Concursul Internaional Securitatea Informaional 2004

Tema: Metod practic de analiz a riscurilor TI

Autor: Marin PRISCARU Banca Naional a Moldovei

Chiinu 2004

METOD PRACTIC DE ANALIZ A RISCURILOR TI

Cuvinte cheie: risc, analiza riscurilor, managementul riscurilor, raportarea riscurilor, soluionarea riscurilor, resurse informaionale, tehnologii informaionale.

Adnotare
Prezenta lucrare prezint succint o metod practic de analiz a riscurilor TI. Lucrarea este adresat auditorilor interni ai tehnologiilor informaionale, ofierilor de securitate informaional, managerilor tehnologiilor informaionale, precum i managementului de vrf. Scopul lucrrii este de a oferi o soluie simplificat n privina organizrii i derulrii procesului de analiz a riscurilor aferente utilizrii tehnologiilor informaionale. Se consider necesar acest fapt datorit situaiei de confuzie n care sunt muli specialiti n domeniu i importanei tot mai mari ce se acord n ultimul timp analizei riscurilor tehnologiilor informaionale. La etapa actual de dezvoltare a tehnologiilor informaionale n R. Moldova, metoda propus poate fi aplicat n cazul majoritii organizaiilor i va constitui o etap preliminar pentru desfurarea proceselor complexe de analiz cantitativ a riscurilor tehnologiilor informaionale.

Introducere
Astzi este aproape imposibil s nu auzim sau s nu citim despre riscurile utilizrii tehnologiilor informaionale. Managementul de vrf este din ce n ce mai interesat de sensul noiunilor de management al riscurilor i analiz a riscurilor, aplicate tehnologiilor informaionale utilizate n cadrul organizaiei. Acest fapt se datoreaz creterii considerabile a nivelului de dependen a business-ului de tehnologiile informaionale: procesele de afaceri sunt tot mai mult dependente de procesele TI, respectiv euarea proceselor TI pot condiiona euarea proceselor de afaceri cu o mai mare probabilitate; infrastructura informaional devine din ce n ce mai complex, iar punctele critice aparinnd domeniului TI ce ar putea influena procesele de afaceri sunt n cretere; cnd are loc o cdere a serviciilor TI, timpul n care acest fapt este resimit de procesele de afaceri s-a micorat considerabil; cderile serviciilor TI sunt tot mai mult vizibile i resimite n afara centrului de procesare a datelor, astfel crescnd numrul de persoane afectate ce-i manifest nemulumirea. Pe scurt, astzi tehnologiile informaionale au posibilitatea mai mult ca oricnd s determine reuita unei afaceri, dup cum i cderile TI, eecul ei. Din aceast cauz, pe lng obiectivele evidente ale analizei riscurilor, trebuie menionat cel de etap preliminar n procesul de formare a planului de asigurare a continuitii sistemului informaional al organizaiei. n continuare vom considera risc ca fiind probabilitatea de realizarea a unei situaii nedorite, ce poate genera pierderi sau inconveniene pentru organizaie. Managementul i analiza riscurilor este procesul de identificare a riscurilor i determinare a soluiei optime de gestiune a lor.

I. Implicare top management

Succesul procesului de management i analiz a riscurilor depinde considerabil de nivelul de implicare i suport al managementului de vrf. Anume managementul de vrf este responsabil de iniiere procesului, coordonarea activitilor i asigurarea raportrii n timpi utili. Dei implicarea lui poate s nu fie direct, suportul managementului este esenial. Sarcini specifice managementului de vrf n procesul de analiz a riscurilor pot fi: selectarea i desemnarea echipei, inclusiv liderul echipei; delegarea autoritilor i responsabilitilor pentru aceast sarcin; revizuirea i suportul descoperirilor efectuate;

luarea deciziei finale n privina implementrii anumitor msuri de securitate.

Liderul echipei trebuie la rndul su s se implice la selectare echipei ce va participa la proces, s ntocmeasc un plan al activitilor de efectuat i s se asigure c ele vor fi ndeplinite n termenii prestabilii. Va coordona de asemenea ntocmirea rapoartelor n formatul prestabilit adresate managementului de vrf. Numrul de membri n echip poate varia, n dependen de dimensiunile organizaiei, oricum este recomandabil s nu fie mai mic dect trei, sau cel puin un reprezentant al fiecrei subdiviziuni ce utilizeaz activ resurse informaionale. Membrii echipei trebuie s fie selectai cu grij, asigurnduse de competena lor n ce privete procesele de afaceri ce au loc n cadrul subdiviziunilor din care fac parte i modul n care aceste procese depind de tehnologiile informaionale.

II. Procesul de analiz a riscurilor

Dup desemnarea liderului i formarea echipei, procesul de analiz a riscurilor se va derula n urmtoarele faze: 1. Identificarea resurselor informaionale 2. Gruparea i ierarhizarea resurselor informaionale 3. Identificarea riscurilor 4. Asociere riscuri la resurse 5. Identificarea mijloacelor de protecie 6. Evaluarea riscurilor 7. ntocmirea recomandrilor 1. La faza de identificare a resurselor informaionale urmeaz s se creeze un tablou de ansamblu al infrastructurii informaionale a organizaiei. Resurse informaionale sunt considerate aici ca fiind: datele, aplicaiile, tehnologiile, ncperi, resurse umane [1]. Aceste resurse e necesar de a fi identificate cu un anumit grad de granularitate (nici prea detaliat, nici prea general) i astfel nct s se evite suprapunerea resurselor informaionale. n multe cazuri ar putea s fie oportun gruparea resurselor (ex.: staii de lucru, printere, documentaie). Poate de asemenea s fie util informaia privind persoana responsabil pentru fiecare resurs identificat. Alt informaie indispensabil analizei de mai departe este interdependena resurselor (ex.: ce sistem, cu ce date gestioneaz, ce tehnologii utilizeaz, unde este amplasat i cine administreaz). Rezultatul acestei

faze poate fi o list (sau mai multe liste, pentru fiecare categorie separat) cu toate resursele informaionale identificate n cadrul organizaiei. Exemplu al acestor liste este prezentat n anexa 1. 2. Gruparea i ierarhizarea resurselor informaionale este necesar pentru determinare prioritilor de protejare a lor (ex.: dac exist dou servere i un singur UPS, pentru care din ele l vom utiliza?) Echipa va selecta n continuare criteriile de clasificare a resurselor ca fiind critice, eseniale i normale. Criterii posibile sunt nivelul de criticitate, impactul produs de indisponibilitatea resursei, costul cderii resursei, compromiterea confidenialitii, integritii .a. Este important ca ntre membrii echipei s existe o interpretare univoc a acestor criterii. Clasificare resurselor trebuie s in cont de interdependenele dintre ele. Numrul de resurse n fiecare categorie este cumva arbitrar, ns totui e preferabil limitarea numrului de resurse critice pentru a evita confuzia. Rezultatul acestei faze este o list de resurse informaionale prioritare din punct de vedere al nivelului de criticitate a lor. Resurse critice organizaia sau subdiviziunea posesoare a resursei nu poate s-i continue activitate n lipsa resursei respective; Resurse eseniale organizaia sau subdiviziunea posesoare a resursei poate s-i continue activitatea, ns pentru o perioad determinat de timp (cteva ore sau zile), ns resursa trebuie neaprat restabilit; Resurse normale organizaia sau subdiviziunea posesoare a resursei poate s-i continue activitatea pentru o perioad ndelungat de timp, totui anumite persoane vor fi parial afectate, fiind impuse s gseasc alternative. O metod de identificare i ierarhizare a resurselor critice de ctre membrii echipei este prezentat n anexa 2. 3. Identificare riscurilor presupune selectarea dintr-o list cu riscuri comune aferente tehnologiilor informaionale, a celor pe care membrii echipei le consider aplicabile infrastructurii proprii. Riscurile care se vor considera c nu merit atenie sunt nlturate din list. Riscurile trebuie s fie explicit identificate n raport cu una sau mai multe resurse. O list cu unele din cele mai comune riscuri generice este prezentat n anexa 3. Unele din ele pot fi detaliate, pentru a corespunde cazurilor concrete de utilizare ale unor resurse informaionale. 4. La faza de asociere a riscurilor la resurse are loc o particularizare a riscurilor pentru fiecare resurs critic n parte. Din lista de riscuri acceptate la faza a trei-a, se selecteaz acele riscuri ce sunt aferente resursei analizate, cu adugarea comentariilor de vigoare. Se ine cont de specificul resursei respective. Rezultatul acestei faze este o list de riscuri i descrierea lor, pentru fiecare resurs clasificat ca fiind critic, la faza a doua.

5. Identificare mijloacelor de protecie presupune completarea listei rezultate la etapa a patra cu descrierea mijloacelor de protecie n prezent utilizate pentru nlturarea sau atenuarea riscului abordat. n rezultat se obine pentru fiecare resurs critic identificat o list cu riscurile aferente, descrierea fiecrui risc i descrierea mijloacelor de protecie utilizate la moment n organizaie pentru atenuarea sau nlturarea riscului respectiv. 6. Faza de evaluare a riscurilor este foarte important, iar succesul ei depinde n mare parte de competenele profesionale ale membrilor echipei. Pentru fiecare resurs critic, n ordinea importanei lor, se face o ierarhizare a riscurilor aferente n dependen de impactul ce l-ar putea avea. Ierarhizarea respectiv se face n baza voturilor membrilor echipei i se ine cont de toat informaia acumulat la etapele precedente. Procedura este asemntoare procedurii de ierarhizare a resurselor informaionale, putnd fi utilizat un tabel asemntor celui din anexa 2. Rezultatele obinute se argumenteaz, descriind pentru fiecare din riscuri impactul pe care l-ar putea avea realizarea sa n condiiile n care mijloacele de protecie rmn cele actuale. 7. La faza de ntocmire a recomandrilor membrii echipei analizeaz informaia acumulat la fazele precedente i iau decizii asupra soluiilor existente (dac exist) ce ar permite atenuarea, redirecionarea sau nlturarea riscurilor identificate. Dac membrii echipei consider c exist soluii acceptabile, se va: a. identifica i documenta fiecare soluie ce poate fi implementat. Pot fi soluii tehnice, manuale sau procedurale. La aceast faz poate fi evident existena unei singure soluii. n acest caz, e necesar argumentarea acestui fapt, precum i argumentarea imposibilitii acceptrii altor soluii; b. justifica fiecare soluie propus. Argumentul evident e soluionare problemei, ns sar putea ca o anumit soluie s rezolve mai multe probleme simultan, fapt ce e necesar de a fi menionat; c. efectua o analiz tip costuri / beneficii pentru fiecare soluie propus, incluznd costuri directe, costuri de instruire a personalului i costurile operaionale ulterioare. n caz de necesitatea pot fi consultai specialiti competeni din cadrul organizaiei; d. propune un plan de implementare a soluiei identificate. Planul trebuie s in cont de prioritatea resursei i impactul pe care l poate avea realizarea riscului analizat. E recomandabil identificarea mai multor soluii de nlturare a aceluiai risc, prioritate n cazul sta acordndu-se soluiilor ce permit nlturarea unui grup de riscuri pentru o resurs sau grup de resurse. Rezultatul acestei faze l constituie raportul final adresat managementului de vrf. Un exemplu de formular ce poate fi completat pentru fiecare risc asociat uneia din resurse este

prezentat n anexa 4. Toate formularele astfel completate sunt incluse n raportul final, adresat conducerii de vrf.

III. Raportare top management i decizia final

Raportul adresat conducerii de vrf va conine: foaia de titlu; informaii generale eful echipei, membrii echipei, perioada efecturii analizei; comentarii generale informaii generale privind infrastructura informaional, procese de afaceri care sunt susinute de procese TI; resursele informaionale lista resurselor informaionale n ordinea descendent a prioritii lor (mai mare -> mai mic); riscurile informaionale; lista de asociere a riscurilor la resursele informaionale i mijloace de protecie; rapoarte tipizate conform formularului din anexa 4.

Raportul final astfel ntocmit se discut la ntlnirea tuturor membrilor echipei, n scopul consultrilor finale ntre membrii echipei i efecturii modificrilor de rigoare. Ultima redactare, semnat de toi membrii echipei, se transmite managementului de vrf. n final, reuita unui proces de analiz a riscurilor depinde de implicarea managementului de vrf. Rolul managementului, pe lng iniierea procesului, desemnarea echipei i delegarea responsabilitilor, este i de a analiza i susine descoperirile efectuate n procesul de analiz a riscurilor. Liderul echipei e bine s informeze regulat managementul de vrf privind derularea i succesul procesului de analiz a riscurilor. n acest fel se va asigura un grad mai nalt de implicare a managementului de vrf i suport financiar pentru implementarea soluiilor propuse. Verdictul final n privina soluiei de implementat pentru fiecare dintre riscurile identificate aparine evident, managementului de vrf, ns nu fr a se consulta membrii echipei. Soluia implementat e foarte probabil s nu fie cea mai performant, ns e necesar s fie cea optim din punct de vedere al raportului cost / beneficiu.

Concluzii
Managementul i analiza riscurilor e necesar de a fi abordate nu ca o activitate de proiect (finit n timp) ci ca un proces continuu. Metoda practic propus poate constitui un bun nceput pentru acest proces, n special n cazul organizaiilor din R. Moldova, unde riscurile aferente tehnologiilor informaionale sunt abordate doar intuitiv la nivel operaional. Activiti ulterioare sunt necesare n scopul monitorizrii implementrii soluiilor selectate i evoluiei evenimentelor de dup. Managementul de vrf trebuie s se asigure de prezena marjelor de control necesare pentru informarea veridic, operativ i oportun privind situaia actual n domeniul tehnologiilor informaionale.

Bibliografie:
1. ISACA, CobiT 3rd edition Control Objectives 2. Microsoft, Microsoft Operations Framework Risk Model for Operations 3. http://www.theiia.org/itaudit/ 4. http://www.knowledgeleader.com/InternalAudit/ 5. http://www.auditserve.com 6. http://www.security-audit-internal-audit.com/rusecure.htm

Anexa 1
Lista resurselor informaionale grupate pe categorii Aplicaii: Id resurs SIC Descriere Sistem informatic contabil Tehnologii Win2000, BDE, Srv6 Date: Id resurs BDSIC1 Descriere Baza de date pt sistemul contabil Tehnologie Oracle 9i, Srv2, Solaris 9 Tehnologii: Id resurs Srv2 Descriere SunFire V480 Tehnologii Solaris 9, Oracle 9i Amplasare 309 Res. Umane Popescu I. Res. Umane Vasile M. Date BDSIC1 Res. Umane Popa M.

Anexa 2
Tabel de vot pentru membrii echipei Res.1 Res.2 Res.3 Res.4 Res.5 Res.6 Res.7 Res.8 Res.9 Total

Res.1 Res.2 Res.3 Res.4 Res.5 Res.6 Res.7 Res.8 Res.9 Total

0 0 0 0 0 0 0 0 0 0 0 0 0 0 0 0 0 0

0 0 0 0 0 0 0 0 0

0 0 0 0 0 0 0 0 0

0 0 0 0 0 0 0 0 0

0 0 0 0 0 0 0 0 0

0 0 0 0 0 0 0 0 0

0 0 0 0 0 0 0 0 0

0 0 0 0 0 0 0 0 0

0 0 0 0 0 0 0 0 0

Scurt explicaie a procesului (presupunem c echipa este format din 5 persoane): Se va lua fiecare resurs de pe linia sus i se va compara cu toate resursele de pe vertical; De exemplu, ci consider c resursa 3 este mai important dect resursa 6? Presupunem c 4 din 5. Respectiv vom nscrie 4 la intersecia coloanei 3 cu linia 6 i 1 la intersecia coloanei 6 cu linia 3. Sumnd coloanele obinem totalul pe linia de jos. Resursele cu o valoare mai mare pe aceast linie sunt apreciate de ctre membrii echipei ca fiind mai importante, respectiv ele urmeaz s fie primele analizate din punct de vedere al riscurilor implicate.

Anexa 3
Riscuri informaionale Risc Administrare sisteme Descriere Un ir de riscuri sunt implicate de utilizarea practicilor inadecvate de administrare a sistemelor: gestiune conturi utilizatori, auditul sistemelor, proceduri de back-up, configurare sisteme, instruire administratori. Presupune riscurile implicate de compromiterea securitii informaionale pe staiile utilizator sau de ctre utilizatorii sistemului informaional (virusare, acces nesancionat, compromiterea parolelor, utilizarea inadecvat a resurselor

Acces utilizatori

Proceduri operaionale Dependene externe Personalul critic Parole vulnerabile Accesul la date Sniffering i spoofing Securitatea fizic Dezastre de scar mare Construcii

disponibile .a.). Riscuri implicate de lipsa documentrii detaliate i adecvate a utilizrii tuturor resurselor critice. Riscuri implicate de dependena de anumii furnizori n vederea livrrii tehnicii de calcul, produselor program, alte echipamente. Existena unei singure persoane n vederea efecturii procedurilor critice (administrare sisteme i reele) poate s compromit activitatea normal curent. Riscuri implicate de utilizarea parolelor vulnerabile, n special pentru conturile de administrare a sistemelor i pentru conturile utilizatorilor critici. Riscuri implicate de gestionarea inadecvat a drepturilor de acces la resursele informaionale, modul n care se pot accesa resursele i informaia din sistem. Riscuri implicate de posibilitatea interceptrii informaiei transmise prin reea, sau posibilitatea de a fura identitatea unei maini din reea, acionnd n numele ei, cu drepturile acordate ei. Riscuri implicate de controlul inadecvat al accesului fizic la resursele informaionale att intern ct i extern. Dezastrele naturale ca incendii, inundaii, alunecri de teren, cderi de durat a curentului electric .a. pot avea impacturi considerabile asupra activitii operaionale. Afectarea construciilor, sediilor organizaiei pot afecta activitatea operaional n cazul n care nu este analizat aceast posibilitate i nu sunt prevzute alternative.

Anexa 4
Raport de analiz a riscului Nume resurs: Prioritatea resursei: Mijloace de protecie:

Risc sau / i problem identificat:

Impactul n urma realizrii:

Soluii propuse: Justificarea soluiei: Plan posibil de implementare:

Dat raport:

ntocmit de: