disertacion - brandville luxury collection€¦ · ii universiteti i tiranËs fakulteti i...

UNIVERSITETI I TIRANËS

FAKULTETI I EKONOMISË

DEPARTAMENTI I STATISTIKËS DHE

INFORMATIKËS SË ZBATUAR

DISERTACION

PËR MBROJTJEN E GRADËS SHKENCORE

DOKTOR

Siguria e Informacionit në Institucionet Publike Shqiptare

Kandidati Udhëheqësi shkencor

Elda KUKA (BALILI) Prof. Asoc. Dr. Rovena BAHITI

Tiranë, 2018

ii

UNIVERSITETI I TIRANËS

FAKULTETI I EKONOMISË

DEPARTAMENTI STATISTIKË DHE INFORMATIKË E ZBATUAR

DISERTACION

Paraqitur nga:

Znj. Elda KUKA (BALILI)

PËR MBROJTJEN E GRADËS SHKENCORE

“DOKTOR”

TEMA:

SIGURIA E INFORMACIONIT

NË INSTITUCIONET PUBLIKE SHQIPTARE

Mbrohet më datë ____/_____/ 2018, para Komosionit të përbërë

nga:

1. __________________________________ Kryetar

2. __________________________________ Anëtar/oponent

3. __________________________________ Anëtar/oponent

4. __________________________________ Anëtar

5. __________________________________ Anëtar

iii

Dedikuar

Vajzave të mia!

Elda Kuka

Siguria e Informacionit në institucionet publike shqiptare

iv

ABSTRAKT

Në ditët e sotme komunikimi në kohë reale po ndihmon dhe njëkohësisht, po kushtëzon

jetën tonë të përditshme. Rritja e volumit të komunikimeve përbën një vlerë të shtuar në

zhvillimin ekonomik dhe social të një vendi, por në të njëjtën kohë e ekspozon atë ndaj

rreziqeve kibernetike. Interneti me të gjitha shërbimet që ofron si rrjetet sociale, mobile

computing dhe Cloud computing kanë ndryshuar botën duke dhënë akses në një rang të

gjerë informacioni, kudo dhe kurdo, për gjithsecilin. Pavarësisht, avantazheve

konkurruese që ofrojnë teknologjitë e reja, zhvillimi i tyre, ofron gjithashtu mundësi dhe

teknika të reja për abuzuesit për të keqpërdorur ose shkatërruar këtë avantazh

konkurrues. Tashmë është e rendesishme si për pronarët dhe per përdoruesit e

informacionit të mbrohen dhe për t‟u mbrojtur në mënyrë sa më efiçente duhet të kenë

praktika të mira të sigurisë së informacionit. Këto praktika kanë në fokus të sigurojnë

disponueshmërinë, integritetin dhe konfiencialitetin e informacionit. Megjithëse kjo

është përgjithësisht e mirëpranuar, vendet në zhvillim duket se nuk i kanë kuptuar

rreziqet shkatërruese të kërcënimeve të sigurisë së informacionit. Ky punim ka si qëllim

të studiojë sigurinë e informacionit në detaje duke analizuar praktikat e sigurisë së

informacionit në institucionet publike, në kontekstin e vendeve në zhvillim si Shqipëria.

Menaxhimi i sigurisë në sektorin publik është i rëndësishëm pasi institucionet publike

nëpërmjet sistemeve që përdorin dhe shërbimeve që ofrojnë janë përdoruesit dhe në një

këndvështrim edhe pronarët e të dhënave personale të të gjithë popullsisë së një vendi.

Prandaj është shumë e rëndësishme që lidhjet midis klientëve të jashtëm të sistemeve të

e-qeverisjes të menaxhohen me kujdes.

Fjalë kyçe: siguria e informacionit, institucione publike, praktikat e sigurisë së

informacionit, InfoSec, vende në zhvillim

Elda Kuka


v

ABSTRACT

Nowadays, real-time communication is helping and at the same time conditioning our

daily lives. Increasing the volume of communications is an added value in the country's

economic and social development, but at the same time it exposes it to cyber-threats.

The Internet with all the services it offers like social networks, mobile computing and

cloud computing have changed the world by providing access to a wide range of

information, anywhere and anytime, for everyone. Despite the competitive advantages

offered by new technologies, their development also offers new opportunities and

techniques for abusers to misuse or destroy this competitive advantage. It is now

essential for owners and users of information to be protected. For their protection, it is

essential for owners and users of information to have good information security

practices. These practices focus on ensuring the availability, integrity and

confidentiality of information. Although this is generally accepted, developing countries

do not seem to understand the devastating risks of information security threats. This

thesis aims studying the security of information in detail by analyzing information

security practices in public institutions in the context of emerging countries such as

Albania. Security management in the public sector is important because public

institutions through the systems they use and the services they provide are users and in

even the owners of personal data of the entire population of a country. It is therefore

very important that links between external customers of e-government systems to be

carefully managed.

Keywords: information security management, public institutions, InfoSec, information

security practices, developing countries

Elda Kuka


vi

FALËNDERIME

Në finalizimin e kësaj teme, pas një rrugëtimi disavjeçar, dëshiroj të shpreh

falënderimet e mia për të gjithë personat që më kanë mbështetur përgjatë kësaj rruge të

gjatë dhe shpershherë sfiduese.

Në radhë të parë, dëshiroj të falenderoj udhëheqësen time shkencore, Prof. Asoc. Dr.

Rovena Bahitin. Ajo më ka ofruar mbështjetjen e saj pa kufizime duke më drejtuar,

këshilluar dhe udhëzuar, gjatë punës me temën për t’a përfunduar atë me sukses.

Dëshiroj të shpreh mirënjohjen time për Prof. Dr. Kozeta Sevranin, për besimin që pati

tek unë dhe për mbështjetjen që më ka ofruar për të arritur këtu ku jam sot.

Një falenderim të veçantë për Prof. Asoc. Dr. Nevila Bacin, për inkurajimin,

këmbënguljen dhe përkrahjen e saj të çmuar.

Dëshiroj të falëndëroj të gjithë kolegët e departamentit për fjalët inkurajuese, idetë,

sugjerimet, diskutimet dhe këshillat e tyre, të cilat më kanë ndihmuar në përmbushjen e

detyrimeve të mia akademike.

Një falenderim shkon për të gjithë punonjësit e institucioneve shtetëtore që u bënë pjesë

e këtij studimi. Pa bashkëpunimin e tyre të çmuar nuk do të kisha arritur të përfundoja

studimin tim.

Së fundmi dëshiroj të falënderoj thellësisht nga zemra familjen time, që më ka

mbështetur gjithmonë pa kushte në jetën time profesionale, për kohën e munguar gjatë

punës me temën si dhe për togfjalëshin e dëgjuar aq shpesh “kur të mbaroj

doktoraturën”.

Elda Kuka (Balili),

Tiranë, 2018

Elda Kuka


vii

Përmbajtja

ABSTRAKT ................................................................................................................ iv

ABSTRACT ................................................................................................................. v

FALËNDERIME ......................................................................................................... vi

Lista e Figurave ........................................................................................................... ix

Lista e Tabelave ............................................................................................................ x

Shkurtime dhe akronime .............................................................................................. xi

KAPITULLI I ............................................................................................................ 12

1 HYRJE ................................................................................................................ 12

1.1 Motivimi ....................................................................................................... 13

1.1.1 Menaxhimi i Sigurisë së Informacionit në sektorin publik ...................... 14

1.1.2 Konteksti i Shqipërisë si vend në zhvillim .............................................. 15

1.1.3 Ndryshimet që sjell Rregullorja e Përgjithshme e Mbrojtjes së të Dhënave

(GDPR) të BE-së ................................................................................................. 19

1.2 Qëllimi dhe objektivat ................................................................................... 21

1.3 Pyetjet e kërkimit shkencor ........................................................................... 22

1.4 Metodologjia................................................................................................. 23

1.5 Rëndësia e studimit ....................................................................................... 23

1.6 Kufizime të studimit ..................................................................................... 24

1.7 Struktura e tezës ............................................................................................ 24

KAPITULLI II ........................................................................................................... 26

2 Rishikim i Literaturës .......................................................................................... 26

2.1 Hyrje ............................................................................................................ 26

2.2 Qasjet e Sigurisë së Informacionit ................................................................. 27

2.2.1 Një vështrim mbi menaxhimin e Sigurisë së Informacionit..................... 27

2.2.2 Menaxhimi i sigurisë në Sektorin publik ................................................ 28

2.3 Modeli CIA i Menaxhimit të Sigurisë së Informacionit ................................. 29

2.3.1 Konfidencialiteti .................................................................................... 30

2.3.2 Integriteti ............................................................................................... 30

2.3.3 Disponueshmëria ................................................................................... 30

2.3.4 Kërcënimet e Informacionit ................................................................... 31

2.3.5 Një kornizë për menaxhimin e Sigurisë së Informacionit........................ 34

Elda Kuka


viii

2.4 Përdorimi i Standarteve në Sigurisë së Informacionit .................................... 35

2.4.1 Standartet ISO ....................................................................................... 35

2.4.2 Standartet BSI ........................................................................................ 36

2.4.3 COBIT 5 ................................................................................................ 37

2.4.4 Korniza e Sigurise Kibernetike të NIST-it .............................................. 38

2.4.5 Guida e ITIL (Information Technology Infrastructure Library) .............. 39

2.4.6 Standarti i Praktikave më të Mira (The Standard of Good Practice) ........ 39

2.5 Menaxhimi i Riskut ...................................................................................... 42

2.5.1 Identifikimi i riskut ................................................................................ 44

2.5.2 Analiza e riskut dhe vlerësimi ................................................................ 45

2.5.3 Kontrolli i riskut .................................................................................... 46

2.6 Politikat e Sigurisë ........................................................................................ 47

2.7 Ndërgjegjësimi i Sigurisë së Informacionit .................................................... 48

2.8 Këndvështrime për implementimin e Sigurisë së Informacionit ..................... 49

2.9 Konkluzione mbi rishikimin e literaturës ....................................................... 50

KAPITULLI III ......................................................................................................... 51

3 Metodologjia........................................................................................................ 51

3.1 Hyrje ............................................................................................................ 51

3.2 Pyetjet e kërkimit shkencor ........................................................................... 51

3.3 Përshkrim i metodës së zgjedhur të kërkimit ................................................. 52

3.3.1 Metoda e kërkimit përshkrues ................................................................ 52

3.3.2 Pyetësorët .............................................................................................. 53

3.4 Hapat e metodologjisë së kërkimit ................................................................ 55

3.5 Analizimi i të dhënave .................................................................................. 57

3.6 Konkluzione ................................................................................................. 58

KAPITULLI IV .......................................................................................................... 59

4 Analiza e të dhënave ............................................................................................ 59

4.1 Hyrje ............................................................................................................ 59

4.2 Sfondi i përgjithshëm .................................................................................... 59

4.3 Rregulloret, Politikat dhe Standartet e Sigurisë në Organizatë ....................... 65

4.3.1 Rregullohet e Sigurisë së Informacionit në Organizatë ........................... 65

4.3.2 Standartet e Sigurisë në Organizatë ........................................................ 67

4.3.3 Politikat e Sigurisë së Informacionit në organizatë. ................................ 70

Elda Kuka


ix

4.4 Sigurimi i Informacionit (Rreziqet e sigurisë së informacionit) .................... 71

4.4.1 Mjete dhe matje në organizatë ................................................................ 73

4.4.2 Rreziqet e informacionit në organizatë ................................................... 81

4.5 Preferencat e promovimit .............................................................................. 83

4.6 Konkluzione ................................................................................................. 85

Kapitulli V .................................................................................................................. 87

5 Përfundime dhe Rekomandime ............................................................................ 87

5.1 Hyrje ............................................................................................................ 87

5.2 Përfundimet e studimit .................................................................................. 87

5.3 Rekomandime ............................................................................................... 89

6 Referencat ............................................................................................................ 91

Shtojca A .................................................................................................................... 98

Shtojca B .................................................................................................................. 108

Lista e Figurave

Figura 2-1 Zhvillimi me valë i ISMS ........................................................................... 27

Figura2-2.Trekendëshi CIA ......................................................................................... 29

Figura 2-3 Procesi i menaxhimit të riskut .................................................................... 44

Figura 2-4 Qasjet e implementimit të Sigurisë së Informacionit................................... 50

Figura 3-1 Korniza e metodologjisë së kërkimit .......................................................... 56

Figura 4-1 Menaxhimi i lartë dhe siguria e informacionit ............................................ 60

Figura 4-2 Mbështetja e menaxhimit për sigurinë e informacionit ............................... 60

Figura 4-3 Qasjet për menaxhimin e sigurisë së informacionit ..................................... 61

Figura 4-4 Faktorët kritikë të suksesit për menaxhimin e sigurisë së informacionit ...... 61

Figura 4-5 Njësitë përgjegjëse të TI-së ........................................................................ 63

Figura 4-6 Buxheti për TI-në ....................................................................................... 63

Figura 4-7 Buxheti për Sigurinë e Informacionit ......................................................... 64

Figura 4-8 Ekzistenca e njësisë së ndarë për sigurinë e informacionit .......................... 64

Figura 4-9 Ekzistenca e personit përgjegjës për sigurinë e informacionit ..................... 65

Figura 4-10 Rregulloret për sigurinë e informacionit ................................................... 66

Figura 4-11 Cilësia e rregullores ................................................................................. 66

Figura 4-12 Përshtatshmëria e rregullores ................................................................... 67

Figura 4-13 Zbatueshmëria e rregullores ..................................................................... 67

Figura 4-14 Ekzistenca e standarteve të sigurisë .......................................................... 68

Elda Kuka


x

Figura 4-15 Aplikimi i standarteve në të ardhmen ....................................................... 68

Figura 4-16 Ndjesia e sigurisë pas aplikimit të standarteve .......................................... 69

Figura 4-17 Ekzistenca e një personi përgjegjës për standartet e sigurisë ..................... 69

Figura 4-18 Ekzistenca e politikës së sigurisë .............................................................. 70

Figura 4-19 Zbatueshmëria e politikës së sigurisë ....................................................... 70

Figura 4-20 Procesi i vlerësimit të riskut ..................................................................... 71

Figura 4-21 Procedura për krijimin dhe menaxhimin e llogarive të përdoruesve .......... 72

Figura 4-22 Politikë për backup dhe recovery të të dhënave ........................................ 72

Figura 4-23 Plan të përgjigjes ndaj incidentet .............................................................. 73

Figura 4-24 Vlerësimi i Dobësive ................................................................................ 73

Figura 4-25 Procesi/praktika e vendosjes së fjalëkalimeve .......................................... 74

Figura 4-26 Autentikimi me dy faktorë ....................................................................... 74

Figura 4-27 Siguria e sistemit Firewall ........................................................................ 75

Figura 4-28 Rregullat e aksesit për rrjetin wireless ...................................................... 75

Figura 4-29 Rregullat për të aksesuar vetëm faqet Internet të nevojshme ..................... 76

Figura 4-30 Përditësimi i sistemeve te shfrytëzimit ..................................................... 77

Figura 4-31 Fortësia e programit antivirus ................................................................... 77

Figura 4-32 Efektiviteti i enkriptimit të të dhënave ...................................................... 78

Figura 4-33 Siguria fizike e dhomave te serverave ...................................................... 78

Figura 4-34 Kufizimi i përdorimit te pasjisjeve si CD/DVD dhe kujtesave USB .......... 79

Figura 4-35 Trainime të vecanta apo programe për ndërgjegjesimin ............................ 80

Fig 4-36 Certifikime në sigurinë e Informacionit ........................................................ 80

Figura 4-37 Rënia e sistemeve të informacionit për shkak të viruseve komjuterike ...... 81

Figura 4-38 Subjekt i sulmit nga hakerat faqja web ..................................................... 82

Figura 4-39 Sulme të hakerave mbi sistemet e informacionit ....................................... 82

Figura 4-40 Rreziqet në organizatë .............................................................................. 83

Figura 4-41 Sfidat për aplikimin e standarteve ............................................................ 84

Figura 4-42 Pengesat e hasura për marrjen e certifikimeve në Siguri Informacioni ...... 84

Figura 4-43 Përfitimet për të marrë certifikim ne Siguri Informacioni ......................... 85

Lista e Tabelave

Tabela 1-1 Përdoruesit e internetit në Shqipëri ............................................................ 16

Tabela 1-2 Vendet ku përdoruesit përballen me rrezikun më të madh të infektimi nga

malware në internet ..................................................................................................... 17

Tabela 1-3 Global CyberSecurity Index ...................................................................... 18

Tabela 1-4 Struktura e tezës ........................................................................................ 24

Tabela 2-1 Përmbledhje e standarteve, kush i inicioi, kur janë iniciuar, të dhëna dhe

certifikimet ................................................................................................................. 41

Elda Kuka


xi

Shkurtime dhe akronime

AKSHI – Agjencia Kombëtare e Shoqërisë së Informacionit

AKCESK – Autoriteti Kombëtar për Certifikimin Elektronik dhe Sigurinë Kibernetike

CIA- Konfidencialiteti (Confidentiality), Integriteti (Integrity), Disponueshmëria

(Availability)

DoS – Sulme të mohimit të shërbimit (Denial-of-Service)

ENISA – Agjencia e Rrjetit Europian dhe Sigurisë së Informacionit

GDPR - Rregullorja e Përgjithshme e Mbrojtjes së të Dhënave të BE-së

InfoSec - Siguria e Informacionit (Information Security)

ISA – Ndërgjegjësimi i Sigurisë së Informacionit (Information Security Awareness)

ISMS – Sistem i Menaxhimit të Sigurisë së Informacionit

TIK – Teknologjia e Informacionit dhe Komunikimit

TI – Teknologjia e Informacionit

Elda Kuka


12

KAPITULLI I

1 HYRJE

Në ditët e sotme komunikimi në kohë reale po përcakton dhe njëkohësisht po kushtëzon

jetën tonë të përditshme. Rritja e volumit të komunikimeve përbën një vlerë të shtuar në

zhvillimin ekonomik dhe social të një vendi, por në të njëjtën kohë e ekspozon atë ndaj

rreziqeve kibernetike. Afyouni (2006), argumenton se World Wide Web, mobile

computing dhe Cloud computing kanë ndryshuar botën duke dhënë akses në një rang të

gjerë informacioni, kudo dhe kurdo për të gjithë. Por, pavarësisht avantazheve që

ofrojnë, zhvillimi i këtyre teknologjive të reja, ofron gjithashtu teknika të reja për

abuzuesit për të keqpërdorur ose shkatërruar informacionin (Bragg et al. 2004). Këta

“vandalë kibernetikë” mund të aksesojnë ilegalisht ose të shkatërrojnë informacionin

online duke përdorur programet malware (p.sh. viruset, trojanet dhe krimbat), hakerimin

ose sulmet e ndryshme (Easttom 2006).

Për t‟u mbrojtur nga këto kërcënime është esenciale për pronarët dhe përdoruesit e

informacionit të kenë praktika të mira të sigurisë së informacionit. Këto praktika kanë

në fokus të sigurojnë disponueshmërinë, integritetin dhe konfiencialitetin e

informacionit (Turban et al. 1996; Stallings & Brown 2008; Whitman & Mattord 2008).

Megjithatë, që prakikat e sigurisë së informacionit të kthehen në rutinë, atëherë është e

nevojshme një nivel i përshtatshëm për Ndërgjegjësimin e Sigurisë së Informacionit

(ISA). ISA është një gjendje në të cilën përdoruesit e informacionit janë të

ndërgjegjshëm për rreziqet e informacionit dhe kuptojnë fuqinë e sigurisë fizike dhe jo-

fizike të informacionit (Siponen 2000; Kruger et al. 2010). ISA është shndërruar në një

nga linjat më të forta të mbrojtjes përkundrejt kercenimeve të vazhdueshme të sigurisë

së informacionit (Siponen 2000).

Megjithëse kjo është përgjithësisht e mirëpranuar, disa vende duket se nuk i kanë

kuptuar rreziqet shkatërruese të kërcënimeve të sigurisë së informacionit (InfoSec). Kjo

është zakonisht e vërtetë për vendet në zhvillim.

Në këtë kapitull do të paraqesim një përmbledhje të tezës, do të përcaktojmë termat që

lidhen me sigurinë e informacionit, do të bëjmë një shpjegim mbi pyetjet e kërkimit

shkencor dhe metodat e kërkimit të përdorura. Së fundmi, do të paraqesim një diskutim

mbi rëndësine e tezës, kufizimet e kërkimit dhe strukturës së tezës.

Elda Kuka


13

1.1 Motivimi

Në ditët e sotme, informacioni shpesh përmendet si një mall i vlefshëm. Kjo është e

vërtetë në çdo sektor publik ose privat, por është veçanërisht i dukshëm në sektorin e

financave ndërkombëtare, pasi është i përfshirë në përpunimin dhe transferimin e

informacionit të vlefshëm pa kufij (Alarifi et al., 2012; Bandi & Rusell, 2004). Në këtë

mjedis që ndryshon me shpejtësi dhe evoluon, informacioni si një aset i vlefshëm është

gjithmonë nën kërcënim. Bazuar në literaturë, ka më shumë se dymbëdhjetë kategori

kërcënimesh informacioni, por ne mund t'i klasifikojmë ato në tri kategori më të gjera:

kategoria e parë e kërcënimeve përfshin kërcënime që mund të klasifikohen si

aksidentale ose të paqëllimshme, të tilla si forcat e natyrës apo fatkeqësitë natyrore;

kategoria e dytë e kërcënimeve përfshin kërcënime të qëllimshme ose të qëllimshme si

sulmet malware, pirateria, pirateria, sulmet e mohimit të shërbimit (DoS), aksesi i

paautorizuar etj; kategoria e tretë e kërcënimit përfshin kërcënimet që mund të

klasifikohen si kontribuese ose instrumentale, si p.sh. çështjet e fjalëkalimeve, dështimi

i pajisjeve ose dështimi i backup-it (Stulz 2003; Afyouni 2006; Easttom 2006).

Gabimet njerëzore janë ato që paraqesin rrezik më të madh për informacionin. Hakerët

mbështeten tek punonjësit e pakujdesshëm dhe qe bëjnë gabime si: hapja e çdo materiali

bashkëngjitur mesazheve të postës elektronike, përdorimi i fjalëkalimeve të

papërshtatshme për të mbrojtur kompjuterat ose llogaritë e tyre, përdorimi i kujtesave

USB të cilat në shumicën e kohës janë të infektuar me malware. Sulmet DoS përdorin

kompjutera të pambrojtur nga firewall-et, për të dërguar miliona transaksione false në

drejtim të kompjuterave të targetuar, duke mos i lejuar këta të fundit të kryerjen

veprimet që duhet.

Për të reduktuar ashpërsinë e sulmeve të shkaktuara nga njerëzit është e domosdoshme

të rritet niveli i sigurisë së informacionit dhe ndërgjegjësimi për sigurinë e informacionit

brenda organizatës. Politikat e sigurisë së informacionit janë baza që mbeshtet burimet e

sigurisë së informacionit në një organizatë. Gjithashtu ka disa standarte të mirënjohura

ndërkombëtare për menaxhimin e sigurisë së informacionit te cilët do të paraqiten me

detaje në kapitullin e dytë. Politikat dhe standartet e sigurisë janë të zakonshme në

shumicën e organizatave. Ato u ofrojnë punonjësve një guidë të qartë mbi atë që lejohet

dhe nuk lejohet për të rritur sigurinë e informacionit që zotëron organizata.

Sulmet e hakerëve evoluojnë dhe sofistikohen shumë shpejt, duke shfrytëzuar gabimet

në sistem dhe gabimet njerëzore. Shembulli i përsosur është sulmi ransomware i

Elda Kuka


14

ndodhur në vitin 2017. Sipas Cybersecurity Ventures1, dëmet e ransomware arritën në 5

miliardë dollarë në vitin 2017. Ata parashikojnë se sulmet ransomware në organizatat e

kujdesit shëndetësor do të katërfishohen deri në vitin 2020. Në këtë mjedis që ndryshon

ne duhet të jemi të përgatitur për të ndaluar sulmet kibernetike ose të paktën për të

zvogëluar ashpërsinë e tyre. Reduktimi i ashpërsisë së sulmeve kibernetike mund të

zvogëlojë shpenzimet, duke pasur parasysh se shpenzimet për infrastrukturën e TI-së

përbëjnë mbi 58% të një buxheti organizativ tipik IT (Byrd & Turner 2000). Është e

nevojshme që qasja e organizatës ndaj sigurisë së informacionit të përqendrohet në

politikat e sigurisë së informacionit, standardet e sigurisë së informacionit, menaxhimin

e riskut dhe ndërgjegjësimin për sigurinë e informacionit. Organizatat kanë filluar të

investojnë në zhvillime të vazhduesme për sigurinë teknologjike për të përballuar sfidat

në rritje në këtë fushë (Ferrari & Thuraisingham 2006; Peltier 2006; Knapp et al. 2006).

Duke pasur parasysh rëndësinë e ruajtjes së një informacioni i cili kategorizohet si

sensitiv apo konfidencial për një organizate, kontrolli efektiv i sigurisë së informacionit

është kritik për të gjitha organizatat private apo publike qofshin ato. Ekzistojnë disa

standate ndërkombëtarë të mirënjohur për menaxhimin e sigurisë së informacionit të

cilët do t‟i paraqesim me detaje në kapitullin 2. Ato vijnë në ndihmë dhe shërbejnë për

t‟u dhënë punojësve udhëzime mbi çfarë duhet të bëjnë apo çfarë nuk duhet të bëjnë për

të rritur sigurinë e informacionit në organizatë.

1.1.1 Menaxhimi i Sigurisë së Informacionit në sektorin publik

Menaxhimi i sigurisë në sektorin publik është i rëndësishëm pasi lidhjet midis klientëve

të jashtëm të sistemeve të e-qeverisjes duhe të menaxhohen me kujdes. Kërkuesit e

organizatave publike argumentojnë që qeveritë operojnë në ambiente të ndryshme nga

organizatat private dhe për këtë kanë nevojë për qasje të ndryshme (Caudle 1991; Fryer

2007; Joia 2003; Moon 2000). Megjithatë organizatat publike kanë karakteristika që i

identifikojnë si:

i. Sektori publik karakterizohet nga mungesa e tregjeve ekonomike për rezultatet

përfundimtare të produktit;

ii. Sektori publik mbështetet në ndarjen që bën qeveria për burimet financiare. Kjo

mbështetje prodhon një tjetër kufizim;

iii. ndikimin politik;

1 https://cybersecurityventures.com/ransomware-damage-report-2017-5-billion/ last accessed 28.04.2018

https://cybersecurityventures.com/ransomware-damage-report-2017-5-billion/

Elda Kuka


15

Shpesh mendohet se institucionet publike nuk kanë nevojë për siguri informacioni të

strukturuar, pasi nuk janë pjesë e një ambient konkurrues dhe kanë tendencë të kenë

infrastrukturë TI më të thjeshtësuar, pasi pjesa më e madhe e sistemeve te

informacaionit janë për përdorim të brendshëm dhe për këtë arsye janë më pak të

ekspozuar ndaj kërcënimeve të jashtme. Megjithatë, kjo nuk është më e vërtetë.

Institucionet publike kanë informacione shumë sensitive, ruajnë gjithashtu dhe

informacione konfidenciale për individë dhe organizata duke i bërë kështu shënjstra të

mundshme të hakerave të shumtë.

Hutton (1996) argumenton se organizatat e sektorit publik kanë një numër specifik

karakteristikash, të cilat mund të kenë ndikim në çdo ndyshim që bën menaxhimi. Disa

nga këto përfshijnë: hierarkitë e ngurta; kulturën; ndryshime të papritura dhe dramatike

në drejtimin e politikave; mbivendosja e iniciativave; fushëveprimi i gjerë i aktiviteteve;

si dhe stafi i cili është një pjesë e rëndësishme e organizatave të sektorit publik. Një pikë

tjetër kritike është se sektori publik është shumë i ndjeshëm ndaj ndonjë incidenti të

sigurisë së informacionit. Këto incidente mund të mos kenë lidhje me direkte me e-

qeverisjen, por mund të kenë një ndikim negativ në përshtatjen dhe implementimin e

aplikacioneve të e-qeverisjes.

1.1.2 Konteksti i Shqipërisë si vend në zhvillim

Një aspekt i rëndësishëm është konteksti i vendit ku fenomeni po studiohet. Shqipëria

është një vend në zhvillim, me të ardhura të mesme të larta, por terminologjia “vend në

zhvillim” nuk nënkupton që të gjitha vendet në zhvillim përjetojnë të njëjtin zhvillim.

Çdo vend ka kufizime unike politike dhe ekonomike. Në fund të fundit, këto kufizime

do të imponojnë çështje të ndryshme që lidhen me menaxhimin e sigurisë së

informacionit. E rëndësishme është të theksojmë se Shqipëria ka përjetuar një

zhvillimim të vrullshëm përsa i përket teknologjisë së informacionit dhe komunikimit

(TIK) në dhjetëvjecarin e fundit. Gjatë kësaj kohe numri i përdoruesve të internetit

është rritur në mënyrë spektakolare. Tabela 1.1 paraqet rritjen e numrin të përdoruesve

të internetit nga 9.6% në vitin 2006 deri në 62.8% vitin 2016 sipas Internet Live Stat.

Elda Kuka


16

Tabela 1-1 Përdoruesit e internetit në Shqipëri

Burimi: Internet Live Stats 2

Gjithashtu kemi një shtim të përdorimit të internetit edhe për vitin 2017, i cili arriti

65.8% penetrim për numër të popullsisë në vend sipas Internet World Stat3. Por, në të

njëjtën kohë me zhvillimin e teknologjisë së informacionit dhe komunikimit, me

zhvillimin e e-qeverisjes, me shtimin e përdorimit të internetit janë rritur sulmet e

ndryshme si: sulme me malware, sulme phishing etj.

Statistikat e Kaspersky Lab per 20174 në vlerësimin e rrezikut të infektimit online me të

cilin ballafaqohen përdoruesit në vende të ndryshme, kanë llogaritur përqindjen e

përdoruesve të Kaspersky Lab në çdo vend që kanë zbuluar infektime malware në

makinat e tyre. Të dhënat e paraqitura në tabelën 1.2 paraqesin një tregues të

agresivitetit të mjedisit në të cilin kompjuterat punojnë në vende të ndryshme. Shohim

që Shqipëria ndodhet midis 10 vendeve me rrezik të lartë.

2 http://www.internetlivestats.com/internet-users/albania/ last accessed 10.05.2018 3 https://www.internetworldstats.com/stats4.htm last accessed 10.05.2018 4 https://securelist.com/it-threat-evolution-q3-2017-statistics/83131/ last accessed 15.05.2018

http://www.internetlivestats.com/internet-users/albania/

https://www.internetworldstats.com/stats4.htm

https://securelist.com/it-threat-evolution-q3-2017-statistics/83131/

Elda Kuka


17

Tabela 1-2 Vendet ku përdoruesit përballen me rrezikun më të madh të infektimi nga malware në

internet

(Burimi: Kaspersky Lab, 2017)

Gjithashtu sipas Raportit të Inteligjencës së Sigurisë së Microsoft, volumi 23, i

gjashtëmujorit të parë të vitit 2018, Shqiperia ka patur një numër shumë të lartë të

tentativave phishing (188.5 për 1.000.000 faqe të para). Nga raporti vjetor i 2017 i

AKSHI5-t, shohim që gjatë vitit 2017 në portal janë rregjitruar 2.579.000 tentativa

sulmesh kibernetike nëpërmjet sistemeve të mbrojtjes dhe burimeve njerëzore.

Për të ofruar mbrojtjen e duhur për përdoruesit dhe për të rritur besimin e tyre në

teknologjinë e informacionit dhe komunikimit (TIK), legjislacioni luan një rol të

rëndësishëm. Kuadri ligjor në drejtim të sigurisë kibernetike në Shqipëri është ende në

zhvillim. Deri në këtë moment, në Shqipëri ka disa ligje që rregullojnë ndjekjen penale

të krimeve kompjuterike në Republikën e Shqipërisë. Shqipëria si vend kandidat për t‟u

bërë pjesë e Bashkimit Europian, në pajtueshmëri me detyrimet që rrjedhin nga

Marrëveshja e Stabilizim Asociimit (MSA) në këtë fushë, ka të aprovuar Ligjin Nr.

8888, të datës 25.04.2002 “Për Ratifikimin e Konventës për Krimin Kibernetik”. Ky ligj

është reflektuar në Kodin Penal si dhe Ligji Nr. 9262 i datës 29.07.2004 “Për

Ratifikimin e Protokollit shtesë të Konventës për krimin kibernetik, për penalizimin e

akteve me natyrë raciste dhe ksenofobe të kryera nëpërmjet sistemeve kompjuterike” të

reflektuar në Kodin Penal me Ligjin Nr. 9859 datë 21.01.2008 “Për disa shtesa dhe

ndryshime në Ligjin Nr. 7895 datë 27.01.1995.

Në përputhje me angazhimet e marra në MSA në vendin tonë janë hartuar dhe miratuar

edhe një sërë ligjesh të tjera të rëndësishme në fushën e shoqërisë së informacionit:

Ligji Nr. 9880, datë 25.02.2008 “Për nënshkrimin elektronik”;

Ligji Nr. 9887, datë 10.03.2008, “Për mbrojtjen e të dhënave personale”;

5 http://akshi.gov.al/wp-content/uploads/2018/04/raporti-vjetor-2017-AKSHI.pdf last accessed

15.05.2018

http://akshi.gov.al/wp-content/uploads/2018/04/raporti-vjetor-2017-AKSHI.pdf

Elda Kuka


18

Ligji Nr. 9643, datë 20.11.2006, i ndryshuar, “Për prokurimet publike”;

Ligji Nr. 9723, datë 3.05.2007 “Për Qendrën Kombëtare të Regjistrimit”;

Ligji Nr. 9918 datë 19.05.2008, “Për komunikimet elektronike në Republikën e

Shqiperise”;

Ligji Nr. 2/2017, "Për Sigurinë Kibernetike". Ky ligj është përafruar pjesërisht

me Direktivën (BE) 2016/1148 të Parlamentit Europian dhe të Këshillit, datë 6

korrik 2016, “Mbi masat për një nivel të përbashkët të lartë të sigurisë së rrjeteve

dhe sistemeve të informacionit në Bashkimin Europian”. Numri CELEX:

32016L1148, Fletorja Zyrtare e Bashkimit Europian, Seria L, nr. 194, datë

19.7.2016, faqe 1-30;

Dokumenti i politikave për sigurinë kibernetike 2015-2017, i miratuar me VKM

nr. 973, datë 02.12.2015;

VKM Nr. 222, datë 26.04.2018, "Për miratimin e Listës së Infrastrukturave

Kritike të Informacionit dhe të Listës së Infrastrukturave të Rëndësishme të

Informacionit";

Megjithëse në kuadrin ligjor ka përmirësime të ndjeshme, përsëri ka nevojë për

angazhime të mëtejshme në lidhje më sigurinë e informacionit. Kjo shihet dhe ne

raportin Global CyberSecurity Index të International Telecommunication Union (ITU)

publikuar nga International Telecommunication Union (ITU). Sipas Global

CyberSecurity Index (2017), niveli i angazhimit për Shqipërinë është vlerësuar më

ngjyrë të kuqe ku “Vlerësimi i nivelit të angazhimit” është nga Jeshile (më i larti) në të

Kuqe (më i ulëti). Në tabelën mëposhtë paraqitet vlerësimi i detajuar për Shqipërinë

sipas fushave që janë marrë në studim dhe janë paraqitur në Raportin “Global

CyberSecurity Index, 2017”, të ITU-së. Në këtë raport kemi marrë vlerësimin ngjyrë

jeshile për institucionin e AKCESK, për mbrojtjen online të fëmijëve, për pjesëmarrjen

ndërkombëtare dhe partneritete më agjenci të tjera. Kemi vlerësim me ngjyrë të verdhë

për legjislacionin mbi sigurinë e kibernetike, strategjinë, fushatat e ndërgjegjësimit të

publikut, programet e trainimit, marrëveshjet dypalëshe, bashkëpunimin. Për pjesën

tjetër vlerësimi është me ngjyrë të kuqe.

Tabela 1-3 Global CyberSecurity Index

Burimi: ITU, 2017

Elda Kuka


19

1.1.3 Ndryshimet që sjell Rregullorja e Përgjithshme e Mbrojtjes së të Dhënave (GDPR)

të BE-së

Pas disa vitesh debati dhe përgatitje, Rregullorja e Përgjithsme e Mbrojtjes së të

Dhënave (GDPR) 6 u miratua nga Parlamenti i BE-së në prill 2016 me datë të hyrjes në

fuqi në 25 maj 2018. GDPR-ja zëvendëson Direktivën 95/46 / EC për Mbrojtjen e të

Dhënave dhe është hartuar për të harmonizuar ligjet e privatësisë së të dhënave në të

gjithë Evropën, për të mbrojtur dhe fuqizuar mbi të gjitha privatësinë e të dhënave të

qytetarëve të BE-së dhe për të reformuar mënyrën se si organizatat në të gjithë rajonin i

qasen të dhënave personale.

Qëllimi i GDPR-së, është që të mbrojë të gjithë qytetarët e BE-së nga shkeljet e

privatësisë dhe të të dhënave në një botë gjithnjë e më të orientuar nga përdorimi i të

dhënave. Megjithëse parimet kryesore të privatësisë së të dhënave janë akoma në

përputhje me direktivat e mëparshme, janë propozuar shumë ndryshime për politikat

rregullatore.

Shtrirja e fushës territoriale (zbatueshmëria jashtë territoriale)

Ndoshta një nga ndryshimet më të rëndësishme në peizazhin rregullator të privatësisë së

të dhënave vjen me juridiksionin e zgjeruar të GDPR-së. Ajo vlen për të gjitha

kompanitë që përpunojnë të dhënat personale të subjekteve të të dhënave që banojnë

brenda BE-së, pavarësisht vendndodhjes së kompanisë. GDPR-ja e bën zbatueshmërinë

e saj shumë të qartë - ajo do të zbatohet për përpunimin e të dhënave personale nga

kontrolluesit dhe përpunuesit në BE, pavarësisht nëse përpunimi zhvillohet në vendet e

BE-së apo jo. Pra, të gjitha subjektet shqiptare që përpunojnë të dhënat personale të

qytetarëve të BE-së duhet të sigurojnë pajtueshmëri me GDPR-në.

Gjobat

Organizatat të cilat do të gjenden në shkelje të GDPR-së mund të gjobiten deri në 4% të

xhiros vjetore globale ose 20 milion EUR (cilado që është më e madhe). Kjo është gjoba

maksimale që mund të vendoset për shkeljet më serioze, p.sh. që nuk ka pëlqim të

mjaftueshëm të konsumatorëve për të përpunuar të dhëna ose është shkelur thelbi i

koncepteve të “Privacy by Design”. Është e rëndësishme të theksohet se këto rregulla

zbatohen si për kontrolluesit ashtu dhe për përpunuesit - që do të thotë 'Cloud-i' nuk do

të përjashtohen nga zbatimi i GDPR-së.

6 https://www.eugdpr.org/the-regulation.html last accesed on 30.05.2018

https://www.eugdpr.org/the-regulation.html

Elda Kuka


20

Pëlqimi

Kushtet për pëlqimin janë forcuar dhe kompanitë nuk do të jenë në gjendje të përdorin

terma dhe kushte të palexueshme, pasi kërkesa për pëlqim duhet të jepet në një formë të

kuptueshme dhe lehtësisht të aksesueshme. Pëlqimi duhet të jetë i qartë dhe i

dallueshëm nga çështjet e tjera dhe të ofrohet në një formë të kuptueshme dhe lehtësisht

të qasshme, duke përdorur një gjuhë të qartë dhe të thjeshtë. Duhet të jetë po aq e lehtë

të tërhiqet pëlqimi ashtu siç është dhënia e tij.

Njoftimi për shkelje

Sipas GDPR-së, njoftimi për shkelje do të bëhet i detyrueshëm në të gjitha shtetet

anëtare ku një shkelje e të dhënave ka të ngjarë të "rezultojë në një rrezik për të drejtat

dhe liritë e individëve". Kjo duhet të bëhet brenda 72 orëve nga moment kur bëhet e

njohur shkelja. Procesorë të të dhënave gjithashtu do të kërkohet që të njoftojnë klientët

e tyre, kontrolluesit, "pa vonesa të panevojshme" pasi të jenë bërë të vetëdijshëm për një

shkelje të të dhënave.

E drejta për të hyrë

Një pjesë e të drejtave të zgjeruara të subjekteve të të dhënave të përshkruara nga

GDPR-ja është e drejta që subjektet e të dhënave të marrin nga konfirmuesi i

kontrollorit të të dhënave nëse janë duke u përpunuar apo jo të dhënat personale në

lidhje me to, ku dhe për çfarë qëllimi. Për më tepër, kontrolluesi duhet të sigurojë një

kopje të të dhënave personale, pa pagesë, në një format elektronik. Ky ndryshim është

një ndryshim dramatik në transparencën e të dhënave dhe fuqizimin e subjekteve të të

dhënave.

E drejta për t'u harruar

E njohur edhe si Shuarje e të Dhënave, e drejta për t'u harruar i jep të drejtë subjektit të

të dhënave që të ketë kontrolluesin e të dhënave të fshijë të dhënat personale, të

ndërpresë shpërndarjen e mëtejshme të të dhënave dhe potencialisht palët e treta të

ndalojnë përpunimin e të dhënave. Duhet gjithashtu të theksohet se kjo e drejtë kërkon

që kontrollorët të krahasojnë të drejtat e subjekteve me "interesin publik në

disponueshmërinë e të dhënave" gjatë shqyrtimit të kërkesave të tilla.

Bartja e të dhënave

GDPR-ja paraqet transportueshmërinë e të dhënave - e drejta për një subjekt të dhënash

për të marrë të dhënat personale në lidhje me ta, të cilat ato kanë dhënë më parë në një

'format të përdorimit dhe të leximit të makinës' dhe kanë të drejtë t'i transmetojnë këto

të dhëna tek një kontrollues tjetër.

Elda Kuka


21

Privatësia nga Dizenjimi (Privacy by Design)

Privatësia me dizajn si një koncept ka ekzistuar prej vitesh, por vetëm me GDPR-në

është duke u bërë pjesë e një kërkese ligjore. Në thelb, privatësia me dizajn kërkon

përfshirjen e mbrojtjes së të dhënave që nga fillimi i dizajnimit të sistemeve, në vend të

shtimit. Neni 23 bën thirrje që kontrolluesit të mbajnë dhe përpunojnë vetëm të dhënat e

domosdoshme për përmbushjen e detyrave të tyre (minimizimin e të dhënave), si dhe

kufizimin e qasjes në të dhënat personale për ata që kanë nevojë për veprim jashtë

përpunimit.

Zyrtarët e Mbrojtjes së të Dhënave

Aktualisht, kontrollorët duhet të njoftojnë aktivitetet e tyre të përpunimit të të dhënave

tek Zyrtarët lokalë të Mbrojtjes së të Dhënave (DPA). Kjo për kompanitë

shumëkombëshe, mund të jenë një makth burokratik, me shumicën e vendeve anëtare që

kanë kërkesa të ndryshme njoftimi. Sipas GDPR-së nuk do të jetë e nevojshme të

dorëzohen njoftime / regjistrime në çdo DPA vendore të aktiviteteve të përpunimit të të

dhënave dhe as do të jetë një kërkesë për të njoftuar / marrë miratimin për transfertat

bazuar në Klauzolat e Kontratës Model (MCCs). Në vend të kësaj, do të ketë kërkesa të

brendshme të mbajtjes së shënimeve, siç shpjegohet më poshtë dhe emërimi i Zyrtarëve

të Mbrojtjes së të Dhënave do të jetë i detyrueshëm vetëm për ata kontrollues dhe

përpunues, aktivitetet kryesore të të cilave përbëhen nga operacionet e përpunimit që

kërkojnë monitorim të rregullt dhe sistematik të subjekteve të të dhënave në shkallë të

gjerë kategoritë e të dhënave ose të dhënave në lidhje me dënimet dhe veprat penale.

Kjo rregullore nuk sjell ndryshime në këtë moment për vendin tonë, por ajo ka bërë një

ndryshim të rrënjësor në legjislacionin e BE-së përsa i takon mbrojtjes së të dhënave

personale dhe privatësisë brenda BE-së. GDPR-ja do të ndikojë në ndryshimin e

politikave të të dhënave personale dhe privatësisë për kompanitë shqiptare që operojnë

në marrëdhënie me tregun europian.

1.2 Qëllimi dhe objektivat

Qëllimi i këtij punimi është të analizohet gjendja e sigurisë së informacionit në

institucionet publike shqiptare.

Elda Kuka


22

Objektivat e kësaj teze janë:

i. Të identifikojë, përcaktojë dhe diskutojë praktikat e menaxhimit të sigurisë së

informacionit dhe cilët janë faktorët që mund të ndikojnë implementimin dhe

zhvillimin e menaxhimit të sigurisë së informacionit në institucionet publike

shqiptare;

ii. Të kuptojë rëndësinë e komponentëve të identifikuar dhe ndërveprimin me njëri-

tjetrin;

iii. Të përcaktojë nivelin e ndërgjegjësimit për sigurinë e informacionit në

institucionet publike si dhe të përcaktojë nëse mund të bëhën përmirësime në

menaxhimin e sigurisë së informacionit;

1.3 Pyetjet e kërkimit shkencor

Në mënyrë që të arrihen objektivat e këtij studimi, janë formuluar këto pyetje

kërkimore:

1. Cilat janë praktikat e menaxhimit të sigurisë së informacionit në

institucionet publike?

Literatura mbi menaxhimin e sigurisë së informacionit thekson nevojën e adresimit të

çështjeve teknike dhe jo-teknike në lidhje me sigurinë e informacionit. Veçanërisht në

vendet në zhvillim ka një mungesë vëmendje në literaturë për adresimin e këtyre

çështjeve si dhe për nivelin e ndërgjegjësimit mbi sigurinë e informacionit. Për këtë

arsye duhet marrë masat e duhura për të mbrojtur asetet kritike të organizatës.

2. Cilët janë faktorët që influencojnë efektivitetin e praktikave të menaxhimit

të sigurisë së informacionit?

Kjo pyetje kërkon të identifikojë dhe të kuptojë faktorët që lidhen me menaxhimin e

sigurisë së informacionit duke bërë një hulumtim të literaturës në përgjithësi dhe për

institucionet publike në veçanti duke u fokusuar në vendet në zhvillim.

3. Si mund të përmirësohet siguria e informacionit në institucionet publike

shqiptare?

Kjo pyetje kërkon të parashtrojë hapat konkretë, që duhet të ndërrmerren për të

përmirësuar sigurinë e informacionit në institucionet publike shqiptare duke u bazuar jo

vetëm në literaturë, por edhe në karakteristikat e përbashkëta që këto institucione kanë.

Elda Kuka


23

Të treja pyetjet e kërkimit fokusohen mbi gjendjen aktuale të sigurisë së informacionit

në institucionet publike, ndërveprimet dhe proceset. Kjo provon një lidhje me qëllimin e

studimit, me rishikimin e literaturës dhe mbështet në realitetet e përditshme (Marshall &

Rossman, 1999).

1.4 Metodologjia

Pavarësisht nivelit të kuptimit të praktikave të sigurisë së informacionit dhe të

ndërgjegjësimit të sigurisë së informacionit në institucionet publike shqiptare, në

literaturë koncepti i sigurisë së informacionit është përcaktuar dhe shpjeguar shumë

qartë, si dhe ekzistojnë disa instrumente shumë të mira për të vlerësuar sigurinë e

informacionit. Ky studim kërkon të mbledhë të dhëna nga punonjësit e njësive të

teknologjisë së informacionit (TI) në institucionet publike shqiptare, kështu që pyetësori

është një teknikë ideale për mbledhjen e të dhënave (Creswell 2003; Hancock &

Algozzine 2006). Në mënyrë më të detajuar metodologjia e përdorur do të shpjegohet në

kapitullin 3.

1.5 Rëndësia e studimit

Siç kemi përmendur më lart, institucionet publike nëpërmjet sistemeve që përdorin dhe

shërbimeve që ofrojnë janë përdoruesit dhe në një këndvështrim edhe pronarët e të

dhënave personale të të gjithë popullsisë së një vendi. Ato përmbajnë informacion

shumë të rëndësishëm në version elektronik që duhet mbrojtur nga kërcënimet serioze të

cilat mund të jenë abuzimi si dhe veprime të paligjshme me të dhënat, por edhe

shkatërrimi i tyre (Thuraisingham 2005; Afyouni 2006). Zhvillimi i shpejtë i teknikave

që kërcënojnë informacionin krijojnë një rrezik serioz për informacionin (Bragg et al.

2004). Zhvillimi dhe menaxhimi i një mbrojtje të vazhdueshme është e nevojshme për të

mbajtur informacionin sa më të sigurtë që të mundemi.

Për përdoruesit e sistemeve të informacionit është e rëndësishme të garantohet siguria

për të dhënat e tyre qofshin personale ose jo. Për këtë arsye është thelbësore që

përdoruesit të kenë njohje të mirë dhe ndërgjegjësim mbi praktikat e sigurisë së

informacionit duke u mbështetur tek rregulloret, politikat dhe praktikat. Ky studim do të

pasqyrojë gjendjen e këtij dokumentacioni në institucionet publike shqiptare dhe do të

japë sugjerime sesi mund të bëhen përmirësime.

Elda Kuka


24

Faktorë të tjerë që i japin rëndësi këtij studimi janë:

i. Mungesa e studimeve mbi sigurinë e informacionit në Shqipëri;

ii. Zhvillime relativisht të reja përsa i përket sigurisë së informacionit në

institucionet publike shqiptare.

1.6 Kufizime të studimit

Si kufizime të këtij studimi mund të përmendim mungesën e studimeve akademike në

fushën e sigurisë së informacionit në Shqipëri. Faza e hartimit të pyetësorit u zgjat më

shumë nga parashikimi pasi pati veshtirësi në plotësimin e pyetësorit në variantin e tij

fillestar në fazën e pilotimit. Faza e mbledhjes së të dhënave të studimit gjithashtu u

zgjat më shumë sesa ishte parashikuar për shkak të vështirësisë në marrjen e përgjigjes

së të anketuarve. Arsyet mund të përfshijnë mungesën e familjaritetit më pyetësorët,

kultura e ulët e bashkëpunimit në studime të tilla, mungesa e informacionit dhe të mos

kuptuarit drejt të qëllimit të këtij studimi.

1.7 Struktura e tezës

Kjo tezë përmban gjashtë kapituj të paraqitur në tabelën 1.1. Kapitulli i parë jep një

pamje të përgjithshme të punimit duke përfshirë qëllimin, objektivat, metodologjinë,

rëndësine dhe kufizimet e kërkimit.

Kapitujt

Përshkrimi

1 Hyrje, motivimi, qëllimi, objektivat, metodologjia, rëndësia, kufizimet e

kërkimit dhe struktura e tezës

2 Rishikimi i literaturës

3 Përshkrim i metodologjisë së përdorur për të mbledhur dhe analizuar të

dhënat

4 Analizimi i të dhënave

5 Prezantimi i gjetjeve dhe Konkluzionet

Tabela 1-4 Struktura e tezës

Kapitulli 2 paraqet një rishikim të literaturës. Fillimisht paraqiten përkufizimet në

sigurinë e informacionit. Përshkruhen kërcënimet e informacionit dhe në këtë punim

eksplorohen kërcënimet aksidentale dhe të qëllimshme. Dështimet e sigurisë dhe procesi

Elda Kuka


25

i menaxhimit të riskut përshkruhen në terma të përgjithshëm dhe në lidhje me sigurinë e

informacionit. Diskutimet mbi standartet e sigurisë së informacionit, politikat dhe

legjislacionin n‟a japin një pamje më të qartë mbi standartet dhe ligjet ndërkombëtare.

Kapitulli 3 paraqet metodologjinë e kërkimit që është përdorur për të arritur objektivat e

këtij kërkimi. Fillon me paraqitjen filozofike të metodave sasiore që janë të bazë të

metodave të kërkimit. Shpjegohen me detaje dy pyetësorët e përdorur.

Kapitulli 4 paraqet analizën krahasuese dhe statistikore të bërë me të dhënat e

mbledhura nga dy pyetësorët.

Kapitulli 5 bazohet mbi interpretimin, diskutimin e rezultateve të marra dhe

konkluzionet e punimit. Ai përcakton dhe paraqet nivelin e praktikave të InfoSec në

institucionet publike shqiptare. Paraqiten kontributet me të rëndësishme dhe

rekomandimet e punimit, duke sugjeruar përmirësimet që duhen bërë për sigurinë e

informacionit në institucionet publike shqiptare.

Elda Kuka


26

KAPITULLI II

2 Rishikim i Literaturës

2.1 Hyrje

Me shpikjen e kompjuterave, të telekomunikimit dhe internetit, sasi të mëdha

informacioni u bënë të diponueshme për të gjithë me vetëm një klikim, tashmë jo vetëm

me anë të kompjuterave, por dhe duke përdorur celularët apo pajisje të tjera inteligjente.

Sot, secili nga ne përdor shumë faqe interneti dhe aplikacione në internet duke filluar

nga përdorimi i postës elektronike, aksesimi i llogarive bankare, rrjetet sociale etj.

Megjithatë, përdorimi i interntetit në mënyrë të tillë duke n‟a bërë shpesh të varur prej

tij, nuk është pa probleme. Duhet theksuar se janë krijuar probleme me abuzimin me

informacionin si: keqinformimi, keqinterpretimi, mungesë informacioni apo dhe

mbingarkesë informacioni. Për me tepër, të njëjtat teknologji që japin akses mbi gjithë

këtë informacion, shfrytëzohen nga njerëz të paskrupuj për të aksesuar informacionin,

për t‟a kopjuar, dëmtuar apo dhe shkatërruar atë.

Në këtë kapitull do të paraqesim një rishikim të përmbledhur të literaturës mbi Sigurinë

e Informacionit në vendet në zhvillim, mbi disa burime. Këto burime përfshijnë libra,

artikuj, revista shkencore, conference proceedings dhe një varietet burimesh që gjenden

në internet. Objektivi kryesor i rishikimit të literaturës ishte të gjendej një lidhje midis

njohurive të tanishme dhë zonat kyçe të studimit si dhe të gjenim hapësirat që ekzistojnë

me aplikimin e tyre në instiucionet publike shqiptare. Në literature rekomandohet fort

menaxhimi i sigurisë së informacionit me anë të një programi të quajtur “Programi për

Manxhimin e Sigurisë së Informacionit” ose “Sistemi i menaxhimit të Sigurisë së

Informacionit” (ISMS). Standartet ndëkombëtare për zhvillimin e një ISMS-je

rekomandojnë si hap të parë përcaktimin e politikës. Në mënyrë të ngjashme, një qëllim

më i madh i politikës së sigurisë është pajtueshmëria për të minimizuar rreziqet;

ndërgjegjësimi për sigurinë e informacionit, që është dhe më sfiduesi, lidhet në mënyrë

më integrale për të rritur pajtueshmërinë. Për këtë arsye rishikimi i literaturës do të

fokusohet në këto çështje, që lidhin pyetjet kërkimore dhe objektivat.

.

Elda Kuka


27

2.2 Qasjet e Sigurisë së Informacionit

Siguria e informacionit është shumë e gjerë dhe mbulon një varietet çështjesh

teknologjike dhe jo-teknologjike dhe ka ndryshuar shumë përgjatë viteve.

2.2.1 Një vështrim mbi menaxhimin e Sigurisë së Informacionit

Është e rëndësishme të kuptohet siguria e informacionit sot, duke bërë një përshkrim të

shkurtër historik. Von Solms (2000) dhe Von Solms (2006), n‟a ofronjne një

këndvështrim dhe një pamje mbi zhvillimin e sigurisë së informacionit si rezultat i kater

“valëve” të dallueshme të gjeneratave.

Figura 2-1 Zhvillimi me valë i ISMS

(Von Solms 2000; 2006)

Von Solms propozon si gjeneratën e parë, “valën e parë” atë që ai e quan “vala teknike”,

që ekzistoi deri në fillim të viteve 80 dhe që dallohej për një qasje teknike përsa i përket

sigurisë së informacionit. “Vala e dytë”, nga fillimi i viteve 80 deri në mes të viteve 90

është quajtur “vala e menaxhimit”. Kjo valë është karakterizuar nga një interes i shtuar

dhe përfshirje e menaxhimit në sigurinë e informacionit. Kjo valë plotësoi valën teknike

dhe rriti rëndësinë e sigurisë së informacionit.

Megjithëse i përmirësoi disi gjërat, shumë shpejt u bë e qartë që nevojitej të kuptohej

vlera dhe efektiviteti i sigurisë së informacionit. Kjo solli nevojën për të krahasuar

sigurinë e informacionit me një nivel bazë si dhe të krahasohej me institucione të tjera.

Kjo solli zhvillimin e valës së tretë të quajtur “vala institucionale” që ekzistoi deri në

vitet 2000. Vala e tretë përfaqësohet nga njohja dhe interesi për standartet

Elda Kuka


28

ndërkombëtare, kodin e praktikave, certifikimet e sigurisë, kultivimi i një kulture të

sigurisë në organizatë, si dhe matje dinamike dhe të vazhdueshme të sigurisë. Vala e

katërt, “vala e qeverisjes”, filloi në vitet 2000 dhe vazhdon dhe sot.

Kjo paraqitje jep qasjen e përgjithshme të teknologjisë së informacionit dhe menaxhimit

të saj në periudhat kohore të paraqitura. Koncepti i kësaj rruge në evolucionin e

Teknologjisë së Informacionit dhe Komunikimit (TIK) mund të luajë një rol të

rëndësishëm në të kuptuarit të ndyshimeve midis teknologjisë TIK dhe maturitetit të

sistemeve të menaxhimit të sigurisë së informacionit në vende të cilat mund të jenë në

tranzicion diku nëpër këtë rrugë. Për shembull mund të mos kenë arritur valën e tretë

ose të katërt të nivelin të zhvillimit.

2.2.2 Menaxhimi i sigurisë në Sektorin publik

Menaxhimi i sigurisë në sektorin publik është i rëndësishëm pasi lidhjet midis klientëve

të jashtëm të sistemeve të e-qeverisjes duhe të menaxhohen me kujdes. Studiuesit e

organizatave publike argumentojnë që qeveritë operojnë në ambiente të ndryshme nga

organizatat private dhe për këtë kanë nevojë për qasje të ndryshme (Caudle 1991; Fryer

2007; Joia 2003; Moon 2000). Ato kanë disa karakterisitika që i identifikojnë:

i. Sektori publik karakterizohet nga mungesa e tregjeve ekonomike për rezultatet

përfundimtare të produktit;

ii. Sektori publik mbështetet në ndarjen që bën qeveria për burimet financiare. Kjo

mbështetje prodhon një tjetër kufizim;

iii. ndikim politik.

Shpesh mendohet se institucionet publike nuk kanë nevojë për siguri informacioni të

strukturuar pasi nuk janë pjesë e një ambient konkurrues dhe kanë tendencë të kenë

infrastrukturë TI më të thjeshtësuar pasi pjesa më e madhe e sistemeve te informacionit

janë për përdorim të brendshëm dhe për këtë arsye janë më pak të ekspozuar ndaj

kërcënimeve të jashtme. Megjithatë, kjo nuk është më e vërtetë. Institucionet publike

kanë informacione shumë sensitive, informacione konfidenciale për individë dhe

organizata duke i bërë kështu shënjstra të mundshme të hakerave të shumtë.

Hutton (1996) argumenton se organizatat e sektorit publik kanë një numër specifik

karakteristikash, të cilat mund të kenë ndikim në çdo ndyshim që bën menaxhimi. Disa

nga këto përfshijnë: hierarkitë e ngurta; kulturën; ndryshimet në drejtimin e politikave

mund të jenë të papritura dhe dramatike; mbivendosja e iniciativave; fushëveprimi i

gjerë i aktiviteteve; si dhe stafi është një pjesë e rëndësishme e organizatave të sektorit

Elda Kuka


29

publik. Një pikë tjetër kritike është se sektori publik është shumë i ndjeshëm ndaj

ndonjë incidenti të sigurisë së informacionit. Ato mund të kenë një ndikim negativ në

adoptimin dhe implementimin e aplikacioneve të e-qeverisjes.

2.3 Modeli CIA i Menaxhimit të Sigurisë së Informacionit

Informacioni është një avantazh konkurrues. Që të vlejë si avantazh konkurrues ai duhet

që të jetë i aksesueshëm, i plotë dhe i besueshëm dhe mundësisht të mos jetë

disponueshëm për konkurrentët.

Në literaturë ka disa mënyra të shprehuri të sigurisë së informacionit por të gjitha kanë

në bazë tre karakteristikat: disponueshmërinë, plotësinë dhe besueshmërinë. Sipas

Ferrari & Thuraisingham (2006) dhe Merkow & Breithaupt (2006), siguria e

informacionit mund të përshkruhet si mbrojtja e informacionit dhe sistemeve nga

rreziqet e aksesit të paautorizuar, përdorimit ilegal, zbulimit, modifikimit apo

shkatërrimit. Sipas Turban et al. (1996), Stallings & Brown (2008), Whitmann &

Mattord (2008) siguria e informacionit mund të përcaktohet në terma të

konfidencialitetit, integritetit dhe disponueshmërisë së informacionit. Figura 2.2 tregon

trekëndëshin C.I.A. (Afyouni 2006).

Figura2-2.Trekendëshi CIA

Burimi: (Afyouni 2006)

Secili nga tre elementët e trekëndëshit C.I.A. (konfidencialiteti, integriteti, dhe

disponueshmeria) është një pjesë thelbësore e aftësisë TI të organizatës për të mbajtur

konkurueshmëri afatgjatë (Stoneburner, 2002).

Diponueshmeri

Availability

Integriteti

Integity

Konfidencialitet

Confidentiality

Elda Kuka


30

2.3.1 Konfidencialiteti

Konfidencialitet do të thotë që informacioni duhet të mbrohet nga zbulimi i paautorizuar

tek të tretë. Sipas Whitman & Mattord (2008), konfidencialiteti është “cilësia ose

gjendja e informacionit që ndalon zbulimin apo ekspozimin nga individë të paautorizuar

ose sisteme të paautorizuara”. Cënim i konfidencialitetit mund të jetë p.sh. vjedhja nga

një haker e informacioneve të një klienti nga baza e të dhenave të një organizate.

2.3.2 Integriteti

Integritet nënkupton që informacioni duhet të mbrohet nga modifikime të paautorizuara

dhe që informacioni, të jetë i saktë dhe i plotë. Integriteti mund të përcaktohet si një

garanci për plotësinë dhe saktësinë ose saktësinë e cilësisë së informacionit (Whitman &

Mattord 2008). Psh., shumë viruse dhe krimba kompjuterike krijojnë incidente

integriteti duke korruptuar të dhënat në skedarë. Punonjës të paautorizuar që bëjnë

ndryshime në të dhëna, gjithashtu kompromentojnë integritetin e informacionit.

2.3.3 Disponueshmëria

Sipas Afyouni (2006) dhe Whitman & Mattord (2008), disponueshmëri do të thotë që

sistemi duhet të jetë i aksesueshëm për të autorizuarit në çdo kohë, që t‟a aksesojnë në

mënyrë që të arrijnë informacionin e kërkuar. Sherwood (2000) thotë se disponueshmëri

do të thotë që informacioni të përftohet kur përdoruesit kanë nevojë për të. Psh. disa

sulme kompjuterike (si DoS), mund të ndërpresin vizibilitetin dhe disponueshmërinë e

informacionit.

Konfidencialiteti, integriteti dhe disponueshmëria e informacionit janë vazhdimisht nën

kërcënim.

Pavarësisht pranimit gjerësisht të modelit CIA si një model sigurie, studiuesit sugjerojnë

që është një model shumë i thjeshtë për të përshkruar elementet bazë të sigurisë. P.sh. në

këtë model mungojnë përgjegjësia dhe llogaridhënia. Kjo shpjegohet ndoshta me faktin

që modeli CIA është zhvilluar në erën kompjuterike dhe siguria e informacionit ishte

më shumë një funksion teknik. Për të siguruar konfidencialitetin, integritetin dhe

disponueshmërine e informacionit është e rëndësishme të kuptohen kërcënimet që

hasen.

Elda Kuka


31

2.3.4 Kërcënimet e Informacionit

Whitmann & Mattord (2011) i ndajnë në 14 lloje të ndryshme kërcënimesh të sigurisë së

informacionit që mund të rezultojnë në humbje të konfidencialitetit, integritetit ose

disponueshmërisë. Ata i kategorizojë në:

vjedhje të pronësisë intelektuales; shkeljet më të zakonshme përfshijnë piraterinë

e programeve kompjuterike;

sulme ndaj programeve; viruset, krimbat, Kuajt e Trojës, bombat logjike, dyert e

pasme apo dyert kurth, kërcënimet polimorfike, mashtrimet me viruse dhe

krimba;

devijime në cilësine e shërbimit; sistemet e informacionit varen nga shumë

sisteme mbështetëse të ndërvarura te cilat kane problem kur produktet ose

shërbimet nuk janë dorëzuar sic pritet,

spiunazh ose ndërhyrje; aksesimi i informacionit të mbrojtur nga persona të

paautorizuar;

forcat e natyrës; zjarr, përmbytje,tërmet, etj.;

gabime njerëzore; përfshin akte të kryera pa qëllime keqdashëse

zhvatje informacioni;

i munguar, i papërshtatshëm ose i paplotë; eshtë politikë ose planifikim i

zhdukur, i papërshtatshëm, ose i Paplotë qe mund ta bëjë organizatën të

pambrojtur ndaj humbjes, dëmtimit ose bërjes publike të informacioneve të

ndjeshme;

kontrolle të muguara, të papërshtatshme apo të paplota; mund ta bëjnë një

organizatë me shumë gjasa të vuaj humbjet kur kërcënimet e tjera çojnë në

sulme;

vjedhja;

sabotazhi apo vjedhja;

dështime ose gabime teknike të hardware;

dështime ose gabime teknike të software;

vjetërimi teknologjik;infrastruktura e vjetëruar mund të çojë në sisteme të jo të

besueshme dhe të pasigurta.

Stulz (2003) dhe Afyouni (2006) bëjnë një kategorizim tjetër të kërcënimeve të

informacionit duke i kategorizuar si:

Elda Kuka


32

aksidentale ose të paqëllimshme; Kërcënimet aksidentale ose të paqëllimshme

janë ato që shkaktohen nga ngjarje jashtë pajisjeve të TI-së si: fatkeqësitë

natyrore, fatkeqësitë teknologjike dhe gabimet njerëzore (Shaluf 2007; Hoo

2000).

të paramenduara ose të qëllimeshme; Kërcënimet e paramenduara ose të

qëllimeshme mund të jenë ose të dëmshme ose të padëmshme. Ato janë

kërcënime të dizenjuara për qëllime të këqija, shkatërruese për informacionin e

shënjuar përdorin teknika si malware (kodet e këqija), hakerimet, ndërhyrjet,

sulmet DoS, vjedhjen, mashtrimin ose spiunazhin (Easttom 2006; Bragg et al.

2004).

kontribuese ose instrumentale; Kërcënimet kontribuese ose instrumentale vijnë

nga dështimi ose mosekzistenca e procedurave të duhura. Kjo mund të përfshijë

një dështim të përdorimit të: backup-it, praktikave për fjalëkalime të forta,

politikave kufizuese në lidhje më aksesin në website, përdorimin e kujtesave të

jashtme ose politikave të sigurisë së postës elektronike (Geric & Hutinski 2007).

Kërcënimet aksidentale

Kërcënimet aksidentale ose të paqëllimshme janë shkaktuar nga incidente që janë përtej

kontrollit njerëzor, siç janë fatkeqësitë natyrore, fatkeqësitë teknologjike dhe gabimet

njerëzore.

Zjarri;

Përmbytja;

Termeti, rënia e një ndërtese ose kërcënimi për rënien e një ndërtese;

Ndërprerja e energjisë elektrike;

Dështime të kompjuterave ose telekomunikimeve, që mund të ndalojë ose të

shkatërrojë plotësisht sistemet kompjuterike dhe informacionin që ato mbajnë;

Dështimi i ajrit të kondicionuar në dhomat e serverave;

Hedhje jo korrekte e të dhënave nga përdoruesit fundorë ose stafi i autorizuar;

Bug-e në sistemet software-ike;

Kërcënimet e qëllimshme

Kërcënimet e qëllimshme mund të përkufizohen si kërcënime me qëllime të këqija për

të shkatërruar informacionin e targetuar. Këto përfshijnë kodet malware, hakerimet,

ndërhyrjet, sulmet DoS, vjedhjet, mashtrimet, spiunazhin (Ateeq 2012; Easttom 2006).

Elda Kuka


33

Malware është një program i dizenjuar për qëllim të dëmshëm. Programi mund të

përmbajë viruse, kuaj Troje dhe spyware (Bragg et al. 2004). Viruset qarkullojnë

lehtësisht në kompjuteart e përdoruesve me qëllimin që të shpërndahen në përdorues të

tjerë dhe të dëmtojnë ose shkatërrojnë informacionin e tyre. Efekti mund të jetë i

padëmshëm, ose mund të jetë një korruptim serioz i të dhënave ose programeve (Turban

et al.1996). Hakerat mund të krijojnë viruse, bomba logjike, krimba dhe kuaj Troje, e

secili prej tyre mund të çojë në humbje të konfidencialitetit të të dhënave (Brag et

al.2004).

Ndërhyrjet (intrusions) janë sulme që përdorin çdo metodë për siguruar akses të

paautorizuar në një sistem (Vacca 2009). Sulmet DoS janë dizenjuar për të parandaluar

aksesin legjitim në një sistem dhe të shkaktojnë mos disponueshmërine e burimeve

(Kizza 2005). Hakerimi dhe përgjimi ndodhin kur dikush, pa autorizim, ekzaminon të

dhënat që ndodhen në kompjuter. Hakerimi bëhet zakonisht për të provuar aftësitë

teknike të një hakeri, por mund të cënojë konfidencialitetit, integritetin dhe

disponueshmërinë e të dhënave.

Vjedhja e laptopë-ve është një kërcënim serioz për përdoruesit e këtyre pajisjeve.

Viktimat e vjedhjes së laptopë-ve mund të humbasin hardware, programe dhe të dhëna

të rëndësishme të cilat mund të mos jenë ruajtur diku tjetër. Hajdutët mund të aksesojnë

të dhëna personale dhe të një natyre sensitive (Brown 2009). Në përgjigje të ketij

problemi janë zhvilluar shumë metoda për të mbrojtur të dhënat dhe për të parandaluar

vjedhjen si alarme dhe elemente vizualë frenues si etiketa apo ngjitesa, shifrim it ë

dhënave në hard disk, apo dhe instalimi i programeve për gjetjen e tyre në largësi.

Mashtrimi është çdo akt i qëllimshëm për t‟i zhvatur dikujt para ose prona duke e

mashtruar me dinakëri ose zgjuarsi. Është një nga kërcënimet që mund të ndikojë

seriozisht mbi informacionin. Mashtrimi përdoret në shumë sektorë për qëllime të

ndryshme si mashtrime financiare dhe mashtrime në Internet. Mashtrimi në Internet

është bërë një nga mënyrat më të lehta për vandalët që të përfitojnë para ose

informacione të rëndësishmë duke përdorur teknika phishing. Mënyra më e mirë për të

luftuar mashtrimin ne Internet është të mësosh sesi të evitosh të bëhesh viktimë

(Crescenzo 2006).

Kërcënimet kontribuese

Kërcënimet kontribuese janë prezantuar nga dështimi ose mos-ekzistenca e procedurave

të përshtatshme. Sic kemi theksuar siguria e informacionit është në thelb një funksion

menaxherial. Akses i pakontrolluar në pajisjet e TI-së do të çonte në një kërcënim

procedural (Poulsen 2003). Kërcënimet proceduriale shkaktojnë anashkalim të

Elda Kuka


34

procedurave korrekte. Stafi pa experiencë apo jo i trainuar kontribuon në rreziqet e

informacionit sepse ata shpesh bejne supozimet të gabuara, nuk kanë njohuritë ose

aftësitë për të parandaluar ose për të reduktuar rreziqet e informacionit (Huang et al.

2011). Sipas Shaw et al. (2008) dhe Huang et al. (2003), niveli i riskut rritet nëse ka

ndërgjegjësim të ulët ose trainim jo të duhur për punonjesit. Punonjësit duhet të

trainohen për të rritur ndërgjegjësimin e tyre si dhe për të kuptuar sa më mirë dhe

përgjigjur sic duhet ndaj kërcënimeve potenciale dhe reale të sigurisë, që hasin

gjithmonë sistemet e informacionit.

2.3.5 Një kornizë për menaxhimin e Sigurisë së Informacionit

Whitson (2003) thekson se siguria fillimisht arrihet nëpërmjet analizës së riskut,

politikave të sigurisë, procedurave dhe dokumentacionit, ndërgjegjësimit, trainimit dhe

përgatitjes për të evituar shkatërrimet (disaster) dhe rimëkëmbje (recover). Andersen

(2001) dhe Von Solms (1999) përfshijnë në përkufizimin e tyre përfshirje thelbësore të

palëve të interesuara dhe aplikimin e standarteve të sigurisë. Pra, në këtë pikë edhe pse

modeli CIA është pranuar nga të gjithe, ai është shumë i thjeshtë për të përfaqësuar si

duhet sigurinë e informacionit.

Megjithatë, deri më sot pavarësisht modelit CIA dhe standarteve apo modeleve të tjera,

ka një mungesë pikpamje dhe zbatimi praktik të menaxhimit të sigurisë së

informacionit.

Një numër i madh standartesh dhe kornizash janë zhvilluar vitet e fundit dhe kanë

ndihmuar në zhvendosjen e fokusit nga një pikëpamje e ngushtë për sigurinë e

informacionit në një kornizë më të gjerë. Kjo lloj kornize merr parasysh një perspektivë

biznesi, duke përfshirë jo vetëm një serë masash, por edhe duke u fokusuar në

strukturën organizative, politikën, kapacitetet për matje dhe certifikimin. Një koncept i

ri vjen nga zhvillimi i këtyre kornizave dhe në lidhje me aplikimin e menaxhimit të

sigurisë së informacionit është përdorimi i Sistemit të Menaxhimit të Sigurisë së

Informacionit (ISMS) bazuar në standarte te njohura. ISMS-të janë në fakt një kornizë

organizacionale për funksionimin e sigurisë së informacionit.

Qëllimi i një ISMS-je lidhet me mënyrën, procesin apo metodën sesi siguria e

informacionit menaxhohet nga prespektiva organizative. Përdorimi i një ISMS-je për

menaxhimin e sigurisë së informacionit është i rëndësishëm dhe rekomandohet nga

shumë studiues (Eloff & Eloff, 2003), Von Solms 1998c).

Elda Kuka


35

2.4 Përdorimi i Standarteve në Sigurisë së Informacionit

Standardet luajnë rol kyç në përmirësimin e mbrojtjes së sigurisë midis rajoneve dhe

komuniteteve të ndryshme gjeometrike. Shtetet i krijojnë standardet për të arritur

objektivat dhe në disa raste standardet e krijuara janë konkuruese dhe kontradiktore.

Standarde të tjera favorizojnë kompanitë që dominojnë fushën ku operojnë. Bashkimi

Europian (BE), me suportin e Agjencisë së Rrjetit Europian dhe Sigurisë së

Informacionit (ENISA) ka nisur të përfshijë standartet në strategjitë dhe politikat që

krijon, por ende ka shumë për të bërë. Zhvillimi dhe përdorimi i standardeve është i

nevojshëm, emergjent dhe kërkon përfshirjen e aktorëve të sektorit publik dhe privat, siç

konfirmon vetë ENISA në raportin e saj mbi standartizimin7

. Ka disa standarte

ndërkombëtare në lidhje me menaxhimin e sigurisë së informacionit. Më poshtë po

përmendim pesë më të mirënjohurit.

2.4.1 Standartet ISO

Një nga modelet më të njohura të sigurisë është Kodi i Praktikës së Teknologjisë së

Informacionit për Menaxhimin e Sigurisë së Informacionit, i cili u botua fillimisht si

Standarti Britanik BS7799. Në vitin 2000, ky kod i praktikës u miratua si një kornizë

standarde ndërkombëtare për sigurinë e informacionit nga Organizata Ndërkombëtare

për Standardizim (ISO) dhe Komisioni Ndërkombëtar Elektroteknik (IEC) si ISO / IEC

17799. Dokumenti u rishikua në vitin 2005 (duke u bërë ISO 17799: 2005), dhe u

riemërtua në ISO 27002 në vitin 2007 për ta lidhur atë me dokumentin ISO 27001 (ISO

2017).

ISO/IEC 27002

Qëllimi i deklaruar i ISO/IEC 27002 është të "japë rekomandime për menaxhimin e

sigurisë së informacionit për përdorim nga ata që janë përgjegjës për fillimin, zbatimin

ose ruajtjen e sigurisë në organizatën e tyre. Synon të sigurojë një bazë të përbashkët për

zhvillimin e standardeve organizative të sigurisë dhe praktikën efektive të menaxhimit

të sigurisë dhe për të siguruar besim në marrëdhëniet ndërorganizative" (ISO 2016).

ISO/IEC 27002 është fokusuar në një pasqyrim të gjerë të fushave të ndryshme të

sigurisë, duke ofruar informacion për mbi 127 kontrolle në mbi dhjetë fusha të gjera,

ndërsa ISO/IEC 27001 jep informacion se si të implementohet ISO/IEC 27002 dhe si të

ngrihet një system menaxhimi për sigurinë e informacionit (Whitman & Mattord 2011).

7 https://www.enisa.europa.eu/topics/standards/standards

Elda Kuka


36

ISO/IEC 27001

Versioni aktual i publikuar më 2013 specifikon kërkesat për krijimin, zbatimin,

mirëmbajtjen dhe përmirësimin e vazhdueshëm të një sistemi të menaxhimit të sigurisë

së informacionit brenda kontekstit të organizatës. Ajo gjithashtu përfshin kërkesa për

vlerësimin dhe trajtimin e rreziqeve të sigurisë së informacionit të përshtatura sipas

nevojave të organizatës (ISO 2017). Kërkesat e përcaktuara në ISO/IEC 27001:2013

janë të përgjithshme dhe kanë për qëllim të jenë të zbatueshme për të gjitha organizatat,

pavarësisht nga lloji, madhësia ose natyra e tyre. Standarti 27001: 2013, si një standart i

ri i kushton më shumë rëndësi matjes dhe vlerësimit se sa mirë funksionon ISMS e një

organizate (Sistemi i Menaxhimit të Sigurisë së Informacionit) dhe ekziston një seksion

i ri mbi marrëdhënit me të tretët, që pasqyron faktin se shumë organizata mbështeten tek

palët e treta për të ofruar disa aspektet e TI. Nuk thekson ciklin Plan-Do-Check-Act siç

ka bërë 27001: 2005, por ky cikël vepron si një çadër për të gjithë standartin.

2.4.2 Standartet BSI8

Standardet BSI përmbajnë rekomandime nga Zyra Federale për Sigurinë e Informacionit

(BSI) e qeverisë Federale Gjermane për metodat, proceset, procedurat, qasjet dhe masat

që lidhen me sigurinë e informacionit. Për këtë BSI trajton çështjet që janë me rëndësi

thelbësore për sigurinë e informacionit në autoritetet publike dhe kompanitë dhe për të

cilat janë krijuar qasje të përshtatshme, praktike, kombëtare ose ndërkombëtare.

Nga njëra anë, standardet BSI përdoren për të siguruar mbështetje teknike për

përdoruesit e teknologjisë së informacionit. Agjencitë publike dhe kompanitë mund të

përdorin rekomandimet e BSI dhe t'i përshtasin ato sipas nevojave të tyre. Kjo lehtëson

përdorimin e sigurt të teknologjisë së informacionit, pasi përdoren metoda, procese ose

procedura të besuara.

Nga ana tjetër, standardet BSI përdoren gjithashtu për të përshkruar qasjet e provuara në

bashkëpunim.

BSI Standard 100-1 Sistemet e Menaxhimit të Sigurisë së Informacionit (ISMS)

BSI Standard 100-1 përcakton kërkesat e përgjithshme për një ISMS. Është plotësisht

në përputhje me ISO Standard 27001 dhe për më tepër merr në konsideratë

rekomandimet në Standardet ISO të familjes ISO 2700x. Ai u siguron lexuesve

8 https://www.bsi.bund.de/EN/Publications/BSIStandards/BSIStandards_node.html last accessed on

15.05.2018

https://www.bsi.bund.de/EN/Publications/BSIStandards/BSIStandards_node.html

Elda Kuka


37

udhëzime lehtësisht të kuptueshme dhe sistematike, pa marrë parasysh se cilat metoda

ata dëshirojnë të përdorin për të zbatuar kërkesat.

BSI-Standard 100-2: IT-Grundschutz Metodologjia

Metodologjia IT-Grundschutz përshkruan progresivisht (hap pas hapi) se si menaxhimi i

sigurisë së informacionit mund të krijohet dhe të përdoret në praktikë. Detyrat e

menaxhimit të sigurisë së informacionit dhe krijimi i një organizate sigurie janë lëndë të

rëndësishme në këtë kontekst. Metodologjia IT-Grundschutz ofron një përshkrim të

detajuar se si të krijojë një koncept praktik të sigurisë, si të zgjedhin masat e duhura të

sigurisë gjatë zbatimit të konceptit të sigurisë. Gjithashtu ky standard i është përgjigjur

pyetjes se si të ruhet dhe përmirësohet siguria e informacionit në operacionet në

vazhdim.

BSI-Standard 100-3: Analiza e Riskut bazuar në IT-Grundschutz

Katalogët IT-Grundschutz të BSI përmbajnë standardet mbrojtëse të sigurisë të kërkuara

në fushat organizative, personeli, infrastruktura dhe teknika, të cilat përgjithësisht janë

të përshtatshme për kërkesat normale të sigurisë dhe për të mbrojtur domenet tipike të

informacionit. Shumë përdorues, të cilët tashmë po punojnë me sukses me IT-

Grundschutz, ballafaqohen me pyetjen se si duhet të merren me zonat, kërkesat e të

cilave të sigurisë duken qartë përtej masës normale. Është e rëndësishme që

metodologjia bazë të mos prodhojë shumë përpjekje dhe shpenzime shtesë dhe të

ripërdorë sa më shumë qasje të mundshme nga IT-Grundschutz.

2.4.3 COBIT 5

Objektivat e Kontrollit për Informacionin dhe që lidhen me Teknologjinë (CobiT) janë

një grup praktikash më të mira për menaxhimin e teknologjisë së informacionit të

zhvilluar nga ISACA (Shoqata e Auditit dhe Kontrollit të Sistemeve të Informacionit)

në vitin 19969 10

. COBIT 5 bashkon pesë parimet që i lejojnë ndërmarrjes të ndërtojë një

kornizë efektive të qeverisjes dhe menaxhimit të bazuar në një tërësi gjithëpërfshirëse,

9

http://www.qualified-audit-

partners.be/user_files/QECB_GLC_COBIT_5_ISACA_s_new_framework_201303.pdf

10

http://www.isaca.org/About-ISACA/History/Pages/default.aspx

http://www.isaca.org/About-ISACA/History/Pages/default.aspx

Elda Kuka


38

që optimizon investitorët e informacionit dhe teknologjisë dhe përdorin për të mirën e

palëve të interesuara.

Parimet e COBIT 5, takimi i nevojave të palëve të interesuara; mbulimi i sipërmarrjes;

zbatimi i një kuadri të vetëm, të integruar; mundësimi i njw qasje holistike, ndarja e

qeverisjes nga menaxhimi si dhe mundësuesit Parimet; Politikat dhe kornizat; Proceset;

Strukturat organizative, Kultura, Etika dhe Sjellja, Informacioni, Shërbimet,

Infrastruktura dhe Aplikimet, Njerëzit, Aftësitë dhe Kompetencat janë të përgjithshme

dhe të dobishme për ndërmarrjet e të gjitha madhësive, qofshin komerciale, jo për

përfitim ose në sektorin publik.

2.4.4 Korniza e Sigurise Kibernetike të NIST-it

E themeluar në vitin 1901, Instituti Kombëtar i Standardeve dhe Teknologjisë (NIST)

është një agjenci federale jo-rregullatore brenda Departamentit të Tregtisë të SHBA-ve.

Misioni i NIST është të promovojë inovacionin e SHBA-së dhe konkurrencën

industriale duke avancuar shkencën, standardet dhe teknologjinë e matjes në mënyra që

rrisin sigurinë ekonomike dhe përmirësojnë cilësinë e jetës.

Korniza siguron një gjuhë të përbashkët për të kuptuar, menaxhuar dhe shprehur

rrezikun e sigurisë kibernetike si nga brenda dhe nga jashtë. Mund të përdoret për të

ndihmuar në identifikimin dhe prioritizimin e veprimeve për zvogëlimin e rrezikut të

sigurisë kibernetike dhe është një mjet për të përshtatur politikat, biznesin dhe qasjet

teknologjike për të menaxhuar atë rrezik. Mund të përdoret për të menaxhuar rrezikun e

sigurisë kibernetike në të gjithë organizatën ose mund të përqendrohet në ofrimin e

shërbimeve kritike brenda një organizate. Llojet e ndryshme të entiteteve - duke

përfshirë strukturat koordinuese të sektorit, shoqatat dhe organizatat - mund të përdorin

Kornizën për qëllime të ndryshme, duke përfshirë krijimin e Profilet e përbashkëta.

Kuadri siguron një mjet për të shprehur kërkesat e sigurisë kibernetike për partnerët e

biznesit dhe klientët dhe mund të ndihmojë në identifikimin e boshllëqeve në praktikat e

sigurisë së kibernetikës të një organizate11

.

11

https://www.nist.gov/sites/default/files/documents/cyberframework/cybersecurity-framework-

021214.pdf last accessed 20.05.2018

https://www.nist.gov/sites/default/files/documents/cyberframework/cybersecurity-framework-021214.pdf

https://www.nist.gov/sites/default/files/documents/cyberframework/cybersecurity-framework-021214.pdf

Elda Kuka


39

2.4.5 Guida e ITIL (Information Technology Infrastructure Library)12

ITIL (IT Infrastructure Library) ofron një kornizë të udhëzimeve për praktikat më të

mira për Menaxhimin e Shërbimeve të TI-së

dhe që nga krijimi i saj, ITIL është bërë

qasja më e pranuar në Menaxhimin e Shërbimeve të TI-së

në botë.

Në vend të një sërë rregullash të ngurtë, ITIL siguron një kornizë që kompanitë mund të

përshtaten për të përmbushur nevojat e tyre. Organizatat nuk kanë nevojë të zbatojnë

çdo proces, vetëm ato që kanë kuptim dhe përshtaten në mënyrën se si organizata

dëshiron të bëjë biznes në të ardhmen. Disa procese mund të braktisen më vonë kur

komentet pas zbatimit tregojnë vlera të kufizuara, ndërsa të tjerë mund të zbatohen pasi

janë zbuluar boshllëqet ose kanë nevojë për ndryshim. ITIL i zbërthen funksionet e TI-së

në komponente të veçanta dhe me funksion të plotë që përfshijnë ndërmarrjen dhe i

quan shërbime. Këto shërbime janë dizajnuar në mënyrë të tillë që ato të mund të

sigurohen lehtë ose nga brenda ose nëpërmjet përdorimit të një ofruesi të jashtëm të

shërbimit. Në secilin rast identifikohen praktikat më të mira për ofrimin e shërbimit dhe

adresohen në tri nivele të ndryshme:

Strategjik - Qëllimet afatgjata të shërbimit të veçantë dhe aktivitetet e nivelit të

lartë të nevojshëm për t'i përmbushur ato;

Taktik – Proceset specifike që udhëheqin detyrat dhe aktivitetet e nevojshme për

kryerjen dhe ofrimin e shërbimit;

Operacional - Ekzekutimi aktual i proceseve për të ofruar shërbimin për

konsumatorin dhe përdoruesit përfundimtarë. Përfundimi i suksesshëm i

detyrave operacionale do të thotë që qëllimet strategjike realizohen brenda

afateve kohore të pritshme.

2.4.6 Standarti i Praktikave më të Mira (The Standard of Good Practice)13

Standardi i Praktikës së Mirë (SoGP) u lëshua në vitin 1996 nga Forumi i Sigurisë së

Informacionit (ISF) dhe paraqet një dokumentacion të hollësishëm të praktikave më të

mira për sigurinë e informacionit. Është botuar dhe rishikuar çdo vit. SoGP për Sigurinë

e Informacionit 2016 (Standardi) ofron kontrolle dhe udhëzime gjithëpërfshirëse mbi

temat e sigurisë aktuale dhe të reja që u mundësojnë organizatave t'u përgjigjen ritmit të

shpejtë në të cilin kërcënimet, teknologjia dhe rreziqet evoluojnë.

12

http://www.itinfo.am/eng/information-technology-infrastructure-library-guide/

13

https://www.securityforum.org/tool/the-isf-standardrmation-security/

http://www.itinfo.am/eng/information-technology-infrastructure-library-guide/

https://www.securityforum.org/tool/the-isf-standardrmation-security/

Elda Kuka


40

Edicioni i fundit i Standardit përfshin futjen e temave të tilla si: Inteligjenca e

Kërcënimeve, Mbrojtja nga Sulmet Kibernetike dhe Sistemet e Kontrollit Industrial, si

dhe përmirësimi i rëndësishëm i temave ekzistuese, duke përfshirë Vlerësimin e Rrezikut

të Informacionit, Arkitekturën e Sigurisë dhe Menaxhimin e Mobilitetit të Ndërmarrjeve.

Standarti, së bashku me standartin e ISF-së; një instrument gjithëpërfshirës për

vlerësimin e kontrollit të sigurisë, siguron mbulim të plotë të temave të përcaktuara në

ISO/IEC 27002: 2013, COBIT 5 për Sigurinë e Informacionit, Kornizën e Sigurisë së

Informacionit të NIST, CIS Top 20 Kontrollet Kritike të Sigurisë për Mbrojtjen

Efektive të Kibernetikës dhe Standardin e Sigurisë së të Dhënave të Industrisë së Kartës

së Pagesave (PCI DSS) versioni 3.1.

Elda Kuka


41

ISO 27001 COBIT5 BSI Standards NIST

Framework

ITIL SoPG

Profili i

Standarteve

Specifikon kërkesat për krijimin, zbatimin,

mirëmbajtjen dhe përmirësimin e vazhdueshëm të një sistemi të menaxhimit të sigurisë së informacionit brenda kontekstit të organizatës. Kërkesat

janë të përgjithshme dhe kanë për qëllim të jenë të zbatueshme për të gjitha organizatat, pavarësisht nga lloji, madhësia ose natyra e tyre.

COBIT 5 bashkon pesë parimet që i lejojnë ndërmarrjes të

ndërtojë një kornizë efektive të qeverisjes dhe menaxhimit të bazuar në një tërësi gjithëpërfshirëse, që optimizon investitorët e informacionit dhe teknologjinë dhe e përdorin për të mirën e palëve të interesuara. Janë të përgjithshme dhe të

dobishme për ndërmarrjet e të gjitha madhësive , qoftë tregtare, jo fitim prurëse apo në sektorin publik

Standardet BSI përmbajnë

rekomandime për metodat, proceset, procedurat, qasjet dhe masat që lidhen me sigurinë e informacionit.

Kuadri siguron një gjuhë të

përbashkët për të kuptuar, menaxhuar dhe shprehur rrezikun e sigurisë kibernetike si brenda dhe jashtë.

Në vend se një sërë rregullash të ngurtë, ITIL

siguron një kornizë që kompanitë mund të përshtaten për të përmbushur nevojat e tyre. ITIL i zbërthen funksionet e IT-së në komponente të veçanta dhe me funksion të plotë që përfshijnë

ndërmarrjen, te quajtur shërbime.

Standardi, një instrument i plotë i

vlerësimit të kontrollit të sigurisë, ofron mbulim të plotë të temave të përcaktuara në ISO / IEC 27002: 2013, COBIT 5 për Sigurinë e

Informacionit, Kornizën e Sigurisë së NIST-it, CIS Top 20 Kontrollet Kritike të Sigurisë për Mbrojtjen Efektive të Kibernetikës dhe Kartën e Pagesave

Standardi i Sigurisë së të Dhënave (PCI DSS) version 3.1.

Iniciuar nga Delegatë nga 25 vende Është zhvilluar nga ISACA (Information Systems Audit and Control Association) dhe Instituti i qeverisjes IT

Zyra Federale për Sigurinë e Informacionit (BSI) e qeverisë Federale Gjermane

Departamenti i Tregtisë

UK government‟s Central Computer and Telecommunications Agency (CCTA) and the OGC, an office of

the UK Treasury

Information Security Forum (ISF)

Nisur në 1947 1996 2006 2014 1980 1989

Emri i

Certifikatës

Certfikate ISO e serisë 27002s

Certified Information System Auditor (CISA)

Certified Information Security Manager (CISM)

Certified in the Governance of Enterprise IT (CGEIT)

Certified in Risk and Information Systems Control (CRISC)

Leshon certifikaten IT-Grundschutz Certificate

te bazuar në një auditim të berë nga një

auditues i jashtem i licensuar

Fondacioni NIST CSF ofron kurse trainimi

Certificate of ITIL Compliance

-

Tabela 2-1 Përmbledhje e standarteve, kush i inicioi, kur janë iniciuar, të dhëna dhe certifikimet

Burimi: (Kuka & Bahiti, 2017; Susanto et al. 2011)

https://en.wikipedia.org/wiki/Central_Computer_and_Telecommunications_Agency





https://en.wikipedia.org/wiki/Office_of_Government_Commerce

https://en.wikipedia.org/wiki/HM_Treasury

http://www.isaca.org/Certification/CRISC-Certified-in-Risk-and-Information-Systems-Control/Pages/default.aspx

http://www.isaca.org/Certification/CRISC-Certified-in-Risk-and-Information-Systems-Control/Pages/default.aspx

Elda Kuka


42

Duke patur parasysh koston e implementimit të këtyre standarteve ndërkombëtare disa

organizata preferojnë të mos i përdorin duke përjashtuar rastet kur janë të detyruara me

ligj. Këto standarte jashë shumë të mira, por si të gjitha standartet përdorimi i tyre është

vullnetar. Megjithatë duhet të përmendim faktin që standartet BSI janë në të njëjtën linjë

si standartet ISO/IEC 2700x dhe ofrohen me shembuj te detajuar falas, pa pagesë.

2.5 Menaxhimi i Riskut

Risku mund të përcaktohet formalisht si probabiliteti që një veprim apo ngjarje do të

ndikojë negativisht ose pozitivisht mbi aftësinë e një organizate për të arritur objektivat

e veta (Jones &Ashenden 2005; Brotby 2009). Ka disa mënyra të paraqitjes së

menaxhimit të riskut në literaturë. Sipas Stoneburner, (2002), menaxhimi i riskut të

sigurisë së informationit është aktiviteti i drejtuar drejt vlerësimit duke zbutur (në një

nivle të pranueshëm) dhe monitoruar rreziqet e lidhura me informacionin. Qëllimi

kryesor i procesit të menaxhimit të riskut të një organizate duhet të jetë të mbrojë

organizatën dhe aftësinë e saj për të përmbushur misionin e saj dhe jo vetëm asetet e saj

të TI-së. Sipas Whitman & Mattord 2008, Slay & Koronios (2006), Bragg et al. (2004),

menaxhimi i riskut është një process i vazhdueshëm i krijuar për të kontrolluar

mundësinë e ngjarjeve të pafavorshme dhe mund të përcaktohen si “procesi i

identifikimit të dobesive në një sistem informacioni të organizatës dhe ndërrmarrja e

hapave për të siguruar që humbjet e përjetuara nga sistemi janë brenda limiteve të

pranueshme të organizatës”. Siç përshkruhet nga Lee (2004), "një sistem informacioni

nuk është vetëm teknologjia e informacionit, por sistemi që del nga ndërveprimet

transformuese reciproke midis teknologjisë së informacionit dhe organizatës". Sipas

Stulz (2003), menaxhimi i riskut përfaqëson një qasje sistematike për problemet që

shkaktojën kërcënimet. Shumë metoda, teknika dhe mjete software mund të asistojnë në

menaxhimin e riskut.

Menaxhimi i Riskut përfshin tre ndërrmarje të mëdha: identifikimi i riskut, vlerësimi i

riskut dhe kontrolli i riskut. Identifikimi i Riskut eshte ekzaminimi dhe dokumentimi i

gjendjes aktuale të TI në organizatë dhe rreziqet me të cilat ajo përballet. Vlerësimi i

Riskut është përcaktimi sesa janë të ekspozuara apo të rrezikuara asetet e informacionit

të organizatës. Kontrolli i Riskut është aplikimi i kontrolleve për të ulur riskun për të

dhënat dhe SI të një organizate.

Elda Kuka


43

Vitet e fundit, janë zhvilluar një numër i madh metodologjish të menaxhimit të riskut

(Stoneburner, 2002). Shumica e këtyre metodologjive, ndërsa ofrojnë një process të

strukturuar dhe sistematik për menaxhimin e riksut, kanë mungesë në udhëzime

specifike se cilat metoda për vlerësimin e riskut të përdoren.

Megjithatë, një vlerësim risku tipikisht përfshin hapat e mëposhtëm:

Identifikimi i dobësive për t‟u testuar;

Testimi i këtyre kontrolleve për efikasitetitn e tyre;

Analiza e rezultateve të testimi‟

Rekomandimet për përmirësimet e sigurisë bazuar në analizë.

Sipas (Erbschloe 2003; Jones & Ashenden 2005; Slay &Koronios 2006), modeli i

zakonshëm per menaxhimin e riskut eshtë:

o Identifiko rreziqet;

o Vlerëso këto rreziqe;

o Zhvillo kontrolle dhe merr vendime të riskut;

o Implemento kontrollet;

o Mbikqyr dhe vlerëso situatën.

Mantel et al. (2001) prezantojnë gjithashtu hapa të ngjashëm në modelin e tyre. Modeli i

tyre gjithashtu tregon dy unaza që kthejnë përgjigje dhe dy funksione mbështetës, të

quajtur mjete të menaxhimit të riskut dhe komunikimi i menaxhimit të riskut siç shihet

në Figurën 2.3.

Elda Kuka


44

Figura 2-3 Procesi i menaxhimit të riskut

Burimi: (Mantel at al. 2001)

Modelet e procesit të menaxhimit të riskut ndjekin modelet e përgjithshme të

përshkruara mësipër me disa shtesa te tjera ne model. Caelli et al. (1989) sugjeron si hap

paraprak identifikimin e aseteve që kanë nevojë për mbrojtje. Caelli et al. (1989)

gjithashtu përfshin një hap të quajtur zgjedhja e kundërmasave, e lidhur me

përzgjedhjen e kundërmasava më kosto efektive që do të ulin riskun në një nivel të

përshtatshëm. Gjithashtu Coyne et al. (2004), përfshin përgatitjen e një plani

emergjence duke u bazuar në nevojën e planeve të emergjencës për t‟u rikuperuar nga

ndonjë shkatërrim i paparashikuar që kundërmasat nuk mund t‟a parandalojnë.

2.5.1 Identifikimi i riskut

Hapi i parë në identifikimin e rreziqeve është identifikimi i të gjithë elementeve, aseteve

dhe burimeve që i përkasin sistemit komjuterik dhe mund të jenë në rrezik (Raval &

Fichadia 2007; Whitman & Mattord 2008). Bazuar tek Mantel et al. (2001) klasifikimet

e sistemit janë si vijon:

Hardware, p.sh. serveri qendror, disqet magnetike, grirëset;

Elda Kuka


45

Software, p.sh. sistemet e shfrytëzimit, programet aplikativë, kopjet backup;

Të dhënat dhe media, p.sh. dokumentacioni i programeve, dokumentacioni i

procedurave të operimit;

Komunikimet, p.sh. linjat e internetit, linjat telefonike, rrjetet kompjuterike etj.;

Ambientet, p.sh. rrjeti elektrik, hidraulik, ajri i kondicionuar; shërbimet e

pastrimit;

Organizata, p.sh. rregullore dhe politika e menaxhimit;

Suporti, p.sh. stafi mirëmbajtës.

Përgatitja e ketyre listave duke përshirë të gjithë elementët e rrezikuar duhet

konsideruar në lidhje më tipet e rreziqeve dhe shkaktarët e ketyre rreziqeve

(Nicholas 2002). Rreziqet mund të klasifikohen:

Humbje të pronës, p.sh. shkatërrimi, dëmtimi, humbja, vjedhja, ndotja;

Humbje të përgjegjësisë, p.sh. shkelje e kontratës, shkelje e të drejtë së

autorit, shpifje, fyerje;

Humbje të personelit, p.sh. vdekje, plagosje, sëmundje, dorëheqja, konflikt

pune;

Humbje financiare, p.sh. borxhet e këqija, punonjës të pandershëm;

Humbje të ndërprerjes së biznesit, p.sh. lëvizje të vonuara të parave, rritje e

kostos së punës, klauzola për dënimet.

2.5.2 Analiza e riskut dhe vlerësimi

Analiza e riskut i referohet vlerësimit të mundësisë dhe madhësisë së riskut. Përdoret

për të ulur mundësinë e ndodhjes së një risku, pasojat e riskut dhe metodat e përdorura

për të trajtuar secilën nga pasojat (Stulz 2003). Kjo implikon një mënyrë për vlerësimin

ose matjen e rreziqeve dhe pasojat e ndodhjes së tyre. Ka një numër teknikash për ta

bërë këtë, disa cilësore dhe disa sasiore (Coyne et al.2004).

Një vlerë sasiore, e cila mund të derivojë nga një risk i veçantë, është humbja e

pritshme. Mund të shprehet në vlerë monetare si lekë në vit dhe përfitohet duke

shumëzuar vlerën mesatare të humbjes (e cila mund të rezultojë nga ndodhja e riskut) në

vlerë monetare me shpeshtësinë vjetore me të cilën pritet të ndodhë risku. Në llogaritjen

e humbjes së pritshme merren në konsiderate vlerat e dy sasive të përfshira – humbja

(ndryshe i referohemi si impakti) dhe shpeshtësia (frekuenca) - janë kritike. Duhet të

përdoren vlerësimet më të mira nga ekspertiza që disponojmë (Burke 1999). Pasi vlerat

Elda Kuka


46

e humbjes së pritshme janë vlerësuar për çdo risk, atëherë hartohen tabela ku rreziqet

duhet të listohen në rendin zbritës të vlerës së humbjes së pritshme.

Si një rregull i përgjithshëm, sa më e madhe vlera e pritshme e humbjes, aq më e

rëndësishme është të llogaritet risku korrespondues (Caelli et al. 1989). Gjithmonë në

përzgjedhjen e kundërmasave të duhura që do të aplikojmë për të ulur rreziqet duhet të

mbahet parasysh efektiviteti i tyre në reduktimin e vlerës së pritshme të humbjes dhe

kostos së tyre të implementimit. Ajo që duhet kërkuar është një grup kundërmasash të

cilat duke pasur parasysh shumën e fondeve në dispozicion, ul në vlerën më të ulët të

mundshme vlerën e humbjeve të pritshme për shkak të të gjitha rreziqeve që mund të

ndodhin dhe kostos së kundërmasave (Nicholas 2002).

Të gjithë rreziqet e mundshme duhen marrë në konsideratë, duhet vlerësuar probabiliteti

i ndodhjes së tyre, dhe më pas duhen gjetur dhe identifikuar rugëve të mundshme për t‟u

përballuar me situatën, për të zgjedhur më pas atë që eshtë më kosto efektive. Masat

përzgjidhen për të trajtuar rreziqet individuale dhe rastet e parashikuara (Smith 1999).

Gjithashtu duhet të përcaktohet mënyra sesi këto masa do të implementohen,

monitorohen, rishikohen kur është e nevojshme dhe përditësohen (O‟Harrow et al

2003).

2.5.3 Kontrolli i riskut

Sipas Mantel et al. (2001); Stallings & Brown (2008) dhe Whitman & Mattord mënyrat

themelore për të kontrolluar rreziqet jane:

i. Shmangia: Në disa raste një risk mund të shmanget p.sh. shpërndarja ose

mosfutja e një objekti, artikulli ose duke ndryshuar mënyrën e punës në disa

mënyra. Megjithatë vigjilenca duhet të ushtrohet gjatë gjithë kohës për të

siguruar se çdo ndryshim i rrethanave të brendshme apo të jashtme, që mund të

lejojnë kthimin e një risku të veçantë të identifikohet mënjeherë;

ii. Pranimi: Nëse konsiderohet që një risk i veçantë do të ketë pasoja krahasimisht

të vogla atëherë një organizatë mund të vendosë të mos ndërrmarrë kundërmasa

direkte. Duhet të kemi nën vëzhgim ndryshimin e rrethanave që mund të rrisin

kërcënimin e rrezikut të mbajtur;

iii. Zbutja: Ashpërsia e shumë rreziqeve mund të zbutet nga aplikimi i masave

mbrojtëse si p.sh. sistemet e kontrollit të aksesit ulin rrezikun e prezencës së

personelit të paautorizuar në një dhomë server. Këto kundërmasa shoqërohen me

shpenzime të shtuara (Stulz 2003);

Elda Kuka


47

iv. Transferimi: Transferimi i riskut bëhet zakonisht nga planifikimi i

emergjencave, sigurimeve ose disa forma kontraktore. Megjithëse kundërmasat

mund të reduktojnë shpeshtësinë e ndodhjes dhe/ose impaktin e rreziqeve të

veçantë, ato nuk mund të eleminohen gjithmonë.

Në fushën e sigurisë së informacionit stafi TI i kualifikuar, i traininuar dhe i

ndërgjegjësuar është shumë i rëndësishëm. Ai kthehet në një mjet të fuqiëshm që mund

të ndihmojë sigurinë e informacionit në organizatë pasi nuk e ul vigjilencën për të

kontrolluar dhe identifikuar rreziqet e mundshme. P.sh. hakerat përdorin teknika të

ndryshme si inxhinierimi social për të aksesuar informacionin e dëshiruar, përdorin

mjete dhe teknika të ndryshme për të gjetur apo thyer fjalëkalimet, sidomos fjalëkalimet

e dobëta. Politika bazë për krijimin e një fjalëkalimi është gjatësia minimale prej tetë

karakteresh, gjatësia maksimale prej katëmbëdhjetë karakteresh dhe të gjitha çelësat e

dukshme të tastierës (përveç hapësirës) lejohen. (Helkala & Snekkenes, 2009). Duke

pasur parasysh këtë politikë ne duhet të përdorim fjalëkalimet e fortë të cilët kanë të

paktën tetë karaktere dhe kanë në përbërje të tyre numra, shkronja të mëdha dhe të vogla

si dhe karaktere special. Këto fjalëkalime janë shumë më të vështirë për t‟u thyer dhe

mund t‟a mbrojnë informacionin nga aksesi i paautorizuar, megjithatë janë të vështirë

për t‟u mbajtur mend pasi fjalëkalimet duhet të ndryshohen rregullisht.

Gjithashtu, mbjete të mira për Internetin mund të n‟a ndihmojnë për të kontrolluar dhe

mbrojtur informacionin nga kërcënimet. P.sh., programet antivirus, antispam, antispy

dhe firewall-et mund të mbrojnë privatësinë e përdoruesve dhe të ruajnë informacionin

nga kërcënime si: viruset, spyware, Trojan dhe hackerat (Bragg et al 2004).

Në kontekstin e sigurisë së informacionit, rreziqet mund të ndodhin dhe si rezultat i

pakujdesisë së përdoruesve ndaj sigurisë së informacionit ose nga mungesa e

ndërgjegjësimit për vlerën e informacionit. Megjithatë, përdorues të trainuar dhe të

ndërgjegjësuar mbi kërcënimet ndaj sigurisë së informacionit mund të parandalojnë dhe

mund t‟i kontrollojnë rreziqet (Kuka et al. 2017). Përdoruesit duhet të jenë të

ndërgjegjshëm për standartet dhe politikat e sigurise së infomacionit për të siguruar

informacionin nga rreziqet e mundshme (Peltier 2004).

2.6 Politikat e Sigurisë

Pas përfundimit të procesit teknik për menaxhimin e rreziqeve, hapi tjetër është

zhvillimi dhe implementimi i një politike të përshtatshme. Politikat e sigurisë së

informacionit janë baza që mbështet burimet në një organizatë. Organizatat kanë filluar

Elda Kuka


48

të bëjnë zhvillime në politikat e teknologjisë për të adresuar sfidat e rritjes (Ferrari &

Thuraisingham 2006; Peltier 2004; Knapp et al 2006).

Politika e sigurisë së informacionit duhet të kombinojë elementet teknikë dhe jo-teknikë

për të siguruar pajtueshmërinë në kohë (Wylder 2004). Politikat e sigurisë mund të

përkufizohen si deklarata që tregojnë qartësisht procesin e identifikimit, vlerësimit dhe

kontrollit të rreziqeve që vijnë nga faktorët operacionalë si dhe marrjen e vendimeve të

informanuara që balancojnë kostot e riskut me përfitimet e misionit (Fugini & Belletini

2004; Stamp 2006; Peltier 2004). Dokumenti formal i politikës duhet të përfshijë një

shpjegim ose deklarim për politikat e sigurisë, procedurat dhe kërkesat si dhe një

përkufizim të përgjegjësive të përgjithshme dhe specifike në lidhje më sigurinë

(Johnson 2011; Stallings & Brown 2008).

Megjithëse literatura e mbështet rëndësinë e politikës, aplikimi jo-efektiv ose jo-korrekt

rrezikon të dobësojë sigurinë e informacionit dhe mund të rezultojë që siguri

informacioni të panevojshme, madje edhe penguese si jo e mirëmenaxhuar. Nga

këndvështrimi menaxherial siguria mund të ngatërrohet lehtësisht me qëllimin final;

gjithsesi siguria e informacionit duhet të shihet si një mundësues i prioriteteve të

organizatës (Luke & Petersen, 2003) dhe jo si një qëllim në vetvete, sidomos duke

marrë parasyh mungesën e ndërgjegjësimit për sigurinë e informacionit.

2.7 Ndërgjegjësimi i Sigurisë së Informacionit

Ndërgjegjësimi për sigurinë e informacionit është një gjendje që realizohet nga

organizata që synojnë të sigurohet që menaxhimi dhe përdoruesit fundorë janë të

vetëdijshëm për zbutjen e riskut të sigurisë, për politikat dhe udhëzimet. Siponen (2000)

argumenton që ndërgjegjësimi i sigurisë së informacionit konsiderohet i rëndësishëm

sepse teknikat e sigurisë së informacionit ose procedurat në lidhje me sistemet e

informacionit mund të keqpërdoren, mund të aplikohen pa dashje në mënyrë jo-korrekte

ose mund të mos përdoren fare duke i bërë udhëzimet e sigurisë me pak të dobishme

dhe efektive.

Ka shumë sfida, në përmirësimin e sigurisë së informacionit nëpërmjet aktiviteteve të

ndërgjegjësimit. Një aspekt sfidues i ndërgjegjësimit është që efektiviteti varet nga

interesi i personave të përshirë. Aktivitetet për ndërgjegjësimin nuk janë efektive kur

behen në mungesë të interesit për sigurinë e informacionit (Cohen, 1999). Leach (2003)

citon një studim të bërë nga “ISF” (Information Security Forum, 2000) që sugjeron se

deri 80% e dështimeve kritike të sigurisë janë si rezultat i sjelljes së përdoruesve

Elda Kuka


49

fundorë në krahasim me zgjidhje teknike jo të përshtatshme dhe sygjerojnë një program

për sigurinë të strukturuar mirë për të ulur këtë shifër.

Në literaturë evidentohet që ndërgjegjësimi i sigurisë së informacionit është një

funksion i rëndësishëm, por zakonisht aplikohet në procese ad hoc dhe në mënyrë

reaktive.

Fokusi i këtij studimi është të identifikojë aktivitetet që jane ndërmarrë për

ndërgjegjësimin e sigurisë së informacionit, do të studiohen problematikat që ekzistojnë

si dhe do të jepen rekomandime për të përmirësuar ndërgjegjësimin në institucionet

publike.

2.8 Këndvështrime për implementimin e Sigurisë së Informacionit

Është e mirëpranuar që implementimi i sigurisë së informacionit është një proces i

vazhdueshëm i cili duhet të fillojë diku. Whitmann & Mattord (2011) shpjegojnë që ka

dy qasje kryesore për implementimin e sigurisë së informacionit dhe cilët janë iniciuesit

e këtij procesi. Njëra qasje zakonisht njihet me emrin qasja poshtë-lart. Ajo njihet me

këtë emër sepse zakonisht inicimi i sigurisë së informacionit fillon nga administratorët e

sistemit, të cilët tentojnë dhe dëshirojnë të rrisin sigurinë e sistemeve të tyre. Avantazhi

kryesor i kësaj qasje është ekpertiza dhe eksperienca që zotërojnë administratorët, nga

puna e tyre e përditshme me sistemet. Ata i njohin dhe i kuptojnë më së miri kërcënimet

që hasin sistemet e tyre si dhe mekanizmat e nevojshëm për mbrojtjen e tyre. Kjo qasje

nuk funksionon pasi mungon mbështjetja dhe fuqia. Qasja e dytë njihet me emrin qasja

lart-poshtë. Në këtë rast inicimi për sigurinë e informacionit vjen nga menaxherët e

nivelit të lartë, ata të cilët janë pjesëmarrës në vendimmarrje, që njohin dhe nxjerrin

politika, rregullore dhe procedura që normojnë punën në një organizatë. Për këtë arsye,

kjo qasje ka një probabilitet më të lartë për sukses.

Elda Kuka


50

Figura 2-4 Qasjet e implementimit të Sigurisë së Informacionit

Burimi: Course Technology/Cengage Learning; Whitmann & Mattord 2011

2.9 Konkluzione mbi rishikimin e literaturës

Rishikimi i literaturës u bazua në eksplorimin e disa zonave të sigurisë së informacionit.

Ajo përfshiu analizën e ISMS-ve, si një qasje efektive e menaxhimit; u bë një eksplorim

mbi rëndësinë e politikave dhe rëndësinë e menaxhimit të riskut në sigurine e

informacionit si dhe u vu theksi mbi rëndësinë e ndërgjegjësimit (ISA) të sigurisë së

informacionit.

Duke pasur në vëmendje që intitucionet publike mbështeten mbi informacionin, ato

mbështeten gjithashtu mbi sigurinë e informacionit për t‟a mbrojtur atë. Për këtë arsye

eksplorimi i këtyre zonave të sigurisë së informacionit luan një rol të rëndësishëm në të

kuptuarit të menaxhimit të sigurisë së informacionit në institucionet publike.

Pavarësisht se nevoja për siguri informacioni është e njohur dhe konsiderohet e

rëndësishme në shumë raste sigurisë së informacionit nuk i vendoset prioriteti i duhur.

Kjo reflekohet nga mungesa e angazhimit, mbështje jo e përshtatshme me fonde si dhe

nga një mungesë kuptimi nga menaxhimi i lartë si rezultat i disa faktorëve. Këto

përfshijnë mungesën e ndërgjegjësimit për çështje të sigurisë së informacionit si dhe një

qasje reaktive përsa i përket menaxhimit të sigurisë së informacionit.

Elda Kuka


51

KAPITULLI III

3 Metodologjia

3.1 Hyrje

Qëllimi i këtij punimi është të analizohet gjendja e sigurisë së informacionit në

institucionet publike shqiptare duke n‟a ofruar një pamje më të qartë mbi nivelin e

zhvillimit të sigurisë së informacionit dhe hapat që duhet të ndërmerren për të avancuar

më tej.

Objektivat e kësaj teze janë:

i. Të identifikojë, përcaktojë dhe diskutojë praktikat e menaxhimit të sigurisë së

informacionit dhe cilët janë faktorët që mund të ndikojnë implementimin dhe


shqiptare;

ii. Të kuptojë rëndësinë e komponentëve të identifikuar dhe ndërveprimin me njëri-

tjetrin;

iii. Të përcaktojë nivelin e ndërgjegjësimit për sigurinë e informacionit në

institucionet publike si dhe të përcaktojë nëse mund të bëhën përmirësime në

menaxhimin e sigurisë së informacionit;

3.2 Pyetjet e kërkimit shkencor

Në mënyrë që të arrihen objektivat e këtij studimi, janë formuluar këto pyetje

kërkimore:

1. Cilat janë praktikat e menaxhimit të sigurisë së informacionit në

institucionet publike?

Literatura mbi menaxhimin e sigurisë së informacionit thekson nevojën e adresimit të

çështjeve teknike dhe jo-teknike në lidhje me sigurinë e informacionit. Veçanërisht në

vendet në zhvillim ka një mungesë vëmendje në literaturë për adresimin e këtyre

Elda Kuka


52

çështjeve si dhe për nivelin e ndërgjegjësimit mbi sigurinë e informacionit. Për këtë

arsye duhet marrë masat e duhura për të mbrojtur asetet kritike të organizatës.

2. Cilët janë faktorët që influencojnë efektivitetin e praktikave të menaxhimit

të sigurisë së informacionit?

Kjo pyetje kërkon të identifikojë dhe të kuptojë faktorët që lidhen me menaxhimin e

sigurisë së informacionit duke bërë një hulumtim të literaturës në përgjithësi dhe për

institucionet publike në veçanti duke u fokusuar në vendet në zhvillim.

3. Si mund të përmirësohet siguria e informacionit në institucionet publike

shqiptare?

Kjo pyetje kërkon të parashtrojë hapat konkretë, që duhet të ndërrmerren për të

përmirësuar sigurinë e informacionit në institucionet publike shqiptare duke u bazuar jo

vetëm në literaturë, por edhe në karakteristikat e përbashkëta që këto institucione kanë.

Qëllimi i këtij kapitulli është paraqitja e metodologjisë së përzgjedhur për këtë studim,

instrumentet dhe teknikat e përdorura për të mbledhur dhe analizuar të dhënat.

3.3 Përshkrim i metodës së zgjedhur të kërkimit

Një metodë kërkimi paraqet dhe përshkruan hapat që do të përdoren për të arritur

objektivat e kërkimit (Creswell 2003; Johnson & Christensen 2004). Ajo përdoret për të

lidhur kornizën teorike dhe burimet e materialit të mbledhur (Alvesson & Deetz 2000).

Qëllimi i këtij punimi është të analizohen praktikat e sigurisë së informacionit në

institucionet publike shqiptare, në mënyrë që të arrijmë të përcaktojmë se cili është

niveli i InfoSec në institucionet publike si dhe të jepen sugjerime për përmirësime. Për

shkak të natyrës së problemit, si metodë kërkimi do të përdorim metodën e kërkimit

përshkrues cilësor, kurse si teknikë për mbledhjen e të dhënave do të përdorim

pyetësorët të cilët janë kryesisht kualitativë. Analizimi i të dhënave është i bazuar

kryesisht në analizën eksploruese të të dhënave.

3.3.1 Metoda e kërkimit përshkrues

Ky punim do të përdorë metodën e kërkimit përshkrues cilësor pasi siç thotë

(Sandelowski, 2000), studimi përshkrues cilësor është metoda e zgjedhjes kur

dëshirohet përshkrim i drejtpërdrejtë i fenomenit.

Elda Kuka


53

Hulumtimi përshkrues synon të hedhë dritë mbi çështjet apo problemet aktuale përmes

një procesi mbledhjeje të të dhënave që u mundëson atyre të përshkruajnë situatën më

plotësisht se sa do të ishte e mundur pa përdorur këtë metodë (Fox & Bayat 2007).

Tri qëllime kryesore të studimeve përshkruese mund të shpjegohen si përshkrimi,

shpjegimi dhe vërtetimi i gjetjeve të hulumtimit. Studimet përshkruese janë të lidhura

ngushtë me studimet vëzhguese, por ato nuk kufizohen me metodën e mbledhjes së të

dhënave nga vëzhgimi. Studimet e rasteve dhe pyetësorët mund të specifikohen

gjithashtu si metoda popullore të mbledhjes së të dhënave të përdorura me studime

përshkruese. Në studimin tonë kemi përdorur pyetësorët si burim primar i mbledhjes së

të dhënave.

Të tjera – Si pjesë e metodologjisë së përzgjedhur, ne gjithashtu morëm në shqyrtim

edhe dokumentat e institucioneve të përfshira në këtë studim.

3.3.2 Pyetësorët

Në këtë studim janë përdor dy pyetësorë për të mbledhur të dhënat e dëshiruara në

institucionet publike shqiptare. Pyetësori i parë “Pyetësor për praktikat e Sigurisë së

Informacionit” u përdor në mbledhjen e të dhënave nga drejtuesit (drejtorët dhe

përgjegjësit e sektorëve) e njësive të TI- së

në institucionet publike, kurse pyetësori i

dytë u përdor për mbledhjen e të dhënave nga stafi i njësive të TI- së në po këto

institucione. Pyetjet e përzgjedhura janë marrë nga pyetësorë të bazuar mbi standartet

ndërkombëtare mbi sigurinë e informacionit, të cilët janë përdorur për të studiuar

sigurinë e informacionit në vendet në zhvillim. Në pyetësorin e parë “Pyetësor për

praktikat e Sigurisë së Informacionit për Drejtuesit e Njësive TI”, i cili u përdor për

mbledhjen e të dhënave nga drejtuesit (drejtorët dhe përgjegjësit e sektorëve) e njësive

të TI- së

, ka një grup pyetjesh të cilat nuk ndodhen në pyetësorin e dytë i cili u përdor

për mbledhjen e të dhënave nga stafi i njësive të TI- së, përkatësisht pyetjet të cilat janë

të bëjnë me buxhetin e në njësitë e TI-së. Seksionet e tjera të pyetjeve janë të njëjtat për

të dy pyetësorët.

Metoda e pyetësorit përfshiu katër faza:

Faza e parë.

Përzgjedhja e tipit të pyetësorit. Në përgjithësi ka dy tipe pyetësorësh cross sectional, të

cilët merrën më një çështje në një kohë dhe longitudinal që merren me studimin pergjatë

kohës (Creswell 2003). Ky kërkim do të përdorë pyetësorët cross sectional pasi do të

ekzaminojmë një çështje në një kohë;

Elda Kuka


54

Faza e dytë.

Hartimi i pyetësorit. Komponenti i parë në hartimin e pyetësorit ishte shkrimi i pyetjeve

që lidheshin me çështjet e diskutara në rishikimin e literaturës. Të gjitha pyetjet e

përdorura janë gjysmë-të mbyllura. Kjo për të lehtësuar të anketuarit të cilët duhet t‟u

përgjigjen pyetjeve dhe në disa pyetje mund të shprehin opinionin e tyre në hapësirat që

ju janë vënë në dispozicion, nëse dëshirojnë;

Faza e tretë.

Dizenjimi i pyetësorit. Pyetësori u hartua në version elektronik me google forms dhe në

version të printuar. Pyetësori në versionin elektronik nuk rezultoi i suksesshëm pasi

nevojiteshin adresat email për t‟u shpërndarë, informacion ky i pamundur për t‟u marrë.

Si rezultat, të gjitha të dhënat u mblodhën si rezultat i intervistimit me pyetësorin e

printuar. Më pas të dhënat u hodhën në dokument excel-i, për t‟u përdorur më pas për

analizën e të dhënave;

Faza e katërt.

Shpërndarja e pyetësorit. Pyetësori u shpërnda në njësitë e TI-së në 16 institucione

publike duke përshtirë institucione qëndrore dhe institucione të varësisë. Institucionet e

përzgjedhura ishin ato institucione që kanë bazë të dhënash shtetërore të rregjistruara si

dhe institucione që ruajnë të dhëna në rang kombëtar. U morën 88 pyetërorë në

plotësuar në total (17 pyetësorë të cilat iu ishin drejtuar drejtuesve të njësive të TI- së

dhe 71 pyetësorë të plotësuar nga stafi i njësive të TI-së) nga të 16 institucionet;

Në shtojcën A ndodhen pyetësorët e përdorur në studim. Pyetësorët janë ndarë në katër

seksione. Mëposhtë po bëjmë një përshkrim të shkurtër të tyre.

i. Sfond i përgjithshëm. Ky seksion përmban pyetje të natyrës së përgjithsme

si: madhësia e organizatës; pozicioni që mban në organizatë; vjetërsia në

pozicionin aktual; ekzistencën e një njësie TI dhe buxheti specifik për TI;

qasja e menaxhimit të lartë për sigurinë e informacionit, mbështetja ose jo

menaxhimit të lartë për sigurinë e infromacionit, ekzistenca ose jo e një

buxheti specifik për sigurinë e informacionit; ekzistenca e një njësie apo

personi përgjegjës për sigurinë e informacionit; identifikimin e faktorëve për

implementimin me sukses të sigurisë së informacionit. Ky seksion ndryshon

në pyetësorin e dytë që i drejtohet stafit të njësive TI. Aty nuk përfshihen

pyetjet mbi buxhetin e TI-së dhe mbi buxhetin e sigurisë së informacionit.

Kjo pasi ky informacion disponohet i plotë vetëm nga drejtuesit e njësive të

TI-së të cilët janë përgjegjës për hartimin buxhetit të njësisë së tyre;

Elda Kuka


55

ii. Siguria e informacionit në organizatë, rregulloret, politikat, standartet. Në

këtë seksion janë 16 pyetje për të studiuar ekzistencën, përshtatshmërinë dhe

aplikimin e rregulloreve, politikave dhe standarteve të sigurisë së

informacionit në institucionet publike;

iii. Sigurimi i informacionit, mjete dhe matje; Rreziqet e Sigurise së

informacionit. Ky seksion ndahet në dy pjesë: Sigurimi i InfoSec dhe

kercënimet e InfoSec. Në pjesën e parë shqyrtohen anët e forta dhe dobësitë

e mjeteve të InfoSec (p.sh. vlerësimi i dobësive, fortësia e fjalëkalimeve,

firewall-et, kufizimet në aksesimin e internetit, update-imi i programeve,

enkriptimi, programet antivirus, siguria fizike e serverave, siguria e

pajisjeve, politikat për backup të të dhënave, si dhe raportimet e incidenteve

InfoSec). Pyetjet në pjesën e dytë kishin të bënin më kërcënimet më të

zakonshme të InfoSec;

iv. Trajnimi dhe Ngritja profesionale. Ky seksion është vendosur për të

shqyrtuar ekzistencën e ndërgjegjësimin dhe trajnimit në fushën e sigurisë së

informacionit për punonjësit, si dhe për të identifikuar metodën më të

preferuar nga punonjësit për ngritjen e tyre profesionale;

3.4 Hapat e metodologjisë së kërkimit

Kërkimi është zhvilluar në shtate hapa të paraqitura skematikisht në figurën 3.1. Secili

prej tyre do të shpjegohet me detaje mëposhtë duke përshkruar dhe metodat e kërkimit

të përdorura në secilin prej tyre.

Elda Kuka


56

Figura 3-1 Hapat e metodologjisë së kërkimit

Burimi: (Autori)

Identifikimi i pyetjeve që do të përdoren në pyetësor: Faza e parë ishte identifikimi i

pyetjeve që do të përdornim në të dy pyetësorët. Pyetjet janë zgjedhur duke u bazuar në

praktikat më të mira për sigurinë e informacionit, duke u bazuar në literaturë si dhe

pyetësorë të ngjashëm që janë përdorur në vendet në zhvillim.

Identifikimi i pyetjeve që do të

përdoren në pyetësor

Përzgjedhja e pyetjeve që do të përdorim

dhe shtimi i pyetjeve të nevojshme

Printimi i pyetësorëve

Identifikimi i institucioneve dhe

Shpërndarja e pyetësorëve

Mbledhja e pyetësoreve të

shpërndarë

Hedhja e të dhënave në dokument

excel-i për analizimën e tyre

Analizimi i të dhënave

Elda Kuka


57

Përzgjedhja e pyetjeve që do të përdorim dhe shtimi i pyetjeve të nevojshme: Në këtë

fazë disa pyetje janë modifikuar për të siguruar që të ishin të përshtatshme për të

anketuarit si dhe janë shtuar disa pyetje të tjera për të lejuar arritjen e objektivave të

kërkimit.

Printimi i pyetësorëve: Siç e përmendëm më sipër pyetësorët u shpërndarnë të printuar

si mënyra më e thjeshtë për mbledhjen e të dhënave nga personeli i institucioneve

publike.

Identifikimi i institucioneve dhe shpërndarja e pyetësorëve: Për të realizuar studimin më

pas pyetësorët u shpërndanë në njësitë e TI-së në 16 institucionet e përzgjedhura.

Shpërndarja u bë në periudhën Maj – Korrik 2017.

Mbledhja e pyetësoreve të shpërndarë: Pasi u bë shpërndarja e tyre, filloi procesi i

mbledhjes së të dhënave. Këtyre pyetësorëve iu përgjigjën vetëm 13 institucione me një

total prej 88 pyetësorësh të mbledhur, përkatësisht 17 pyetësorë nga drejtuesit e njësive

TI dhe 71 pyetësorë nga stafi i njësive TI. Mbledhja e pyetësorëve të plotësuar

përfundoi në fund të muajit Shtator 2017.

Hedhja e të dhënave në dokument excel-i për analizimin e tyre: Pyetësorët e mbledhur u

hodhën më pas në një dokument excel-i për të ndihmuar në analizën e të dhënave.

Gjithashtu ato u koduan në mënyrë që të ishin të përshtatshme për analizimin me

programin SPSS.

Analizimi i të dhënave: Të dhënat e mbledhura u analizuan me një analizë krahasuese

si dhe me anë të programit statistikor SPSS. Më poshtë përshkruhet kjo analizë në

detaje.

3.5 Analizimi i të dhënave

Analizimi i të dhënave është i nevojshëm për të kuptuar të dhënat e mbledhura dhe

përdorimin e tyre në mënyrë efiçente. Analiza e të dhënave të përftuara nga dy

pyetësorët do të na ndihmojnë të kemi një pamje më të qartë mbi sigurinë e

informacionit në administratën publike. Në këtë kërkim të dhënat e mbledhura janë

kategorizuar dhe koduar për t‟u përpunuar më pas me programin statistikor SPSS

(Statistical Package for Social Studies). SPSS mundëson që të dhënat të kodohen dhe

ruhen më menyrë fleksibël dhe efektive, si dhe ofron mjete për klasifikimin, renditjen

dhe rregullimin e informacionit. Analizimi i të dhënve dhe rezulatet e pyetësorëve do të

paraqiten me detaje në kapitullin në vazhdim.

Elda Kuka


58

3.6 Konkluzione

Në këtë kapitull kemi shpjeguar proceset dhe procedurat që janë përdorur për të

mbledhur dhe analizuar të dhënat në këtë studim, për të arritur objektivat e kërkimit. Me

anë të këtij kërkimi synojmë të analizojmë dhe të kuptojmë sigurinë e informacionit në

institucionet publike shqiptare. Ky kapitull fillon më një përshkrim mbi identifikimin e

metodologjisë që n‟a përshtatet më mirë për studimin tonë. Metoda e kërkimit

përshkrues cilësor është përzgjedhur për të arritur objektivat e kërkimit, duke përdorur

pyetësorët si mënyrë për të kuptuar më mirë problemin dhe gjetjen e zgjidhjeve të

përshtatshme. Kapitulli 4 që vijon paraqet analizën e të dhënave të mbledhura me anë të

pyetësorëve.

Elda Kuka


59

KAPITULLI IV

4 Analiza e të dhënave

4.1 Hyrje

Në këtë kapitull do të paraqesim dhe diskutojmë mbi rezulatet e praktikave të sigurisë së

informacionit në institucionet publike. Seksioni i parë i pyetësorëve përmban

informacion të përgjithshëm mbi madhësinë e organizatë, pozicionin e punës, vjetërsinë

në punë, ekzistencën e njësive të TI-së dhe buxhetit përkatës, ekzistencën e buxhetit për

sigurinë e informacionit, ekzistencën e personelit përgjegjës për sigurinë e

informacionit, përshirjen e menaxhimit të lartë në sigurinë e informacionit, qasjet për

menaxhimin e sigurisë së informacionit dhe faktorët që ata mendojnë për një siguri

informacionit të suksesshme. Seksioni i dytë ka tre pjesë të ndara në pyetje për

rregulloret, politikat dhe standartet e sigurisë në organizatë. Seksioni i tretë ka pyetje që

mbulojnë sigurinë e informacionit në organizatë, mjetet e sigurimit të informacionit dhe

matjet në organizatë si dhe rreziqet e sigurisë së informacionit. Seksioni i katërt paraqet

trainimin dhe promovimet që të anketuarit mendojnë se janë efektive për të rritur

ndërgjegjësimin dhe përgjegjësinë për sigurinë e informacionit.

Në këtë studim u përfshine 88 të anketuar nga njësitë e TI-së në institucionet publike, 17

të nivelit drejtues në këto njësi dhe 71 staf i njësive të TI-së.

4.2 Sfondi i përgjithshëm

Në figurat 4.1 dhe 4.2 paraqitet përfshirja e menaxhimit të lartë të organizatës në

sigurinë e informacionit. Shpesh siguria e informacionit trajtohet shpesh vetëm si një

çështje teknologjike, kur duhet të konsiderohet si një çështje menaxhimi. Menaxhimi i

sigurisë së informacionit është procesi i administrimit të njerëzve, politikave dhe

programeve me qëllim të sigurimit të vazhdimësisë së operacioneve duke ruajtur linjën

strategjike me misionin organizativ (Cazemier et al., 2000). Në mënyrë ideale,

aktivitetet e menaxhimit të sigurisë së informacionit duhet të nxiten nga objektivat

organizative, në mënyrë që të mos harxhohen burime për sigurinë pa një kuptim të qartë

të asaj se si mbështet misionin organizativ (Choobineh et al., 2007).Siç shohim nga

Elda Kuka


60

anketimi rezulton që menaxhimi i lartë e kupton rëndësinë e sigurisë (67% janë dakort)

dhe ofron mbështetjen e duhur (62% janë dakort). Siguria e informacionit shpesh

mendohet si një problem vetëm teknik, me të cilin duhet të merren vetëm personeli i TI-

së pasi ka njohuritë e duhura teknike. Në thelb siguria e informacionit është një problem

menaxherial që kërkon përfshirjen e të gjitha grupeve të interest të një organizatë duke

përfshirë këtu dhe menaxhimin e lartë (Whitman & Mattord 2011). Mbështetja e

menaxhimit të lartë ka rëndësi jo vetëm për planifikimin, ekzekutimin dhe qeverisjen e

vendimeve të sigurisë, por edhe për të dhënë mesazhin për komunitetet e sigurisë dhe të

interesuarit që investimet e tyre në siguri janë një e mirë dhe për ta.

Figura 4-1 Menaxhimi i lartë dhe siguria e informacionit

Burimi: (Autori)

Figura 4-2 Mbështetja e menaxhimit për sigurinë e informacionit

Burimi: (Autori)

Në figurën 4.3 paraqiten qasjet kryesore për menaxhimin e sigurisë së informacionit në

organizatë. Shohim që në 95% të rasteve ajo shihet si pjesë e një plani të TI-së, në 84%

ajo shihet e orientuar nga standartet e sigurisë dhe në 74% ka një strategji të vecantë për

menaxhimin e sigurisë së informacionit.

0%

11%

74%

21%

5%

0% 10% 20% 30% 40% 50% 60% 70% 80%

Nuk jam aspakt dakort

Nuk jam dakort

Jam dakort

Jam plotesisht dakort

Asnjeanes

A mendoni se menaxhimi i lartë e kupton si duhet rëndësinë

e sigurisë së informacionit?

0%

16%

68%

21%

5%

Nuk jam aspakt dakort

Nuk jam dakort

Jam dakort

Jam plotesisht dakort

Asnjeanes

0% 10% 20% 30% 40% 50% 60% 70% 80%

A ju ofron menaxhimi i lartë mbështjetjen e duhur per

sigurinë e informacionit?

Elda Kuka


61

Figura 4-3 Qasjet për menaxhimin e sigurisë së informacionit

Burimi: (Autori)

Në figurën 4.4 paraqiten faktorët kritikë të suksesit për menaxhimin e sigurisë së

informacionit në organizatë. Shohim që politikat dhe standartet e sigurisë së

informacionit shihen si një nga faktorët kryesorë me 84%.

Figura 4-4 Faktorët kritikë të suksesit për menaxhimin e sigurisë së informacionit

Burimi: (Autori)

Sipas Whitmann & Mattord (2011; 2012) politikat mund të quhen ndryshe një plan

veprimi që influencojnë vendimet dhe veprimet. Pra, ato janë baza për planifikimin,

menaxhimin dhe mirëmbajtjen e sigurisë së informacionit. Politikat janë ato që

74%

95%

5%

26%

21%

84%

0%

0%

Ekziston nje strategji ose program per menaxhimin e sigurise

se informacionit

Siguria menaxhohet si pjese e nje plani IT

Siguria bazohet mbi projekt

Siguria eshte e orientuar nga menaxhimi i riskut

Siguria eshte e orientuar nga menaxhimi i incidenteve

Siguria eshte e drejtuar kryesisht nga standartet e sigurise

Aplikohe qasje Ad hoc per sigurine

Tjeter (Ju lutem specifikojeni)_________________________)

Cilat jane qasjet kryesore për menaxhimin e sigurisë së

informacionit në organizatën tuaj?

37%

37%

84%

84%

37%

32%

68%

11%

26%

16%

Ndergjegjesimi

Edukimi dhe trainimi

Standartet e Sigurise se Informacionit

Politikat e sigurise se informacionit

Buxheti per sigurine e informacionit

Mbeshtjetja nga Menaxhimi i larte i organizates

Infrastruktura e sigurise

Auditimi i sigurise

Pergjegjesite e ndara te Sigurise

Struktura e organizates

Cilët mendoni se janë faktorët kritikë të suksesit për menaxhimin e

sigurisë së informacionit në organizatën tuaj?

Elda Kuka


62

udhëheqin implementimin e standarteve, të cilët nga ana e tyre udhëheqin

implementimin e praktikave, procedurave dhe udhëzimeve. Gjithashtu, 68% e të

anketuarve mendojnë që infrastruktura e sigurisë është një nga faktorët kritikë të

suksesit. Në infrastrukturën e sigurisë përfshihen si pajisjet hardware dhe programet e

ndryshme (si p.sh. firewall, antivirus, sistemi intrusion detection) që janë shumë të

rëndësishme për të plotësuar kërkesat për siguri të organizatës. Meqë shpesh siguria

mendohet si një problem teknik, zgjidhjet teknike janë shumë të përhapura për të

mbrojtur sigurinë e informacionit. Kjo shpjegon dhe pse mendohet si faktori i dytë më i

rëndësishëm. 37% mendojnë që buxheti i sigurisë dhe ndërgjegjësimi, edukimi dhe

trainimi janë faktorët e tretë për nga rëndësia. Buxheti për sigurinë është i rëndësishëm

për implementimin me sukses të çdo aktiviteti të sigurisë. Ai ndikon dhe faktorët e tjerë

si politikat, standartet, infrastrukturën dhe edukimin e trainimin. Pa mbështetje

buxhetore shohim që asnje nga këta faktorë nuk mund të implementohet saktësisht.

Trainimi dhe ndërgjegjësimi janë një faktor tjetër i rëndësishëm. Punonjësve, në

sigurinë e informacionit shpesh u referohemi si hallka më e dobët e organizatës, që

mund të shndërrohen në një target shumë të lehtë për hakerat. Trainimi bazë për të

gjithë dhe trajnimi i shtuar sipas pozicionit të veçantë të përdoruesve është një zgjidhje

alternative (Mitnick & Simon, 2005).Trainimi dhe ndërgjegjësismi ndihmon dhe

mbështet përdoruesit për të mos u bërë hallka me e dobët, si dhe kthehet në një faktor

pozitiv për të luftuar kërcënimet e sigurisë. 32% vlerësojnë mbështetjen e menaxhimit të

lartë. Siç e përmendëm më lart mbështetja e menaxhimit të lartë ka rëndësi jo vetëm për

planifikimin, ekzekutimin dhe qeverisjen e vendimeve të siguisë, por edhe për të dhënë

mesazhin për komunitetet e sigurisë dhe të interesuarit që investimet e tyre në siguri

janë një e mirë dhe për ta.

Në figurën 4.5 shohim që 79% e të anketuarve pohojnë që kanë një njësi përgjegjëse për

TI-në në institucionet e tyre, vetëm 6% pohojnë që kanë sektor, një strukturë e cila

zakonisht është në varësi të një njësie mbështetëse. Duke qenë se të gjitha organizatat

kanë informacione sensitive është e rëndësishme që departamentet që procesojnë

skedarë të rëndësishëm duhet të koordinojnë më departmentin e TI-së për të siguruar që

të gjitha masat për mbrojtjen aplikohen sic duhet (Purser 2004).

Elda Kuka


63

Figura 4-5 Njësitë përgjegjëse të TI-së

Burimi: (Autori)

Figura 4.6 paraqet se 59% e institucioneve të të anketuarve kanë një buxhet specifik për

TI-në. Duke qenë se shpenzimet për infrastrukturën e TI-së shkojmë më shumë se 58%

e buxhetit tipik të një organizate (Byrd & Turner 2000) është shumë e rëndësishme që

organizatat të kenë një buxhet specifik për TI-në.

Figura 4-6 Buxheti për TI-në

Burimi: (Autori)

Figura 4.7 paraqet mungesën e një buxheti specifik për sigurinë e informacionit në 53%

të institucioneve. 29% janë nuk ishin të sigurtë nëse kishin një buxhet specifik dhe 18%

konfirmuan se kishin një buxhet për sigurinë e informacionit. Megjithatë këto gjetje

nuk mund t‟i konsiderojmë plotësisht negative sepse një organizatë mund të varet nga

InfoSec dhe e merr atë seriozisht, pavarësisht mungesës së një buxheti specifik. Ky

buxhet mund të jetë pjesë e buxhetit të TI-së.

6%

79%

15%

A ka organizata juaj një njësi përgjegjëse për TI-në?

Departament Drejtori Sektor

29%

59%

12%

A ka organizata juaj nje buxhet specifik për TI?

Nuk e di Po Jo

Elda Kuka


64

Figura 4-7 Buxheti për Sigurinë e Informacionit

Burimi: (Autori)

Figura 4.8 tregon se 60% e të anketuarve nuk kanë një njësi më vete përgjegjëse për

sigurinë e informacionit, por Figura 4.9 tregon se 83% të anketuarve kanë kthyer

përgjigje positive përsa i përket ekzistencës së një personi përgjegjës për sigurinë e

informacionit në organizatë, 11% nuk ishin të sigurtë dhe 6% nuk kishin person

përgjegjës. Për këto të fundit kjo mund të përbëjë një rrezik. Personeli përgjegjës për

sigurinë e informacionit duhet për të vlerësuar, menaxhuar dhe implementuar masat e

sigursë në një organizatë. Panko sugjeron që parimi i roleve të qartë duhet të krijohet

për hartimin ose auditimin e operacioneve të sigurisë (Panko, 2008).

Figura 4-8 Ekzistenca e njësisë së ndarë për sigurinë e informacionit

Burimi: (Autori)

Në diskutimin me të dhënat e Figurës 4.8, sugjeruam se praktikat e InfoSec mund të

jenë të mira edhe pse më shume se 53% e institucioneve nuk kishin buxhet për InfoSec

29%

18%

53%

A ka organizata juaj një buxhet specifik për Sigurinë e

Informacionit?

Nuk e di Po Jo

40%

60%

A ka në organizatën tuaj njësi përgjegjëse të ndarë nga

njësia e TI-së për sigurinë e informacionit?

Po Jo

Elda Kuka


65

ose nuk ishin të sigurtë nëse kishin buxhet. Qartësisht nëse 83% kanë personel

përgjegjës për sigurinë e informacionit, praktikat e tyre përsëri mund të jenë të mira dhe

pse nuk kanë buxhet specifik.

Figura 4-9 Ekzistenca e personit përgjegjës për sigurinë e informacionit

(Autori)

4.3 Rregulloret, Politikat dhe Standartet e Sigurisë në Organizatë

Ligjet dhe rregulloret i detyrojnë organizatat që të merren me sigurinë e informacionit

dhe të mos e anashkalojnë atë. Standartet zakonisht ofrojnë udhëzime sesi duhet të

adresohen më mirë çështjet e sigurisë se informacionit. Politikat janë implementime të

rregulloreve ose standarteve, megjithëse mund të ketë organizata që kanë politika që

nuk janë të bazuara në rregullore apo standarte. Këto mund të jenë më mirë se asgje, por

mund të mos jenë shumë efektive. Komponentët final në këtë proces janë procesi i

vlerësimit të riskut dhe zbatimi i politikave. Edhe pse nje organizatë mund të ketë një

politikë gjithpërfshirëse, ajo do të jetë e padobishme nëse nuk zbatohet duke u bazuar në

një vlerësim korrekt risku.

4.3.1 Rregullohet e Sigurisë së Informacionit në Organizatë

Siç shohim nga figura 4.10, 90% e organizatave aplikojnë rregullore për sigurinë e

informacionit. Gjithashtu në Shqipëri është miratuar ligji për mbrojtjen e të dhënave

personale duke bërë që së bashku me rregulloret e aplikuara në organizatë të rrisin

nivelin e sigurinë së informacionit.

11%

83%

6%

A ka në organizatën tuaj të paktën një person i cili është i

përgjegjës per sigurinë e informacionit?

Nuk e di Po Jo

Elda Kuka


66

Figura 4-10 Rregulloret për sigurinë e informacionit

Burimi: (Autori)

Figura 4.11 tegon se 58% e punonjësve e vlerësojnë rregulloren si cilësore, 26.1% janë

plotësisht dakort. Një numër prej 16% të ndarë përkatësisht 8% nuk janë dakort dhe 8%

nuk shprehin një mendim. Kjo tregon që implementimi i rregullores është i kënaqshëm

dhe me objektiva të qarta dhe të realizueshme.

Figura 4-11 Cilësia e rregullores

Burimi: (Autori)

Gjithashtu rezultatet e paraqitura në figurat 4.12 dhe 4.13 mbështesin pohimin e bërë në

figurën 4.11, që rregullorja është implementuar mirë dhe zbatohet në mënyrë rigoroze.

Kjo është shumë e rëndësishme në këndvështrimin e sigurisë së informacionit.

3%

90%

7%

A aplikon organizata juaj ndonjë mbrojtje për të

dhënat apo rregullore për sigurinë e informacionit?

Nuk e di Po Jo

2.3

5.7

58.0

26.1

8.0

Nuk jam aspak dakort

Nuk jam dakort

Jam dakort

Jam plotësisht dakort

Nuk aplikohet

Rregullorja është cilësore

Elda Kuka


67

Figura 4-12 Përshtatshmëria e rregullores

Burimi: (Autori)

Figura 4-13 Zbatueshmëria e rregullores

Burimi: (Autori)

4.3.2 Standartet e Sigurisë në Organizatë

Në figurën 4.14 paraqiten rezultatet mbi aplikimin e standarteve të Sigurisë së

Infomacionit. 56% e të anketuarve tregojnë se nuk kanë të aplikuar asnjë standart të

sigurisë së informaionit dhe 44% kanë aplikuar të paktën një nga standartet e sigurisë së

informacionit. Përqindja e e ulët për aplikimin e standarteve do të konsiderohet një

faktor risku për organizatat.

1.1

4.5

70.5

15.9

8.0


Nuk jam dakort

Jam dakort


Nuk aplikohet

Rregullorja është e përshtatshme dhe

gjithëpërfshirëse

2.3

6.8

60.2

21.6

9.1


Nuk jam dakort

Jam dakort


Nuk aplikohet

Rregullorja është e zbatueshme (ka fuqi vepruese)

Elda Kuka


68

Figura 4-14 Ekzistenca e standarteve të sigurisë

Burimi: (Autori)

Figura 4.15 tregon se 60% e atyre që nuk kanë aplikuar standarte të sigurisë së

informacionit, ka në plan në të ardhmen të aplikojë standarte të sigurisë së

informacionit, 36% nuk janë në gjendje të shprehen nëse në organizatën e tyre do të

aplikohen standarte në të ardhmen, ndërsa 3% shprehen se nuk do të aplikojnë standart.

Figura 4-15 Aplikimi i standarteve në të ardhmen

Burimi: (Autori)

Figura 4.16 jep perceptimin e sigurisë pas aplikimit të standarteve të sigurisë në

organizatë. Shohim se 48.9 %, shprehen se ndihen të siguritë pas aplikimit të

standarteve të sigurisë, 26.1% ndihen “disi” të sigurtë, 20.5% nuk ishin në gjendje të

shprehnin një ndjesi dhe vetëm 4.5% nuk ndiheshin më të sigurtë pas aplikimit të

standarteve të sigurisë.

44%

56%

A aplikon organizata juaj ndonjë standart të Sigurisë

së informacionit?

Po Jo

36%

61%

3%

A ka në plan organizata juaj të aplikojë standarte të

sigurisë së informacionit në të ardhmen?

Nuk e di Po Jo

Elda Kuka


69

Figura 4-16 Ndjesia e sigurisë pas aplikimit të standarteve

Burimi: (Autori)

Figura 4.17 paraqet perceptimin për ekzistencën e personit përgjegjës për zbatimin si

duhet të standarteve. 36% janë shprehen së në organizatën e tyre nuk ka person

përgjegjës për zbatimin e standarteve, 22% nuk janë në gjendje të shprehin ndonjë

mendim dhe 42% shprehen se kanë person përgjegjës për zbatimin e standarteve.

Figura 4-17 Ekzistenca e një personi përgjegjës për standartet e sigurisë

(Autori)

Është e qartë që në organizata ka një zbatim të ulët të standarteve të sigurisë, por

organizatat mund të zhvillojnë politika edhe në mungesë të standarteve. Megjithate

qëndron rreziku që këto politika mund të jenë ad hoc. Në seksionin që vijon do të

diskutojmë mbi politikat në organizatë.

48.9

4.5

26.1

20.5

0.0 10.0 20.0 30.0 40.0 50.0 60.0

Po

Jo

Disi

Nuk e di

A ndiheni më të sigurte pas aplikimit të standarteve të

sigurisë së informacionit?

36%

42%

22%

A ka ndonjë person përgjegjës në organizatën tuaj për

t’u siguruar që standartet janë përshtatur si duhet?

Nuk e di Po Jo

Elda Kuka


70

4.3.3 Politikat e Sigurisë së Informacionit në organizatë.

Në figurën 4.18 tregohet ekzistenca e politikës së sigurisë së informacionit në

organizatë. Shohim që 81% e të anketuarve janë përgjigjur pozitivisht për ekzistencën e

një politike të sigurisë, 2% janë shprehur që nuk kanë dhe 15% nuk kanë shprehur një

mendim. Ekzistenca e politikës së sigurisë së informacionit është pozitive pasi ajo është

baza që mbështet sigurinë e informacionit në organizatë.

Figura 4-18 Ekzistenca e politikës së sigurisë

Burimi: (Autori)

Për të përcaktuar efektivitetin e politikës duhet të dimë nëse ajo zbatohet si duhet. Në

figurën 4.19 shohim se 77% janë shprehur se politika e sigurisë zbatohet si duhet, që

nënkupton që ajo është planifikuar mirë.

Figura 4-19 Zbatueshmëria e politikës së sigurisë

Burimi: (Autori)

15%

83%

2%

A ka organizata juaj një politikë të sigurisë së

informacionit?

Nuk e di Po Jo

21%

77%

2%

Nëse ka një politikë të sigurisë së informacionit, a e

zbaton atë organizata juaj?

Nuk e di Po Jo

Elda Kuka


71

Në Figurën 4.20 paraqitet ekzistenca e një procesi të vlerësimit të riskut. Shohim që

58% janë përgjigjur që nuk kanë një process të vlerësimit të riskut, 33% që kane dhe 9%

nuk kanë shprehur një mendim.

Figura 4-20 Procesi i vlerësimit të riskut

Burimi: (Autori)

Pra, megjithëse ekziston një politikë e sigurisë së informacionit, 58% e më shumë (nëse

marrim parasysh dhe ata që nuk janë shprehur) nuk kanë një process të vlerësimit të

riskut, pra edhe pse politika ekziston mund të jetë duke mbrojtur jo në mënyrën e duhur

të dhënat. Ky nivel i ulët i praktikës mbi procesin e vlerësimit të riskut, mund të rrisë

rreziqet dhe të shkaktojë probleme të tjera të sigurisë së informacionit për asetet e

organizatës. Seksioni që vijon paraqet sigurimin e informacionit në organizatë.

4.4 Sigurimi i Informacionit (Rreziqet e sigurisë së informacionit)

Në këtë seksion do të dikutojmë mbi procedurat e sigurimit të informacionit, mjetet dhe

matjet në organizatë duke përfshirë: menaxhimin e llogarive të përdoruesve, ekzistencën

e politikës backup, ekzistencen e një plani për përgjigje ngdaj incidenteve, vlerësimin e

dobësive, praktikat e fjalëkalimeve, autentikimin me dy faktorë, firewall-et, kufizimet e

përdorimit të Internetit, update-imi i programeve, programet antivirus, programet për

intrusion detection, enkriptimi, mbrojtja e sigurisë fizike të dhomës së serverave,

kufizime per përdorimin e pajisjeve dhe trainimi i punonjësve.

Figura 4.21 tregon se 93% kanë procedura për krijimin dhe menaxhimin e llogarive të

përdoruesve. Këto procedura ndihmojnë në sigurinë e informacionit, pasi bëjnë

ndryshimet e nevojshme në llogaritë e përdoruesve sipas lëvizjeve të burimeve

njerëzore në parimin need-to-know.

33%

58%

9%

A ka organizata juaj një proces të vlerësimit të

riskut?

Po Jo Nuk e di

Elda Kuka


72

Figura 4-21 Procedura për krijimin dhe menaxhimin e llogarive të përdoruesve

Burimi: (Autori)

Figura 4.22 tregon se 95% janë përgjigjur pozitivish se kane procedura për backup dhe

recovery të të dhënave. Kjo është shumë e rëndësishme sepse dokumenta të

rëndësishme mund të fshihen aksidentalisht, të dhëna kritike të sistemit mund të

korruptohen dhe fatkeqësi natyrore mund të ndodhin. Me një plan të mirë backup dhe

recovery, organizatat mund të rikuperojnë proceset e tyre të punës shpejt nga secili prej

këtyre kërcënimeve.

Figura 4-22 Politikë për backup dhe recovery të të dhënave

Burimi: (Autori)

Figura 4.23 tregon se 48% janë përgjigjur pozitivisht për ekzistencën e një plani të

përgjigjes ndaj incidenteve. Megjithatë kjo përgjigje është shumë më e ulë se ata që

kanë një politikë për backup dhe recovery të të dhënave, që tregon se ka një focus më të

shtuar në parandalim sesa në raportim.

93%

7%

A keni procedura për krijimin dhe menaxhimin e

llogarive të përdoruesve?

Po Jo

95%

5%

A ka organizata juaj nje politikë për backup dhe

recovery të të dhënave?

Po Jo

Elda Kuka


73

Figura 4-23 Plan të përgjigjes ndaj incidentet

Burimi: (Autori)

4.4.1 Mjete dhe matje në organizatë

Figura 4.24 tregon sesa efektive eshte vlerësimi i dobësive në organizatë. Vlerësimet më

të zakonshme përfshijnë skanimin e dobësive, vlerësimin e dobësive dhe testet e

pentrimit, si dhe vlerësimin e aplikacioneve. Siç shohim 38% tregojnë se nuk ka një

vlerësim të dobësive në organizatë, 20% nuk kanë dhënë një mendim, 20% mendojnë se

është „i dobët‟ dhe 7% se është „shumë i dobët‟. Vetëm 9% mendojnë së është „shumë i

mirë‟ dhe 6% se është „i mirë‟. Një pyetje e paraqitur në seksionin me lartë tregoi se

33% kanë një process të vlerësimit të riskut. Figura 4.20 tregon se 15% e organizatave

kanë vlerësim të dobësive „të pranueshëm‟ (të mirë ose shumë të mire). Vlerësimet e

dobësive janë një aspekt shumë i rënësishëm i sigurisë së informacionit, pasi u

mundësojnë adminitratorëve të sistemeve, të përcaktojnë, monitorojnë dhe menaxhojnë

aktivitete për të adresuar dobësitë e sistemit.

Figura 4-24 Vlerësimi i Dobësive

Burimi: (Autori)

48%52%

A ka organizata juaj një plan të përgjigjes ndaj

incidentet?

Po Jo

5.7

6.8

20.5

20.5

37.5

9.1

nuk ekziston

shumë i dobët

I dobët

asnjëanës

I mirë

shumë i mirë

0.0 5.0 10.0 15.0 20.0 25.0 30.0 35.0 40.0

Sa efektive mendoni se është Vlerësimi i Dobësive

që kryhet në organizatën tuaj?

Elda Kuka


74

Figura 4.25 tregon se për 45% praktikat e vendosjes së fjalëkalimeve janë të mira, 30%

janë shume të mira, 15% nuk kanë shprehur mendim, dhe vetëm 4% dhe 6% kanë

shprehur përkatësisht shumë i dobët dhe i dobët. Këto praktika tregojnë përpjekjen e

bërë nga përdoruesit për të rritur sigurinë e informacionit në organizatë, nisur edhe nga

vullneti i tyre për të përdorur fjalëkalime që janë të fortë, si një nga mjetet e

rëndësishme për mbrotjen e informacionit.

Figura 4-25 Procesi/praktika e vendosjes së fjalëkalimeve

Burimi: (Autori)

Figura 4.26 tregon që 74% nuk e përdorin fare autentikimin me dy faktorë, 20% e

përdorin dhe 6% nuk kanë një mendim. Autentikimi me dy faktorë është praktika më e

ulët e përdorur deri tani, kjo sepse është një praktikë shumë e sofistikuar dhe kërkon

pajisje hardware dhe software specifikë duke çuar në rritje të shpenzimeve.

Figura 4-26 Autentikimi me dy faktorë

Burimi: (Autori)

Në figurën 4.27 paraqiten rezultatet mbi sistemin firewall, i cili është një nga elementet

më të rëndësishëm në sigurinë e informacionit.Në vlerësimin e bërë shohim se 49.3% e

4.5

5.7

14.8

45.5

29.5

shumë i dobët

I dobët

asnjëanës

I mirë

shumë i mirë

0.0 10.0 20.0 30.0 40.0 50.0

Sa i sigurtë është procesi/praktika e vendosjes së

fjalëkalimeve në organizatën tuaj?

6%

20%

74%

A e implementon organizata juaj autentikimin me

dy faktorë ?

Nuk e di Po Jo

Elda Kuka


75

vlerësojnë „të mirë”, sistemin firewall të përdorur, 32.4% e vlerësojnë si „shumë të mirë‟

dhe 11.3% janë asnjëanës në vlerësimin e tyrë. Vetëm 7% e vlerësojnë sistemin firewall

si të dobët dhe shumë të dobët. Mund të themi se sistemi firewall ka marrë një nga

vlerësimet më të larta deri tani (nëse i marrin në konsideratë në total vlerësimet mirë

dhe shumë mirë), kjo ndoshta sepse nuk varet nga sjellja e përdoruesve.

Figura 4-27 Siguria e sistemit Firewall

Burimi: (Autori)

Në figurën 4.28 paraqiten rezulatet mbi rregullat që kufizojnë lidhjet e internetit me

wireless. Shohim që 58% (28.2% e kanë vlerësuar shumë mirë dhe 31% e kanë

vlerësuar mirë), kanë rregulla strikte për të kufizuar punonjësit në aksesimin e internetit

me wireless, 12.7% nuk kanë shprehur në mendim, në 16.9% nuk ka rrjet wireless në

organizatat e tyre. Këto tregojnë se masat e sigurisë së informacionit në lidhje me

aksesin e internetit nëpërmjet wireless janë relativisht strikte.

Figura 4-28 Rregullat e aksesit për rrjetin wireless

Burimi: (Autori)

1.4

5.6

11.3

49.3

32.4

shumë i dobët

I dobët

asnjëanës

I mirë

shumë i mirë

Sa i sigurtë është sistemi i Firewall-it në

organizatën tuaj për të mbrojtur serverat nga

ndërhyrjet e jashtme?

16.9

2.8

8.5

12.7

31.0

28.2

nuk ekziston

shumë i dobët

I dobët

asnjëanës

I mirë

shumë i mirë

Nëse organizata juaj ka lidhje internet me wireless, sa

strikte janë rregullat e aksesit që të lejojnë vetëm

punonjësit për të aksesuar këtë rrjet wireless?

Elda Kuka


76

Në figurën 4.29 paraqiten rregullat për aksesimin e faqeve ne internet. Politikat

kufizuese për aksesimin e faqeve web specifike zakomisht përdorin një bazë të dhënash

që përmban faqet web të ndaluara për t‟u aksesuar brenda organizatës (Li & Li 2011).

Në figurën 4.25 shohim se 56% (29.6% mendojnë se rregullat janë shumë të mira dhe

25.4% mendojnë se rregullat janë të mira) i vlerësojnë këto rregulla. Një numër

relativisht i lartë prej 31% kanë preferuar të mos shprehen fare.

Figura 4-29 Rregullat për të aksesuar vetëm faqet Internet të nevojshme

Burimi: (Autori)

Në figurën 4.30 paraqiten rezultatet në lidhje me përditësimin e sistemeve të

shfrytëzimit dhe programeve që përdoren në organizatë. Sistemet e shfrytëzimit dhe

aplikacionet software kanë përditësime periodike të rregullta. Një pjesë e këtyre

përditësimeve ofrohen për të përmirësuar funksionalitetin, ndërsa disa të tjera lidhen me

sigurinë, duke e bërë shumë të rëndësishme instalimin e tyre në momentin që ato

ofrohen të gatshme (Thmpson & Thompson 2006). Nga figura 4.30 shohim se 50.7%

bën përditësim vetën një herë në vit. 22.5% bejnë përditësim cdo muaj, 11.3% bëjnë

përditësim cdo tre muaj, 7% nuk bëjnë asnjëherë përditësim. Shohim se vetëm 43%

bëjnë përditësime të shpeshta dhe 57% bëjnë përditësime shumë rralle (1 herë në vit ose

anjeherë) duke bërë që organizata të ketë sistemi shfrytëzimi dhe programe të cilat nuk

janë të përditësuar dhe të përbëjnë rrezik të shtuar.

1.4

12.7

31.0

25.4

29.6

nuk ekziston

I dobët

asnjëanës

I mirë

shumë i mirë

Nëse organizata juaj ka lidhje internet, sa strikte janë

rregullat për të aksesuar vetëm faqet e nevojshme për

kryerjen e punës nga punonjësit?

Elda Kuka


77

Figura 4-30 Përditësimi i sistemeve te shfrytëzimit

Burimi: (Autori)

Në figurën 4.31 paraqitet sesa i fortë është programi antivirus në organizatë. Programi

antivirus është një element i rëndësishëm në sigurinë e informacionit sepse shërben si

një linjë e fortë mbrojtjeje, në gjendje të zbulojë dhe të heqë vuriset përpara se ata të

dëmtojnë sistemin dhe të dhënat e ruajtura në të (Ferguson 2005). Në figurën 4.30

tregohet se vlerësimi për fortësinë e programit antivirus është 80% shumë i fortë ose i

fortë. Një nga praktikat më të vlerësuara.

Figura 4-31 Fortësia e programit antivirus

Burimi: (Autori)

Figura 4.32 paraqet efektivitetin e enkriptimit të të dhënave të rëndësishme në

organizatë. Teknikat e enkriptimit dhe dekriptimit të të dhënave janë përdorur nga

profesionistët e sigurisë për të mbajtur informacionin të sigurtë bazuar në parimin

“security through obscurity” (Stewart et al. 2011). Në figurën 4.32 shohim që rezulatet

2.8

5.6

22.5

11.3

50.7

7.0

Çdo ditë

Çdo javë

Çdo muaj

Çdo tre muaj

Çdo vit

Asnjëherë

A i përditëson sistemet e shfrytëzimit dhe paketat e

programeve organizata juaj me përditësimet më të

fundit?

1.4

4.2

7.0

7.0

43.7

36.6

nuk ekziston

shumë i dobët

I dobët

asnjëanës

I fortë

shumë i fortë

Sa i fortë është program antivirus në organizatën

tuaj?

Elda Kuka


78

tregojnë se 56.4% e vlersojnë si shumë mirë dhe mirë. Megjithatë mbetet i lartë 44.6%

numri i atyrë që nuk shprehin një mendim apo e vlerësojnë dobët dhe shumë dobët.

Figura 4-32 Efektiviteti i enkriptimit të të dhënave

Burimi: (Autori)

Figura 4.33 paraqet të dhënat mbi sigurinë fizike të dhomave të serverave. Siguria fizike

e dhomave të serverave është e rëndësishme në ruajtjen e sigurisë së informacionit. Ajo

përfshin aksesin nga personeli, ruajtjen, ftohjen, energjinë elektrike në raste të

emergjencës, mbrojtjen nga lagështira dhe zjarri. Rezulatet tregojnë se 62% i plotësojnë

këto kushte kurse 38% janë shprehur asnjëanës ose nuk i plotësojnë këto kushte.

Figura 4-33 Siguria fizike e dhomave te serverave

Burimi: (Autori)

5.6

4.2

9.9

23.9

28.2

28.2

nuk ekziston

shumë i dobët

I dobët

asnjëanës

I mirë

shumë i mirë

Sa efektive është enkriptimi i të dhënave të

rëndësishme të organizatës tuaj?

4.2

2.8

8.5

22.5

32.4

29.6

nuk ekziston

shumë i dobët

I dobët

asnjëanës

I mirë

shumë i mirë

Sa e sigurtë është dhoma e serverave nga ana e

sigurisë fizike (psh. PIN, Biometrikë etj.)?

Elda Kuka


79

Figura 4.34 paraqet kufizimin e pajisjeve të jashtme në organizatë. Dimë që pasjisje të

tilla si kujtesat USB janë mbartës të programeve malware apo të kuajve të Trojës, të

cilët mund të kompromentojnë një sistem kompjuterik. Kufizimi i këtyre pajisjeve është

thelbësor për të moslejuar infektimet me malware ose dhe vjedhjen e informacioneve

konfidenciale të organizatës. Shohim që 42.2% janë përgjigjur që ka kufizime për

përdorimin e pasjisjeve të jashmte. Megjithatë ky numër është i vogël duke patur

parasysh se 58% nuk përdorin kufizime ose ato janë të dobëta. Pra, është e vështirë për

të kontrolluar përdoruesit fundorë. Duke u bazuar dhe tek vlerësimi i munguar i

dobësive mund të themi që organizata nuk është ndërgjegjësuar për rreziqet që ato

sjellin.

Figura 4-34 Kufizimi i përdorimit te pasjisjeve si CD/DVD dhe kujtesave USB

Burimi: (Autori)

Figura 4.35 tregon se nuk ofrohen trainime të veçanta apo programe ndërgjegjësimi

(60%) në lidhje më sigurinë e informacionit. Mungesa e këtyre trainimeve mund të jetë

një nga arsyet për praktika jo të mira në disa nga pyetjet e mësipërme. Nevojitet një

trainim i përshtatshëm për punonjësit në lidhje me sigurinë e informacionit i akumuluar

në tre pjesë: ndërgjegjësimi i sigurisë, përgjegjësia dhe vetë-mbrojtja (Panko, 2008).

Trajnimi bazë për të gjithë dhe trajnimi i shtuar sipas pozicionit të veçantë të

përdoruesve është një zgjidhje alternative e (Mitnick & Simon 2005)

23.9

7.0

8.5

18.3

21.1

21.1

nuk ekziston

kufizim shumë i dobët

I dobët

asnjëanës

kufizim i mirë

kufizim shumë i mirë

Sa i kufizon organizata juaj punonjësit në

përdorimin e pasjisjeve si CD/DVD dhe kujtesave

USB?

Elda Kuka


80

Figura 4-35 Trainime të vecanta apo programe për ndërgjegjesimin

Burimi: (Autori)

Në figurë 4.36 paraqitet plane për të marrë certifikime në sigurinë e informacionit.

Shohim se 44% nuk kanë në plan të marrin certifikime në sigurinë e informacionit, 34%

kanë në plan por nuk e dinë se kur, 17% do të marrin brenda 12 muajve dhe 7% brenda

3 dhe 10 viteve. Ka një numër në rritje të programeve të ndryshme të fokusuar në

sigurinë e informacioni që reflekton rëndësinë e certifikimeve në këtë fushë, sidomos

për ata që janë të punësuar në pozicione IT.

Fig 4-36 Certifikime në sigurinë e Informacionit

Burimi: (Autori)

36%

60%

4%

A iu ofron organizata juaj punonjësve trainime të

vecanta apo programe për ndërgjegjesismin mbi


Po Jo Nuk e di

17%

4%

3%

34%

44%

Po brenda 12 muajve të ardhshëm

Po brenda 3 viteve të ardhshëm

Po brenda 10 viteve të ardhshëm

Po, por nuk jam i sigurte se kur

Jo

A keni në plan të merrni certifikime në sigurinë e

Informacionit?

Elda Kuka


81

4.4.2 Rreziqet e informacionit në organizatë

Në këtë seksion do të diskutojmë rreziqet si sulmet, vandalizmin dhe kërcënimet.

Figura 4.37 tregon se 57% e sistemeve kane rënë nga sulmet e viruseve, 13% mendojnë

që nuk kanë pësuar rënie të sistemeve për shkak të viruseve dhe 30% nuk shprehen.

Shembulli me tipik i një sulmi me virus që mund të shkaktojë problem serioze eshtë një

virus i bashkëngjitur një emaili. Sapo ai të hapet, virusi to të replikojë veten e tij në të

gjithë kompjuterat e rrjetit duke bllokuar serverat me email spam të gjeneruar nga virusi

(Smith 2012). Shqetësues mbetet fakti që një numër i madh i të anketuarve janë

shprehur se “nuk e di”-në nëse kanë rënë apo jo pre e sulmeve me kode malware.

Figura 4-37 Rënia e sistemeve të informacionit për shkak të viruseve komjuterike

Burimi: (Autori)

Figura 4.38 paraqet sulmet nga hakerat të faqes web. Shohim se 41% kanë pësuar një

sulm nga hakerat, 31% nuk kane pësuar sulm dhe 28% nuk japin një përgjigje. Kjo

është e kuptueshme pasi një pjesë e mirë e organizatave nuk raportojnë kur faqja e tyre

është sulmuar, përveç rasteve kur kjo bëhet publike në media.

13%

57%

30%

A kanë rënë ndonjëherë sistemet e informacionit në

organizatën tuaj për shkak të viruseve komjuterike?

Jo Po Nuk e di

Elda Kuka


82

Figura 4-38 Subjekt i sulmit nga hakerat faqja web

Burimi: (Autori)

Figura 4.39 paraqet sulmet e hakerave ndaj sistemeve të informacionit. Shohim se 42%

janë shprehur që nuk kanë qenë objekt i një sulmi të tillë, 25% janë përgjigjur që

sistemet e organizatës kanë qene objekt i një sulmi, kurse 33% nuk janë shprehur.

Hakerimi në fillimet e veta është përdorur si mjet për të zbuluar dobësitë me qëllim

përmirësimin e tyre. Sot hakerat ekspertë mund të hyjnë në system të vjedhin të dhënat

dhe të mbulojnë gjurmët e tyre.

Figura 4-39 Sulme të hakerave mbi sistemet e informacionit

Burimi: (Autori)

Në figurën 4.40 paraqiten rreziqet nga të cilat ka qenë e rrezikuar organizata. Shohim që

34.5% nuk janë shprehur në lidhje me këto rreziqe, 27.6% janë vandalizëm i faqe web (i

shfaqur në analizën më lart), infektimet më kode malware janë në vlerën 26.4% (i

shfaqur dhe në analizën më lart), 13.8% kanë qenë sulme denial of service. Shqetësuese

në këto rezultate është niveli i paqartësisë për këto sulme përkatësish 34.5% nuk janë

shprehur dhe 16.1 se nuk kanë qënë të ekspozuar ndaj asnjë risku.

28%

41%

31%

A ka qenë subjekt i sulmit nga hakerat faqja web e

organizatës tuaj?

Nuk e di Po Jo

33%

25%

42%

A kanë qenë subjekt i sulmeve të hakerave sistemet

e informacionit në organizatën tuaj?

Nuk e di Po Jo

Elda Kuka


83

Figura 4-40 Rreziqet në organizatë

Burimi: (Autori)

4.5 Preferencat e promovimit

Nga të dhënat e paraqitura është e qartë nevoja për të rritur nivelin e praktikave të

sigurisë së informacionit. Rritja e nivelit të praktikave mund të ulë rreziqet dhe të rrisë

efiçencën e sistemeve të informacionit. Në këtë seksion do të shohim mekanizmat për të

rritur këto praktika ndërgjegjësimi.

Në figurën 4.41 paraqiten sfidat për aplikimin e standarteve. Shohim që sfida më e

madhe është mungesa e buxhetit në vlerën 44%, 35.7% kanë preferuar të mos shprehen

dhe 29.8% paraqesin si sfidë mungesën e burimeve njerëzore të kualifikuar.

Implementimi i standarteve të sigurisë së informacionit në organizatë është i kufizuar

nga sfida të natyrën njerëzore, organizacionale dhe teknike (Werlinger et al. 2007).

13.8%

6.9%

3.4%

2.3%

27.6%

8.0%

26.4%

8.0%

6.9%

16.1%

34.5%

0.0%

sulme denial of service

sulme brute force

vjedhje e të dhënave të klientëve/qytetarëve

vjedhje e kompjuterave/laptopëve/pajisjeve mobile

vandalizëm i faqes web

ransomëare

infektime me trojan/malëare

akses i paautorizuar i informacionit nga përdorues të jashtëm

akses i paautorizuar i informaciont nga përdorues të …

asnjë risk

nuk e di

tjeter

Ndaj cilave rreziqe ka qene e ekspozuar organizata juaj?

Elda Kuka


84

Figura 4-41 Sfidat për aplikimin e standarteve

Burimi: (Autori)

Në figurën 4.42 paraqiten pengesat për marrjen e certifikimeve në siguri informacioni.

Shohim se 43.2% paraqesin si pengesë tarifën e lartë, 31.8% nuk kanë preferuar të

shprehen, 21.6 paraqesin si pengesë kohën e pamjaftueshme për të studiuar, 12.5%

paraqesin si pengesë rrugën e paqartë në karrierë, 28.4% kanë zgjedhur arsye të tjera,

por nuk i kanë paraqitur ato. Në organizatat private vitet e fundit janë rritur buxhetet për

trainime dhe certifikime në sigurinë e informacioni (Ayoub 2011).

Figura 4-42 Pengesat e hasura për marrjen e certifikimeve në Siguri Informacioni

(Autori)

Në figurën 4.43 janë paraqitur benefitet që do të dhëshironin punonjësit të përfitonin

nga organizata për të marrë certifikim në siguri informacioni. Shohim se 42% janë

shprehur se do të donin një Fond për Certifikimin me kontratë, 34.1% do të dëshironin

44.0%

29.8%

35.7%

4.8%

Nuk ka buxhet për t‟a bërë këtë

Mungesa e burimeve njerëzore të kualifikuar

në siguri informacioni

Nuk e di

Tjeter

Cilat mendoni se jane sfidat per aplikimin e standarteve?

43.2%

21.6%

6.8%

4.5%

12.5%

6.8%

31.8%

28.4%

tarifë e lartë

kohë e pamjaftueshme për të studiuar

udhëheqje e pamjaftueshme në provim

e pamundur të marrësh infromacion në lidhje …

rrugë e paqartë në karrierë

mungesë udhëheqje në progresin e karrierës

nuk aplikohet

tjeter

Cilat jane pengesat e hasura per marrjen e certifikimeve ne Siguri

Informacioni?

Elda Kuka


85

leje nga puna për studim, 27.3% do të donin një Fond për Certifikimin pa kontratë dhe

22.7% nuk jane shprehur (ndoshta nuk dëshirojnë të marrin një certifikim në siguri).

Figura 4-43 Përfitimet për të marrë certifikim ne Siguri Informacioni

Burimi: (Autori)

4.6 Konkluzione

Në këtë studim u përgjigjën 88 persona pjesë e njësive të TI-së në institucionet publike.

Interesant është fakti që menaxhimi i lartë e kupton rëndësinë e sigurisë së

informacionit dhe ofron mbështetjen e tij. Pjesa më e madhe e tyre kishin drejtori TI-je

dhe buxhete specifike për TI-në. Megjithatë pjesa më e madhe e këtyre drejtorive nuk

kanë një buxhet specifik për sigurinë e informacionit.

Pjesa më e madhe e të anketuarve treguan që në institucionet e tyre kishin rregullore dhe

politika të sigurisë së informacionit. Megjithatë në lidhje me standartet e sigurisë së

informacionit 56% u përgjigjën që nuk aplikojnë standarte të sigurisë së informacionit,

por mendojnë që në të ardhmen do t‟i aplikojnë këto standarte. Në institucionet të cilat

kanë zbatuar standarte të sigurisë së informacionit, 48.9% ndiheshin të sigurtë nga

aplikimi i tyre, pjesa e tjetër ndiheshin disi të sigurtë, aspakt të sigurtë dhe nuk kanë

preferuar të shprehin një mendim. Gjithashtu 58% e të anketuarve janë përgjigjur që në

27.3%

42.0%

2.3%

3.4%

22.7%

1.1%

34.1%

Fond për certifikim (Pagesë e tarifës së Kursit/Trainimit dhe

Provimit) pa kontratë

Fond për Certifikim (Pagesë e tarifës së Kursit/Trainimit dhe

Provimit) me kontratë

Shpërndarje e tarifës së provimit pa kontratë

Tarifë e provimit më kontratë

Nuk aplikohet

Tjetër

Leje nga puna për studim

Çfarë lloj benefitesh do të donit të përfitonit nga organizata që të

merrni një certifikim nëSiguri Informacioni?

Elda Kuka


86

institucionet e tyrë nuk ka një proces të vlerësimit të riskut, 52% nuk kanë plane të

përgjigjes ndaj incidenteve.

Kur marrin më konsideratë sigurimin e informacionit në organizatë pamë se 93% kanë

procedura për krijimin dhe menaxhimin e llogarive dhe 95% kanë procedura për backup

dhe recovery. Përsa i përket mjeteve ose matjeve në organizatë për sigurimin e

informacionit, vëmë re se performanca e tyre është shumë e dobët, vetëm 15% bëjnë

vlerësim të dobësive. Duhet theksuar se kanë matje të kënaqshme të sigurisë përsa i

përket vendosjes së fjalëkalimeve (75%), sigurisë së firewall-eve (49.3%), fortësisë së

programit antivirus (43.7% e vlerësojnë të fortë dhe 36.6% e vlerësojnë shumë të fortë),

si dhe në aplikimin e enkriptimit për të dhënat e tyre (56.4% shume i mirë dhe i mirë).

Performojnë shumë dobët në autentikimin më dy faktorë (26% e përdorin) dhe

kufizimin e USB-ve, CD/DVD (vetëm 42.2% e përdorin).

Përsa i përket rreziqeve ndaj të cilave ka qenë e ekspozuar organizata në vend të parë

është vandalizimi i faqeve web me 27.6%, infektime me malware me 26.4%, sulme DoS

me 13.8%, si dhe 6.9% kanë vuajtur nga akses i paautorizuar i personave të brendshëm.

Mbetet shqetësues është fakti që 16.1% nuk identifikojnë asnjë rrezik dhe 34.5% nuk

kanë asnje mendim në lidhje me rreziqet me të cilat ka qenë e ekspozuar organizata e

tyre.

Përsa i përket edukimit dhe trainimit të punonjësve në lidhje më sigurinë e

informacionit 60% e tyre nuk janë përgjigjur që organizatat e tyre nuk ofrojnë asnjë lloj

program trainimi, megjithatë 56% kanë shprehur dëshirën për të marrë një certifikim në

sigurinë e informacionit duke filluar nga brenda 1 viti deri në 10 vitet e ardhshme. Përsa

i përket pengesave të hasura për marrjen e një certifikimi të tillë ata vendosin si

pengesa: tarifën e lartë (43.2%), kohë e pamjaftueshme për të studiuar (21.6%), rrugë e

paqartë në karrierë (12.5%) dhe 31.8% nuk kanë mendim që përputhet ne fakt me 44%

që nuk kanë dëshirë të marrin certifikime. Në mënyrë që të avancojnë në certifikimin në

siguri informacionit do të dëshironin këto përfitime nga organizata: fond për certifikimi

me kontratë (42%), Leje nga puna për studim (34.1%), fond për certifikim pa kontratë

(27.3%), kurse 22.7% nuk kanë shprehur një mendim.

Rezultatet e këtij studimi treguan se ka problem me praktikat e sigurisë së informacionit

në institucionet publike. Në kapitullin tjetër do të paraqesim përfundimet në mënyrë të

përmbledhur dhe do të sugjerojmë zgjidhjet për dobësitë e gjetura.

Elda Kuka


87

Kapitulli V

5 Përfundime dhe Rekomandime

5.1 Hyrje

Siç e kemi thënë që në krye të herës qëllimi i këtij punimi është të analizohet siguria e

informacionit në institucionet publike shqiptare, për të:

i. Identifikuar, përcaktuar dhe diskutuar praktikat e menaxhimit të sigurisë së

informacionit dhe cilët janë faktorët që mund të ndikojnë implemtimin dhe


shqiptare;

ii. Kuptuar rëndësinë e komponentëve të identifikuar dhe ndërverprimin më njëri-

tjetrin;

iii. Përcaktuar nivelin e ndërgjegjësimit për sigurinë e informacionit në institucionet

publike si dhe të përcaktojë nëse mund të bëhën përmirësime në menaxhimin e

sigurisë së informacionit.

Metoda kryesore për mbledhjen e të dhënave ishin pyetësorët të cilët u printuan dhe u

shpërndanë në 16 institucione nga të cilët 13 kthyen përgjigje në një total prej 88

pyetësorësh të plotësuar stafi i njësive të TI, përkatësisht 17 u plotësuan nga drejtuesit e

njësive të TI-së (drejtor dhe përgjegjës sektori) si dhe 71 u plotësuan nga stafi i njësive

të TI-së.

5.2 Përfundimet e studimit

Nga analizimi i pyetësorëve për praktikat për menaxhimin e sigurisë së informacionit

identifikuam që:

i. Menaxhimi i lartë e mbështet sigurinë e informacionit, një nga kushtet kryesore

që menaxhimi i sigurisë së informacionit të jetë i sukseshëm. Qasja ndaj sigurisë

së informacionit shihet si një pjesë e planit të TI-së;

Elda Kuka


88

ii. Në institucione janë krijuar dhe zbatohen politika të sigurisë së informacionit, të

cilat janë dhe rruga që duhet të ndiqet për menaxhimin e sukesshëm të sigurisë

së informacionit;

iii. Në institucione ka drejtori të TI-së, e cila funksionon me buxhet të përcaktuar

për TI-në, por mungojnë njësitë e sigurisë së informacionit dhe buxhet i

përcaktuar për sigurinë. Megjithatë në çdo drejtori TI ka persona përgjegjës për

sigurinë e informacionit dhe zakonisht buxheti për sigurinë e informacionit është

pjesë e buxhetit të TI-së;

iv. Në institucione mungojnë standartet e sigurisë së informacionit, të cilët nga ana

e tyre udhëheqin implementimin e praktikave, procedurave dhe udhëzimeve;

v. Në institucione mungojnë procedurat e vlerësimit të riskut dhe procedurat për

përgjigje ndaj incidenteve, pra edhe pse politika ekziston mund të jetë duke

mbrojtur jo në mënyrën e duhur të dhënat. Ky nivel i ulët i praktikës mbi

procesin e vlerësimit të riskut, mund të rrisë rreziqet dhe të shkaktojë probleme

të tjera të sigurisë së informacionit për asetet e organizatës;

vi. Përsa i përket sigurimit të informacionit në organizatë ekzistojnë praktika të

mira për: vendosjen dhe ndryshimin e fjalëkalimeve, për instalimin e fireëall-

eve, për instalimin e programit antivirus, përdorimin e enkriptimit për mbrojtjen

e të dhënave, mbrojtjen e dhomave të serverave. Nuk ka praktika në vlerësimin e

dobësive të aseteve në organizatë, ka praktika shumë të dobëta në përdorimin e

autentikimit me dy faktorë, ka praktika shumë të dobëta në kufizimin e kujtesave

USB dhe pajisjeve CD/DVD;

vii. Përsa i përket edukimit dhe trainimit, në organizatë mungojnë programet e

trainimit të punonjësve përsa i përket çështjeve të sigurisë së informacionit.

Nga analizimi i të dhënave identifikuam se faktorët që influencojnë efektivitetin e

praktikave të menaxhimit të sigurisë së informacionit janë:

i. Politikat dhe standartet e sigurisë shihen si një nga faktorët kryesorë për

menaxhimin e sigurisë së informacionit në organizatë. Sipas Whitmann &

Mattord (2011; 2012) politikave mund të quhen ndryshe një plan veprimi që

influencojnë vendimet dhe veprimet. Pra ato janë bazat për planifikimin,

menaxhimin dhe mirëmbajtjen e sigurisë së informacionit. Politikat janë ato që

udhëheqin implementimin e standarteve, të cilët nga ana e tyre udhëheqin

implementimin e praktikave, procedurave dhe udhëzimeve. 68% mendojnë që

infrastruktura e sigurisë është ajo që ndikon;

ii. Infrastuktura e sigurisë e cila përfshin si pajisjet hardware dhe programet e

ndryshme (si p.sh. firewall, antivirus, sistemi intrusion detection) që janë shumë

të rëndësishme për të plotësuar kërkesat për siguri të organizatës. Meqë shpesh

Elda Kuka


89

siguria mendohet si një problem teknik, zgjidhjet teknike janë shumë të

përhapura për të mbrojtur sigurinë e informacionit. Kjo shpjegon dhe pse

mendohet si faktori i dytë më i rëndësishëm;

iii. Buxheti për sigurinë e informacionit është i rëndësishëm për implementimin me

sukses të çdo aktiviteti të sigurisë. Ai ndikon dhe faktorët e tjerë si politikat,

standartet, infrastrukturën dhe edukimin e trainimin. Pa mbështetje buxhetore

shohim që asnjë nga këta faktorë nuk mund të implementohet saktësisht;

iv. Ndërgjegjësimi, edukimi dhe trainimi janë një faktor tjetër i rëndësishëm.

Punonjësve në sigurinë e informacionit u referohemi si hallka më e dobët e

organizatës, që mund të shndërrohen në një target shumë të lehtë për hakerat.

Trainimi dhe ndërgjegjësismi ndihmon dhe mbështet përdoruesit për të mos u

bërë hallka me e dobët dhe kthehet në një faktor pozitiv për të luftuar kërcënimet

e sigurisë;

v. Mbështetja e menaxhimit të lartë. Siç e përmendëm më lart mbështetja e

menaxhimit të lartë ka rëndësi jo vetëm për planifikimin, ekzekutimin dhe

qeverisjen e vendimeve të sigurisë, por edhe për të dhënë mesazhin për

komunitetet e sigurisë dhe të interesuarit që investimet e tyre në siguri janë një e

mirë dhe për ta.

5.3 Rekomandime

Nga përfundimet e përfituara nga analiza e bërë në studimin tonë kemi të përcaktuar

edhe përmirësimet që duhet të bëhen për një menaxhim të sukseshëm të sigurisë së

informacionit në institucionet publike.

i. Për një zbatim më të mirë të strategjisë dhe politikave të sigurisë është i

nevojshëm përzgjedhja dhe zbatimi i standarteve të sigurisë së informacionit.

Për shkak dhe të ngjashmërive që kanë institucionet publike me njëra-tjetrën

rekomandohet që të përzgjidhet dhe implementohet i njëjti standart për sigurinë

e informacionit dhe përkatësisht standarti ISO, i cili është një nga standartet

ndërkombëtare më të mirënjohura. Zbatimi i tij në të gjitha institucionet do të

mundësojë dhe eksperiencën e nevojshme për aplikimin e tyre;

ii. E rëndësishme është gjithashtu të behët vlerësimi i riskut për të gjitha

institucionet publike, të cilat kanë ngjashmëri me njëra-tjetrën dhe mund të

përfitojnë shumë nga ky proces. Pa një proces të vlerësimit të riskut, asnjëherë

insitucionet nuk do të jenë të sigurta se kanë zgjedhur strategjinë e duhur për

mbrojtjen e aseteve të institucionit;

Elda Kuka


90

iii. Duhet të rritet ndërgjegjësimi për sigurinë e informacionit. Institucionet duhet të

mbështesin programe të edukimit dhe trainimit për sigurinë e informacionit për

të gjithë punonjësit e institucioneve publike. Këto trainime duhet të bëhen

shpesh, për të sjellë gjithmonë në vëmendje rëndësinë e sigurisë së

informacionit;

iv. Me Vendimin e Këshillit të Ministrave Nr. 673, datë 22.11.2017, “Për

riorganizimin e Agjencisë Kombëtare të Shoqërisë së Informacionit”, është

vendosur që në përbërje të AKSHI-t, pranë cdo institucioni dhe organi të

administratës shtetërore nën përgjegjësinë e Këshillit të Ministrave të krijohen

dhe funksionojnë njësitë e Tëknologjisë së Informacionit dhe Komunikimit. Pra,

për të gjitha institucionet, njësitë e TIK do të varen nga AKSHI. Për një

implementim të suksesshëm të sigurisë së informacionit është e nevojshme

krijimi apo caktimi i personelit përgjegjës për sigurinë e informacionit, të cilët

duhet të jenë në nivel drejtues (Whitman & Mattord 2011). Për të bërë një

balancim më të mirë të këtyre pozicioneve do të rekomandoja që personeli

përgjegjës për sigurinë e informacionit të varej nga AKCESK, agjencia

përgjegjëse për sigurinë kibernetike;

v. Megjithëse, siç e kemi përmendur më lart GDPR-ja, në vendin tonë do të

zbatohet nga kompanitë shqiptare që kanë marrëdhënie me tregun europian, në

prioritetet e Komisionerit për të Drejtën e Informimit dhe Mbrojtjen e të dhënave

personale për vitin 2018 është përcaktuar…”Përafrimi i legjislacionit për

mbrojtjen e të dhënave personale me Rregulloren e BE 679/2016 dhe Direktivën

680/2016” (Komisioneri për të Drejtën e Informimit dhe Mbrojtjen e të dhënave

Personale, 2018). Për të qenë proaktivë përsa i përket mbrojtjes së të dhënave

personale dhe privatësisë, rekomandoj që institucionet publike shqiptare të

marrin në konsideratë GDPR-në, në ndërtimin apo përmirësimin e sistemeve

TIK.

Elda Kuka


91

6 Referencat

Afyouni, H. (2006) “Database Security and Auditing: Protecting Data Integrity and

Accessibility”, Thomson Course, Canada

Alarifi, A., Tootell, H., Hyland, P., (2012) “A Study of Information Security Awareness

and Practices in Saudi Arabia”. Paper presented at the The 2nd International Conference

on Communications and Information Technology (ICCIT): Digital Information

Management, Hammamet

Andersen, P. (2001) “Information Security Governance:, Infromation Security

Tehcnical Report, Vol.6, No.3, pp.60-70

Ateeq, A. (2012), “Tupe of Security Threats and It‟s Prevention”, Internation Journal of

Computer Technology and Applications, Vol.3, no.2, pp. 750-752

Ayoub, R. (2011) “The 2011 (ISC)2 global information workforce study”. CA:

Frost&Sullivan, Mountain View

Ball, D. A., McCulloh, W. H. (1990). “International Business (4th ed.)”, Homewood,

IL: Irwin.

Bragg, R., Ousley, M. & Strassberg, K. 2004, “Network Security: The complete

Reference” Coral Ventura, USA

Brotby, W. (2009) “Information Secutiy Management Metrics:, Taylor and Francis

Group, USA

Brown, B. (2009), “Help Prevent Computer Theft”, Palmerston North, New Zealand

Burke, R. (1999) “Project Management Planning and Control:, West Sussex, pp.202-

230

Byrd, T. & Turner, D. (2000) “Measuring the Flexibility of Information Technology

Infrastructure: Explanatory Analysis of a Construct” Journal of Management

Information Systems, Vol. 17, no. 1, pp. 167-208

Elda Kuka


92

Caelli, W., Longley, D., Shain, M. (1989)” Information Security for Managers:Annual

Information Security Survey”, Stockton Press, pp.56-82.

Caudle, K. E. N. S. L. (1991). Evaluating Public Sector Information Systems: More

than Meets the Eye. Public Administration Review., 51 (5), 377-384.

Cazemier, J. A., Overbeek P. L., Peters L. M., (2000) “Security Management” (IT

Infrastructure Library Series), Stationery Office, UK.

Choobineh, J., Dhillon, G., Grimaila, M.R., Rees, J. (2007) "Management of

Information Security: Challenges and Research Directions," Communications of the

Association for Information Systems: Vol. 20, Article 57

Cohen, F. (1999), “Managing Network Security: Why it was done that way”, Netwwork

Security, Vol. 1999, No.12, pp. 7-9.

Coyne, C., Leeson, P. (2004), “Who protects Cyberspace?”, Global Prosperity Initiative

Working Paper”, Mercatus Center, George Mason University, vol.37, pp.44-73

Crescenzo, G., Rubin, A., Parno, B., Kuo, C., Perrig A., (2006), “Financial

Cryptography and Data Security”, Springer Berlin Heidelberg, Germany

Creswell, J. 2003, “Research Design: Qualitative, Quantitative and Mixed Method

Approaches”, Sage Publications, California

Easttom, C. (2006) “Computer Security Fundamental”, Pearson Prentice Hall, USA

Elof, J., Elof, M., (2003), “Information Security Management: A new Paradigm”,

Proceedeings of th 2003 annual research conference of South African institute of

computer scientists and information technologists on Enablement through technology.

Erbschloe, M. (2003) “Guide ti Disaster Recovery”, Course Technology, Canada

Ferrari, E. & Thuraisingham, B. (2006), “Web and Information Security”, IRM Press,

USA

Ferguson, B. (2005), “Network +Fast Pass”, CA: SYBEX, Alameda

Elda Kuka


93

Fryer, K. J. A., J. Douglas, A. (2007) “Critical success factors of continuous

improvement in the public sector: A literature review and some key findings”. TQM

MAGAZINE, 19 (5), 497-517.

Fox, W. Bayat, M.S. (2007) “A Guide to Managing Research” Juta Publications, p.45

Fugini, M., Bellettini, C. (2004), “Information Security Policies and Actions in Modern

Integrated System”, Idea Group, USA

Geric , S., Hutinski, Z., (2007),”Information Systems Security Threats Classifications”,

Journal of Infromation and Organizational Science, Vol.31, no. 11

Hoo, K. (2000), “How much is enough? A Risk management Approach to Computer

Security”, Working Paper: Center for International and Security Studies, pp. 138-152.

Helkala K., Snekkenes E. (2009) “Password generation and search space

reduction,”Journal of computers, vol. 4, no. 7.

Heru Susanto, Mohammad Nabil Almunawar and Young Chee Tuan. Information

Security Management System Standards (2011) “A Comparative Study of the Big

Five”. International Journal of Electrical & Computer Sciences IJECS-IJENS Vol: 11

No: 05

Huang, N., Huang, T., Keh, H., Shaw, R. (2011)” Information Security Awareness

online materials design with knowledge maps”, International Journal of Distance

Education Technologies, vol.9, p.41.

Hutton, G. (1996), “BPR-overcoming impediments to change in the public sector”, New

Technology work and Employment, Vol. 10 No. 2, pp. 147-51.

International Telecommunication Union, (2017) “Global CyberSecurity Index 2017”,

www.itu.int

Joia, L. A. 2003 In Knowledge Management in Electronic Government: 4th IFIP

International working Conference, KMGov 2003, Rhodes, Greece, May 26-28, 2003.

Proceedings, pp. 76- 81.

Jones, A., Ashenden, D. (2005),” Risk management for Computer Security”, Elsevier

Butterworth-Heinemann, UK

Elda Kuka


94

Johnson, R. (2011), “Security Policies ans implementation issues”, MA: Jones and

Bartlet Learning, Sudbury

Kizza, J. (2005), “Computer Network Security”, Springer Science Business Media,

USA

Knapp, K. Marshall, T., Rainer, K. &Ford, N. 2006 “Information security:

managemetn‟s effect on culture and policy” Information Management & Computer

Security, vol. 14, no.1, pp.24-36.

Komisioneri për të Drejtën e Informimit dhe Mbrojtjen e të dhënave personale, (2018),

“Raporti vjetor 2017”, http://www.idp.al/njoftime-per-shtyp/page/2/ last accessed

30.05.2018

Kruger, H., Drvein, L. & Steyn, T., 2010 “A vocabulary test to assess information

security awareness”, Information Management & Computer Security, vol.1 8, no.5,

pp.316-327

Kuka E., Bahiti R. (2017), “Information Security Management: an Overview on the

Standards”, International Journal of Science, Innovation and New Technology, Vol 1.

No. 18, June 2017, fq. 27- 33. Publikuar nga ASET, Shqiperi.

Kuka, E., Cipa, J., Zoto, E. (2017) “A comparative analysis of users‟ attitude towards

password security issues”, 7th-International Conference “Information Systems and

Technology Innovations: the New Paradigm for a Smarter Economy”, 17-18 Qershor,

2016, Shqipëri

Lee, A.S. (2004). Thinking about Social theory and Philosophy for Information

Systems. In Social Theory and Philosophy for Information Systems. Chichester UK:

John Wiley & Sons, p. 1-26

Leach, J. (2003), “Improving user security Behaviour”, Computers and Security,

Vol.22, No.8, pp. 685-692

Li, X., Li, J. (2011) “Quality based content delivery over the Internet”, NY:Springer,

New York

Luker, M, Pettersen R., (2003), “Computer and Network Security in Higher Education”,

San Francisco, Jossey Bass

http://www.idp.al/njoftime-per-shtyp/page/2/

Elda Kuka


95

Mantel, S., Jr., Meredith, J., Shafer, S., Sutton M. (2001), “Project Management in

Practice”, John Wiley and Sons, New Jersey.

Marshall C. and Rossman G. (1999) “Designing Qualitative Research”, Sage

Publications, London

Mitnick K.D., Simon W.L. (2005), “The Art of Intrusion: The Real Stories Behind the

Exploits of Hackers, Intruders & Deceivers”, Indianapolis, ID: Wiley Publishing, Inc.

Moon, M. J. (2000). Organizational Commitment Revisited in New Public

Management: Motivation, Organizational Culture, Sector, and Managerial Level. Public

Performance & Management Review, 24 (2), 177-194.

Nichols, A. (2002), “A prespective on Threat in the Risk Analysis Process”, pp.67-78

O‟Harrow, R., Cha, a. (2003), ”Internet Worm Unearths New Holes:Attack Reveals

Flaws in How Critical Systems are Connected:, Washngton Post

Panko R. R. (2008), “ IT employment prospects: beyond the dotcom bubble”S.

European Journal of Information Systems, 17(3), 182-197.

Peltier, T., 2004 “Information Security Policies and Procedures”, CRC Pres, USA

Poulsen, K. (2003), “Security Focus news article: Slammer worm clashes Ihio nuke

plant network:, Security focus, http://www.securityfocus.com/news/6767

Purser, S. (2004) “A Practical Guide to managing information security:, MA: Artech,

Norwood

Raval, V., Fichadia, A. (2007), ”Risks, Controls and Security: Concepts and

Applications”, John and Sons Inc. , USA

Sandelowski M., (2000), “Whatever Happened to Qualitative Description? “, Journal of

Research in Nursing & Health, 2000, 23, 334±340

Shaluf, I. (2007) “An Overview on disaster”, Disaster Prevention and Management Vol.

16, no. 5, pp. 687-703

http://www.securityfocus.com/news/6767

Elda Kuka


96

Shaw, R., Chen, C., Harris, A., Huang, H., (2008), “The impact of information richness

on information security awareness training effectiveness”, Computers and Education,

Vol. 52., no.1, pp.92-100

Sherwood, J. (2000), “Opening up the Enterprise”, Computers and Security, Vol. 19,

no.8, pp. 710-719

Siponen, M. 2000 “A conceptual foundation for organizational: information security

awareness”, Information Management & Computer Security, vol. 8, no.1, pp.31-41.

Slay, J., Koronios, A. (2006),”Information Technology Security and Risk

Management”, John Wiley and sons Australia Ltd, Australia.

Smith R. (2012), “Elementary Infromation security”, MA: Jones and Bartlet, Burlington

Stallings, W., Brown, L., (2008), “Computer Security Principles and Practice”, Pearson

Education, USA

Stewart, J., Titel, E., Chapple, M. (2011) “CISSP Certified Information Systems

Security Professional Study Guide, 5th

edition:, IN: Wiley, Indianapolis

Stoneburner, G. (2002), “Risk Management Guide for Information Technology

Systems”, NIST Special Publication 800-30.

Stulz, R. (2003) “Risk Management & Derivatives”, Mason, Ohio: Thomson South-

Western

Thompson, R., Thompson, B. (2006), “Reparing and upgrading your PC”, CS: O‟Reilly

Media, Sebastopol

Thuraisingham, B, 2005, “Database and Applications Security”, Auerbach Publications,

USA

Turban, E., Wetherbe, J. & McLean, E. 1996 “Information Security Technology for

Management: Improving Quality and Productivity”, USA

Vacca, J. (2009), “Computer and InfromationSecurity handbook:, Burlington, Ma:

Morgan Kaufmann

Elda Kuka


97

Von Solms, R. (2006) “Infromation Security- The forth Wave” Computers and Security

Vol. 25, No.3, pp. 165-168.

Von Solms, R. (2000) “Infromation Security- The third Wave?” Computers and

Security Vol. 20, No.3, pp. 215-218.

Von Solms, R. (1999) “Information Security Management: Why standards are

Important:, Information Management and Computer and Security Vol. 7, No.1, pp.50-

57.

Von Solms, R. (1998c) Information Security Management (3): The code of Practice for

Informaction Security Management (BS7799), Information Management and Computer

and Security Vol. 6, No.5, pp.224-225.

Werlinger, R., Hawkey, K. Beznosov, K. (2007) “Human, Organizational and

Technological Challenges of Implementing IT Security in Organizations”, http://lersse-

dl.ece.ubc.ca/record.153/files/153/pdf

Whitman, M., Mattord H., (2008), “Management of Information Security”, Thomson

Course Technology Canada

Whitman, M., Mattord H., (2011), “Principles of Information Security 4th Edition”,

Cengage Learning

Whitman, M., Mattord, H. 2012 “Management of Information Security”, Thomson

Course Technology, Canada

Whitson, G., (2003), “Computer Security: theory, process and management”, The

journal of Computing in Small Colleges, Vol. 18, No.6, 2003, pp.57-66

Wylder, J. (2004) ,“Strategic Information Security”, CRC Press LLC, USA

Elda Kuka


98

Shtojca A

Pyetësor për praktikat e Sigurisë së Informacionit

për Drejtuesit e Njësive TI

Institucioni_________________________________

I. Seksioni A.1 – Sfond i përgjithshëm

1. Cili është niveli juaj i edukimit?

Diplomë në Doktoraturë

Diplomë të nivelit Master

Diplomë të nivelit Bachelor

Tjetër (ju lutem specifikojeni)__________________________________

2. Madhësia e organizatës tuaj:

1-50 punonjës

51-100 punonjës

101- 500 punonjës

501- 1000 punonjës

Mbi 1000 punonjës

3. Cili është pozicioni juaj?

Drejtues i lartë

Drejtor Departamenti

Drejtor Drejtorie

Përgjegjës Sektori/Dege

4. Sa kohë keni në këtë pozicion?

Më pak se një vit

Midis 1 dhe 3 vitesh



Më shumë se 10 vite

5. A ka organizata juaj një njësi përgjegjëse për TI-në?

Departament Drejtori Degë Sektor

Elda Kuka


99

6. A mendoni se menaxhimi i larte e kupton si duhet rendesine e sigurise se

informacionit?

(1= nuk jam aspakt dakort, 2= nuk jam dakort, 3= Jam dakort, 4= Jam

plotesisht dakort, 5= Asnjeanes)

1 2 3 4 5

7. A ju ofron menaxhimi i larte suportin e duhur per sigurine e informacionit?



1 2 3 4 5

8. A ka organizata juaj nje buxhet specifik për IT?

Po Jo Nuk e di

9. A ka organizata juaj një buxhet specifik për Sigurinë e Informacionit?

Po Jo Nuk e di

10. Nëse po, sa përqind e buxhetit të IT shpenzohet për sigurinë e Informacionit në

organizatën tuaj?

1% ose më pak

Midis 2% dhe 4%

Midis 4% dhe 6%

Midis 6% dhe 10%

Midis 10% dhe 15%

Midis 15% dhe 20%

Mbi 20 %

Tjetër , ju lutem specifikoni

_________________________________

11. A ka në organizatën tuaj njësi përgjegjëse të ndarë nga njësia e TI-së për


Po Jo, Nëse jo kaloni në pyetjen 11.

Elda Kuka


100

12. A ka në organizatën tuaj të paktën një person i cili është i mirëinformuar

për sigurinë e informacionit dhe përpiqet të kujdeset për cështje të sigurisë

së informacionit?

Po Jo Nuk e di

13. Cilat jane qasjet kryesore per menaxhimin e sigurise se informacionit ne

organizaten tuaj?:

Ekziston nje strategji ose program per menaxhimin e sigurise se informacionit







Tjeter (Ju lutem specifikojeni)_________________________

14. Cilet mendoni se jane faktoret e suksesit per sigurine e informacionit ne

organizaten tuaj?

Ndergjegjesimi, edukimi dhe trainimi

Standartet dhe politikat e sigurise

Buxheti per sigurine

Mbeshtjetja nga Menaxhimi i larte


Auditimi i sigurise



Tjeter (ju lutem specifikojeni)___________________________

Seksioni A2: Rregulloret për mbrojtjen e të Dhënave në Organizatë

15. A aplikon organizata juaj ndonjë mbrojtje për të dhënat apo rregullore për


Po Jo Nuk e di

16. Rregullorja është cilësore:


Nuk jam dakort

Jam dakort


Elda Kuka


101

Nuk aplikohet

17. Rregullorja është e përshtatshme dhe gjithëpërfshirëse:


Nuk jam dakort

Jam dakort


Nuk aplikohet

18. Rregullorja është e zbatueshme (ka fuqi vepruese):


Nuk jam dakort

Jam dakort


Nuk aplikohet

Seksioni A 2.1. Standartet e Sigurisë së Informacionit në Organizatë

19. A aplikon organizata juaj ndonjë standart të Sigurisë së informacionit

Po, specifiko cilin standart __________________________________ (nëse po,

kalo te pyetja 18)

Jo

20. Nëse jo, a ka në plan organizata juaj të aplikojë standarte të sigurisë së

informacionit në të ardhmen?

Po Jo Nuk e di

21. Nëse organizata ka aplikuar standarte të sigurisë së informacionit, a

ndiheni më i sigurtë në organizatën tuaj?

Po Jo Disi Nuk e di

22. A ka ndonjë person përgjegjës në organizatën tuaj për t’u siguruar që

standartet janë përshtatur si duhet:

Po Jo Nuk e di

23. Cilat mendoni se janë sfidat për aplikimin e standarteve të sigurisë së

informacionit në organizatën tuaj? (Ju lutem zgjidhni ato që mendoni se

aplikohen)

Elda Kuka


102


Mungesa e burimeve njerëzore të kualifikuar në siguri informacioni

Nuk e di

Tjeter, ju lutem specifikoni

____________________________________________________

Seksioni A 2.2. Politikat e Sigurisë së Informacionit në Organizatë

24. A ka organizata juaj një politikë të sigurisë së informacionit?

Po Jo Nuk e di

25. Nëse ka një politikë të sigurisë së informacionit, a e zbaton atë organizata

juaj?

Po Jo Nuk e di

26. Nëse ka një politikë të sigurisë së informacionit, a rishikohet ajo

periodikisht?

Po Jo Nuk e di

27. Nëse ka një politikë të sigurisë së informacionit, a I bëhet ajo e ditur të

gjithë punonjësve?

Po Jo Nuk e di

28. A ka organizata juaj një proces të vlerësimit të riskut?

Po Jo Nuk e di

Seksioni A3. Sigurimi i Informacionit në Organizatë

29. A keni procedura dhe rregullore për krijimin dhe menaxhimin e llogarive

të përdoruesve?

Po Jo

30. A ka organizata juaj nje politikë për backup dhe recovery të të dhënave?

Po Jo

31. A ka organizata juaj një plan të përgjigjes ndaj incidentet?

Po Jo

Elda Kuka


103

Seksioni A3.1 Mjete të Sigurimit të Informacionit. Matjet në Organizatë

32. Sa efektive mendoni se është Vlerësimi i Dobësive që kryhet në organizatën

tuaj?

(1= nuk ekziston, 2= shumë i dobët, 3= I dobët, 4= asnjëanës, 5= I mirë, 6=

shumë i mirë)

1 2 3 4 5 6

Vlerësimi i dobësive

33. Sa i sigurtë është procesi/praktika e vendosjes së fjalëkalimeve në

organizatën tuaj?


shumë i mirë)

1 2 3 4 5 6

Vendosja e

Fjalëkalimit

34. A e implementon organizata juaj autentikimin me dy faktorë (psh. Smart

card, biometrika, fjalëkalim njëpërdorimësh, etj.?

Po Jo Nuk e di

35. Sa i sigurtë është sistemi i Firewall-it në organizatën tuaj për të mbrojtur

serverat nga ndërhyrjet e jashtme?


shumë i mirë)

1 2 3 4 5 6

Siguria e Firewallit

36. Nëse organizata juaj ka lidhje internet me wireless, sa strikte janë rregullat

e aksesit që të lejojnë vetëm punonjësit për të aksesuar këtë rrjet wireless?

(1= nuk ekziston, 2= kufizim shumë i dobët, 3= kufizim i dobët, 4= asnjëanës,

5= strikte, 6= shumë strikte)

1 2 3 4 5 6

Akses në Internet me

wireless

37. Nëse organizata juaj ka lidhje internet, sa strikte janë rregullat për të

aksesuar vetëm faqet e nevovjshme për kryerjen e punës nga punonjësit?

Elda Kuka


104


5= strikte, 6= shumë strikte)

1 2 3 4 5 6

Akses në Internet

38. A i përditëson sistemet e shfrytëzimit dhe paketat e programeve organizata

juaj me përditësimet më të fundit?

Çdo ditë

Çdo javë

Çdo muaj

Çdo tre muaj

Çdo vit

Asnjëherë

39. Sa i fortë është program antivirus në organizatën tuaj?


shumë i mirë)

1 2 3 4 5 6

Fortësia e programit

antivirus

40. Sa i fortë është programi i intrusion detection në organizatën tuaj?


shumë i mire)

1 2 3 4 5 6


intrusion detection

41. Sa efektive është enkriptimi i të dhënave të rëndësishme të organizatës

tuaj?


shumë i mirë)

1 2 3 4 5 6

Teknika e enkriptimit

42. Sa e sigurtë është dhoma e serverave nga ana e sigurisë fizike (psh. PIN,

Biometrikë etj.)?

Elda Kuka


105


shumë i mirë)

1 2 3 4 5 6

Siguria fizike e

dhomës së serverave

43. Sa i kufizon organizata juaj punonjësit në përdorimin e pasjisjeve si

CD/DVD dhe kujtesave USB?


shumë i mirë)

1 2 3 4 5 6

Përdorimi i pajisjeve

hyrëse

44. Sa i kufizon organizata juaj punonjësit në përdorimin e pasjisjeve

personale si laptop/pajisje mobile?


shumë i mirë)

1 2 3 4 5 6


hyrëse

Seksioni A3.2. Menaxhimi i aseteve në Organizatë

45. A ka në organizatën tuaj një inventar të aseteve?

Po Jo Nuk e di

46. Nëse po a ka në organizatën tuaj një person përgjegjës për mirëmbajtjen e

inventarit të aseteve?

Po Jo Nuk e di

47. A ka në organizatën tuaj një klasifikim të informacionit?

Po Jo Nuk e di

Seksioni A.4. Rreziqet e Sigurisë së Informacionit në Organizatë

48. A kanë rënë ndonjëherë sistemet e informacionit në organizatën tuaj për

shkak të viruseve komjuterike?

Po Jo Nuk e di

Elda Kuka


106

49. A ka qenë subjekt i sulmit nga hakerat faqja web e organizatës tuaj?

Po Jo Nuk e di Nuk kemi faqe web

50. A kanë qenë subjekt i sulmeve të hakerave sistemet e informacionit në

organizatën tuaj?

Po Jo Nuk e di

51. Nga cilat risqe që vijojnë ka qenë e ekspozuar organizata juaj (zgjidhni të

gjitha ato që aplikohen)


sulme brute force




ransomëare

infektime me trojan/malëare


akses i paautorizuar i informaciont nga përdorues të brendshëm

asnjë risk

nuk e di

tjetër, ju lutem specifikoni

_________________________________________________

Seksioni A.5. Trainimi/Ngritja profesionale

52. A iu ofron organizata juaj punonjësve trainime të vecanta apo programe

për ndërgjegjesismin mbi sigurinë e informacionit?

Po Jo Nuk e di

53. Cilat janë pengesat që keni hasur / hasni në marrjen e certifikimeve në

Siguri Informacioni? (Ju lutem zgjidhni ato që mendoni se aplikohen)

tarifë e lartë rrugë e paqartë në karrierë

kohë e pamjaftueshme për të studiuar mungesë udhëheqje në progresin e

karrierës

udhëheqje e pamjaftueshme në provim nuk aplikohet

e pamundur të marrësh informacion në lidhje me certifikimin

Tjetër, ju lutem specifikoni

______________________________

Elda Kuka


107

54. Cfarë lloj benefitesh do të donit të përfitonit nga organizata juaj në mënyrë

që të merrni certifikim në Siguri Informacioni? (Ju lutem zgjidhni ato që

mendoni se aplikohen)

Fond për certifikim (Pagesë e tarifës së Kursit/Trainimit dhe Provimit) pa

kontratë

Fond për Certifikim (Pagesë e tarifës së Kursit/Trainimit dhe Provimit) me

kontratë




Nuk aplikohet


____________________________________

Elda Kuka


108

Shtojca B

Pyetësor për praktikat Sigurisë së Informacionit

për Njësitë e TI

Institucioni_________________________________

Pozicioni _______________________________________

II. Seksioni A.1 – Sfond i përgjithshëm

1. Cili është niveli juaj i edukimit?

Diplomë në Doktoraturë

Diplomë të nivelit Master

Diplomë të nivelit Bachelor

Tjetër (ju lutem specifikojeni)__________________________________

2. Madhësia e organizatës tuaj:

1-50 punonjës

51-100 punonjës

101- 500 punonjës

501- 1000 punonjës

Mbi 1000 punonjës

3. Sa kohë keni në pozicionin aktual?

Më pak se një vit




Më shumë se 10 vite

4. A ka organizata juaj një njësi përgjegjëse për TI-në?

Departament Drejtori Degë Sektor

5. A ka në organizatën tuaj njësi përgjegjëse të ndarë nga njësia e TI-së për


Po Jo, Nëse jo kaloni në pyetjen 7.

6. A ka në organizatën tuaj të paktën një person i cili është i mirëinformuar

për sigurinë e informacionit dhe përpiqet të kujdeset për cështje të sigurisë

së informacionit?

Po Jo Nuk e di

Elda Kuka


109

7. A mendoni se menaxhimi i larte e kupton si duhet rendesine e sigurise se

informacionit?



1 2 3 4 5

8. A ju ofron menaxhimi i larte suportin e duhur per sigurine e informacionit?



1 2 3 4 5

9. Cilet mendoni se jane faktoret e suksesit per sigurine e informacionit ne

organizaten tuaj?

Ndergjegjesimi, edukimi dhe trainimi

Standartet dhe politikat e sigurise

Buxheti per sigurine

Mbeshtjetja nga Menaxhimi i larte


Auditimi i sigurise



Tjeter (ju lutem specifikojeni)___________________________

10. Cilat jane qasjet kryesore per menaxhimin e sigurise se informacionit ne

organizaten tuaj?

Ekziston nje strategji ose program per menaxhimin e sigurise se informacionit






Elda Kuka


110


Tjeter (Ju lutem specifikojeni)_________________________

Seksioni A2: Rregulloret për mbrojtjen e të Dhënave në Organizatë

11. A aplikon organizata juaj ndonjë mbrojtje për të dhënat apo rregullore për


Po Jo Nuk e di

12. Rregullorja është cilësore:


Nuk jam dakort

Jam dakort


Nuk aplikohet

13. Rregullorja është e përshtatshme dhe gjithëpërfshirëse:


Nuk jam dakort

Jam dakort


Nuk aplikohet

14. Rregullorja është e zbatueshme (ka fuqi vepruese):


Nuk jam dakort

Jam dakort


Nuk aplikohet

Seksioni A.2.1. Standartet e Sigurisë së Informacionit në Organizatë

15. A aplikon organizata juaj ndonjë standart të Sigurisë së informacionit

Po, specifiko cilin standart __________________________________

Jo

16. Nëse jo, a ka në plan organizata juaj të aplikojë standarte të sigurisë së

informacionit në të ardhmen?

Elda Kuka


111

Po Jo Nuk e di

17. Nëse organizata ka aplikuar standarte të sigurisë së informacionit, a

ndiheni më i sigurtë në organizatën tuaj?

Po Jo Disi Nuk e di

18. A ka ndonjë person përgjegjës në organizatën tuaj për t’u siguruar që

standartet janë përshtatur si duhet:

Po Jo Nuk e di

19. Cilat mendoni se janë sfidat për aplikimin e standarteve të sigurisë së

informacionit në organizatën tuaj? (Ju lutem zgjidhni ato që mendoni se

aplikohen)


Mungesa e burimeve njerëzore të kualifikuar në siguri informacioni

Nuk e di

Tjeter, ju lutem specifikoni

____________________________________________________

Seksioni A.2.2. Politikat e Sigurisë së Informacionit në Organizatë

20. A ka organizata juaj një politikë të sigurisë së informacionit?

Po Jo Nuk e di

21. Nëse ka një politikë të sigurisë së informacionit, a e zbaton atë organizata

juaj?

Po Jo Nuk e di

22. Nëse ka një politikë të sigurisë së informacionit, a rishikohet ajo

periodikisht?

Po Jo Nuk e di

23. Nëse ka një politikë të sigurisë së informacionit, a i bëhet ajo e ditur të

gjithë punonjësve?

Po Jo Nuk e di

24. A ka organizata juaj një process të vlerësimit të riskut?

Po Jo Nuk e di

Elda Kuka


112

Seksioni A.3. Sigurimi i Informacionit në Organizatë

25. A keni procedura dhe rregullore për krijimin dhe menaxhimin e llogarive

të përdoruesve?

Po Jo

26. A ka organizata juaj nje politikë për backup dhe recovery të të dhënave?

Po Jo

27. A ka organizata juaj një plan të përgjigjes ndaj incidentet?

Po Jo

Seksioni A.3.1 Mjete të Sigurimit të Informacionit. Matjet në Organizatë

28. Sa efektive mendoni se është Vlerësimi i Dobësive që kryhet në organizatën

tuaj?


shumë i mirë)

1 2 3 4 5 6

Vlerësimi i dobësive

29. Sa i sigurtë është procesi/praktika e vendosjes së fjalëkalimeve në

organizatën tuaj?


shumë i mirë)

1 2 3 4 5 6

Vendosja e

Fjalëkalimit

30. A e implementon organizata juaj autentikimin me dy faktorë (psh. Smart

card, biometrika, fjalëkalim njëpërdorimësh, etj.?

Po Jo

31. Sa i sigurtë është sistemi i Firewall-it në organizatën tuaj për të mbrojtur

serverat nga ndërhyrjet e jashtme?


5= Strikte, 6= shumë strikte)

1 2 3 4 5 6

Elda Kuka


113

Siguria e Firewallit

32. Nëse organizata juaj ka lidhje internet me wireless, sa strikte janë rregullat

e aksesit që të lejojnë vetëm punonjësit për të aksesuar këtë rrjet wireless?


5= Strikte, 6= shumë strikte)

1 2 3 4 5 6

Akses në Internet me

wireless

33. Nëse organizata juaj ka lidhje internet, sa strikte janë rregullat për të

aksesuar vetëm faqet e nevovjshme për kryerjen e punës nga punonjësit?


shumë i mirë)

1 2 3 4 5 6

Akses në Internet

34. A i përditëson sistemet e shfrytëzimit dhe paketat e programeve organizata

juaj me përditësimet më të fundit?

Çdo ditë

Çdo javë

Çdo muaj

Çdo tre muaj

Çdo vit

Asnjëherë

35. Sa i fortë është program antivirus në organizatën tuaj?


shumë i mirë)

1 2 3 4 5 6


antivirus

36. Sa i fortë është programi i intrusion detection në organizatën tuaj?


shumë i mirë)

Elda Kuka


114

1 2 3 4 5 6


intrusion detection

37. Sa efektive është enkriptimi i të dhënave të rëndësishme të organizatës

tuaj?


shumë i mirë)

1 2 3 4 5 6

Teknika e enkriptimit

38. Sa e sigurtë është dhoma e serverave nga ana e sigurisë fizike (psh. PIN,

Biometrikë etj.)?


shumë i mirë)

1 2 3 4 5 6

Siguria fizike e

dhomës së serverave

39. Sa i kufizon organizata juaj punonjësit në përdorimin e pasjisjeve si

CD/DVD dhe kujtesave USB?


shumë i mirë)

1 2 3 4 5 6


hyrëse

40. Sa i kufizon organizata juaj punonjësit në përdorimin e pasjisjeve

personale si laptop/pajisje mobile ?


shumë i mirë)

1 2 3 4 5 6


hyrëse

41. A iu ofron organizata juaj punonjësve trainime të veçanta apo programe


Po Jo

Elda Kuka


115

42. A keni në plan të merrni certifikime në sigurinë e Informacionit?

Po, brenda 12 muajve të ardhshëm Po, por nuk jam i siguritë se kur

Po, Brenda 3 viteve të ardhshme Jo

Po, Brenda 10 viteve të ardhshme

Seksioni. A.3.2. Menaxhimi i aseteve në Organizatë

43. A ka në organizatën tuaj një inventar të aseteve?

Po Jo Nuk e di

44. Nëse po a ka në organizatën tuaj një person përgjegjës për mirëmbajtjen e

inventarit të aseteve?

Po Jo Nuk e di

45. A ka në organizatën tuaj një klasifikim të informacionit?

Po Jo Nuk e di

Seksioni. B7. Rreziqet e Sigurisë së Informacionit në Organizatë

46. A ka rënë ndonjëherë sistemet e informacionit në organizatën tuaj për

shkak të viruseve kompjuterike?

Po Jo Nuk e di

47. A ka qenë subjekt i sulmit nga hakerat faqja web e organizatës tuaj?

Po Jo Nuk e di Nuk kemi faqe web

48. A kanë qenë subjekt i sulmeve të hakerave sistemet e informacionit në

organizatën tuaj?

Po Jo Nuk e di

49. Cilat nga risqet që vijojnë ka qenë e ekspozuar organizata juaj (zgjidhni të

gjitha ato që aplikohen)


sulme brute force




ransomware

Elda Kuka


116

infektime me trojan/malware


akses i paautorizuar i informaciont nga përdorues të brendshëm

asnjë risk

nuk e di

tjetër, ju lutem specifiko

_________________________________________________

Seksioni A.5. Trainimi/Ngritja profesionale

50. A iu ofron organizata juaj punonjësve trainime të vecanta apo programe


Po Jo Nuk e di

51. Cilat janë pengesat që keni hasur / hasni në marrjen e certifikimeve në

Siguri Informacioni? (Ju lutem zgjidhni ato që mendoni se aplikohen)

tarifë e lartë rrugë e paqartë në karrierë

kohë e pamjaftueshme për të studiuar mungesë udhëheqje në progresin e

karrierës

udhëheqje e pamjaftueshme në provim nuk aplikohet

e pamundur të marrësh informacion në lidhje me certifikimin

Tjetër, ju lutem specifikoni ______________________________

52. Cfarë lloj benefitesh do të donit të përfitonit nga organizata juaj në mënyrë

që të merrni certifikim në Siguri Informacioni? (Ju lutem zgjidhni ato që

mendoni se aplikohen)

Fond për certifikim (Pagesë e tarifës së Kursit/Trainimit dhe Provimit) pa

kontratë

Fond për certifikim (Pagesë e tarifës së Kursit/Trainimit dhe Provimit) me

kontratë




Nuk aplikohet


____________________________________

disertacion - brandville luxury collection€¦ · ii universiteti i tiranËs fakulteti i...

Documents