuar në nevojën e planeve të emergjencës për t‟u rikuperuar nga
ndonjë shkatërrim i paparashikuar që kundërmasat nuk mund t‟a parandalojnë.
2.5.1 Identifikimi i riskut
Hapi i parë në identifikimin e rreziqeve është identifikimi i të gjithë elementeve, aseteve
dhe burimeve që i përkasin sistemit komjuterik dhe mund të jenë në rrezik (Raval &
Fichadia 2007; Whitman & Mattord 2008). Bazuar tek Mantel et al. (2001) klasifikimet
e sistemit janë si vijon:
Hardware, p.sh. serveri qendror, disqet magnetike, grirëset;
Elda Kuka
Siguria e Informacionit në institucionet publike shqiptare
45
Software, p.sh. sistemet e shfrytëzimit, programet aplikativë, kopjet backup;
Të dhënat dhe media, p.sh. dokumentacioni i programeve, dokumentacioni i
procedurave të operimit;
Komunikimet, p.sh. linjat e internetit, linjat telefonike, rrjetet kompjuterike etj.;
Ambientet, p.sh. rrjeti elektrik, hidraulik, ajri i kondicionuar; shërbimet e
pastrimit;
Organizata, p.sh. rregullore dhe politika e menaxhimit;
Suporti, p.sh. stafi mirëmbajtës.
Përgatitja e ketyre listave duke përshirë të gjithë elementët e rrezikuar duhet
konsideruar në lidhje më tipet e rreziqeve dhe shkaktarët e ketyre rreziqeve
(Nicholas 2002). Rreziqet mund të klasifikohen:
Humbje të pronës, p.sh. shkatërrimi, dëmtimi, humbja, vjedhja, ndotja;
Humbje të përgjegjësisë, p.sh. shkelje e kontratës, shkelje e të drejtë së
autorit, shpifje, fyerje;
Humbje të personelit, p.sh. vdekje, plagosje, sëmundje, dorëheqja, konflikt
pune;
Humbje financiare, p.sh. borxhet e këqija, punonjës të pandershëm;
Humbje të ndërprerjes së biznesit, p.sh. lëvizje të vonuara të parave, rritje e
kostos së punës, klauzola për dënimet.
2.5.2 Analiza e riskut dhe vlerësimi
Analiza e riskut i referohet vlerësimit të mundësisë dhe madhësisë së riskut. Përdoret
për të ulur mundësinë e ndodhjes së një risku, pasojat e riskut dhe metodat e përdorura
për të trajtuar secilën nga pasojat (Stulz 2003). Kjo implikon një mënyrë për vlerësimin
ose matjen e rreziqeve dhe pasojat e ndodhjes së tyre. Ka një numër teknikash për ta
bërë këtë, disa cilësore dhe disa sasiore (Coyne et al.2004).
Një vlerë sasiore, e cila mund të derivojë nga një risk i veçantë, është humbja e
pritshme. Mund të shprehet në vlerë monetare si lekë në vit dhe përfitohet duke
shumëzuar vlerën mesatare të humbjes (e cila mund të rezultojë nga ndodhja e riskut) në
vlerë monetare me shpeshtësinë vjetore me të cilën pritet të ndodhë risku. Në llogaritjen
e humbjes së pritshme merren në konsiderate vlerat e dy sasive të përfshira – humbja
(ndryshe i referohemi si impakti) dhe shpeshtësia (frekuenca) - janë kritike. Duhet të
përdoren vlerësimet më të mira nga ekspertiza që disponojmë (Burke 1999). Pasi vlerat
Elda Kuka
Siguria e Informacionit në institucionet publike shqiptare
46
e humbjes së pritshme janë vlerësuar për çdo risk, atëherë hartohen tabela ku rreziqet
duhet të listohen në rendin zbritës të vlerës së humbjes së pritshme.
Si një rregull i përgjithshëm, sa më e madhe vlera e pritshme e humbjes, aq më e
rëndësishme është të llogaritet risku korrespondues (Caelli et al. 1989). Gjithmonë në
përzgjedhjen e kundërmasave të duhura që do të aplikojmë për të ulur rreziqet duhet të
mbahet parasysh efektiviteti i tyre në reduktimin e vlerës së pritshme të humbjes dhe
kostos së tyre të implementimit. Ajo që duhet kërkuar është një grup kundërmasash të
cilat duke pasur parasysh shumën e fondeve në dispozicion, ul në vlerën më të ulët të
mundshme vlerën e humbjeve të pritshme për shkak të të gjitha rreziqeve që mund të
ndodhin dhe kostos së kundërmasave (Nicholas 2002).
Të gjithë rreziqet e mundshme duhen marrë në konsideratë, duhet vlerësuar probabiliteti
i ndodhjes së tyre, dhe më pas duhen gjetur dhe identifikuar rugëve të mundshme për t‟u
përballuar me situatën, për të zgjedhur më pas atë që eshtë më kosto efektive. Masat
përzgjidhen për të trajtuar rreziqet individuale dhe rastet e parashikuara (Smith 1999).
Gjithashtu duhet të përcaktohet mënyra sesi këto masa do të implementohen,
monitorohen, rishikohen kur është e nevojshme dhe përditësohen (O‟Harrow et al
2003).
2.5.3 Kontrolli i riskut
Sipas Mantel et al. (2001); Stallings & Brown (2008) dhe Whitman & Mattord mënyrat
themelore për të kontrolluar rreziqet jane:
i. Shmangia: Në disa raste një risk mund të shmanget p.sh. shpërndarja ose
mosfutja e një objekti, artikulli ose duke ndryshuar mënyrën e punës në disa
mënyra. Megjithatë vigjilenca duhet të ushtrohet gjatë gjithë kohës për të
siguruar se çdo ndryshim i rrethanave të brendshme apo të jashtme, që mund të
lejojnë kthimin e një risku të veçantë të identifikohet mënjeherë;
ii. Pranimi: Nëse konsiderohet që një risk i veçantë do të ketë pasoja krahasimisht
të vogla atëherë një organizatë mund të vendosë të mos ndërrmarrë kundërmasa
direkte. Duhet të kemi nën vëzhgim ndryshimin e rrethanave që mund të rrisin
kërcënimin e rrezikut të mbajtur;
iii. Zbutja: Ashpërsia e shumë rreziqeve mund të zbutet nga aplikimi i masave
mbrojtëse si p.sh. sistemet e kontrollit të aksesit ulin rrezikun e prezencës së
personelit të paautorizuar në një dhomë server. Këto kundërmasa shoqërohen me
shpenzime të shtuara (Stulz 2003);
Elda Kuka
Siguria e Informacionit në institucionet publike shqiptare
47
iv. Transferimi: Transferimi i riskut bëhet zakonisht nga planifikimi i
emergjencave, sigurimeve ose disa forma kontraktore. Megjithëse kundërmasat
mund të reduktojnë shpeshtësinë e ndodhjes dhe/ose impaktin e rreziqeve të
veçantë, ato nuk mund të eleminohen gjithmonë.
Në fushën e sigurisë së informacionit stafi TI i kualifikuar, i traininuar dhe i
ndërgjegjësuar është shumë i rëndësishëm. Ai kthehet në një mjet të fuqiëshm që mund
të ndihmojë sigurinë e informacionit në organizatë pasi nuk e ul vigjilencën për të
kontrolluar dhe identifikuar rreziqet e mundshme. P.sh. hakerat përdorin teknika të
ndryshme si inxhinierimi social për të aksesuar informacionin e dëshiruar, përdorin
mjete dhe teknika të ndryshme për të gjetur apo thyer fjalëkalimet, sidomos fjalëkalimet
e dobëta. Politika bazë për krijimin e një fjalëkalimi është gjatësia minimale prej tetë
karakteresh, gjatësia maksimale prej katëmbëdhjetë karakteresh dhe të gjitha çelësat e
dukshme të tastierës (përveç hapësirës) lejohen. (Helkala & Snekkenes, 2009). Duke
pasur parasysh këtë politikë ne duhet të përdorim fjalëkalimet e fortë të cilët kanë të
paktën tetë karaktere dhe kanë në përbërje të tyre numra, shkronja të mëdha dhe të vogla
si dhe karaktere special. Këto fjalëkalime janë shumë më të vështirë për t‟u thyer dhe
mund t‟a mbrojnë informacionin nga aksesi i paautorizuar, megjithatë janë të vështirë
për t‟u mbajtur mend pasi fjalëkalimet duhet të ndryshohen rregullisht.
Gjithashtu, mbjete të mira për Internetin mund të n‟a ndihmojnë për të kontrolluar dhe
mbrojtur informacionin nga kërcënimet. P.sh., programet antivirus, antispam, antispy
dhe firewall-et mund të mbrojnë privatësinë e përdoruesve dhe të ruajnë informacionin
nga kërcënime si: viruset, spyware, Trojan dhe hackerat (Bragg et al 2004).
Në kontekstin e sigurisë së informacionit, rreziqet mund të ndodhin dhe si rezultat i
pakujdesisë së përdoruesve ndaj sigurisë së informacionit ose nga mungesa e
ndërgjegjësimit për vlerën e informacionit. Megjithatë, përdorues të trainuar dhe të
ndërgjegjësuar mbi kërcënimet ndaj sigurisë së informacionit mund të parandalojnë dhe
mund t‟i kontrollojnë rreziqet (Kuka et al. 2017). Përdoruesit duhet të jenë të
ndërgjegjshëm për standartet dhe politikat e sigurise së infomacionit për të siguruar
informacionin nga rreziqet e mundshme (Peltier 2004).
2.6 Politikat e Sigurisë
Pas përfundimit të procesit teknik për menaxhimin e rreziqeve, hapi tjetër është
zhvillimi dhe implementimi i një politike të përshtatshme. Politikat e sigurisë së
informacionit janë baza që mbështet burimet në një organizatë. Organizatat kanë filluar
Elda Kuka
Siguria e Informacionit në institucionet publike shqiptare
48
të bëjnë zhvillime në politikat e teknologjisë për të adresuar sfidat e rritjes (Ferrari &
Thuraisingham 2006; Peltier 2004; Knapp et al 2006).
Politika e sigurisë së informacionit duhet të kombinojë elementet teknikë dhe jo-teknikë
për të siguruar pajtueshmërinë në kohë (Wylder 2004). Politikat e sigurisë mund të
përkufizohen si deklarata që tregojnë qartësisht procesin e identifikimit, vlerësimit dhe
kontrollit të rreziqeve që vijnë nga faktorët operacionalë si dhe marrjen e vendimeve të
informanuara që balancojnë kostot e riskut me përfitimet e misionit (Fugini & Belletini
2004; Stamp 2006; Peltier 2004). Dokumenti formal i politikës duhet të përfshijë një
shpjegim ose deklarim për politikat e sigurisë, procedurat dhe kërkesat si dhe një
përkufizim të përgjegjësive të përgjithshme dhe specifike në lidhje më sigurinë
(Johnson 2011; Stallings & Brown 2008).
Megjithëse literatura e mbështet rëndësinë e politikës, aplikimi jo-efektiv ose jo-korrekt
rrezikon të dobësojë sigurinë e informacionit dhe mund të rezultojë që siguri
informacioni të panevojshme, madje edhe penguese si jo e mirëmenaxhuar. Nga
këndvështrimi menaxherial siguria mund të ngatërrohet lehtësisht me qëllimin final;
gjithsesi siguria e informacionit duhet të shihet si një mundësues i prioriteteve të
organizatës (Luke & Petersen, 2003) dhe jo si një qëllim në vetvete, sidomos duke
marrë parasyh mungesën e ndërgjegjësimit për sigurinë e informacionit.
2.7 Ndërgjegjësimi i Sigurisë së Informacionit
Ndërgjegjësimi për sigurinë e informacionit është një gjendje që realizohet nga
organizata që synojnë të sigurohet që menaxhimi dhe përdoruesit fundorë janë të
vetëdijshëm për zbutjen e riskut të sigurisë, për politikat dhe udhëzimet. Siponen (2000)
argumenton që ndërgjegjësimi i sigurisë së informacionit konsiderohet i rëndësishëm
sepse teknikat e sigurisë së informacionit ose procedurat në lidhje me sistemet e
informacionit mund të keqpërdoren, mund të aplikohen pa dashje në mënyrë jo-korrekte
ose mund të mos përdoren fare duke i bërë udhëzimet e sigurisë me pak të dobishme
dhe efektive.
Ka shumë sfida, në përmirësimin e sigurisë së informacionit nëpërmjet aktiviteteve të
ndërgjegjësimit. Një aspekt sfidues i ndërgjegjësimit është që efektiviteti varet nga
interesi i personave të përshirë. Aktivitetet për ndërgjegjësimin nuk janë efektive kur
behen në mungesë të interesit për sigurinë e informacionit (Cohen, 1999). Leach (2003)
citon një studim të bërë nga “ISF” (Information Security Forum, 2000) që sugjeron se
deri 80% e dështimeve kritike të sigurisë janë si rezultat i sjelljes së përdoruesve
Elda Kuka
Siguria e Informacionit në institucionet publike shqiptare
49
fundorë në krahasim me zgjidhje teknike jo të përshtatshme dhe sygjerojnë një program
për sigurinë të strukturuar mirë për të ulur këtë shifër.
Në literaturë evidentohet që ndërgjegjësimi i sigurisë së informacionit është një
funksion i rëndësishëm, por zakonisht aplikohet në procese ad hoc dhe në mënyrë
reaktive.
Fokusi i këtij studimi është të identifikojë aktivitetet që jane ndërmarrë për
ndërgjegjësimin e sigurisë së informacionit, do të studiohen problematikat që ekzistojnë
si dhe do të jepen rekomandime për të përmirësuar ndërgjegjësimin në institucionet
publike.
2.8 Këndvështrime për implementimin e Sigurisë së Informacionit
Është e mirëpranuar që implementimi i sigurisë së informacionit është një proces i
vazhdueshëm i cili duhet të fillojë diku. Whitmann & Mattord (2011) shpjegojnë që ka
dy qasje kryesore për implementimin e sigurisë së informacionit dhe cilët janë iniciuesit
e këtij procesi. Njëra qasje zakonisht njihet me emrin qasja poshtë-lart. Ajo njihet me
këtë emër sepse zakonisht inicimi i sigurisë së informacionit fillon nga administratorët e
sistemit, të cilët tentojnë dhe dëshirojnë të rrisin sigurinë e sistemeve të tyre. Avantazhi
kryesor i kësaj qasje është ekpertiza dhe eksperienca që zotërojnë administratorët, nga
puna e tyre e përditshme me sistemet. Ata i njohin dhe i kuptojnë më së miri kërcënimet
që hasin sistemet e tyre si dhe mekanizmat e nevojshëm për mbrojtjen e tyre. Kjo qasje
nuk funksionon pasi mungon mbështjetja dhe fuqia. Qasja e dytë njihet me emrin qasja
lart-poshtë. Në këtë rast inicimi për sigurinë e informacionit vjen nga menaxherët e
nivelit të lartë, ata të cilët janë pjesëmarrës në vendimmarrje, që njohin dhe nxjerrin
politika, rregullore dhe procedura që normojnë punën në një organizatë. Për këtë arsye,
kjo qasje ka një probabilitet më të lartë për sukses.
Elda Kuka
Siguria e Informacionit në institucionet publike shqiptare
50
Figura 2-4 Qasjet e implementimit të Sigurisë së Informacionit
Burimi: Course Technology/Cengage Learning; Whitmann & Mattord 2011
2.9 Konkluzione mbi rishikimin e literaturës
Rishikimi i literaturës u bazua në eksplorimin e disa zonave të sigurisë së informacionit.
Ajo përfshiu analizën e ISMS-ve, si një qasje efektive e menaxhimit; u bë një eksplorim
mbi rëndësinë e politikave dhe rëndësinë e menaxhimit të riskut në sigurine e
informacionit si dhe u vu theksi mbi rëndësinë e ndërgjegjësimit (ISA) të sigurisë së
informacionit.
Duke pasur në vëmendje që intitucionet publike mbështeten mbi informacionin, ato
mbështeten gjithashtu mbi sigurinë e informacionit për t‟a mbrojtur atë. Për këtë arsye
eksplorimi i këtyre zonave të sigurisë së informacionit luan një rol të rëndësishëm në të
kuptuarit të menaxhimit të sigurisë së informacionit në institucionet publike.
Pavarësisht se nevoja për siguri informacioni është e njohur dhe konsiderohet e
rëndësishme në shumë raste sigurisë së informacionit nuk i vendoset prioriteti i duhur.
Kjo reflekohet nga mungesa e angazhimit, mbështje jo e përshtatshme me fonde si dhe
nga një mungesë kuptimi nga menaxhimi i lartë si rezultat i disa faktorëve. Këto
përfshijnë mungesën e ndërgjegjësimit për çështje të sigurisë së informacionit si dhe një
qasje reaktive përsa i përket menaxhimit të sigurisë së informacionit.
Elda Kuka
Siguria e Informacionit në institucionet publike shqiptare
51
KAPITULLI III
3 Metodologjia
3.1 Hyrje
Qëllimi i këtij punimi është të analizohet gjendja e sigurisë së informacionit në
institucionet publike shqiptare duke n‟a ofruar një pamje më të qartë mbi nivelin e
zhvillimit të sigurisë së informacionit dhe hapat që duhet të ndërmerren për të avancuar
më tej.
Objektivat e kësaj teze janë:
i. Të identifikojë, përcaktojë dhe diskutojë praktikat e menaxhimit të sigurisë së
informacionit dhe cilët janë faktorët që mund të ndikojnë implementimin dhe
zhvillimin e menaxhimit të sigurisë së informacionit në institucionet publike
shqiptare;
ii. Të kuptojë rëndësinë e komponentëve të identifikuar dhe ndërveprimin me njëri-
tjetrin;
iii. Të përcaktojë nivelin e ndërgjegjësimit për sigurinë e informacionit në
institucionet publike si dhe të përcaktojë nëse mund të bëhën përmirësime në
menaxhimin e sigurisë së informacionit;
3.2 Pyetjet e kërkimit shkencor
Në mënyrë që të arrihen objektivat e këtij studimi, janë formuluar këto pyetje
kërkimore:
1. Cilat janë praktikat e menaxhimit të sigurisë së informacionit në
institucionet publike?
Literatura mbi menaxhimin e sigurisë së informacionit thekson nevojën e adresimit të
çështjeve teknike dhe jo-teknike në lidhje me sigurinë e informacionit. Veçanërisht në
vendet në zhvillim ka një mungesë vëmendje në literaturë për adresimin e këtyre
Elda Kuka
Siguria e Informacionit në institucionet publike shqiptare
52
çështjeve si dhe për nivelin e ndërgjegjësimit mbi sigurinë e informacionit. Për këtë
arsye duhet marrë masat e duhura për të mbrojtur asetet kritike të organizatës.
2. Cilët janë faktorët që influencojnë efektivitetin e praktikave të menaxhimit
të sigurisë së informacionit?
Kjo pyetje kërkon të identifikojë dhe të kuptojë faktorët që lidhen me menaxhimin e
sigurisë së informacionit duke bërë një hulumtim të literaturës në përgjithësi dhe për
institucionet publike në veçanti duke u fokusuar në vendet në zhvillim.
3. Si mund të përmirësohet siguria e informacionit në institucionet publike
shqiptare?
Kjo pyetje kërkon të parashtrojë hapat konkretë, që duhet të ndërrmerren për të
përmirësuar sigurinë e informacionit në institucionet publike shqiptare duke u bazuar jo
vetëm në literaturë, por edhe në karakteristikat e përbashkëta që këto institucione kanë.
Qëllimi i këtij kapitulli është paraqitja e metodologjisë së përzgjedhur për këtë studim,
instrumentet dhe teknikat e përdorura për të mbledhur dhe analizuar të dhënat.
3.3 Përshkrim i metodës së zgjedhur të kërkimit
Një metodë kërkimi paraqet dhe përshkruan hapat që do të përdoren për të arritur
objektivat e kërkimit (Creswell 2003; Johnson & Christensen 2004). Ajo përdoret për të
lidhur kornizën teorike dhe burimet e materialit të mbledhur (Alvesson & Deetz 2000).
Qëllimi i këtij punimi është të analizohen praktikat e sigurisë së informacionit në
institucionet publike shqiptare, në mënyrë që të arrijmë të përcaktojmë se cili është
niveli i InfoSec në institucionet publike si dhe të jepen sugjerime për përmirësime. Për
shkak të natyrës së problemit, si metodë kërkimi do të përdorim metodën e kërkimit
përshkrues cilësor, kurse si teknikë për mbledhjen e të dhënave do të përdorim
pyetësorët të cilët janë kryesisht kualitativë. Analizimi i të dhënave është i bazuar
kryesisht në analizën eksploruese të të dhënave.
3.3.1 Metoda e kërkimit përshkrues
Ky punim do të përdorë metodën e kërkimit përshkrues cilësor pasi siç thotë
(Sandelowski, 2000), studimi përshkrues cilësor është metoda e zgjedhjes kur
dëshirohet përshkrim i drejtpërdrejtë i fenomenit.
Elda Kuka
Siguria e Informacionit në institucionet publike shqiptare
53
Hulumtimi përshkrues synon të hedhë dritë mbi çështjet apo problemet aktuale përmes
një procesi mbledhjeje të të dhënave që u mundëson atyre të përshkruajnë situatën më
plotësisht se sa do të ishte e mundur pa përdorur këtë metodë (Fox & Bayat 2007).
Tri qëllime kryesore të studimeve përshkruese mund të shpjegohen si përshkrimi,
shpjegimi dhe vërtetimi i gjetjeve të hulumtimit. Studimet përshkruese janë të lidhura
ngushtë me studimet vëzhguese, por ato nuk kufizohen me metodën e mbledhjes së të
dhënave nga vëzhgimi. Studimet e rasteve dhe pyetësorët mund të specifikohen
gjithashtu si metoda popullore të mbledhjes së të dhënave të përdorura me studime
përshkruese. Në studimin tonë kemi përdorur pyetësorët si burim primar i mbledhjes së
të dhënave.
Të tjera – Si pjesë e metodologjisë së përzgjedhur, ne gjithashtu morëm në shqyrtim
edhe dokumentat e institucioneve të përfshira në këtë studim.
3.3.2 Pyetësorët
Në këtë studim janë përdor dy pyetësorë për të mbledhur të dhënat e dëshiruara në
institucionet publike shqiptare. Pyetësori i parë “Pyetësor për praktikat e Sigurisë së
Informacionit” u përdor në mbledhjen e të dhënave nga drejtuesit (drejtorët dhe
përgjegjësit e sektorëve) e njësive të TI- së
në institucionet publike, kurse pyetësori i
dytë u përdor për mbledhjen e të dhënave nga stafi i njësive të TI- së në po këto
institucione. Pyetjet e përzgjedhura janë marrë nga pyetësorë të bazuar mbi standartet
ndërkombëtare mbi sigurinë e informacionit, të cilët janë përdorur për të studiuar
sigurinë e informacionit në vendet në zhvillim. Në pyetësorin e parë “Pyetësor për
praktikat e Sigurisë së Informacionit për Drejtuesit e Njësive TI”, i cili u përdor për
mbledhjen e të dhënave nga drejtuesit (drejtorët dhe përgjegjësit e sektorëve) e njësive
të TI- së
, ka një grup pyetjesh të cilat nuk ndodhen në pyetësorin e dytë i cili u përdor
për mbledhjen e të dhënave nga stafi i njësive të TI- së, përkatësisht pyetjet të cilat janë
të bëjnë me buxhetin e në njësitë e TI-së. Seksionet e tjera të pyetjeve janë të njëjtat për
të dy pyetësorët.
Metoda e pyetësorit përfshiu katër faza:
Faza e parë.
Përzgjedhja e tipit të pyetësorit. Në përgjithësi ka dy tipe pyetësorësh cross sectional, të
cilët merrën më një çështje në një kohë dhe longitudinal që merren me studimin pergjatë
kohës (Creswell 2003). Ky kërkim do të përdorë pyetësorët cross sectional pasi do të
ekzaminojmë një çështje në një kohë;
Elda Kuka
Siguria e Informacionit në institucionet publike shqiptare
54
Faza e dytë.
Hartimi i pyetësorit. Komponenti i parë në hartimin e pyetësorit ishte shkrimi i pyetjeve
që lidheshin me çështjet e diskutara në rishikimin e literaturës. Të gjitha pyetjet e
përdorura janë gjysmë-të mbyllura. Kjo për të lehtësuar të anketuarit të cilët duhet t‟u
përgjigjen pyetjeve dhe në disa pyetje mund të shprehin opinionin e tyre në hapësirat që
ju janë vënë në dispozicion, nëse dëshirojnë;
Faza e tretë.
Dizenjimi i pyetësorit. Pyetësori u hartua në version elektronik me google forms dhe në
version të printuar. Pyetësori në versionin elektronik nuk rezultoi i suksesshëm pasi
nevojiteshin adresat email për t‟u shpërndarë, informacion ky i pamundur për t‟u marrë.
Si rezultat, të gjitha të dhënat u mblodhën si rezultat i intervistimit me pyetësorin e
printuar. Më pas të dhënat u hodhën në dokument excel-i, për t‟u përdorur më pas për
analizën e të dhënave;
Faza e katërt.
Shpërndarja e pyetësorit. Pyetësori u shpërnda në njësitë e TI-së në 16 institucione
publike duke përshtirë institucione qëndrore dhe institucione të varësisë. Institucionet e
përzgjedhura ishin ato institucione që kanë bazë të dhënash shtetërore të rregjistruara si
dhe institucione që ruajnë të dhëna në rang kombëtar. U morën 88 pyetërorë në
plotësuar në total (17 pyetësorë të cilat iu ishin drejtuar drejtuesve të njësive të TI- së
dhe 71 pyetësorë të plotësuar nga stafi i njësive të TI-së) nga të 16 institucionet;
Në shtojcën A ndodhen pyetësorët e përdorur në studim. Pyetësorët janë ndarë në katër
seksione. Mëposhtë po bëjmë një përshkrim të shkurtër të tyre.
i. Sfond i përgjithshëm. Ky seksion përmban pyetje të natyrës së përgjithsme
si: madhësia e organizatës; pozicioni që mban në organizatë; vjetërsia në
pozicionin aktual; ekzistencën e një njësie TI dhe buxheti specifik për TI;
qasja e menaxhimit të lartë për sigurinë e informacionit, mbështetja ose jo
menaxhimit të lartë për sigurinë e infromacionit, ekzistenca ose jo e një
buxheti specifik për sigurinë e informacionit; ekzistenca e një njësie apo
personi përgjegjës për sigurinë e informacionit; identifikimin e faktorëve për
implementimin me sukses të sigurisë së informacionit. Ky seksion ndryshon
në pyetësorin e dytë që i drejtohet stafit të njësive TI. Aty nuk përfshihen
pyetjet mbi buxhetin e TI-së dhe mbi buxhetin e sigurisë së informacionit.
Kjo pasi ky informacion disponohet i plotë vetëm nga drejtuesit e njësive të
TI-së të cilët janë përgjegjës për hartimin buxhetit të njësisë së tyre;
Elda Kuka
Siguria e Informacionit në institucionet publike shqiptare
55
ii. Siguria e informacionit në organizatë, rregulloret, politikat, standartet. Në
këtë seksion janë 16 pyetje për të studiuar ekzistencën, përshtatshmërinë dhe
aplikimin e rregulloreve, politikave dhe standarteve të sigurisë së
informacionit në institucionet publike;
iii. Sigurimi i informacionit, mjete dhe matje; Rreziqet e Sigurise së
informacionit. Ky seksion ndahet në dy pjesë: Sigurimi i InfoSec dhe
kercënimet e InfoSec. Në pjesën e parë shqyrtohen anët e forta dhe dobësitë
e mjeteve të InfoSec (p.sh. vlerësimi i dobësive, fortësia e fjalëkalimeve,
firewall-et, kufizimet në aksesimin e internetit, update-imi i programeve,
enkriptimi, programet antivirus, siguria fizike e serverave, siguria e
pajisjeve, politikat për backup të të dhënave, si dhe raportimet e incidenteve
InfoSec). Pyetjet në pjesën e dytë kishin të bënin më kërcënimet më të
zakonshme të InfoSec;
iv. Trajnimi dhe Ngritja profesionale. Ky seksion është vendosur për të
shqyrtuar ekzistencën e ndërgjegjësimin dhe trajnimit në fushën e sigurisë së
informacionit për punonjësit, si dhe për të identifikuar metodën më të
preferuar nga punonjësit për ngritjen e tyre profesionale;
3.4 Hapat e metodologjisë së kërkimit
Kërkimi është zhvilluar në shtate hapa të paraqitura skematikisht në figurën 3.1. Secili
prej tyre do të shpjegohet me detaje mëposhtë duke përshkruar dhe metodat e kërkimit
të përdorura në secilin prej tyre.
Elda Kuka
Siguria e Informacionit në institucionet publike shqiptare
56
Figura 3-1 Hapat e metodologjisë së kërkimit
Burimi: (Autori)
Identifikimi i pyetjeve që do të përdoren në pyetësor: Faza e parë ishte identifikimi i
pyetjeve që do të përdornim në të dy pyetësorët. Pyetjet janë zgjedhur duke u bazuar në
praktikat më të mira për sigurinë e informacionit, duke u bazuar në literaturë si dhe
pyetësorë të ngjashëm që janë përdorur në vendet në zhvillim.
Identifikimi i pyetjeve që do të
përdoren në pyetësor
Përzgjedhja e pyetjeve që do të përdorim
dhe shtimi i pyetjeve të nevojshme
Printimi i pyetësorëve
Identifikimi i institucioneve dhe
Shpërndarja e pyetësorëve
Mbledhja e pyetësoreve të
shpërndarë
Hedhja e të dhënave në dokument
excel-i për analizimën e tyre
Analizimi i të dhënave
Elda Kuka
Siguria e Informacionit në institucionet publike shqiptare
57
Përzgjedhja e pyetjeve që do të përdorim dhe shtimi i pyetjeve të nevojshme: Në këtë
fazë disa pyetje janë modifikuar për të siguruar që të ishin të përshtatshme për të
anketuarit si dhe janë shtuar disa pyetje të tjera për të lejuar arritjen e objektivave të
kërkimit.
Printimi i pyetësorëve: Siç e përmendëm më sipër pyetësorët u shpërndarnë të printuar
si mënyra më e thjeshtë për mbledhjen e të dhënave nga personeli i institucioneve
publike.
Identifikimi i institucioneve dhe shpërndarja e pyetësorëve: Për të realizuar studimin më
pas pyetësorët u shpërndanë në njësitë e TI-së në 16 institucionet e përzgjedhura.
Shpërndarja u bë në periudhën Maj – Korrik 2017.
Mbledhja e pyetësoreve të shpërndarë: Pasi u bë shpërndarja e tyre, filloi procesi i
mbledhjes së të dhënave. Këtyre pyetësorëve iu përgjigjën vetëm 13 institucione me një
total prej 88 pyetësorësh të mbledhur, përkatësisht 17 pyetësorë nga drejtuesit e njësive
TI dhe 71 pyetësorë nga stafi i njësive TI. Mbledhja e pyetësorëve të plotësuar
përfundoi në fund të muajit Shtator 2017.
Hedhja e të dhënave në dokument excel-i për analizimin e tyre: Pyetësorët e mbledhur u
hodhën më pas në një dokument excel-i për të ndihmuar në analizën e të dhënave.
Gjithashtu ato u koduan në mënyrë që të ishin të përshtatshme për analizimin me
programin SPSS.
Analizimi i të dhënave: Të dhënat e mbledhura u analizuan me një analizë krahasuese
si dhe me anë të programit statistikor SPSS. Më poshtë përshkruhet kjo analizë në
detaje.
3.5 Analizimi i të dhënave
Analizimi i të dhënave është i nevojshëm për të kuptuar të dhënat e mbledhura dhe
përdorimin e tyre në mënyrë efiçente. Analiza e të dhënave të përftuara nga dy
pyetësorët do të na ndihmojnë të kemi një pamje më të qartë mbi sigurinë e
informacionit në administratën publike. Në këtë kërkim të dhënat e mbledhura janë
kategorizuar dhe koduar për t‟u përpunuar më pas me programin statistikor SPSS
(Statistical Package for Social Studies). SPSS mundëson që të dhënat të kodohen dhe
ruhen më menyrë fleksibël dhe efektive, si dhe ofron mjete për klasifikimin, renditjen
dhe rregullimin e informacionit. Analizimi i të dhënve dhe rezulatet e pyetësorëve do të
paraqiten me detaje në kapitullin në vazhdim.
Elda Kuka
Siguria e Informacionit në institucionet publike shqiptare
58
3.6 Konkluzione
Në këtë kapitull kemi shpjeguar proceset dhe procedurat që janë përdorur për të
mbledhur dhe analizuar të dhënat në këtë studim, për të arritur objektivat e kërkimit. Me
anë të këtij kërkimi synojmë të analizojmë dhe të kuptojmë sigurinë e informacionit në
institucionet publike shqiptare. Ky kapitull fillon më një përshkrim mbi identifikimin e
metodologjisë që n‟a përshtatet më mirë për studimin tonë. Metoda e kërkimit
përshkrues cilësor është përzgjedhur për të arritur objektivat e kërkimit, duke përdorur
pyetësorët si mënyrë për të kuptuar më mirë problemin dhe gjetjen e zgjidhjeve të
përshtatshme. Kapitulli 4 që vijon paraqet analizën e të dhënave të mbledhura me anë të
pyetësorëve.
Elda Kuka
Siguria e Informacionit në institucionet publike shqiptare
59
KAPITULLI IV
4 Analiza e të dhënave
4.1 Hyrje
Në këtë kapitull do të paraqesim dhe diskutojmë mbi rezulatet e praktikave të sigurisë së
informacionit në institucionet publike. Seksioni i parë i pyetësorëve përmban
informacion të përgjithshëm mbi madhësinë e organizatë, pozicionin e punës, vjetërsinë
në punë, ekzistencën e njësive të TI-së dhe buxhetit përkatës, ekzistencën e buxhetit për
sigurinë e informacionit, ekzistencën e personelit përgjegjës për sigurinë e
informacionit, përshirjen e menaxhimit të lartë në sigurinë e informacionit, qasjet për
menaxhimin e sigurisë së informacionit dhe faktorët që ata mendojnë për një siguri
informacionit të suksesshme. Seksioni i dytë ka tre pjesë të ndara në pyetje për
rregulloret, politikat dhe standartet e sigurisë në organizatë. Seksioni i tretë ka pyetje që
mbulojnë sigurinë e informacionit në organizatë, mjetet e sigurimit të informacionit dhe
matjet në organizatë si dhe rreziqet e sigurisë së informacionit. Seksioni i katërt paraqet
trainimin dhe promovimet që të anketuarit mendojnë se janë efektive për të rritur
ndërgjegjësimin dhe përgjegjësinë për sigurinë e informacionit.
Në këtë studim u përfshine 88 të anketuar nga njësitë e TI-së në institucionet publike, 17
të nivelit drejtues në këto njësi dhe 71 staf i njësive të TI-së.
4.2 Sfondi i përgjithshëm
Në figurat 4.1 dhe 4.2 paraqitet përfshirja e menaxhimit të lartë të organizatës në
sigurinë e informacionit. Shpesh siguria e informacionit trajtohet shpesh vetëm si një
çështje teknologjike, kur duhet të konsiderohet si një çështje menaxhimi. Menaxhimi i
sigurisë së informacionit është procesi i administrimit të njerëzve, politikave dhe
programeve me qëllim të sigurimit të vazhdimësisë së operacioneve duke ruajtur linjën
strategjike me misionin organizativ (Cazemier et al., 2000). Në mënyrë ideale,
aktivitetet e menaxhimit të sigurisë së informacionit duhet të nxiten nga objektivat
organizative, në mënyrë që të mos harxhohen burime për sigurinë pa një kuptim të qartë
të asaj se si mbështet misionin organizativ (Choobineh et al., 2007).Siç shohim nga
Elda Kuka
Siguria e Informacionit në institucionet publike shqiptare
60
anketimi rezulton që menaxhimi i lartë e kupton rëndësinë e sigurisë (67% janë dakort)
dhe ofron mbështetjen e duhur (62% janë dakort). Siguria e informacionit shpesh
mendohet si një problem vetëm teknik, me të cilin duhet të merren vetëm personeli i TI-
së pasi ka njohuritë e duhura teknike. Në thelb siguria e informacionit është një problem
menaxherial që kërkon përfshirjen e të gjitha grupeve të interest të një organizatë duke
përfshirë këtu dhe menaxhimin e lartë (Whitman & Mattord 2011). Mbështetja e
menaxhimit të lartë ka rëndësi jo vetëm për planifikimin, ekzekutimin dhe qeverisjen e
vendimeve të sigurisë, por edhe për të dhënë mesazhin për komunitetet e sigurisë dhe të
interesuarit që investimet e tyre në siguri janë një e mirë dhe për ta.
Figura 4-1 Menaxhimi i lartë dhe siguria e informacionit
Burimi: (Autori)
Figura 4-2 Mbështetja e menaxhimit për sigurinë e informacionit
Burimi: (Autori)
Në figurën 4.3 paraqiten qasjet kryesore për menaxhimin e sigurisë së informacionit në
organizatë. Shohim që në 95% të rasteve ajo shihet si pjesë e një plani të TI-së, në 84%
ajo shihet e orientuar nga standartet e sigurisë dhe në 74% ka një strategji të vecantë për
menaxhimin e sigurisë së informacionit.
0%
11%
74%
21%
5%
0% 10% 20% 30% 40% 50% 60% 70% 80%
Nuk jam aspakt dakort
Nuk jam dakort
Jam dakort
Jam plotesisht dakort
Asnjeanes
A mendoni se menaxhimi i lartë e kupton si duhet rëndësinë
e sigurisë së informacionit?
0%
16%
68%
21%
5%
Nuk jam aspakt dakort
Nuk jam dakort
Jam dakort
Jam plotesisht dakort
Asnjeanes
0% 10% 20% 30% 40% 50% 60% 70% 80%
A ju ofron menaxhimi i lartë mbështjetjen e duhur per
sigurinë e informacionit?
Elda Kuka
Siguria e Informacionit në institucionet publike shqiptare
61
Figura 4-3 Qasjet për menaxhimin e sigurisë së informacionit
Burimi: (Autori)
Në figurën 4.4 paraqiten faktorët kritikë të suksesit për menaxhimin e sigurisë së
informacionit në organizatë. Shohim që politikat dhe standartet e sigurisë së
informacionit shihen si një nga faktorët kryesorë me 84%.
Figura 4-4 Faktorët kritikë të suksesit për menaxhimin e sigurisë së informacionit
Burimi: (Autori)
Sipas Whitmann & Mattord (2011; 2012) politikat mund të quhen ndryshe një plan
veprimi që influencojnë vendimet dhe veprimet. Pra, ato janë baza për planifikimin,
menaxhimin dhe mirëmbajtjen e sigurisë së informacionit. Politikat janë ato që
74%
95%
5%
26%
21%
84%
0%
0%
Ekziston nje strategji ose program per menaxhimin e sigurise
se informacionit
Siguria menaxhohet si pjese e nje plani IT
Siguria bazohet mbi projekt
Siguria eshte e orientuar nga menaxhimi i riskut
Siguria eshte e orientuar nga menaxhimi i incidenteve
Siguria eshte e drejtuar kryesisht nga standartet e sigurise
Aplikohe qasje Ad hoc per sigurine
Tjeter (Ju lutem specifikojeni)_________________________)
Cilat jane qasjet kryesore për menaxhimin e sigurisë së
informacionit në organizatën tuaj?
37%
37%
84%
84%
37%
32%
68%
11%
26%
16%
Ndergjegjesimi
Edukimi dhe trainimi
Standartet e Sigurise se Informacionit
Politikat e sigurise se informacionit
Buxheti per sigurine e informacionit
Mbeshtjetja nga Menaxhimi i larte i organizates
Infrastruktura e sigurise
Auditimi i sigurise
Pergjegjesite e ndara te Sigurise
Struktura e organizates
Cilët mendoni se janë faktorët kritikë të suksesit për menaxhimin e
sigurisë së informacionit në organizatën tuaj?
Elda Kuka
Siguria e Informacionit në institucionet publike shqiptare
62
udhëheqin implementimin e standarteve, të cilët nga ana e tyre udhëheqin
implementimin e praktikave, procedurave dhe udhëzimeve. Gjithashtu, 68% e të
anketuarve mendojnë që infrastruktura e sigurisë është një nga faktorët kritikë të
suksesit. Në infrastrukturën e sigurisë përfshihen si pajisjet hardware dhe programet e
ndryshme (si p.sh. firewall, antivirus, sistemi intrusion detection) që janë shumë të
rëndësishme për të plotësuar kërkesat për siguri të organizatës. Meqë shpesh siguria
mendohet si një problem teknik, zgjidhjet teknike janë shumë të përhapura për të
mbrojtur sigurinë e informacionit. Kjo shpjegon dhe pse mendohet si faktori i dytë më i
rëndësishëm. 37% mendojnë që buxheti i sigurisë dhe ndërgjegjësimi, edukimi dhe
trainimi janë faktorët e tretë për nga rëndësia. Buxheti për sigurinë është i rëndësishëm
për implementimin me sukses të çdo aktiviteti të sigurisë. Ai ndikon dhe faktorët e tjerë
si politikat, standartet, infrastrukturën dhe edukimin e trainimin. Pa mbështetje
buxhetore shohim që asnje nga këta faktorë nuk mund të implementohet saktësisht.
Trainimi dhe ndërgjegjësimi janë një faktor tjetër i rëndësishëm. Punonjësve, në
sigurinë e informacionit shpesh u referohemi si hallka më e dobët e organizatës, që
mund të shndërrohen në një target shumë të lehtë për hakerat. Trainimi bazë për të
gjithë dhe trajnimi i shtuar sipas pozicionit të veçantë të përdoruesve është një zgjidhje
alternative (Mitnick & Simon, 2005).Trainimi dhe ndërgjegjësismi ndihmon dhe
mbështet përdoruesit për të mos u bërë hallka me e dobët, si dhe kthehet në një faktor
pozitiv për të luftuar kërcënimet e sigurisë. 32% vlerësojnë mbështetjen e menaxhimit të
lartë. Siç e përmendëm më lart mbështetja e menaxhimit të lartë ka rëndësi jo vetëm për
planifikimin, ekzekutimin dhe qeverisjen e vendimeve të siguisë, por edhe për të dhënë
mesazhin për komunitetet e sigurisë dhe të interesuarit që investimet e tyre në siguri
janë një e mirë dhe për ta.
Në figurën 4.5 shohim që 79% e të anketuarve pohojnë që kanë një njësi përgjegjëse për
TI-në në institucionet e tyre, vetëm 6% pohojnë që kanë sektor, një strukturë e cila
zakonisht është në varësi të një njësie mbështetëse. Duke qenë se të gjitha organizatat
kanë informacione sensitive është e rëndësishme që departamentet që procesojnë
skedarë të rëndësishëm duhet të koordinojnë më departmentin e TI-së për të siguruar që
të gjitha masat për mbrojtjen aplikohen sic duhet (Purser 2004).
Elda Kuka
Siguria e Informacionit në institucionet publike shqiptare
63
Figura 4-5 Njësitë përgjegjëse të TI-së
Burimi: (Autori)
Figura 4.6 paraqet se 59% e institucioneve të të anketuarve kanë një buxhet specifik për
TI-në. Duke qenë se shpenzimet për infrastrukturën e TI-së shkojmë më shumë se 58%
e buxhetit tipik të një organizate (Byrd & Turner 2000) është shumë e rëndësishme që
organizatat të kenë një buxhet specifik për TI-në.
Figura 4-6 Buxheti për TI-në
Burimi: (Autori)
Figura 4.7 paraqet mungesën e një buxheti specifik për sigurinë e informacionit në 53%
të institucioneve. 29% janë nuk ishin të sigurtë nëse kishin një buxhet specifik dhe 18%
konfirmuan se kishin një buxhet për sigurinë e informacionit. Megjithatë këto gjetje
nuk mund t‟i konsiderojmë plotësisht negative sepse një organizatë mund të varet nga
InfoSec dhe e merr atë seriozisht, pavarësisht mungesës së një buxheti specifik. Ky
buxhet mund të jetë pjesë e buxhetit të TI-së.
6%
79%
15%
A ka organizata juaj një njësi përgjegjëse për TI-në?
Departament Drejtori Sektor
29%
59%
12%
A ka organizata juaj nje buxhet specifik për TI?
Nuk e di Po Jo
Elda Kuka
Siguria e Informacionit në institucionet publike shqiptare
64
Figura 4-7 Buxheti për Sigurinë e Informacionit
Burimi: (Autori)
Figura 4.8 tregon se 60% e të anketuarve nuk kanë një njësi më vete përgjegjëse për
sigurinë e informacionit, por Figura 4.9 tregon se 83% të anketuarve kanë kthyer
përgjigje positive përsa i përket ekzistencës së një personi përgjegjës për sigurinë e
informacionit në organizatë, 11% nuk ishin të sigurtë dhe 6% nuk kishin person
përgjegjës. Për këto të fundit kjo mund të përbëjë një rrezik. Personeli përgjegjës për
sigurinë e informacionit duhet për të vlerësuar, menaxhuar dhe implementuar masat e
sigursë në një organizatë. Panko sugjeron që parimi i roleve të qartë duhet të krijohet
për hartimin ose auditimin e operacioneve të sigurisë (Panko, 2008).
Figura 4-8 Ekzistenca e njësisë së ndarë për sigurinë e informacionit
Burimi: (Autori)
Në diskutimin me të dhënat e Figurës 4.8, sugjeruam se praktikat e InfoSec mund të
jenë të mira edhe pse më shume se 53% e institucioneve nuk kishin buxhet për InfoSec
29%
18%
53%
A ka organizata juaj një buxhet specifik për Sigurinë e
Informacionit?
Nuk e di Po Jo
40%
60%
A ka në organizatën tuaj njësi përgjegjëse të ndarë nga
njësia e TI-së për sigurinë e informacionit?
Po Jo
Elda Kuka
Siguria e Informacionit në institucionet publike shqiptare
65
ose nuk ishin të sigurtë nëse kishin buxhet. Qartësisht nëse 83% kanë personel
përgjegjës për sigurinë e informacionit, praktikat e tyre përsëri mund të jenë të mira dhe
pse nuk kanë buxhet specifik.
Figura 4-9 Ekzistenca e personit përgjegjës për sigurinë e informacionit
(Autori)
4.3 Rregulloret, Politikat dhe Standartet e Sigurisë në Organizatë
Ligjet dhe rregulloret i detyrojnë organizatat që të merren me sigurinë e informacionit
dhe të mos e anashkalojnë atë. Standartet zakonisht ofrojnë udhëzime sesi duhet të
adresohen më mirë çështjet e sigurisë se informacionit. Politikat janë implementime të
rregulloreve ose standarteve, megjithëse mund të ketë organizata që kanë politika që
nuk janë të bazuara në rregullore apo standarte. Këto mund të jenë më mirë se asgje, por
mund të mos jenë shumë efektive. Komponentët final në këtë proces janë procesi i
vlerësimit të riskut dhe zbatimi i politikave. Edhe pse nje organizatë mund të ketë një
politikë gjithpërfshirëse, ajo do të jetë e padobishme nëse nuk zbatohet duke u bazuar në
një vlerësim korrekt risku.
4.3.1 Rregullohet e Sigurisë së Informacionit në Organizatë
Siç shohim nga figura 4.10, 90% e organizatave aplikojnë rregullore për sigurinë e
informacionit. Gjithashtu në Shqipëri është miratuar ligji për mbrojtjen e të dhënave
personale duke bërë që së bashku me rregulloret e aplikuara në organizatë të rrisin
nivelin e sigurinë së informacionit.
11%
83%
6%
A ka në organizatën tuaj të paktën një person i cili është i
përgjegjës per sigurinë e informacionit?
Nuk e di Po Jo
Elda Kuka
Siguria e Informacionit në institucionet publike shqiptare
66
Figura 4-10 Rregulloret për sigurinë e informacionit
Burimi: (Autori)
Figura 4.11 tegon se 58% e punonjësve e vlerësojnë rregulloren si cilësore, 26.1% janë
plotësisht dakort. Një numër prej 16% të ndarë përkatësisht 8% nuk janë dakort dhe 8%
nuk shprehin një mendim. Kjo tregon që implementimi i rregullores është i kënaqshëm
dhe me objektiva të qarta dhe të realizueshme.
Figura 4-11 Cilësia e rregullores
Burimi: (Autori)
Gjithashtu rezultatet e paraqitura në figurat 4.12 dhe 4.13 mbështesin pohimin e bërë në
figurën 4.11, që rregullorja është implementuar mirë dhe zbatohet në mënyrë rigoroze.
Kjo është shumë e rëndësishme në këndvështrimin e sigurisë së informacionit.
3%
90%
7%
A aplikon organizata juaj ndonjë mbrojtje për të
dhënat apo rregullore për sigurinë e informacionit?
Nuk e di Po Jo
2.3
5.7
58.0
26.1
8.0
Nuk jam aspak dakort
Nuk jam dakort
Jam dakort
Jam plotësisht dakort
Nuk aplikohet
Rregullorja është cilësore
Elda Kuka
Siguria e Informacionit në institucionet publike shqiptare
67
Figura 4-12 Përshtatshmëria e rregullores
Burimi: (Autori)
Figura 4-13 Zbatueshmëria e rregullores
Burimi: (Autori)
4.3.2 Standartet e Sigurisë në Organizatë
Në figurën 4.14 paraqiten rezultatet mbi aplikimin e standarteve të Sigurisë së
Infomacionit. 56% e të anketuarve tregojnë se nuk kanë të aplikuar asnjë standart të
sigurisë së informaionit dhe 44% kanë aplikuar të paktën një nga standartet e sigurisë së
informacionit. Përqindja e e ulët për aplikimin e standarteve do të konsiderohet një
faktor risku për organizatat.
1.1
4.5
70.5
15.9
8.0
Nuk jam aspak dakort
Nuk jam dakort
Jam dakort
Jam plotësisht dakort
Nuk aplikohet
Rregullorja është e përshtatshme dhe
gjithëpërfshirëse
2.3
6.8
60.2
21.6
9.1
Nuk jam aspak dakort
Nuk jam dakort
Jam dakort
Jam plotësisht dakort
Nuk aplikohet
Rregullorja është e zbatueshme (ka fuqi vepruese)
Elda Kuka
Siguria e Informacionit në institucionet publike shqiptare
68
Figura 4-14 Ekzistenca e standarteve të sigurisë
Burimi: (Autori)
Figura 4.15 tregon se 60% e atyre që nuk kanë aplikuar standarte të sigurisë së
informacionit, ka në plan në të ardhmen të aplikojë standarte të sigurisë së
informacionit, 36% nuk janë në gjendje të shprehen nëse në organizatën e tyre do të
aplikohen standarte në të ardhmen, ndërsa 3% shprehen se nuk do të aplikojnë standart.
Figura 4-15 Aplikimi i standarteve në të ardhmen
Burimi: (Autori)
Figura 4.16 jep perceptimin e sigurisë pas aplikimit të standarteve të sigurisë në
organizatë. Shohim se 48.9 %, shprehen se ndihen të siguritë pas aplikimit të
standarteve të sigurisë, 26.1% ndihen “disi” të sigurtë, 20.5% nuk ishin në gjendje të
shprehnin një ndjesi dhe vetëm 4.5% nuk ndiheshin më të sigurtë pas aplikimit të
standarteve të sigurisë.
44%
56%
A aplikon organizata juaj ndonjë standart të Sigurisë
së informacionit?
Po Jo
36%
61%
3%
A ka në plan organizata juaj të aplikojë standarte të
sigurisë së informacionit në të ardhmen?
Nuk e di Po Jo
Elda Kuka
Siguria e Informacionit në institucionet publike shqiptare
69
Figura 4-16 Ndjesia e sigurisë pas aplikimit të standarteve
Burimi: (Autori)
Figura 4.17 paraqet perceptimin për ekzistencën e personit përgjegjës për zbatimin si
duhet të standarteve. 36% janë shprehen së në organizatën e tyre nuk ka person
përgjegjës për zbatimin e standarteve, 22% nuk janë në gjendje të shprehin ndonjë
mendim dhe 42% shprehen se kanë person përgjegjës për zbatimin e standarteve.
Figura 4-17 Ekzistenca e një personi përgjegjës për standartet e sigurisë
(Autori)
Është e qartë që në organizata ka një zbatim të ulët të standarteve të sigurisë, por
organizatat mund të zhvillojnë politika edhe në mungesë të standarteve. Megjithate
qëndron rreziku që këto politika mund të jenë ad hoc. Në seksionin që vijon do të
diskutojmë mbi politikat në organizatë.
48.9
4.5
26.1
20.5
0.0 10.0 20.0 30.0 40.0 50.0 60.0
Po
Jo
Disi
Nuk e di
A ndiheni më të sigurte pas aplikimit të standarteve të
sigurisë së informacionit?
36%
42%
22%
A ka ndonjë person përgjegjës në organizatën tuaj për
t’u siguruar që standartet janë përshtatur si duhet?
Nuk e di Po Jo
Elda Kuka
Siguria e Informacionit në institucionet publike shqiptare
70
4.3.3 Politikat e Sigurisë së Informacionit në organizatë.
Në figurën 4.18 tregohet ekzistenca e politikës së sigurisë së informacionit në
organizatë. Shohim që 81% e të anketuarve janë përgjigjur pozitivisht për ekzistencën e
një politike të sigurisë, 2% janë shprehur që nuk kanë dhe 15% nuk kanë shprehur një
mendim. Ekzistenca e politikës së sigurisë së informacionit është pozitive pasi ajo është
baza që mbështet sigurinë e informacionit në organizatë.
Figura 4-18 Ekzistenca e politikës së sigurisë
Burimi: (Autori)
Për të përcaktuar efektivitetin e politikës duhet të dimë nëse ajo zbatohet si duhet. Në
figurën 4.19 shohim se 77% janë shprehur se politika e sigurisë zbatohet si duhet, që
nënkupton që ajo është planifikuar mirë.
Figura 4-19 Zbatueshmëria e politikës së sigurisë
Burimi: (Autori)
15%
83%
2%
A ka organizata juaj një politikë të sigurisë së
informacionit?
Nuk e di Po Jo
21%
77%
2%
Nëse ka një politikë të sigurisë së informacionit, a e
zbaton atë organizata juaj?
Nuk e di Po Jo
Elda Kuka
Siguria e Informacionit në institucionet publike shqiptare
71
Në Figurën 4.20 paraqitet ekzistenca e një procesi të vlerësimit të riskut. Shohim që
58% janë përgjigjur që nuk kanë një process të vlerësimit të riskut, 33% që kane dhe 9%
nuk kanë shprehur një mendim.
Figura 4-20 Procesi i vlerësimit të riskut
Burimi: (Autori)
Pra, megjithëse ekziston një politikë e sigurisë së informacionit, 58% e më shumë (nëse
marrim parasysh dhe ata që nuk janë shprehur) nuk kanë një process të vlerësimit të
riskut, pra edhe pse politika ekziston mund të jetë duke mbrojtur jo në mënyrën e duhur
të dhënat. Ky nivel i ulët i praktikës mbi procesin e vlerësimit të riskut, mund të rrisë
rreziqet dhe të shkaktojë probleme të tjera të sigurisë së informacionit për asetet e
organizatës. Seksioni që vijon paraqet sigurimin e informacionit në organizatë.
4.4 Sigurimi i Informacionit (Rreziqet e sigurisë së informacionit)
Në këtë seksion do të dikutojmë mbi procedurat e sigurimit të informacionit, mjetet dhe
matjet në organizatë duke përfshirë: menaxhimin e llogarive të përdoruesve, ekzistencën
e politikës backup, ekzistencen e një plani për përgjigje ngdaj incidenteve, vlerësimin e
dobësive, praktikat e fjalëkalimeve, autentikimin me dy faktorë, firewall-et, kufizimet e
përdorimit të Internetit, update-imi i programeve, programet antivirus, programet për
intrusion detection, enkriptimi, mbrojtja e sigurisë fizike të dhomës së serverave,
kufizime per përdorimin e pajisjeve dhe trainimi i punonjësve.
Figura 4.21 tregon se 93% kanë procedura për krijimin dhe menaxhimin e llogarive të
përdoruesve. Këto procedura ndihmojnë në sigurinë e informacionit, pasi bëjnë
ndryshimet e nevojshme në llogaritë e përdoruesve sipas lëvizjeve të burimeve
njerëzore në parimin need-to-know.
33%
58%
9%
A ka organizata juaj një proces të vlerësimit të
riskut?
Po Jo Nuk e di
Elda Kuka
Siguria e Informacionit në institucionet publike shqiptare
72
Figura 4-21 Procedura për krijimin dhe menaxhimin e llogarive të përdoruesve
Burimi: (Autori)
Figura 4.22 tregon se 95% janë përgjigjur pozitivish se kane procedura për backup dhe
recovery të të dhënave. Kjo është shumë e rëndësishme sepse dokumenta të
rëndësishme mund të fshihen aksidentalisht, të dhëna kritike të sistemit mund të
korruptohen dhe fatkeqësi natyrore mund të ndodhin. Me një plan të mirë backup dhe
recovery, organizatat mund të rikuperojnë proceset e tyre të punës shpejt nga secili prej
këtyre kërcënimeve.
Figura 4-22 Politikë për backup dhe recovery të të dhënave
Burimi: (Autori)
Figura 4.23 tregon se 48% janë përgjigjur pozitivisht për ekzistencën e një plani të
përgjigjes ndaj incidenteve. Megjithatë kjo përgjigje është shumë më e ulë se ata që
kanë një politikë për backup dhe recovery të të dhënave, që tregon se ka një focus më të
shtuar në parandalim sesa në raportim.
93%
7%
A keni procedura për krijimin dhe menaxhimin e
llogarive të përdoruesve?
Po Jo
95%
5%
A ka organizata juaj nje politikë për backup dhe
recovery të të dhënave?
Po Jo
Elda Kuka
Siguria e Informacionit në institucionet publike shqiptare
73
Figura 4-23 Plan të përgjigjes ndaj incidentet
Burimi: (Autori)
4.4.1 Mjete dhe matje në organizatë
Figura 4.24 tregon sesa efektive eshte vlerësimi i dobësive në organizatë. Vlerësimet më
të zakonshme përfshijnë skanimin e dobësive, vlerësimin e dobësive dhe testet e
pentrimit, si dhe vlerësimin e aplikacioneve. Siç shohim 38% tregojnë se nuk ka një
vlerësim të dobësive në organizatë, 20% nuk kanë dhënë një mendim, 20% mendojnë se
është „i dobët‟ dhe 7% se është „shumë i dobët‟. Vetëm 9% mendojnë së është „shumë i
mirë‟ dhe 6% se është „i mirë‟. Një pyetje e paraqitur në seksionin me lartë tregoi se
33% kanë një process të vlerësimit të riskut. Figura 4.20 tregon se 15% e organizatave
kanë vlerësim të dobësive „të pranueshëm‟ (të mirë ose shumë të mire). Vlerësimet e
dobësive janë një aspekt shumë i rënësishëm i sigurisë së informacionit, pasi u
mundësojnë adminitratorëve të sistemeve, të përcaktojnë, monitorojnë dhe menaxhojnë
aktivitete për të adresuar dobësitë e sistemit.
Figura 4-24 Vlerësimi i Dobësive
Burimi: (Autori)
48%52%
A ka organizata juaj një plan të përgjigjes ndaj
incidentet?
Po Jo
5.7
6.8
20.5
20.5
37.5
9.1
nuk ekziston
shumë i dobët
I dobët
asnjëanës
I mirë
shumë i mirë
0.0 5.0 10.0 15.0 20.0 25.0 30.0 35.0 40.0
Sa efektive mendoni se është Vlerësimi i Dobësive
që kryhet në organizatën tuaj?
Elda Kuka
Siguria e Informacionit në institucionet publike shqiptare
74
Figura 4.25 tregon se për 45% praktikat e vendosjes së fjalëkalimeve janë të mira, 30%
janë shume të mira, 15% nuk kanë shprehur mendim, dhe vetëm 4% dhe 6% kanë
shprehur përkatësisht shumë i dobët dhe i dobët. Këto praktika tregojnë përpjekjen e
bërë nga përdoruesit për të rritur sigurinë e informacionit në organizatë, nisur edhe nga
vullneti i tyre për të përdorur fjalëkalime që janë të fortë, si një nga mjetet e
rëndësishme për mbrotjen e informacionit.
Figura 4-25 Procesi/praktika e vendosjes së fjalëkalimeve
Burimi: (Autori)
Figura 4.26 tregon që 74% nuk e përdorin fare autentikimin me dy faktorë, 20% e
përdorin dhe 6% nuk kanë një mendim. Autentikimi me dy faktorë është praktika më e
ulët e përdorur deri tani, kjo sepse është një praktikë shumë e sofistikuar dhe kërkon
pajisje hardware dhe software specifikë duke çuar në rritje të shpenzimeve.
Figura 4-26 Autentikimi me dy faktorë
Burimi: (Autori)
Në figurën 4.27 paraqiten rezultatet mbi sistemin firewall, i cili është një nga elementet
më të rëndësishëm në sigurinë e informacionit.Në vlerësimin e bërë shohim se 49.3% e
4.5
5.7
14.8
45.5
29.5
shumë i dobët
I dobët
asnjëanës
I mirë
shumë i mirë
0.0 10.0 20.0 30.0 40.0 50.0
Sa i sigurtë është procesi/praktika e vendosjes së
fjalëkalimeve në organizatën tuaj?
6%
20%
74%
A e implementon organizata juaj autentikimin me
dy faktorë ?
Nuk e di Po Jo
Elda Kuka
Siguria e Informacionit në institucionet publike shqiptare
75
vlerësojnë „të mirë”, sistemin firewall të përdorur, 32.4% e vlerësojnë si „shumë të mirë‟
dhe 11.3% janë asnjëanës në vlerësimin e tyrë. Vetëm 7% e vlerësojnë sistemin firewall
si të dobët dhe shumë të dobët. Mund të themi se sistemi firewall ka marrë një nga
vlerësimet më të larta deri tani (nëse i marrin në konsideratë në total vlerësimet mirë
dhe shumë mirë), kjo ndoshta sepse nuk varet nga sjellja e përdoruesve.
Figura 4-27 Siguria e sistemit Firewall
Burimi: (Autori)
Në figurën 4.28 paraqiten rezulatet mbi rregullat që kufizojnë lidhjet e internetit me
wireless. Shohim që 58% (28.2% e kanë vlerësuar shumë mirë dhe 31% e kanë
vlerësuar mirë), kanë rregulla strikte për të kufizuar punonjësit në aksesimin e internetit
me wireless, 12.7% nuk kanë shprehur në mendim, në 16.9% nuk ka rrjet wireless në
organizatat e tyre. Këto tregojnë se masat e sigurisë së informacionit në lidhje me
aksesin e internetit nëpërmjet wireless janë relativisht strikte.
Figura 4-28 Rregullat e aksesit për rrjetin wireless
Burimi: (Autori)
1.4
5.6
11.3
49.3
32.4
shumë i dobët
I dobët
asnjëanës
I mirë
shumë i mirë
Sa i sigurtë është sistemi i Firewall-it në
organizatën tuaj për të mbrojtur serverat nga
ndërhyrjet e jashtme?
16.9
2.8
8.5
12.7
31.0
28.2
nuk ekziston
shumë i dobët
I dobët
asnjëanës
I mirë
shumë i mirë
Nëse organizata juaj ka lidhje internet me wireless, sa
strikte janë rregullat e aksesit që të lejojnë vetëm
punonjësit për të aksesuar këtë rrjet wireless?
Elda Kuka
Siguria e Informacionit në institucionet publike shqiptare
76
Në figurën 4.29 paraqiten rregullat për aksesimin e faqeve ne internet. Politikat
kufizuese për aksesimin e faqeve web specifike zakomisht përdorin një bazë të dhënash
që përmban faqet web të ndaluara për t‟u aksesuar brenda organizatës (Li & Li 2011).
Në figurën 4.25 shohim se 56% (29.6% mendojnë se rregullat janë shumë të mira dhe
25.4% mendojnë se rregullat janë të mira) i vlerësojnë këto rregulla. Një numër
relativisht i lartë prej 31% kanë preferuar të mos shprehen fare.
Figura 4-29 Rregullat për të aksesuar vetëm faqet Internet të nevojshme
Burimi: (Autori)
Në figurën 4.30 paraqiten rezultatet në lidhje me përditësimin e sistemeve të
shfrytëzimit dhe programeve që përdoren në organizatë. Sistemet e shfrytëzimit dhe
aplikacionet software kanë përditësime periodike të rregullta. Një pjesë e këtyre
përditësimeve ofrohen për të përmirësuar funksionalitetin, ndërsa disa të tjera lidhen me
sigurinë, duke e bërë shumë të rëndësishme instalimin e tyre në momentin që ato
ofrohen të gatshme (Thmpson & Thompson 2006). Nga figura 4.30 shohim se 50.7%
bën përditësim vetën një herë në vit. 22.5% bejnë përditësim cdo muaj, 11.3% bëjnë
përditësim cdo tre muaj, 7% nuk bëjnë asnjëherë përditësim. Shohim se vetëm 43%
bëjnë përditësime të shpeshta dhe 57% bëjnë përditësime shumë rralle (1 herë në vit ose
anjeherë) duke bërë që organizata të ketë sistemi shfrytëzimi dhe programe të cilat nuk
janë të përditësuar dhe të përbëjnë rrezik të shtuar.
1.4
12.7
31.0
25.4
29.6
nuk ekziston
I dobët
asnjëanës
I mirë
shumë i mirë
Nëse organizata juaj ka lidhje internet, sa strikte janë
rregullat për të aksesuar vetëm faqet e nevojshme për
kryerjen e punës nga punonjësit?
Elda Kuka
Siguria e Informacionit në institucionet publike shqiptare
77
Figura 4-30 Përditësimi i sistemeve te shfrytëzimit
Burimi: (Autori)
Në figurën 4.31 paraqitet sesa i fortë është programi antivirus në organizatë. Programi
antivirus është një element i rëndësishëm në sigurinë e informacionit sepse shërben si
një linjë e fortë mbrojtjeje, në gjendje të zbulojë dhe të heqë vuriset përpara se ata të
dëmtojnë sistemin dhe të dhënat e ruajtura në të (Ferguson 2005). Në figurën 4.30
tregohet se vlerësimi për fortësinë e programit antivirus është 80% shumë i fortë ose i
fortë. Një nga praktikat më të vlerësuara.
Figura 4-31 Fortësia e programit antivirus
Burimi: (Autori)
Figura 4.32 paraqet efektivitetin e enkriptimit të të dhënave të rëndësishme në
organizatë. Teknikat e enkriptimit dhe dekriptimit të të dhënave janë përdorur nga
profesionistët e sigurisë për të mbajtur informacionin të sigurtë bazuar në parimin
“security through obscurity” (Stewart et al. 2011). Në figurën 4.32 shohim që rezulatet
2.8
5.6
22.5
11.3
50.7
7.0
Çdo ditë
Çdo javë
Çdo muaj
Çdo tre muaj
Çdo vit
Asnjëherë
A i përditëson sistemet e shfrytëzimit dhe paketat e
programeve organizata juaj me përditësimet më të
fundit?
1.4
4.2
7.0
7.0
43.7
36.6
nuk ekziston
shumë i dobët
I dobët
asnjëanës
I fortë
shumë i fortë
Sa i fortë është program antivirus në organizatën
tuaj?
Elda Kuka
Siguria e Informacionit në institucionet publike shqiptare
78
tregojnë se 56.4% e vlersojnë si shumë mirë dhe mirë. Megjithatë mbetet i lartë 44.6%
numri i atyrë që nuk shprehin një mendim apo e vlerësojnë dobët dhe shumë dobët.
Figura 4-32 Efektiviteti i enkriptimit të të dhënave
Burimi: (Autori)
Figura 4.33 paraqet të dhënat mbi sigurinë fizike të dhomave të serverave. Siguria fizike
e dhomave të serverave është e rëndësishme në ruajtjen e sigurisë së informacionit. Ajo
përfshin aksesin nga personeli, ruajtjen, ftohjen, energjinë elektrike në raste të
emergjencës, mbrojtjen nga lagështira dhe zjarri. Rezulatet tregojnë se 62% i plotësojnë
këto kushte kurse 38% janë shprehur asnjëanës ose nuk i plotësojnë këto kushte.
Figura 4-33 Siguria fizike e dhomave te serverave
Burimi: (Autori)
5.6
4.2
9.9
23.9
28.2
28.2
nuk ekziston
shumë i dobët
I dobët
asnjëanës
I mirë
shumë i mirë
Sa efektive është enkriptimi i të dhënave të
rëndësishme të organizatës tuaj?
4.2
2.8
8.5
22.5
32.4
29.6
nuk ekziston
shumë i dobët
I dobët
asnjëanës
I mirë
shumë i mirë
Sa e sigurtë është dhoma e serverave nga ana e
sigurisë fizike (psh. PIN, Biometrikë etj.)?
Elda Kuka
Siguria e Informacionit në institucionet publike shqiptare
79
Figura 4.34 paraqet kufizimin e pajisjeve të jashtme në organizatë. Dimë që pasjisje të
tilla si kujtesat USB janë mbartës të programeve malware apo të kuajve të Trojës, të
cilët mund të kompromentojnë një sistem kompjuterik. Kufizimi i këtyre pajisjeve është
thelbësor për të moslejuar infektimet me malware ose dhe vjedhjen e informacioneve
konfidenciale të organizatës. Shohim që 42.2% janë përgjigjur që ka kufizime për
përdorimin e pasjisjeve të jashmte. Megjithatë ky numër është i vogël duke patur
parasysh se 58% nuk përdorin kufizime ose ato janë të dobëta. Pra, është e vështirë për
të kontrolluar përdoruesit fundorë. Duke u bazuar dhe tek vlerësimi i munguar i
dobësive mund të themi që organizata nuk është ndërgjegjësuar për rreziqet që ato
sjellin.
Figura 4-34 Kufizimi i përdorimit te pasjisjeve si CD/DVD dhe kujtesave USB
Burimi: (Autori)
Figura 4.35 tregon se nuk ofrohen trainime të veçanta apo programe ndërgjegjësimi
(60%) në lidhje më sigurinë e informacionit. Mungesa e këtyre trainimeve mund të jetë
një nga arsyet për praktika jo të mira në disa nga pyetjet e mësipërme. Nevojitet një
trainim i përshtatshëm për punonjësit në lidhje me sigurinë e informacionit i akumuluar
në tre pjesë: ndërgjegjësimi i sigurisë, përgjegjësia dhe vetë-mbrojtja (Panko, 2008).
Trajnimi bazë për të gjithë dhe trajnimi i shtuar sipas pozicionit të veçantë të
përdoruesve është një zgjidhje alternative e (Mitnick & Simon 2005)
23.9
7.0
8.5
18.3
21.1
21.1
nuk ekziston
kufizim shumë i dobët
I dobët
asnjëanës
kufizim i mirë
kufizim shumë i mirë
Sa i kufizon organizata juaj punonjësit në
përdorimin e pasjisjeve si CD/DVD dhe kujtesave
USB?
Elda Kuka
Siguria e Informacionit në institucionet publike shqiptare
80
Figura 4-35 Trainime të vecanta apo programe për ndërgjegjesimin
Burimi: (Autori)
Në figurë 4.36 paraqitet plane për të marrë certifikime në sigurinë e informacionit.
Shohim se 44% nuk kanë në plan të marrin certifikime në sigurinë e informacionit, 34%
kanë në plan por nuk e dinë se kur, 17% do të marrin brenda 12 muajve dhe 7% brenda
3 dhe 10 viteve. Ka një numër në rritje të programeve të ndryshme të fokusuar në
sigurinë e informacioni që reflekton rëndësinë e certifikimeve në këtë fushë, sidomos
për ata që janë të punësuar në pozicione IT.
Fig 4-36 Certifikime në sigurinë e Informacionit
Burimi: (Autori)
36%
60%
4%
A iu ofron organizata juaj punonjësve trainime të
vecanta apo programe për ndërgjegjesismin mbi
sigurinë e informacionit?
Po Jo Nuk e di
17%
4%
3%
34%
44%
Po brenda 12 muajve të ardhshëm
Po brenda 3 viteve të ardhshëm
Po brenda 10 viteve të ardhshëm
Po, por nuk jam i sigurte se kur
Jo
A keni në plan të merrni certifikime në sigurinë e
Informacionit?
Elda Kuka
Siguria e Informacionit në institucionet publike shqiptare
81
4.4.2 Rreziqet e informacionit në organizatë
Në këtë seksion do të diskutojmë rreziqet si sulmet, vandalizmin dhe kërcënimet.
Figura 4.37 tregon se 57% e sistemeve kane rënë nga sulmet e viruseve, 13% mendojnë
që nuk kanë pësuar rënie të sistemeve për shkak të viruseve dhe 30% nuk shprehen.
Shembulli me tipik i një sulmi me virus që mund të shkaktojë problem serioze eshtë një
virus i bashkëngjitur një emaili. Sapo ai të hapet, virusi to të replikojë veten e tij në të
gjithë kompjuterat e rrjetit duke bllokuar serverat me email spam të gjeneruar nga virusi
(Smith 2012). Shqetësues mbetet fakti që një numër i madh i të anketuarve janë
shprehur se “nuk e di”-në nëse kanë rënë apo jo pre e sulmeve me kode malware.
Figura 4-37 Rënia e sistemeve të informacionit për shkak të viruseve komjuterike
Burimi: (Autori)
Figura 4.38 paraqet sulmet nga hakerat të faqes web. Shohim se 41% kanë pësuar një
sulm nga hakerat, 31% nuk kane pësuar sulm dhe 28% nuk japin një përgjigje. Kjo
është e kuptueshme pasi një pjesë e mirë e organizatave nuk raportojnë kur faqja e tyre
është sulmuar, përveç rasteve kur kjo bëhet publike në media.
13%
57%
30%
A kanë rënë ndonjëherë sistemet e informacionit në
organizatën tuaj për shkak të viruseve komjuterike?
Jo Po Nuk e di
Elda Kuka
Siguria e Informacionit në institucionet publike shqiptare
82
Figura 4-38 Subjekt i sulmit nga hakerat faqja web
Burimi: (Autori)
Figura 4.39 paraqet sulmet e hakerave ndaj sistemeve të informacionit. Shohim se 42%
janë shprehur që nuk kanë qenë objekt i një sulmi të tillë, 25% janë përgjigjur që
sistemet e organizatës kanë qene objekt i një sulmi, kurse 33% nuk janë shprehur.
Hakerimi në fillimet e veta është përdorur si mjet për të zbuluar dobësitë me qëllim
përmirësimin e tyre. Sot hakerat ekspertë mund të hyjnë në system të vjedhin të dhënat
dhe të mbulojnë gjurmët e tyre.
Figura 4-39 Sulme të hakerave mbi sistemet e informacionit
Burimi: (Autori)
Në figurën 4.40 paraqiten rreziqet nga të cilat ka qenë e rrezikuar organizata. Shohim që
34.5% nuk janë shprehur në lidhje me këto rreziqe, 27.6% janë vandalizëm i faqe web (i
shfaqur në analizën më lart), infektimet më kode malware janë në vlerën 26.4% (i
shfaqur dhe në analizën më lart), 13.8% kanë qenë sulme denial of service. Shqetësuese
në këto rezultate është niveli i paqartësisë për këto sulme përkatësish 34.5% nuk janë
shprehur dhe 16.1 se nuk kanë qënë të ekspozuar ndaj asnjë risku.
28%
41%
31%
A ka qenë subjekt i sulmit nga hakerat faqja web e
organizatës tuaj?
Nuk e di Po Jo
33%
25%
42%
A kanë qenë subjekt i sulmeve të hakerave sistemet
e informacionit në organizatën tuaj?
Nuk e di Po Jo
Elda Kuka
Siguria e Informacionit në institucionet publike shqiptare
83
Figura 4-40 Rreziqet në organizatë
Burimi: (Autori)
4.5 Preferencat e promovimit
Nga të dhënat e paraqitura është e qartë nevoja për të rritur nivelin e praktikave të
sigurisë së informacionit. Rritja e nivelit të praktikave mund të ulë rreziqet dhe të rrisë
efiçencën e sistemeve të informacionit. Në këtë seksion do të shohim mekanizmat për të
rritur këto praktika ndërgjegjësimi.
Në figurën 4.41 paraqiten sfidat për aplikimin e standarteve. Shohim që sfida më e
madhe është mungesa e buxhetit në vlerën 44%, 35.7% kanë preferuar të mos shprehen
dhe 29.8% paraqesin si sfidë mungesën e burimeve njerëzore të kualifikuar.
Implementimi i standarteve të sigurisë së informacionit në organizatë është i kufizuar
nga sfida të natyrën njerëzore, organizacionale dhe teknike (Werlinger et al. 2007).
13.8%
6.9%
3.4%
2.3%
27.6%
8.0%
26.4%
8.0%
6.9%
16.1%
34.5%
0.0%
sulme denial of service
sulme brute force
vjedhje e të dhënave të klientëve/qytetarëve
vjedhje e kompjuterave/laptopëve/pajisjeve mobile
vandalizëm i faqes web
ransomëare
infektime me trojan/malëare
akses i paautorizuar i informacionit nga përdorues të jashtëm
akses i paautorizuar i informaciont nga përdorues të …
asnjë risk
nuk e di
tjeter
Ndaj cilave rreziqe ka qene e ekspozuar organizata juaj?
Elda Kuka
Siguria e Informacionit në institucionet publike shqiptare
84
Figura 4-41 Sfidat për aplikimin e standarteve
Burimi: (Autori)
Në figurën 4.42 paraqiten pengesat për marrjen e certifikimeve në siguri informacioni.
Shohim se 43.2% paraqesin si pengesë tarifën e lartë, 31.8% nuk kanë preferuar të
shprehen, 21.6 paraqesin si pengesë kohën e pamjaftueshme për të studiuar, 12.5%
paraqesin si pengesë rrugën e paqartë në karrierë, 28.4% kanë zgjedhur arsye të tjera,
por nuk i kanë paraqitur ato. Në organizatat private vitet e fundit janë rritur buxhetet për
trainime dhe certifikime në sigurinë e informacioni (Ayoub 2011).
Figura 4-42 Pengesat e hasura për marrjen e certifikimeve në Siguri Informacioni
(Autori)
Në figurën 4.43 janë paraqitur benefitet që do të dhëshironin punonjësit të përfitonin
nga organizata për të marrë certifikim në siguri informacioni. Shohim se 42% janë
shprehur se do të donin një Fond për Certifikimin me kontratë, 34.1% do të dëshironin
44.0%
29.8%
35.7%
4.8%
Nuk ka buxhet për t‟a bërë këtë
Mungesa e burimeve njerëzore të kualifikuar
në siguri informacioni
Nuk e di
Tjeter
Cilat mendoni se jane sfidat per aplikimin e standarteve?
43.2%
21.6%
6.8%
4.5%
12.5%
6.8%
31.8%
28.4%
tarifë e lartë
kohë e pamjaftueshme për të studiuar
udhëheqje e pamjaftueshme në provim
e pamundur të marrësh infromacion në lidhje …
rrugë e paqartë në karrierë
mungesë udhëheqje në progresin e karrierës
nuk aplikohet
tjeter
Cilat jane pengesat e hasura per marrjen e certifikimeve ne Siguri
Informacioni?
Elda Kuka
Siguria e Informacionit në institucionet publike shqiptare
85
leje nga puna për studim, 27.3% do të donin një Fond për Certifikimin pa kontratë dhe
22.7% nuk jane shprehur (ndoshta nuk dëshirojnë të marrin një certifikim në siguri).
Figura 4-43 Përfitimet për të marrë certifikim ne Siguri Informacioni
Burimi: (Autori)
4.6 Konkluzione
Në këtë studim u përgjigjën 88 persona pjesë e njësive të TI-së në institucionet publike.
Interesant është fakti që menaxhimi i lartë e kupton rëndësinë e sigurisë së
informacionit dhe ofron mbështetjen e tij. Pjesa më e madhe e tyre kishin drejtori TI-je
dhe buxhete specifike për TI-në. Megjithatë pjesa më e madhe e këtyre drejtorive nuk
kanë një buxhet specifik për sigurinë e informacionit.
Pjesa më e madhe e të anketuarve treguan që në institucionet e tyre kishin rregullore dhe
politika të sigurisë së informacionit. Megjithatë në lidhje me standartet e sigurisë së
informacionit 56% u përgjigjën që nuk aplikojnë standarte të sigurisë së informacionit,
por mendojnë që në të ardhmen do t‟i aplikojnë këto standarte. Në institucionet të cilat
kanë zbatuar standarte të sigurisë së informacionit, 48.9% ndiheshin të sigurtë nga
aplikimi i tyre, pjesa e tjetër ndiheshin disi të sigurtë, aspakt të sigurtë dhe nuk kanë
preferuar të shprehin një mendim. Gjithashtu 58% e të anketuarve janë përgjigjur që në
27.3%
42.0%
2.3%
3.4%
22.7%
1.1%
34.1%
Fond për certifikim (Pagesë e tarifës së Kursit/Trainimit dhe
Provimit) pa kontratë
Fond për Certifikim (Pagesë e tarifës së Kursit/Trainimit dhe
Provimit) me kontratë
Shpërndarje e tarifës së provimit pa kontratë
Tarifë e provimit më kontratë
Nuk aplikohet
Tjetër
Leje nga puna për studim
Çfarë lloj benefitesh do të donit të përfitonit nga organizata që të
merrni një certifikim nëSiguri Informacioni?
Elda Kuka
Siguria e Informacionit në institucionet publike shqiptare
86
institucionet e tyrë nuk ka një proces të vlerësimit të riskut, 52% nuk kanë plane të
përgjigjes ndaj incidenteve.
Kur marrin më konsideratë sigurimin e informacionit në organizatë pamë se 93% kanë
procedura për krijimin dhe menaxhimin e llogarive dhe 95% kanë procedura për backup
dhe recovery. Përsa i përket mjeteve ose matjeve në organizatë për sigurimin e
informacionit, vëmë re se performanca e tyre është shumë e dobët, vetëm 15% bëjnë
vlerësim të dobësive. Duhet theksuar se kanë matje të kënaqshme të sigurisë përsa i
përket vendosjes së fjalëkalimeve (75%), sigurisë së firewall-eve (49.3%), fortësisë së
programit antivirus (43.7% e vlerësojnë të fortë dhe 36.6% e vlerësojnë shumë të fortë),
si dhe në aplikimin e enkriptimit për të dhënat e tyre (56.4% shume i mirë dhe i mirë).
Performojnë shumë dobët në autentikimin më dy faktorë (26% e përdorin) dhe
kufizimin e USB-ve, CD/DVD (vetëm 42.2% e përdorin).
Përsa i përket rreziqeve ndaj të cilave ka qenë e ekspozuar organizata në vend të parë
është vandalizimi i faqeve web me 27.6%, infektime me malware me 26.4%, sulme DoS
me 13.8%, si dhe 6.9% kanë vuajtur nga akses i paautorizuar i personave të brendshëm.
Mbetet shqetësues është fakti që 16.1% nuk identifikojnë asnjë rrezik dhe 34.5% nuk
kanë asnje mendim në lidhje me rreziqet me të cilat ka qenë e ekspozuar organizata e
tyre.
Përsa i përket edukimit dhe trainimit të punonjësve në lidhje më sigurinë e
informacionit 60% e tyre nuk janë përgjigjur që organizatat e tyre nuk ofrojnë asnjë lloj
program trainimi, megjithatë 56% kanë shprehur dëshirën për të marrë një certifikim në
sigurinë e informacionit duke filluar nga brenda 1 viti deri në 10 vitet e ardhshme. Përsa
i përket pengesave të hasura për marrjen e një certifikimi të tillë ata vendosin si
pengesa: tarifën e lartë (43.2%), kohë e pamjaftueshme për të studiuar (21.6%), rrugë e
paqartë në karrierë (12.5%) dhe 31.8% nuk kanë mendim që përputhet ne fakt me 44%
që nuk kanë dëshirë të marrin certifikime. Në mënyrë që të avancojnë në certifikimin në
siguri informacionit do të dëshironin këto përfitime nga organizata: fond për certifikimi
me kontratë (42%), Leje nga puna për studim (34.1%), fond për certifikim pa kontratë
(27.3%), kurse 22.7% nuk kanë shprehur një mendim.
Rezultatet e këtij studimi treguan se ka problem me praktikat e sigurisë së informacionit
në institucionet publike. Në kapitullin tjetër do të paraqesim përfundimet në mënyrë të
përmbledhur dhe do të sugjerojmë zgjidhjet për dobësitë e gjetura.
Elda Kuka
Siguria e Informacionit në institucionet publike shqiptare
87
Kapitulli V
5 Përfundime dhe Rekomandime
5.1 Hyrje
Siç e kemi thënë që në krye të herës qëllimi i këtij punimi është të analizohet siguria e
informacionit në institucionet publike shqiptare, për të:
i. Identifikuar, përcaktuar dhe diskutuar praktikat e menaxhimit të sigurisë së
informacionit dhe cilët janë faktorët që mund të ndikojnë implemtimin dhe
zhvillimin e menaxhimit të sigurisë së informacionit në institucionet publike
shqiptare;
ii. Kuptuar rëndësinë e komponentëve të identifikuar dhe ndërverprimin më njëri-
tjetrin;
iii. Përcaktuar nivelin e ndërgjegjësimit për sigurinë e informacionit në institucionet
publike si dhe të përcaktojë nëse mund të bëhën përmirësime në menaxhimin e
sigurisë së informacionit.
Metoda kryesore për mbledhjen e të dhënave ishin pyetësorët të cilët u printuan dhe u
shpërndanë në 16 institucione nga të cilët 13 kthyen përgjigje në një total prej 88
pyetësorësh të plotësuar stafi i njësive të TI, përkatësisht 17 u plotësuan nga drejtuesit e
njësive të TI-së (drejtor dhe përgjegjës sektori) si dhe 71 u plotësuan nga stafi i njësive
të TI-së.
5.2 Përfundimet e studimit
Nga analizimi i pyetësorëve për praktikat për menaxhimin e sigurisë së informacionit
identifikuam që:
i. Menaxhimi i lartë e mbështet sigurinë e informacionit, një nga kushtet kryesore
që menaxhimi i sigurisë së informacionit të jetë i sukseshëm. Qasja ndaj sigurisë
së informacionit shihet si një pjesë e planit të TI-së;
Elda Kuka
Siguria e Informacionit në institucionet publike shqiptare
88
ii. Në institucione janë krijuar dhe zbatohen politika të sigurisë së informacionit, të
cilat janë dhe rruga që duhet të ndiqet për menaxhimin e sukesshëm të sigurisë
së informacionit;
iii. Në institucione ka drejtori të TI-së, e cila funksionon me buxhet të përcaktuar
për TI-në, por mungojnë njësitë e sigurisë së informacionit dhe buxhet i
përcaktuar për sigurinë. Megjithatë në çdo drejtori TI ka persona përgjegjës për
sigurinë e informacionit dhe zakonisht buxheti për sigurinë e informacionit është
pjesë e buxhetit të TI-së;
iv. Në institucione mungojnë standartet e sigurisë së informacionit, të cilët nga ana
e tyre udhëheqin implementimin e praktikave, procedurave dhe udhëzimeve;
v. Në institucione mungojnë procedurat e vlerësimit të riskut dhe procedurat për
përgjigje ndaj incidenteve, pra edhe pse politika ekziston mund të jetë duke
mbrojtur jo në mënyrën e duhur të dhënat. Ky nivel i ulët i praktikës mbi
procesin e vlerësimit të riskut, mund të rrisë rreziqet dhe të shkaktojë probleme
të tjera të sigurisë së informacionit për asetet e organizatës;
vi. Përsa i përket sigurimit të informacionit në organizatë ekzistojnë praktika të
mira për: vendosjen dhe ndryshimin e fjalëkalimeve, për instalimin e fireëall-
eve, për instalimin e programit antivirus, përdorimin e enkriptimit për mbrojtjen
e të dhënave, mbrojtjen e dhomave të serverave. Nuk ka praktika në vlerësimin e
dobësive të aseteve në organizatë, ka praktika shumë të dobëta në përdorimin e
autentikimit me dy faktorë, ka praktika shumë të dobëta në kufizimin e kujtesave
USB dhe pajisjeve CD/DVD;
vii. Përsa i përket edukimit dhe trainimit, në organizatë mungojnë programet e
trainimit të punonjësve përsa i përket çështjeve të sigurisë së informacionit.
Nga analizimi i të dhënave identifikuam se faktorët që influencojnë efektivitetin e
praktikave të menaxhimit të sigurisë së informacionit janë:
i. Politikat dhe standartet e sigurisë shihen si një nga faktorët kryesorë për
menaxhimin e sigurisë së informacionit në organizatë. Sipas Whitmann &
Mattord (2011; 2012) politikave mund të quhen ndryshe një plan veprimi që
influencojnë vendimet dhe veprimet. Pra ato janë bazat për planifikimin,
menaxhimin dhe mirëmbajtjen e sigurisë së informacionit. Politikat janë ato që
udhëheqin implementimin e standarteve, të cilët nga ana e tyre udhëheqin
implementimin e praktikave, procedurave dhe udhëzimeve. 68% mendojnë që
infrastruktura e sigurisë është ajo që ndikon;
ii. Infrastuktura e sigurisë e cila përfshin si pajisjet hardware dhe programet e
ndryshme (si p.sh. firewall, antivirus, sistemi intrusion detection) që janë shumë
të rëndësishme për të plotësuar kërkesat për siguri të organizatës. Meqë shpesh
Elda Kuka
Siguria e Informacionit në institucionet publike shqiptare
89
siguria mendohet si një problem teknik, zgjidhjet teknike janë shumë të
përhapura për të mbrojtur sigurinë e informacionit. Kjo shpjegon dhe pse
mendohet si faktori i dytë më i rëndësishëm;
iii. Buxheti për sigurinë e informacionit është i rëndësishëm për implementimin me
sukses të çdo aktiviteti të sigurisë. Ai ndikon dhe faktorët e tjerë si politikat,
standartet, infrastrukturën dhe edukimin e trainimin. Pa mbështetje buxhetore
shohim që asnjë nga këta faktorë nuk mund të implementohet saktësisht;
iv. Ndërgjegjësimi, edukimi dhe trainimi janë një faktor tjetër i rëndësishëm.
Punonjësve në sigurinë e informacionit u referohemi si hallka më e dobët e
organizatës, që mund të shndërrohen në një target shumë të lehtë për hakerat.
Trainimi dhe ndërgjegjësismi ndihmon dhe mbështet përdoruesit për të mos u
bërë hallka me e dobët dhe kthehet në një faktor pozitiv për të luftuar kërcënimet
e sigurisë;
v. Mbështetja e menaxhimit të lartë. Siç e përmendëm më lart mbështetja e
menaxhimit të lartë ka rëndësi jo vetëm për planifikimin, ekzekutimin dhe
qeverisjen e vendimeve të sigurisë, por edhe për të dhënë mesazhin për
komunitetet e sigurisë dhe të interesuarit që investimet e tyre në siguri janë një e
mirë dhe për ta.
5.3 Rekomandime
Nga përfundimet e përfituara nga analiza e bërë në studimin tonë kemi të përcaktuar
edhe përmirësimet që duhet të bëhen për një menaxhim të sukseshëm të sigurisë së
informacionit në institucionet publike.
i. Për një zbatim më të mirë të strategjisë dhe politikave të sigurisë është i
nevojshëm përzgjedhja dhe zbatimi i standarteve të sigurisë së informacionit.
Për shkak dhe të ngjashmërive që kanë institucionet publike me njëra-tjetrën
rekomandohet që të përzgjidhet dhe implementohet i njëjti standart për sigurinë
e informacionit dhe përkatësisht standarti ISO, i cili është një nga standartet
ndërkombëtare më të mirënjohura. Zbatimi i tij në të gjitha institucionet do të
mundësojë dhe eksperiencën e nevojshme për aplikimin e tyre;
ii. E rëndësishme është gjithashtu të behët vlerësimi i riskut për të gjitha
institucionet publike, të cilat kanë ngjashmëri me njëra-tjetrën dhe mund të
përfitojnë shumë nga ky proces. Pa një proces të vlerësimit të riskut, asnjëherë
insitucionet nuk do të jenë të sigurta se kanë zgjedhur strategjinë e duhur për
mbrojtjen e aseteve të institucionit;
Elda Kuka
Siguria e Informacionit në institucionet publike shqiptare
90
iii. Duhet të rritet ndërgjegjësimi për sigurinë e informacionit. Institucionet duhet të
mbështesin programe të edukimit dhe trainimit për sigurinë e informacionit për
të gjithë punonjësit e institucioneve publike. Këto trainime duhet të bëhen
shpesh, për të sjellë gjithmonë në vëmendje rëndësinë e sigurisë së
informacionit;
iv. Me Vendimin e Këshillit të Ministrave Nr. 673, datë 22.11.2017, “Për
riorganizimin e Agjencisë Kombëtare të Shoqërisë së Informacionit”, është
vendosur që në përbërje të AKSHI-t, pranë cdo institucioni dhe organi të
administratës shtetërore nën përgjegjësinë e Këshillit të Ministrave të krijohen
dhe funksionojnë njësitë e Tëknologjisë së Informacionit dhe Komunikimit. Pra,
për të gjitha institucionet, njësitë e TIK do të varen nga AKSHI. Për një
implementim të suksesshëm të sigurisë së informacionit është e nevojshme
krijimi apo caktimi i personelit përgjegjës për sigurinë e informacionit, të cilët
duhet të jenë në nivel drejtues (Whitman & Mattord 2011). Për të bërë një
balancim më të mirë të këtyre pozicioneve do të rekomandoja që personeli
përgjegjës për sigurinë e informacionit të varej nga AKCESK, agjencia
përgjegjëse për sigurinë kibernetike;
v. Megjithëse, siç e kemi përmendur më lart GDPR-ja, në vendin tonë do të
zbatohet nga kompanitë shqiptare që kanë marrëdhënie me tregun europian, në
prioritetet e Komisionerit për të Drejtën e Informimit dhe Mbrojtjen e të dhënave
personale për vitin 2018 është përcaktuar…”Përafrimi i legjislacionit për
mbrojtjen e të dhënave personale me Rregulloren e BE 679/2016 dhe Direktivën
680/2016” (Komisioneri për të Drejtën e Informimit dhe Mbrojtjen e të dhënave
Personale, 2018). Për të qenë proaktivë përsa i përket mbrojtjes së të dhënave
personale dhe privatësisë, rekomandoj që institucionet publike shqiptare të
marrin në konsideratë GDPR-në, në ndërtimin apo përmirësimin e sistemeve
TIK.
Elda Kuka
Siguria e Informacionit në institucionet publike shqiptare
91
6 Referencat
Afyouni, H. (2006) “Database Security and Auditing: Protecting Data Integrity and
Accessibility”, Thomson Course, Canada
Alarifi, A., Tootell, H., Hyland, P., (2012) “A Study of Information Security Awareness
and Practices in Saudi Arabia”. Paper presented at the The 2nd International Conference
on Communications and Information Technology (ICCIT): Digital Information
Management, Hammamet
Andersen, P. (2001) “Information Security Governance:, Infromation Security
Tehcnical Report, Vol.6, No.3, pp.60-70
Ateeq, A. (2012), “Tupe of Security Threats and It‟s Prevention”, Internation Journal of
Computer Technology and Applications, Vol.3, no.2, pp. 750-752
Ayoub, R. (2011) “The 2011 (ISC)2 global information workforce study”. CA:
Frost&Sullivan, Mountain View
Ball, D. A., McCulloh, W. H. (1990). “International Business (4th ed.)”, Homewood,
IL: Irwin.
Bragg, R., Ousley, M. & Strassberg, K. 2004, “Network Security: The complete
Reference” Coral Ventura, USA
Brotby, W. (2009) “Information Secutiy Management Metrics:, Taylor and Francis
Group, USA
Brown, B. (2009), “Help Prevent Computer Theft”, Palmerston North, New Zealand
Burke, R. (1999) “Project Management Planning and Control:, West Sussex, pp.202-
230
Byrd, T. & Turner, D. (2000) “Measuring the Flexibility of Information Technology
Infrastructure: Explanatory Analysis of a Construct” Journal of Management
Information Systems, Vol. 17, no. 1, pp. 167-208
Elda Kuka
Siguria e Informacionit në institucionet publike shqiptare
92
Caelli, W., Longley, D., Shain, M. (1989)” Information Security for Managers:Annual
Information Security Survey”, Stockton Press, pp.56-82.
Caudle, K. E. N. S. L. (1991). Evaluating Public Sector Information Systems: More
than Meets the Eye. Public Administration Review., 51 (5), 377-384.
Cazemier, J. A., Overbeek P. L., Peters L. M., (2000) “Security Management” (IT
Infrastructure Library Series), Stationery Office, UK.
Choobineh, J., Dhillon, G., Grimaila, M.R., Rees, J. (2007) "Management of
Information Security: Challenges and Research Directions," Communications of the
Association for Information Systems: Vol. 20, Article 57
Cohen, F. (1999), “Managing Network Security: Why it was done that way”, Netwwork
Security, Vol. 1999, No.12, pp. 7-9.
Coyne, C., Leeson, P. (2004), “Who protects Cyberspace?”, Global Prosperity Initiative
Working Paper”, Mercatus Center, George Mason University, vol.37, pp.44-73
Crescenzo, G., Rubin, A., Parno, B., Kuo, C., Perrig A., (2006), “Financial
Cryptography and Data Security”, Springer Berlin Heidelberg, Germany
Creswell, J. 2003, “Research Design: Qualitative, Quantitative and Mixed Method
Approaches”, Sage Publications, California
Easttom, C. (2006) “Computer Security Fundamental”, Pearson Prentice Hall, USA
Elof, J., Elof, M., (2003), “Information Security Management: A new Paradigm”,
Proceedeings of th 2003 annual research conference of South African institute of
computer scientists and information technologists on Enablement through technology.
Erbschloe, M. (2003) “Guide ti Disaster Recovery”, Course Technology, Canada
Ferrari, E. & Thuraisingham, B. (2006), “Web and Information Security”, IRM Press,
USA
Ferguson, B. (2005), “Network +Fast Pass”, CA: SYBEX, Alameda
Elda Kuka
Siguria e Informacionit në institucionet publike shqiptare
93
Fryer, K. J. A., J. Douglas, A. (2007) “Critical success factors of continuous
improvement in the public sector: A literature review and some key findings”. TQM
MAGAZINE, 19 (5), 497-517.
Fox, W. Bayat, M.S. (2007) “A Guide to Managing Research” Juta Publications, p.45
Fugini, M., Bellettini, C. (2004), “Information Security Policies and Actions in Modern
Integrated System”, Idea Group, USA
Geric , S., Hutinski, Z., (2007),”Information Systems Security Threats Classifications”,
Journal of Infromation and Organizational Science, Vol.31, no. 11
Hoo, K. (2000), “How much is enough? A Risk management Approach to Computer
Security”, Working Paper: Center for International and Security Studies, pp. 138-152.
Helkala K., Snekkenes E. (2009) “Password generation and search space
reduction,”Journal of computers, vol. 4, no. 7.
Heru Susanto, Mohammad Nabil Almunawar and Young Chee Tuan. Information
Security Management System Standards (2011) “A Comparative Study of the Big
Five”. International Journal of Electrical & Computer Sciences IJECS-IJENS Vol: 11
No: 05
Huang, N., Huang, T., Keh, H., Shaw, R. (2011)” Information Security Awareness
online materials design with knowledge maps”, International Journal of Distance
Education Technologies, vol.9, p.41.
Hutton, G. (1996), “BPR-overcoming impediments to change in the public sector”, New
Technology work and Employment, Vol. 10 No. 2, pp. 147-51.
International Telecommunication Union, (2017) “Global CyberSecurity Index 2017”,
www.itu.int
Joia, L. A. 2003 In Knowledge Management in Electronic Government: 4th IFIP
International working Conference, KMGov 2003, Rhodes, Greece, May 26-28, 2003.
Proceedings, pp. 76- 81.
Jones, A., Ashenden, D. (2005),” Risk management for Computer Security”, Elsevier
Butterworth-Heinemann, UK
Elda Kuka
Siguria e Informacionit në institucionet publike shqiptare
94
Johnson, R. (2011), “Security Policies ans implementation issues”, MA: Jones and
Bartlet Learning, Sudbury
Kizza, J. (2005), “Computer Network Security”, Springer Science Business Media,
USA
Knapp, K. Marshall, T., Rainer, K. &Ford, N. 2006 “Information security:
managemetn‟s effect on culture and policy” Information Management & Computer
Security, vol. 14, no.1, pp.24-36.
Komisioneri për të Drejtën e Informimit dhe Mbrojtjen e të dhënave personale, (2018),
“Raporti vjetor 2017”, http://www.idp.al/njoftime-per-shtyp/page/2/ last accessed
30.05.2018
Kruger, H., Drvein, L. & Steyn, T., 2010 “A vocabulary test to assess information
security awareness”, Information Management & Computer Security, vol.1 8, no.5,
pp.316-327
Kuka E., Bahiti R. (2017), “Information Security Management: an Overview on the
Standards”, International Journal of Science, Innovation and New Technology, Vol 1.
No. 18, June 2017, fq. 27- 33. Publikuar nga ASET, Shqiperi.
Kuka, E., Cipa, J., Zoto, E. (2017) “A comparative analysis of users‟ attitude towards
password security issues”, 7th-International Conference “Information Systems and
Technology Innovations: the New Paradigm for a Smarter Economy”, 17-18 Qershor,
2016, Shqipëri
Lee, A.S. (2004). Thinking about Social theory and Philosophy for Information
Systems. In Social Theory and Philosophy for Information Systems. Chichester UK:
John Wiley & Sons, p. 1-26
Leach, J. (2003), “Improving user security Behaviour”, Computers and Security,
Vol.22, No.8, pp. 685-692
Li, X., Li, J. (2011) “Quality based content delivery over the Internet”, NY:Springer,
New York
Luker, M, Pettersen R., (2003), “Computer and Network Security in Higher Education”,
San Francisco, Jossey Bass
Elda Kuka
Siguria e Informacionit në institucionet publike shqiptare
95
Mantel, S., Jr., Meredith, J., Shafer, S., Sutton M. (2001), “Project Management in
Practice”, John Wiley and Sons, New Jersey.
Marshall C. and Rossman G. (1999) “Designing Qualitative Research”, Sage
Publications, London
Mitnick K.D., Simon W.L. (2005), “The Art of Intrusion: The Real Stories Behind the
Exploits of Hackers, Intruders & Deceivers”, Indianapolis, ID: Wiley Publishing, Inc.
Moon, M. J. (2000). Organizational Commitment Revisited in New Public
Management: Motivation, Organizational Culture, Sector, and Managerial Level. Public
Performance & Management Review, 24 (2), 177-194.
Nichols, A. (2002), “A prespective on Threat in the Risk Analysis Process”, pp.67-78
O‟Harrow, R., Cha, a. (2003), ”Internet Worm Unearths New Holes:Attack Reveals
Flaws in How Critical Systems are Connected:, Washngton Post
Panko R. R. (2008), “ IT employment prospects: beyond the dotcom bubble”S.
European Journal of Information Systems, 17(3), 182-197.
Peltier, T., 2004 “Information Security Policies and Procedures”, CRC Pres, USA
Poulsen, K. (2003), “Security Focus news article: Slammer worm clashes Ihio nuke
plant network:, Security focus, http://www.securityfocus.com/news/6767
Purser, S. (2004) “A Practical Guide to managing information security:, MA: Artech,
Norwood
Raval, V., Fichadia, A. (2007), ”Risks, Controls and Security: Concepts and
Applications”, John and Sons Inc. , USA
Sandelowski M., (2000), “Whatever Happened to Qualitative Description? “, Journal of
Research in Nursing & Health, 2000, 23, 334±340
Shaluf, I. (2007) “An Overview on disaster”, Disaster Prevention and Management Vol.
16, no. 5, pp. 687-703
Elda Kuka
Siguria e Informacionit në institucionet publike shqiptare
96
Shaw, R., Chen, C., Harris, A., Huang, H., (2008), “The impact of information richness
on information security awareness training effectiveness”, Computers and Education,
Vol. 52., no.1, pp.92-100
Sherwood, J. (2000), “Opening up the Enterprise”, Computers and Security, Vol. 19,
no.8, pp. 710-719
Siponen, M. 2000 “A conceptual foundation for organizational: information security
awareness”, Information Management & Computer Security, vol. 8, no.1, pp.31-41.
Slay, J., Koronios, A. (2006),”Information Technology Security and Risk
Management”, John Wiley and sons Australia Ltd, Australia.
Smith R. (2012), “Elementary Infromation security”, MA: Jones and Bartlet, Burlington
Stallings, W., Brown, L., (2008), “Computer Security Principles and Practice”, Pearson
Education, USA
Stewart, J., Titel, E., Chapple, M. (2011) “CISSP Certified Information Systems
Security Professional Study Guide, 5th
edition:, IN: Wiley, Indianapolis
Stoneburner, G. (2002), “Risk Management Guide for Information Technology
Systems”, NIST Special Publication 800-30.
Stulz, R. (2003) “Risk Management & Derivatives”, Mason, Ohio: Thomson South-
Western
Thompson, R., Thompson, B. (2006), “Reparing and upgrading your PC”, CS: O‟Reilly
Media, Sebastopol
Thuraisingham, B, 2005, “Database and Applications Security”, Auerbach Publications,
USA
Turban, E., Wetherbe, J. & McLean, E. 1996 “Information Security Technology for
Management: Improving Quality and Productivity”, USA
Vacca, J. (2009), “Computer and InfromationSecurity handbook:, Burlington, Ma:
Morgan Kaufmann
Elda Kuka
Siguria e Informacionit në institucionet publike shqiptare
97
Von Solms, R. (2006) “Infromation Security- The forth Wave” Computers and Security
Vol. 25, No.3, pp. 165-168.
Von Solms, R. (2000) “Infromation Security- The third Wave?” Computers and
Security Vol. 20, No.3, pp. 215-218.
Von Solms, R. (1999) “Information Security Management: Why standards are
Important:, Information Management and Computer and Security Vol. 7, No.1, pp.50-
57.
Von Solms, R. (1998c) Information Security Management (3): The code of Practice for
Informaction Security Management (BS7799), Information Management and Computer
and Security Vol. 6, No.5, pp.224-225.
Werlinger, R., Hawkey, K. Beznosov, K. (2007) “Human, Organizational and
Technological Challenges of Implementing IT Security in Organizations”, http://lersse-
dl.ece.ubc.ca/record.153/files/153/pdf
Whitman, M., Mattord H., (2008), “Management of Information Security”, Thomson
Course Technology Canada
Whitman, M., Mattord H., (2011), “Principles of Information Security 4th Edition”,
Cengage Learning
Whitman, M., Mattord, H. 2012 “Management of Information Security”, Thomson
Course Technology, Canada
Whitson, G., (2003), “Computer Security: theory, process and management”, The
journal of Computing in Small Colleges, Vol. 18, No.6, 2003, pp.57-66
Wylder, J. (2004) ,“Strategic Information Security”, CRC Press LLC, USA
Elda Kuka
Siguria e Informacionit në institucionet publike shqiptare
98
Shtojca A
Pyetësor për praktikat e Sigurisë së Informacionit
për Drejtuesit e Njësive TI
Institucioni_________________________________
I. Seksioni A.1 – Sfond i përgjithshëm
1. Cili është niveli juaj i edukimit?
Diplomë në Doktoraturë
Diplomë të nivelit Master
Diplomë të nivelit Bachelor
Tjetër (ju lutem specifikojeni)__________________________________
2. Madhësia e organizatës tuaj:
1-50 punonjës
51-100 punonjës
101- 500 punonjës
501- 1000 punonjës
Mbi 1000 punonjës
3. Cili është pozicioni juaj?
Drejtues i lartë
Drejtor Departamenti
Drejtor Drejtorie
Përgjegjës Sektori/Dege
4. Sa kohë keni në këtë pozicion?
Më pak se një vit
Midis 1 dhe 3 vitesh
Midis 3 dhe 5 vitesh
Midis 5 dhe 10 vitesh
Më shumë se 10 vite
5. A ka organizata juaj një njësi përgjegjëse për TI-në?
Departament Drejtori Degë Sektor
Elda Kuka
Siguria e Informacionit në institucionet publike shqiptare
99
6. A mendoni se menaxhimi i larte e kupton si duhet rendesine e sigurise se
informacionit?
(1= nuk jam aspakt dakort, 2= nuk jam dakort, 3= Jam dakort, 4= Jam
plotesisht dakort, 5= Asnjeanes)
1 2 3 4 5
7. A ju ofron menaxhimi i larte suportin e duhur per sigurine e informacionit?
(1= nuk jam aspakt dakort, 2= nuk jam dakort, 3= Jam dakort, 4= Jam
plotesisht dakort, 5= Asnjeanes)
1 2 3 4 5
8. A ka organizata juaj nje buxhet specifik për IT?
Po Jo Nuk e di
9. A ka organizata juaj një buxhet specifik për Sigurinë e Informacionit?
Po Jo Nuk e di
10. Nëse po, sa përqind e buxhetit të IT shpenzohet për sigurinë e Informacionit në
organizatën tuaj?
1% ose më pak
Midis 2% dhe 4%
Midis 4% dhe 6%
Midis 6% dhe 10%
Midis 10% dhe 15%
Midis 15% dhe 20%
Mbi 20 %
Tjetër , ju lutem specifikoni
_________________________________
11. A ka në organizatën tuaj njësi përgjegjëse të ndarë nga njësia e TI-së për
sigurinë e informacionit?
Po Jo, Nëse jo kaloni në pyetjen 11.
Elda Kuka
Siguria e Informacionit në institucionet publike shqiptare
100
12. A ka në organizatën tuaj të paktën një person i cili është i mirëinformuar
për sigurinë e informacionit dhe përpiqet të kujdeset për cështje të sigurisë
së informacionit?
Po Jo Nuk e di
13. Cilat jane qasjet kryesore per menaxhimin e sigurise se informacionit ne
organizaten tuaj?:
Ekziston nje strategji ose program per menaxhimin e sigurise se informacionit
Siguria menaxhohet si pjese e nje plani IT
Siguria bazohet mbi projekt
Siguria eshte e orientuar nga menaxhimi i riskut
Siguria eshte e orientuar nga menaxhimi i incidenteve
Siguria eshte e drejtuar kryesisht nga standartet e sigurise
Aplikohe qasje Ad hoc per sigurine
Tjeter (Ju lutem specifikojeni)_________________________
14. Cilet mendoni se jane faktoret e suksesit per sigurine e informacionit ne
organizaten tuaj?
Ndergjegjesimi, edukimi dhe trainimi
Standartet dhe politikat e sigurise
Buxheti per sigurine
Mbeshtjetja nga Menaxhimi i larte
Infrastruktura e sigurise
Auditimi i sigurise
Pergjegjesite e ndara te Sigurise
Struktura e organizates
Tjeter (ju lutem specifikojeni)___________________________
Seksioni A2: Rregulloret për mbrojtjen e të Dhënave në Organizatë
15. A aplikon organizata juaj ndonjë mbrojtje për të dhënat apo rregullore për
sigurinë e informacionit?
Po Jo Nuk e di
16. Rregullorja është cilësore:
Nuk jam aspak dakort
Nuk jam dakort
Jam dakort
Jam plotësisht dakort
Elda Kuka
Siguria e Informacionit në institucionet publike shqiptare
101
Nuk aplikohet
17. Rregullorja është e përshtatshme dhe gjithëpërfshirëse:
Nuk jam aspak dakort
Nuk jam dakort
Jam dakort
Jam plotësisht dakort
Nuk aplikohet
18. Rregullorja është e zbatueshme (ka fuqi vepruese):
Nuk jam aspak dakort
Nuk jam dakort
Jam dakort
Jam plotësisht dakort
Nuk aplikohet
Seksioni A 2.1. Standartet e Sigurisë së Informacionit në Organizatë
19. A aplikon organizata juaj ndonjë standart të Sigurisë së informacionit
Po, specifiko cilin standart __________________________________ (nëse po,
kalo te pyetja 18)
Jo
20. Nëse jo, a ka në plan organizata juaj të aplikojë standarte të sigurisë së
informacionit në të ardhmen?
Po Jo Nuk e di
21. Nëse organizata ka aplikuar standarte të sigurisë së informacionit, a
ndiheni më i sigurtë në organizatën tuaj?
Po Jo Disi Nuk e di
22. A ka ndonjë person përgjegjës në organizatën tuaj për t’u siguruar që
standartet janë përshtatur si duhet:
Po Jo Nuk e di
23. Cilat mendoni se janë sfidat për aplikimin e standarteve të sigurisë së
informacionit në organizatën tuaj? (Ju lutem zgjidhni ato që mendoni se
aplikohen)
Elda Kuka
Siguria e Informacionit në institucionet publike shqiptare
102
Nuk ka buxhet për t‟a bërë këtë
Mungesa e burimeve njerëzore të kualifikuar në siguri informacioni
Nuk e di
Tjeter, ju lutem specifikoni
____________________________________________________
Seksioni A 2.2. Politikat e Sigurisë së Informacionit në Organizatë
24. A ka organizata juaj një politikë të sigurisë së informacionit?
Po Jo Nuk e di
25. Nëse ka një politikë të sigurisë së informacionit, a e zbaton atë organizata
juaj?
Po Jo Nuk e di
26. Nëse ka një politikë të sigurisë së informacionit, a rishikohet ajo
periodikisht?
Po Jo Nuk e di
27. Nëse ka një politikë të sigurisë së informacionit, a I bëhet ajo e ditur të
gjithë punonjësve?
Po Jo Nuk e di
28. A ka organizata juaj një proces të vlerësimit të riskut?
Po Jo Nuk e di
Seksioni A3. Sigurimi i Informacionit në Organizatë
29. A keni procedura dhe rregullore për krijimin dhe menaxhimin e llogarive
të përdoruesve?
Po Jo
30. A ka organizata juaj nje politikë për backup dhe recovery të të dhënave?
Po Jo
31. A ka organizata juaj një plan të përgjigjes ndaj incidentet?
Po Jo
Elda Kuka
Siguria e Informacionit në institucionet publike shqiptare
103
Seksioni A3.1 Mjete të Sigurimit të Informacionit. Matjet në Organizatë
32. Sa efektive mendoni se është Vlerësimi i Dobësive që kryhet në organizatën
tuaj?
(1= nuk ekziston, 2= shumë i dobët, 3= I dobët, 4= asnjëanës, 5= I mirë, 6=
shumë i mirë)
1 2 3 4 5 6
Vlerësimi i dobësive
33. Sa i sigurtë është procesi/praktika e vendosjes së fjalëkalimeve në
organizatën tuaj?
(1= nuk ekziston, 2= shumë i dobët, 3= I dobët, 4= asnjëanës, 5= I mirë, 6=
shumë i mirë)
1 2 3 4 5 6
Vendosja e
Fjalëkalimit
34. A e implementon organizata juaj autentikimin me dy faktorë (psh. Smart
card, biometrika, fjalëkalim njëpërdorimësh, etj.?
Po Jo Nuk e di
35. Sa i sigurtë është sistemi i Firewall-it në organizatën tuaj për të mbrojtur
serverat nga ndërhyrjet e jashtme?
(1= nuk ekziston, 2= shumë i dobët, 3= I dobët, 4= asnjëanës, 5= I mirë, 6=
shumë i mirë)
1 2 3 4 5 6
Siguria e Firewallit
36. Nëse organizata juaj ka lidhje internet me wireless, sa strikte janë rregullat
e aksesit që të lejojnë vetëm punonjësit për të aksesuar këtë rrjet wireless?
(1= nuk ekziston, 2= kufizim shumë i dobët, 3= kufizim i dobët, 4= asnjëanës,
5= strikte, 6= shumë strikte)
1 2 3 4 5 6
Akses në Internet me
wireless
37. Nëse organizata juaj ka lidhje internet, sa strikte janë rregullat për të
aksesuar vetëm faqet e nevovjshme për kryerjen e punës nga punonjësit?
Elda Kuka
Siguria e Informacionit në institucionet publike shqiptare
104
(1= nuk ekziston, 2= kufizim shumë i dobët, 3= kufizim i dobët, 4= asnjëanës,
5= strikte, 6= shumë strikte)
1 2 3 4 5 6
Akses në Internet
38. A i përditëson sistemet e shfrytëzimit dhe paketat e programeve organizata
juaj me përditësimet më të fundit?
Çdo ditë
Çdo javë
Çdo muaj
Çdo tre muaj
Çdo vit
Asnjëherë
39. Sa i fortë është program antivirus në organizatën tuaj?
(1= nuk ekziston, 2= shumë i dobët, 3= I dobët, 4= asnjëanës, 5= I mirë, 6=
shumë i mirë)
1 2 3 4 5 6
Fortësia e programit
antivirus
40. Sa i fortë është programi i intrusion detection në organizatën tuaj?
(1= nuk ekziston, 2= shumë i dobët, 3= I dobët, 4= asnjëanës, 5= I mirë, 6=
shumë i mire)
1 2 3 4 5 6
Fortësia e programit
intrusion detection
41. Sa efektive është enkriptimi i të dhënave të rëndësishme të organizatës
tuaj?
(1= nuk ekziston, 2= shumë i dobët, 3= I dobët, 4= asnjëanës, 5= I mirë, 6=
shumë i mirë)
1 2 3 4 5 6
Teknika e enkriptimit
42. Sa e sigurtë është dhoma e serverave nga ana e sigurisë fizike (psh. PIN,
Biometrikë etj.)?
Elda Kuka
Siguria e Informacionit në institucionet publike shqiptare
105
(1= nuk ekziston, 2= shumë i dobët, 3= I dobët, 4= asnjëanës, 5= I mirë, 6=
shumë i mirë)
1 2 3 4 5 6
Siguria fizike e
dhomës së serverave
43. Sa i kufizon organizata juaj punonjësit në përdorimin e pasjisjeve si
CD/DVD dhe kujtesave USB?
(1= nuk ekziston, 2= shumë i dobët, 3= I dobët, 4= asnjëanës, 5= I mirë, 6=
shumë i mirë)
1 2 3 4 5 6
Përdorimi i pajisjeve
hyrëse
44. Sa i kufizon organizata juaj punonjësit në përdorimin e pasjisjeve
personale si laptop/pajisje mobile?
(1= nuk ekziston, 2= shumë i dobët, 3= I dobët, 4= asnjëanës, 5= I mirë, 6=
shumë i mirë)
1 2 3 4 5 6
Përdorimi i pajisjeve
hyrëse
Seksioni A3.2. Menaxhimi i aseteve në Organizatë
45. A ka në organizatën tuaj një inventar të aseteve?
Po Jo Nuk e di
46. Nëse po a ka në organizatën tuaj një person përgjegjës për mirëmbajtjen e
inventarit të aseteve?
Po Jo Nuk e di
47. A ka në organizatën tuaj një klasifikim të informacionit?
Po Jo Nuk e di
Seksioni A.4. Rreziqet e Sigurisë së Informacionit në Organizatë
48. A kanë rënë ndonjëherë sistemet e informacionit në organizatën tuaj për
shkak të viruseve komjuterike?
Po Jo Nuk e di
Elda Kuka
Siguria e Informacionit në institucionet publike shqiptare
106
49. A ka qenë subjekt i sulmit nga hakerat faqja web e organizatës tuaj?
Po Jo Nuk e di Nuk kemi faqe web
50. A kanë qenë subjekt i sulmeve të hakerave sistemet e informacionit në
organizatën tuaj?
Po Jo Nuk e di
51. Nga cilat risqe që vijojnë ka qenë e ekspozuar organizata juaj (zgjidhni të
gjitha ato që aplikohen)
sulme denial of service
sulme brute force
vjedhje e të dhënave të klientëve/qytetarëve
vjedhje e kompjuterave/laptopëve/pajisjeve mobile
vandalizëm i faqes web
ransomëare
infektime me trojan/malëare
akses i paautorizuar i informacionit nga përdorues të jashtëm
akses i paautorizuar i informaciont nga përdorues të brendshëm
asnjë risk
nuk e di
tjetër, ju lutem specifikoni
_________________________________________________
Seksioni A.5. Trainimi/Ngritja profesionale
52. A iu ofron organizata juaj punonjësve trainime të vecanta apo programe
për ndërgjegjesismin mbi sigurinë e informacionit?
Po Jo Nuk e di
53. Cilat janë pengesat që keni hasur / hasni në marrjen e certifikimeve në
Siguri Informacioni? (Ju lutem zgjidhni ato që mendoni se aplikohen)
tarifë e lartë rrugë e paqartë në karrierë
kohë e pamjaftueshme për të studiuar mungesë udhëheqje në progresin e
karrierës
udhëheqje e pamjaftueshme në provim nuk aplikohet
e pamundur të marrësh informacion në lidhje me certifikimin
Tjetër, ju lutem specifikoni
______________________________
Elda Kuka
Siguria e Informacionit në institucionet publike shqiptare
107
54. Cfarë lloj benefitesh do të donit të përfitonit nga organizata juaj në mënyrë
që të merrni certifikim në Siguri Informacioni? (Ju lutem zgjidhni ato që
mendoni se aplikohen)
Fond për certifikim (Pagesë e tarifës së Kursit/Trainimit dhe Provimit) pa
kontratë
Fond për Certifikim (Pagesë e tarifës së Kursit/Trainimit dhe Provimit) me
kontratë
Shpërndarje e tarifës së provimit pa kontratë
Tarifë e provimit më kontratë
Leje nga puna për studim
Nuk aplikohet
Tjetër, ju lutem specifikoni
____________________________________
Elda Kuka
Siguria e Informacionit në institucionet publike shqiptare
108
Shtojca B
Pyetësor për praktikat Sigurisë së Informacionit
për Njësitë e TI
Institucioni_________________________________
Pozicioni _______________________________________
II. Seksioni A.1 – Sfond i përgjithshëm
1. Cili është niveli juaj i edukimit?
Diplomë në Doktoraturë
Diplomë të nivelit Master
Diplomë të nivelit Bachelor
Tjetër (ju lutem specifikojeni)__________________________________
2. Madhësia e organizatës tuaj:
1-50 punonjës
51-100 punonjës
101- 500 punonjës
501- 1000 punonjës
Mbi 1000 punonjës
3. Sa kohë keni në pozicionin aktual?
Më pak se një vit
Midis 1 dhe 3 vitesh
Midis 3 dhe 5 vitesh
Midis 5 dhe 10 vitesh
Më shumë se 10 vite
4. A ka organizata juaj një njësi përgjegjëse për TI-në?
Departament Drejtori Degë Sektor
5. A ka në organizatën tuaj njësi përgjegjëse të ndarë nga njësia e TI-së për
sigurinë e informacionit?
Po Jo, Nëse jo kaloni në pyetjen 7.
6. A ka në organizatën tuaj të paktën një person i cili është i mirëinformuar
për sigurinë e informacionit dhe përpiqet të kujdeset për cështje të sigurisë
së informacionit?
Po Jo Nuk e di
Elda Kuka
Siguria e Informacionit në institucionet publike shqiptare
109
7. A mendoni se menaxhimi i larte e kupton si duhet rendesine e sigurise se
informacionit?
(1= nuk jam aspakt dakort, 2= nuk jam dakort, 3= Jam dakort, 4= Jam
plotesisht dakort, 5= Asnjeanes)
1 2 3 4 5
8. A ju ofron menaxhimi i larte suportin e duhur per sigurine e informacionit?
(1= nuk jam aspakt dakort, 2= nuk jam dakort, 3= Jam dakort, 4= Jam
plotesisht dakort, 5= Asnjeanes)
1 2 3 4 5
9. Cilet mendoni se jane faktoret e suksesit per sigurine e informacionit ne
organizaten tuaj?
Ndergjegjesimi, edukimi dhe trainimi
Standartet dhe politikat e sigurise
Buxheti per sigurine
Mbeshtjetja nga Menaxhimi i larte
Infrastruktura e sigurise
Auditimi i sigurise
Pergjegjesite e ndara te Sigurise
Struktura e organizates
Tjeter (ju lutem specifikojeni)___________________________
10. Cilat jane qasjet kryesore per menaxhimin e sigurise se informacionit ne
organizaten tuaj?
Ekziston nje strategji ose program per menaxhimin e sigurise se informacionit
Siguria menaxhohet si pjese e nje plani IT
Siguria bazohet mbi projekt
Siguria eshte e orientuar nga menaxhimi i riskut
Siguria eshte e orientuar nga menaxhimi i incidenteve
Siguria eshte e drejtuar kryesisht nga standartet e sigurise
Elda Kuka
Siguria e Informacionit në institucionet publike shqiptare
110
Aplikohe qasje Ad hoc per sigurine
Tjeter (Ju lutem specifikojeni)_________________________
Seksioni A2: Rregulloret për mbrojtjen e të Dhënave në Organizatë
11. A aplikon organizata juaj ndonjë mbrojtje për të dhënat apo rregullore për
sigurinë e informacionit?
Po Jo Nuk e di
12. Rregullorja është cilësore:
Nuk jam aspak dakort
Nuk jam dakort
Jam dakort
Jam plotësisht dakort
Nuk aplikohet
13. Rregullorja është e përshtatshme dhe gjithëpërfshirëse:
Nuk jam aspak dakort
Nuk jam dakort
Jam dakort
Jam plotësisht dakort
Nuk aplikohet
14. Rregullorja është e zbatueshme (ka fuqi vepruese):
Nuk jam aspak dakort
Nuk jam dakort
Jam dakort
Jam plotësisht dakort
Nuk aplikohet
Seksioni A.2.1. Standartet e Sigurisë së Informacionit në Organizatë
15. A aplikon organizata juaj ndonjë standart të Sigurisë së informacionit
Po, specifiko cilin standart __________________________________
Jo
16. Nëse jo, a ka në plan organizata juaj të aplikojë standarte të sigurisë së
informacionit në të ardhmen?
Elda Kuka
Siguria e Informacionit në institucionet publike shqiptare
111
Po Jo Nuk e di
17. Nëse organizata ka aplikuar standarte të sigurisë së informacionit, a
ndiheni më i sigurtë në organizatën tuaj?
Po Jo Disi Nuk e di
18. A ka ndonjë person përgjegjës në organizatën tuaj për t’u siguruar që
standartet janë përshtatur si duhet:
Po Jo Nuk e di
19. Cilat mendoni se janë sfidat për aplikimin e standarteve të sigurisë së
informacionit në organizatën tuaj? (Ju lutem zgjidhni ato që mendoni se
aplikohen)
Nuk ka buxhet për t‟a bërë këtë
Mungesa e burimeve njerëzore të kualifikuar në siguri informacioni
Nuk e di
Tjeter, ju lutem specifikoni
____________________________________________________
Seksioni A.2.2. Politikat e Sigurisë së Informacionit në Organizatë
20. A ka organizata juaj një politikë të sigurisë së informacionit?
Po Jo Nuk e di
21. Nëse ka një politikë të sigurisë së informacionit, a e zbaton atë organizata
juaj?
Po Jo Nuk e di
22. Nëse ka një politikë të sigurisë së informacionit, a rishikohet ajo
periodikisht?
Po Jo Nuk e di
23. Nëse ka një politikë të sigurisë së informacionit, a i bëhet ajo e ditur të
gjithë punonjësve?
Po Jo Nuk e di
24. A ka organizata juaj një process të vlerësimit të riskut?
Po Jo Nuk e di
Elda Kuka
Siguria e Informacionit në institucionet publike shqiptare
112
Seksioni A.3. Sigurimi i Informacionit në Organizatë
25. A keni procedura dhe rregullore për krijimin dhe menaxhimin e llogarive
të përdoruesve?
Po Jo
26. A ka organizata juaj nje politikë për backup dhe recovery të të dhënave?
Po Jo
27. A ka organizata juaj një plan të përgjigjes ndaj incidentet?
Po Jo
Seksioni A.3.1 Mjete të Sigurimit të Informacionit. Matjet në Organizatë
28. Sa efektive mendoni se është Vlerësimi i Dobësive që kryhet në organizatën
tuaj?
(1= nuk ekziston, 2= shumë i dobët, 3= I dobët, 4= asnjëanës, 5= I mirë, 6=
shumë i mirë)
1 2 3 4 5 6
Vlerësimi i dobësive
29. Sa i sigurtë është procesi/praktika e vendosjes së fjalëkalimeve në
organizatën tuaj?
(1= nuk ekziston, 2= shumë i dobët, 3= I dobët, 4= asnjëanës, 5= I mirë, 6=
shumë i mirë)
1 2 3 4 5 6
Vendosja e
Fjalëkalimit
30. A e implementon organizata juaj autentikimin me dy faktorë (psh. Smart
card, biometrika, fjalëkalim njëpërdorimësh, etj.?
Po Jo
31. Sa i sigurtë është sistemi i Firewall-it në organizatën tuaj për të mbrojtur
serverat nga ndërhyrjet e jashtme?
(1= nuk ekziston, 2= kufizim shumë i dobët, 3= kufizim i dobët, 4= asnjëanës,
5= Strikte, 6= shumë strikte)
1 2 3 4 5 6
Elda Kuka
Siguria e Informacionit në institucionet publike shqiptare
113
Siguria e Firewallit
32. Nëse organizata juaj ka lidhje internet me wireless, sa strikte janë rregullat
e aksesit që të lejojnë vetëm punonjësit për të aksesuar këtë rrjet wireless?
(1= nuk ekziston, 2= kufizim shumë i dobët, 3= kufizim i dobët, 4= asnjëanës,
5= Strikte, 6= shumë strikte)
1 2 3 4 5 6
Akses në Internet me
wireless
33. Nëse organizata juaj ka lidhje internet, sa strikte janë rregullat për të
aksesuar vetëm faqet e nevovjshme për kryerjen e punës nga punonjësit?
(1= nuk ekziston, 2= shumë i dobët, 3= I dobët, 4= asnjëanës, 5= I mirë, 6=
shumë i mirë)
1 2 3 4 5 6
Akses në Internet
34. A i përditëson sistemet e shfrytëzimit dhe paketat e programeve organizata
juaj me përditësimet më të fundit?
Çdo ditë
Çdo javë
Çdo muaj
Çdo tre muaj
Çdo vit
Asnjëherë
35. Sa i fortë është program antivirus në organizatën tuaj?
(1= nuk ekziston, 2= shumë i dobët, 3= I dobët, 4= asnjëanës, 5= I mirë, 6=
shumë i mirë)
1 2 3 4 5 6
Fortësia e programit
antivirus
36. Sa i fortë është programi i intrusion detection në organizatën tuaj?
(1= nuk ekziston, 2= shumë i dobët, 3= I dobët, 4= asnjëanës, 5= I mirë, 6=
shumë i mirë)
Elda Kuka
Siguria e Informacionit në institucionet publike shqiptare
114
1 2 3 4 5 6
Fortësia e programit
intrusion detection
37. Sa efektive është enkriptimi i të dhënave të rëndësishme të organizatës
tuaj?
(1= nuk ekziston, 2= shumë i dobët, 3= I dobët, 4= asnjëanës, 5= I mirë, 6=
shumë i mirë)
1 2 3 4 5 6
Teknika e enkriptimit
38. Sa e sigurtë është dhoma e serverave nga ana e sigurisë fizike (psh. PIN,
Biometrikë etj.)?
(1= nuk ekziston, 2= shumë i dobët, 3= I dobët, 4= asnjëanës, 5= I mirë, 6=
shumë i mirë)
1 2 3 4 5 6
Siguria fizike e
dhomës së serverave
39. Sa i kufizon organizata juaj punonjësit në përdorimin e pasjisjeve si
CD/DVD dhe kujtesave USB?
(1= nuk ekziston, 2= shumë i dobët, 3= I dobët, 4= asnjëanës, 5= I mirë, 6=
shumë i mirë)
1 2 3 4 5 6
Përdorimi i pajisjeve
hyrëse
40. Sa i kufizon organizata juaj punonjësit në përdorimin e pasjisjeve
personale si laptop/pajisje mobile ?
(1= nuk ekziston, 2= shumë i dobët, 3= I dobët, 4= asnjëanës, 5= I mirë, 6=
shumë i mirë)
1 2 3 4 5 6
Përdorimi i pajisjeve
hyrëse
41. A iu ofron organizata juaj punonjësve trainime të veçanta apo programe
për ndërgjegjesismin mbi sigurinë e informacionit?
Po Jo
Elda Kuka
Siguria e Informacionit në institucionet publike shqiptare
115
42. A keni në plan të merrni certifikime në sigurinë e Informacionit?
Po, brenda 12 muajve të ardhshëm Po, por nuk jam i siguritë se kur
Po, Brenda 3 viteve të ardhshme Jo
Po, Brenda 10 viteve të ardhshme
Seksioni. A.3.2. Menaxhimi i aseteve në Organizatë
43. A ka në organizatën tuaj një inventar të aseteve?
Po Jo Nuk e di
44. Nëse po a ka në organizatën tuaj një person përgjegjës për mirëmbajtjen e
inventarit të aseteve?
Po Jo Nuk e di
45. A ka në organizatën tuaj një klasifikim të informacionit?
Po Jo Nuk e di
Seksioni. B7. Rreziqet e Sigurisë së Informacionit në Organizatë
46. A ka rënë ndonjëherë sistemet e informacionit në organizatën tuaj për
shkak të viruseve kompjuterike?
Po Jo Nuk e di
47. A ka qenë subjekt i sulmit nga hakerat faqja web e organizatës tuaj?
Po Jo Nuk e di Nuk kemi faqe web
48. A kanë qenë subjekt i sulmeve të hakerave sistemet e informacionit në
organizatën tuaj?
Po Jo Nuk e di
49. Cilat nga risqet që vijojnë ka qenë e ekspozuar organizata juaj (zgjidhni të
gjitha ato që aplikohen)
sulme denial of service
sulme brute force
vjedhje e të dhënave të klientëve/qytetarëve
vjedhje e kompjuterave/laptopëve/pajisjeve mobile
vandalizëm i faqes web
ransomware
Elda Kuka
Siguria e Informacionit në institucionet publike shqiptare
116
infektime me trojan/malware
akses i paautorizuar i informacionit nga përdorues të jashtëm
akses i paautorizuar i informaciont nga përdorues të brendshëm
asnjë risk
nuk e di
tjetër, ju lutem specifiko
_________________________________________________
Seksioni A.5. Trainimi/Ngritja profesionale
50. A iu ofron organizata juaj punonjësve trainime të vecanta apo programe
për ndërgjegjesismin mbi sigurinë e informacionit?
Po Jo Nuk e di
51. Cilat janë pengesat që keni hasur / hasni në marrjen e certifikimeve në
Siguri Informacioni? (Ju lutem zgjidhni ato që mendoni se aplikohen)
tarifë e lartë rrugë e paqartë në karrierë
kohë e pamjaftueshme për të studiuar mungesë udhëheqje në progresin e
karrierës
udhëheqje e pamjaftueshme në provim nuk aplikohet
e pamundur të marrësh informacion në lidhje me certifikimin
Tjetër, ju lutem specifikoni ______________________________
52. Cfarë lloj benefitesh do të donit të përfitonit nga organizata juaj në mënyrë
që të merrni certifikim në Siguri Informacioni? (Ju lutem zgjidhni ato që
mendoni se aplikohen)
Fond për certifikim (Pagesë e tarifës së Kursit/Trainimit dhe Provimit) pa
kontratë
Fond për certifikim (Pagesë e tarifës së Kursit/Trainimit dhe Provimit) me
kontratë
Shpërndarje e tarifës së provimit pa kontratë
Tarifë e provimit më kontratë
Leje nga puna për studim
Nuk aplikohet
Tjetër, ju lutem specifikoni
____________________________________