Sunteți pe pagina 1din 10

Evaluarea si managementul riscurilor de securitate

Evaluarea si managementul riscurilor de securitate


Asigurarea securitii datelor din interiorul unei companii ori a unei organizaii reprezint o
aliniere la cerinele actuale ale dezvoltrii societii informaionale. Dezvoltarea fr
precedent a mediului de afaceri din ultimul timp folosete ca suport tehnologiile Internet.
Dezvoltarea acestor tehnologii ntr-un ritm att de susinut nu a putut fi prezis de iniiatorii
ei i aceste tehnologii nu s-ar fi dezvoltat fr suportul mediului de afaceri care le-a adoptat i
utilizat etensiv iar acestea! la rndul lor! s-au adaptat acestui mediu. "enomenul acesta a dat
natere unor domenii complet noi cum ar fi! spre eemplu! de#a cunoscutele e-aplicaii de
felul e-$overnment! e-%ommerce! e-&usiness! e-'earning etc.
Acest mediu de comunicare! informare! documentare! tranzacionare etc. care reunete
milioane de utilizatori are ns i punctele lui vulnera(ile. )ulnera(ilitatea reprezint poate
punctul cel mai nevralgic al mediului Internet. *ilnic au loc atacuri la adresa serverelor de
orice tip din Internet. +i tot zilnic se depun eforturi uriae i se cheltuiesc sume mari de ctre
companii specializate pentru acoperirea (reelor de securitate descoperite la timp sau n urma
unor atacuri uneori cu consecine catastrofale. ,arile companii productoare de soft-are au
compartimente specializate n domeniul securitii. .rice aplicaie are! inerent! ncorporate i
elemente de siguran i securitate.
Determinarea politicii de securitate pentru o organizaie depinde masiv de compleitatea
acesteia. /olitica de securitate include foarte multe ramuri%e tre(uie s fac ns o firm mic
ce nu dispune de fonduri0 %um va face ea fa unor posi(ile atacuri atunci cnd este
conectat la reeaua Internet0 Este necesar i suficient s-i achiziioneze soft-are de ultim
or0
+i nu eist numai aceast pro(lem. 1re(uie s eiste ntotdeauna un scenariu privitor la ce
va face o organizaie n caz de dezastre naturale.
2imilar tre(uie sta(ilit o strategie pentru situaia n care se constat pierderea masiv a
datelor din cauza unor variaii mari 3ocuri4 de tensiune ale reelei locale de alimentare cu
energie electric.
. manevr greit! comis de un operator al organizaiei! poate compromite coninutul unor
servere de (aze de date ori fiiere cu informaii sensi(ile ale unor clieni 5 constituind nc o
situaie de risc etrem de tios.
De cele mai multe ori! fr o pregtire preala(il! n astfel cazuri se pot face foarte puine
manevre pozitive! reparatorii! dup producerea dezastrului.
/revizional! mult nainte s ai( loc un incident previzi(il catastrofal se pot iniia dou tipuri
de activiti care s prentmpine! s previn! i s gestioneze! la nivelul organizaiei!
scenariul unui posi(il dezastru6
- analiza riscurilor la adresa securitii 3i nu numai47
- evaluarea costurilor procedeelor de prevenire a dezastrelor i 8 sau costurile pentru depirea
dezastrului! odat produs! i recuperarea funcionalitii pierdute.
Ameninrile la adresa integritii i securitii unei organizaii se pot eercita prin mai muli
vectori. . parte dintre acetia! cei mai frecveni! sunt6
9 spionii7
9 organizaiile criminale i teroriste7
9 utilizatorii rutcioi sau ruvoitori7
9 anumite persoane din interiorul organizaiei! care au acces la date i procedee utilizate n
sistemul de securitate al organizaiei respective7
9 persoane din afara organizaiei dar care au acces la anumite informaii etrem de sensi(ile
pentru securitatea organizaiei7
9 cataclismele naturale.
:iscul poate fi definit ca o ameninate care poate s eploateze eventualele sl(iciuni ale unui
sistem ori a unei ntregi organizaii. :iscul este un eveniment care este posi(il s se ntmple!
fiind considerat! adesea! un eveniment aleator. /entru a se prentmpina apariia unui
eveniment care s afecteze securitatea unei organizaii ori unui sistem este necesar
ela(orarea unei politici de msuri specifice. Aceste msuri sunt determinate prin metrici
asociate riscurilor. ,etricile sunt acelea care introduc o ierarhizare a rsicurilor.
:iscurile i ameninrile sunt identificate! adeseori! reciproc. 2e discut despre un risc i se
su(nelege! implicit! ameninarea care produce acel risc. :iscul este! ns! o noiune mai
a(stract dect ameninarea prin faptul c! implicit! face referine la costurile punerii n fapt a
respectivei ameninri dar cuprinde n sine! intuitiv! i cuantificarea realizrii efective a
ameninrii.
Dac se consider o mulime de riscuri ; r
<
= > ? < @ AB! unde A este numrul maim de
riscuri! asociate unei organizaii se poate introduce o relaie peste aceast mulime de riscuri.
Astfel! se poate aprecia c dou riscuri r
C
i r
D
distincte 3r
C
E r
D
4 pot fi ordonate! printr-o relaie
de ordine parial! considernd relaia dintre costurile respectivelor riscuri! adic prin
pagu(ele produse de acestea6
r
C
@ r
D
dac i numai dac %3r
C
4 @ %3r
D
4!
unde s-a notat prin %3r
i
4 costul riscului i.
2imilar se poate aprecia c un risc r
C
mai frecvent! ca apariie! poate fi mai costisitor dect un
risc r
D
care se produce mai rar! cu condiia ca pagu(ele produse s fie pe evaluate peste un
acelai interval de timp. )aloarea unui risc r
<
este! de cele mai multe ori! estimat prin
produsul dintre costul su i frecvena sa de apariie6
)3r
<
4 F %3r
<
4/3r
<
4
Aceasta valoare poate fi considerat ca fiind o bun metric a riscului, n general.
2ecuritatea sistemelor informationale
2e pot enumera urmtoarele msuri de securitate6
9 hard-are7
9 soft-are7
9 procedee de operare specifice7
9 controlul i cuantificarea accesului7
9 verificarea i evaluarea fia(ilitii procedeelor7
9 monitorizarea securitii personalului7
9 modaliti de constituire a unui mediu asigurator la nivelul instituioal al organizaiei
3cldiri! zonele de acces! modaliti de separare a serviciilor cu risc ridicat etc4
Analiza riscului presupune un proces de identificare al principalelor riscuri de securitate!
sta(ilirea anvergurii i implicaiilor riscurilor! precum i identificarea zonelor care prezint
risc mare i care tre(uie asigurate. Analiza de risc face parte din ansam(lul de msuri care
poart denumirea generic de managementul riscului. Evaluarea riscurilor este un rezultat al
unui proces de analiz a riscurilor.
,anagementul riscului poate fi definit ca totalitatea metodelor de identificare! control!
eliminare sau minimizare a evenimentelor care pot afecta resursele sistemului.
Acesta include6
o analiza riscurilor7
o analiza costului (eneficiilor7
o determinarea celor mai potrivite mecanisme7
o evaluarea securitii msurilor adoptate7
o analiza securitii n plan general.
Analiza riscului tre(uie efectuat din mai multe raiuni! i anume6
9 identificarea ierarhic a activelor organizaiei respective i prghiile care asigur securitatea
asupra acestora7
9 constituirea unor etape succesive de eliminarea a condiiilor care pot favoriza realizarea
riscurilor atunci cnd contetul este comple iar o modificare a funcionrii sale nu se poate
introduce dect prin politica pailor mruni.
9 sta(ilete o(ligativitatea unor aciuni i a unor termene de realizare n vederea constituirii
unor o(iective care in de implementarea securitii organizaiei7
9 constituirea unei perspective de ansam(lu a achiziionrii de resurse i servicii n acest sens
astfel nct! s se in seama de efortul financiar n contetul gsirii celor mai eficiente
soluii.
9 aliniaz programul de control cu misiunea organizaiei7
9 ofer criterii pentru proiectarea i evaluarea planurilor de avarie7
9 m(untete nelegerea general 3asupra sistemului! cum opereaz! etc.4.
Analiza riscurilor urmrete s pun acest proces pe (aze teoretice i practice solide. 2unt
mai multe modaliti de a(ordare a riscului. Dintre acestea se disting cteva! i anume6
o analiza cantitativ7
o analiza calitativ7
o analiza fiecrui post de lucru din organizaie.
Analiza cantitativa a riscului de securitate
/entru analiza calitativ a riscului se parcurg urmtorii pai6
C. Identificarea i evaluarea activelor 3(unurilor organizaiei4
D. Determinarea vulnera(ilitilor
G. Estimarea pro(a(ilitii de producere
H. %alculul pierderilor anuale estimate
I. Analiza msurilor de control
J. Estimarea :enta(ilitii Investiiei 3:I4.
C. Identificarea si evaluarea activelor 3(unurilor organizatiei4
Identificarea activelor
/resupune identificarea componentelor hard-are! soft-are! datelor cu care se opereaz!
personalul implicat n procese! documentaiile aferente! suporturile corespunztoare etc.
Evaluarea activelor
/resupune s se sta(ileasc costurile de nlocuire pentru cazuri cnd un anume activ este
distrus. /entru aceasta tre(uie s se rspund unor criterii care s direcioneze evaluarea
respectivelor active. Knele dintre aceste criterii sunt formulate prin chestiuni simple
referitoare la costurile asociate activelor considerate.
%omponentele hard-are impun anumite caracteristici tipice6
9 %osturile de nlocuire ale activului respectiv innd seama de preurile actuale0
9 Durata nlocuirii unui activ din categoria component hard-are. Aceast durat include i
timpul necesar aducerii componentei n regim de funcionare i eploatare nominal. Durata
are att influen asupra costurilor cauzate prin nefuncionare ct i asupra costurilor legate
de manoperele de instalare! punerea n funciune! verificarea i testarea! aducerea n regimul
nominal de utilizare etc.
9 %osturile legate de manoper i calificarea necesar a acesteia! la care se adaug costurile de
verificare! testare! certificare etc.
9 %osturile n raport cu clienii i (eneficiarii organizaiei pe durata efecturii refacerii
potenialului nominal de funcionare.
%omponenetele soft-are! la randul lor! au anumite trsturi care le individualizeaz n cazul
unor malfuncionri. %osturile asociate acestora sunt! adesea! estimate prin timpul necesar
soluionrii malfuncionarii. Ln acest contet costurile vor fi calculate prin costul manoperei
pe durata interveniei6
9 1impul necesar sta(ilirii cauzelor malfuncionrii. Acest timp poate fi principala
component a duratei glo(ale a refacerii funcionalitii. /oate necesita manoper cu costuri
ridicate implicnd eforturile! de regul! a unei echipe.
9 Durata ncrcrii i testrii aplicaiei! componentei soft-are! dup gsirea i nlturarea
cauzelor care au fost sta(ilite. /rocesul poate fi iterativ din cauza compleitii aplicaiilor
constituite! n ma#oritatea situaiilor! din componente soft-are liceniate de furnizori diferii.
2e pot ntlni situaii n care o anumit malfuncionare mascheaz o alta care a#unge vizi(il
a(ia dup nlturarea precedentei.
9 Durata restaurrii! rencrcarii! sistemelor mari de aplicaii.
:eferitor la date! la informaiile stocate! criteriile se refer la6
9 %osturile restaurrii i reinstalrii.
9 Durata refacerii unor date pierdute sau compromise.
9 %osturile sta(ilirii cauzelor care au condus la pierderea integritii datelor ori a
confidenialitii acestora.
9 %osturile informaiile pierdute care aparin organizaiei i costurile informaiilor pierdute
care nu aparin organizaiei 3clieni care impun anumite costuri! uneori prohi(itiv de mari4.
/rivitor la personalul companiei! principalele criterii se grupeaz n #urul acestor aspecte6
9 )olumul i calificarea personalului care va fi implicat n recuperarea funcionalitii
organizaiei de dup un dezastru.
9 %osturile implicate de instruirea suplimentar a personalului. Aceste costuri se refer att la
instruirea personalului pre-eistent dezastrului ct i la costurile instruirii personalului
adugat %t cost instruirea unui nou personal0
9 %are sunt efectele psihologice ale dezastrelor0
Estimarea valorii impactului pe o zona
"iecare (un are! n cazul pierderii acestuia sau al funcionrii defectuoase! impact asupra a
trei elemente necesare n asigurarea securitii! i anume6
9 secretizare7
9 integritate7
9 disponi(ilitate.
Eemplul C6
2e consider un fiier care stocheaz datele personale ale unui numr de D>> de anga#ai ai
unei companii. Ln urma unui eveniment nedorit 3intenionat! neintenionat! accident! fenomen
natural4! se pierd att datele din fiier! ct i structura acestuia. Mu eist copie de siguran
pentru acestea. :efacerea structurii fiierului poate fi fcut de o persoan calificat! lucrnd
H ore pentru reconstrucie 3n timpul programului4. 2alariul tarifar este de D!I K2D8or.
:estaurarea datelor! repopularea fiierului! va putea fi fcut n afara orelor de program de
aceeai persoan sau de o alt persoan. Aceast operaie dureaz I 3cinci4 ore i este pltit
cu G K2D8or 3lucrul n afara orelor de program4. /ierderea secretului! netiind natura
dezastrului! creeaz pierderi estimate la I.>>> K2D! aceasta fiind zona cu impactul cel mai
mare n privina costurilor de refacere.
H3ore4 D!I 3K2D8or4 N I3ore4 G 3K2D8or- suplimentar4 F DI K2D.
%alculul valorii totale pentru fiecare activ. 2e calculeaz valoarea total pentru un impact
folosind formula6 unde )aloare3a4 semnific
valoarea impactului pentru activul a iar impact
i
semnific valoarea impactului n zona
respectiv pentru (unul! activul a.
Eist trei 3n F G4 zone de impact 32ecret ! Integritate i Disponi(ilitate4.
Ln acest caz! )aloarea3a4 F I>.>>> N > N DI F I>.>DI K2D.
D. 2ta(ilirea vulnera(ilitatilor dintr-o organizatie
/resupune sta(ilirea ameninrilor la adresa activelor i frecvena cu care aceste ameninri se
pot produce n respectiva organizaie.
Impactul acestor ameninri asupra (unurilor depinde n mare msur de anumii factori!
dintre care cei mai des invocai sunt6
9 amplasarea geografic7
9 facilitile cadrului organizatoric7
9 densitatea de informaie7
9 condiiile economice locale7
9 sistemele de avertizare i protecie implementate7
9 vizi(ilitate7
9 accesul facil la (unuri7
9 redundane7
9 procedurile i metodele de salvare7
9 contientizarea msurilor de securitate i protecie etc.
9 fulgerele! calamitile naturale! n general.
G. Estimarea pro(a(ilitatii de producere a incidentelor
2e sta(ilete pro(a(ilitatea de producere a unui incident ntr-un interval de timp! (ine
precizat. Ln ta(elul urmator sunt prezentate! spre eemplu! frecvenele de producere ale unor
incidente6
"olosind datele statistice se poate sta(ili rata de producere a unui incident. Aceste date
statistice sunt evideniate n ta(elul D.
H. %alculul pierderilor anuale estimate
%alculul pierderilor anuale estimate pentru fiecare ameninare
unde /AEa F /ierderi Anuale Estimate pentru ameninarea a!
)( F )aloarea (unului ( 3fiind considerate (unuri etichetate de la > la n4!
Ea F Estimarea numrului de incidente ale ameninrii a 3sunt luate n calcul ameninri
etichetate de la > la m4.
Eemplul D6
%alculul pierderilor anuale estimate n raport cu fiecare (un considerat
unde reprezentnd /ierderile Anuale Estimate pentru
(unul (
i
! cu notaiile6
)(
i
F )aloarea (unului ( 3i de la > la n (unuri4 i respectiv
Ea
#
F Estimarea numrului de incidente ale ameninrii a 3# de la > la m ameninri4.
Eemplul G6
%alculul pierderilor anuale estimate su(-totale i totale
2e determin /ierderile Anuale Estimate nsumnd dup categorii de ameninri6 3/AEO(
#
4.
2e determin /ierderile Anuale Estimate nsumnd pe categorii de (unuri6 3/AEOa
i
4.
/AE F 1otal /ierderi Anuale Estimate pentru perechile (un8ameninare.
Ln am(ele cazuri de calculare a pierderilor totale! pe categorii de ameninri sau pe categorii
de (unuri! rezultatul tre(uie s fie identic.
2e poate genera o matrice ameninri 8 (unuri i /AE-urile corespunztoare fiecrui (un!
fiecrei ameninri i /AE-ul glo(al 3respectiv colul din dreapta #os4.
I. Determinarea principalelor masuri de prevenire si control
Dintre toate ameninrile avute n vedere! se identific ameninarea care produce pierderile cu
cele mai mari valori anuale estimate corespunztoare 3/AEOa4. /rincipalel msuri de control
vor viza diminuarea pierderilor cauzate de aceast ameninare.
2e identific msurile care pot duce la reducerea vulnera(ilitii fa de ameninarea cea mai
costisitoare. Lntotdeauna se are n vedere c unele msuri se pot aplica pentru mai multe
categorii de ameninri ori pentru mai multe categorii de (unuri.
Ln afara acestor msuri specifice unei anume ameninri se mai pot institui i altele cu
caracter mai general6
o 2tocarea datelor critice n afara organizaiei7
o Introducerea unor procedee precise i riguros aplicate att pentru salvrile de siguran ct
i pentru salvrile periodice de date7
o Lnsoirea personalului din eterior primit n interiorul organizaiei7
o Etichetarea i marcarea cu culori distincte a diverselor poriuni de documente care conin
date ce vor fi operate sau introduse n sistemele de calcul7
o ,surile de protecie la nivel fizic 5 supravegherea electronic monitorizat! paza prin
personal calificat! nsoitori7
o %ontrolul accesului la anumite zone prin avertizri audio-vizuale! validarea accesului prin
chei de acces 3fizice i soft-are4 ori ecusoane validate prin mi#loace de supraveghere7
o Accesul la sistemele informaionale s ai( loc n (aza unei identificri iar activitatea la
aceste sisteme s fie memorat n log-uri sau #urnale de acces.
J. %alculul Estimrii :enta(ilitii Investiiei 3:I4.
/entru fiecare msur de control aplicat se identific6
o )ulnera(ilitile care pot fi reduse prin aplicarea acelor msuri de control.
o Atri(uirea unei rate8valori optime pentru fiecare pereche eveniment8mod de control.
o Estimarea costurilor anuale pentru implementarea msurii de control respectiv.
Estimarea :enta(ilitii Investiiei 3:I46 :I F rcP/AEOa 5%c
Knde se opereaz cu notaiile6
%c F %ostul anual pentru aplicarea controlului c!
rc F indicele de eficacitate pentru controlul c!
/AEOa F /ierderile Anuale Estimate pentru ameninarea a.
2electarea msurilor suplimentare de control tre(uie s se in cont de realizarea urmtoarelor
o(iective6
valoarea :enta(ilitii Investiiei ct mai mare7
minimizarea /AE 3/ierderilor Anuale Estimate4.
)aloarea factorului :I ct mai mare se va putea o(ine acionnd asupra indicelui de
eficacitate rc prin creterea acestuia pn la valoarea maim 3C4! sau asupra costului anual
pentru aplicarea controlului %c prin micorarea costurilor de implementare a controlului.
,etodele cantitative de calcul a riscului de securitate sunt folosite cu precdere la companiile
de mrime medie i8sau mare.
,etoda cantitativ epus are ns anumite nea#unsuri. /rintre acestea se pot enumera6
9 Dificultatea de a gsi un numr care s cuantifice ct mai eact frecvena de producere a
unui eveniment.
9 Dificultatea de a cuantifica anumite valori. De eemplu! sunt foarte greu de definit
disponi(ilitatea unei informaii i calculul pierderilor cnd aceast caracteristic lipsete.
9 ,etoda nu face distincie ntre ameninrile rare! dar care produc dezastre mari ca valoare
3incendiu! cutremure! tornade etc.4! i ameninrile dese care produc dezastre mici ca valoare
3erori de operare4! n am(ele cazuri efectele financiare fiind asemntoare.
9 Alegerea numerelor folosite poate fi considerat su(iectiv! munc la(orioas care necesit
timp i consum de resurse.
)aloarea rc este C 3unu4 pentru o eficacitate de C>>Q.
R. Analiza calitativa a riscului de securitate
Aceast metod este mai des folosit dect metoda anterioar! pretndu-se la firmele de
mrime mic. ,etoda nu folosete date statistice. Ln schim(! se folosete ca dat de intrare
potenialul de pierdere.
,etoda opereaz cu termeni ca6
9 des8nalt! mediu! rar8redus 5 referitor la pro(a(ilitatea de apariie a riscurilor i impactul
acestora.
9 vital! critic! important! general i informaional 5 referitor la tipul i clasificarea
informaiilor.
9 numere! C! D! G.
Aceasta are ca efect imediat reducerea volumului de munc i a timpului consumat. ,etoda
are i dezavanta#e.
/rintre acestea6
9 greu de cuantificat 3ca i la metoda anterioar4 anumii termeni 3important 5 este un termen
greu de definit n management4.
9 Mumerele sunt de aceast dat i mai su(iective. Dac la metoda anterioar acestea erau
date statistice! acum sunt alese su(iectiv.
Aceast metod se poate aplica parcurgnd urmtorii pai6
9 2ta(ilirea nivelului de pierderi
9 2ta(ilirea costurile dezastrelor
9 2ta(ilirea pro(a(ilitii de producere a dezastrelor.
2ta(ilirea consecinelor dezastrelor
Kn nivel redus de securitate are ca efect creterea riscului n afaceri. %a revers! asigurarea
unui nivel ridicat de securitate poate afecta afacerile prin diri#area fondurilor ctre asigurarea
securitii i nu ctre destinaia lor de drept. De aceea! tre(uie gsit o cale de mi#loc.
Aceste analize de risc se fac cu precdere n cadrul organizaiilor mari i eventual n cadrul
celor medii. .rganizaiile mici nu au nici personal specializat i nici (ani pentru a pltii o
astfel de evaluare. %u toate acestea! un minimum de preocupri privind securitatea tre(uie
considerate.
Ln ma#oritatea cazurilor! D>Q din costuri se reflect n S>Q (eneficii n ceea ce privete
minimizarea riscurilor i asigurarea securitii.
. securitate maim poate fi asigurat cu costuri foarte mari. Asigurarea unei eficiene
maime conduce! de regul! la un nivel prohi(itiv al cheltuielilor.
Este tiut faptul c managerii de firme se las greu convini s investeasc n ceva care nu
aduce profit direct. Iar atunci cnd se las convini de necesitatea disponi(ilizrii sumelor
pentru asigurarea securitii! sumele alocate sunt su( limita celor recomandate.
Ln aceste condiii! tre(uie s se asigure o securitate ale crei cheltuieli s nu depeasc o
anumit limit a sumei alocate. 2e poate vor(i despre o securitate impus financiar.
Alternativele de rezolvare a acestei situaii sunt dou6
9 acoperirea ameninrilor celor mai pro(a(ile! cu pstrarea metodelor de control iniiale7
9 acoperirea tuturor ameninrilor i reducerea costurilor msurilor de control.
/rima msur va permite o securitate maim pentru anumite ameninri! dar va lsa
descoperit securitatea parial sau total la alte ameninri.
A doua msur va impune reducerea cheltuielilor necesare asigurrii controalelor pentru a
putea s fie acoperite toate ameninrile posi(ile. Aceasta ar putea s se reflecte n
modificarea i configurarea msurilor de control.
Mu se vor mai achiziiona dou surse nentrerupti(ile! spre eemplu! A/% K/2 de GI>)A la
preul de TI dolari (ucata pentru dou calculatoare! ci se va achiziiona o singur surs A/%
K/2 de JI>)A la preul de CH> de dolari (ucata. Economia este de I> de dolari 3TI D . CH>
F I>4.
Ln acest caz! ns! cele dou calculatoare vor tre(ui s fie alimentate de la aceeai surs
nentrerupti(il prin prelungirea ca(lurilor de alimentare sau prin plasarea lor n imediata
vecintate. Aceast a doua msur este de preferat primei! deoarece nu las vulnera(iliti
neacoperite de msuri de control.
2ecuritatea este o entitate greu de cuantificat. )a fi dificil de apreciat c n cadrul unei
organizaii eist o securitate de un anumit nivel de performan. 2e poate! doar! s se
estimeze ca fiind de un nivel ridicat! mediu! minim sau deloc. Acestea sunt aprecieri suficient
de largi ca s nu permit! cel mai frecevnt! comparaii. %u toate acestea! se poate face o
cuantificare 3cel puin financiar4 a nivelului de securitate i! respectiv! asupra nivelului de
costuri ale riscurilor.
Lntotdeauna implementarea securitii sau testarea i m(untirea acesteia genereaz costuri
semnificative n termeni de resurse umane i de echipamente.