Evaluarea si managementul riscurilor de securitate
Evaluarea si managementul riscurilor de securitate
Asigurarea securitii datelor din interiorul unei companii ori a unei organizaii reprezint o aliniere la cerinele actuale ale dezvoltrii societii informaionale. Dezvoltarea fr precedent a mediului de afaceri din ultimul timp folosete ca suport tehnologiile Internet. Dezvoltarea acestor tehnologii ntr-un ritm att de susinut nu a putut fi prezis de iniiatorii ei i aceste tehnologii nu s-ar fi dezvoltat fr suportul mediului de afaceri care le-a adoptat i utilizat etensiv iar acestea! la rndul lor! s-au adaptat acestui mediu. "enomenul acesta a dat natere unor domenii complet noi cum ar fi! spre eemplu! de#a cunoscutele e-aplicaii de felul e-$overnment! e-%ommerce! e-&usiness! e-'earning etc. Acest mediu de comunicare! informare! documentare! tranzacionare etc. care reunete milioane de utilizatori are ns i punctele lui vulnera(ile. )ulnera(ilitatea reprezint poate punctul cel mai nevralgic al mediului Internet. *ilnic au loc atacuri la adresa serverelor de orice tip din Internet. +i tot zilnic se depun eforturi uriae i se cheltuiesc sume mari de ctre companii specializate pentru acoperirea (reelor de securitate descoperite la timp sau n urma unor atacuri uneori cu consecine catastrofale. ,arile companii productoare de soft-are au compartimente specializate n domeniul securitii. .rice aplicaie are! inerent! ncorporate i elemente de siguran i securitate. Determinarea politicii de securitate pentru o organizaie depinde masiv de compleitatea acesteia. /olitica de securitate include foarte multe ramuri%e tre(uie s fac ns o firm mic ce nu dispune de fonduri0 %um va face ea fa unor posi(ile atacuri atunci cnd este conectat la reeaua Internet0 Este necesar i suficient s-i achiziioneze soft-are de ultim or0 +i nu eist numai aceast pro(lem. 1re(uie s eiste ntotdeauna un scenariu privitor la ce va face o organizaie n caz de dezastre naturale. 2imilar tre(uie sta(ilit o strategie pentru situaia n care se constat pierderea masiv a datelor din cauza unor variaii mari 3ocuri4 de tensiune ale reelei locale de alimentare cu energie electric. . manevr greit! comis de un operator al organizaiei! poate compromite coninutul unor servere de (aze de date ori fiiere cu informaii sensi(ile ale unor clieni 5 constituind nc o situaie de risc etrem de tios. De cele mai multe ori! fr o pregtire preala(il! n astfel cazuri se pot face foarte puine manevre pozitive! reparatorii! dup producerea dezastrului. /revizional! mult nainte s ai( loc un incident previzi(il catastrofal se pot iniia dou tipuri de activiti care s prentmpine! s previn! i s gestioneze! la nivelul organizaiei! scenariul unui posi(il dezastru6 - analiza riscurilor la adresa securitii 3i nu numai47 - evaluarea costurilor procedeelor de prevenire a dezastrelor i 8 sau costurile pentru depirea dezastrului! odat produs! i recuperarea funcionalitii pierdute. Ameninrile la adresa integritii i securitii unei organizaii se pot eercita prin mai muli vectori. . parte dintre acetia! cei mai frecveni! sunt6 9 spionii7 9 organizaiile criminale i teroriste7 9 utilizatorii rutcioi sau ruvoitori7 9 anumite persoane din interiorul organizaiei! care au acces la date i procedee utilizate n sistemul de securitate al organizaiei respective7 9 persoane din afara organizaiei dar care au acces la anumite informaii etrem de sensi(ile pentru securitatea organizaiei7 9 cataclismele naturale. :iscul poate fi definit ca o ameninate care poate s eploateze eventualele sl(iciuni ale unui sistem ori a unei ntregi organizaii. :iscul este un eveniment care este posi(il s se ntmple! fiind considerat! adesea! un eveniment aleator. /entru a se prentmpina apariia unui eveniment care s afecteze securitatea unei organizaii ori unui sistem este necesar ela(orarea unei politici de msuri specifice. Aceste msuri sunt determinate prin metrici asociate riscurilor. ,etricile sunt acelea care introduc o ierarhizare a rsicurilor. :iscurile i ameninrile sunt identificate! adeseori! reciproc. 2e discut despre un risc i se su(nelege! implicit! ameninarea care produce acel risc. :iscul este! ns! o noiune mai a(stract dect ameninarea prin faptul c! implicit! face referine la costurile punerii n fapt a respectivei ameninri dar cuprinde n sine! intuitiv! i cuantificarea realizrii efective a ameninrii. Dac se consider o mulime de riscuri ; r < = > ? < @ AB! unde A este numrul maim de riscuri! asociate unei organizaii se poate introduce o relaie peste aceast mulime de riscuri. Astfel! se poate aprecia c dou riscuri r C i r D distincte 3r C E r D 4 pot fi ordonate! printr-o relaie de ordine parial! considernd relaia dintre costurile respectivelor riscuri! adic prin pagu(ele produse de acestea6 r C @ r D dac i numai dac %3r C 4 @ %3r D 4! unde s-a notat prin %3r i 4 costul riscului i. 2imilar se poate aprecia c un risc r C mai frecvent! ca apariie! poate fi mai costisitor dect un risc r D care se produce mai rar! cu condiia ca pagu(ele produse s fie pe evaluate peste un acelai interval de timp. )aloarea unui risc r < este! de cele mai multe ori! estimat prin produsul dintre costul su i frecvena sa de apariie6 )3r < 4 F %3r < 4/3r < 4 Aceasta valoare poate fi considerat ca fiind o bun metric a riscului, n general. 2ecuritatea sistemelor informationale 2e pot enumera urmtoarele msuri de securitate6 9 hard-are7 9 soft-are7 9 procedee de operare specifice7 9 controlul i cuantificarea accesului7 9 verificarea i evaluarea fia(ilitii procedeelor7 9 monitorizarea securitii personalului7 9 modaliti de constituire a unui mediu asigurator la nivelul instituioal al organizaiei 3cldiri! zonele de acces! modaliti de separare a serviciilor cu risc ridicat etc4 Analiza riscului presupune un proces de identificare al principalelor riscuri de securitate! sta(ilirea anvergurii i implicaiilor riscurilor! precum i identificarea zonelor care prezint risc mare i care tre(uie asigurate. Analiza de risc face parte din ansam(lul de msuri care poart denumirea generic de managementul riscului. Evaluarea riscurilor este un rezultat al unui proces de analiz a riscurilor. ,anagementul riscului poate fi definit ca totalitatea metodelor de identificare! control! eliminare sau minimizare a evenimentelor care pot afecta resursele sistemului. Acesta include6 o analiza riscurilor7 o analiza costului (eneficiilor7 o determinarea celor mai potrivite mecanisme7 o evaluarea securitii msurilor adoptate7 o analiza securitii n plan general. Analiza riscului tre(uie efectuat din mai multe raiuni! i anume6 9 identificarea ierarhic a activelor organizaiei respective i prghiile care asigur securitatea asupra acestora7 9 constituirea unor etape succesive de eliminarea a condiiilor care pot favoriza realizarea riscurilor atunci cnd contetul este comple iar o modificare a funcionrii sale nu se poate introduce dect prin politica pailor mruni. 9 sta(ilete o(ligativitatea unor aciuni i a unor termene de realizare n vederea constituirii unor o(iective care in de implementarea securitii organizaiei7 9 constituirea unei perspective de ansam(lu a achiziionrii de resurse i servicii n acest sens astfel nct! s se in seama de efortul financiar n contetul gsirii celor mai eficiente soluii. 9 aliniaz programul de control cu misiunea organizaiei7 9 ofer criterii pentru proiectarea i evaluarea planurilor de avarie7 9 m(untete nelegerea general 3asupra sistemului! cum opereaz! etc.4. Analiza riscurilor urmrete s pun acest proces pe (aze teoretice i practice solide. 2unt mai multe modaliti de a(ordare a riscului. Dintre acestea se disting cteva! i anume6 o analiza cantitativ7 o analiza calitativ7 o analiza fiecrui post de lucru din organizaie. Analiza cantitativa a riscului de securitate /entru analiza calitativ a riscului se parcurg urmtorii pai6 C. Identificarea i evaluarea activelor 3(unurilor organizaiei4 D. Determinarea vulnera(ilitilor G. Estimarea pro(a(ilitii de producere H. %alculul pierderilor anuale estimate I. Analiza msurilor de control J. Estimarea :enta(ilitii Investiiei 3:I4. C. Identificarea si evaluarea activelor 3(unurilor organizatiei4 Identificarea activelor /resupune identificarea componentelor hard-are! soft-are! datelor cu care se opereaz! personalul implicat n procese! documentaiile aferente! suporturile corespunztoare etc. Evaluarea activelor /resupune s se sta(ileasc costurile de nlocuire pentru cazuri cnd un anume activ este distrus. /entru aceasta tre(uie s se rspund unor criterii care s direcioneze evaluarea respectivelor active. Knele dintre aceste criterii sunt formulate prin chestiuni simple referitoare la costurile asociate activelor considerate. %omponentele hard-are impun anumite caracteristici tipice6 9 %osturile de nlocuire ale activului respectiv innd seama de preurile actuale0 9 Durata nlocuirii unui activ din categoria component hard-are. Aceast durat include i timpul necesar aducerii componentei n regim de funcionare i eploatare nominal. Durata are att influen asupra costurilor cauzate prin nefuncionare ct i asupra costurilor legate de manoperele de instalare! punerea n funciune! verificarea i testarea! aducerea n regimul nominal de utilizare etc. 9 %osturile legate de manoper i calificarea necesar a acesteia! la care se adaug costurile de verificare! testare! certificare etc. 9 %osturile n raport cu clienii i (eneficiarii organizaiei pe durata efecturii refacerii potenialului nominal de funcionare. %omponenetele soft-are! la randul lor! au anumite trsturi care le individualizeaz n cazul unor malfuncionri. %osturile asociate acestora sunt! adesea! estimate prin timpul necesar soluionrii malfuncionarii. Ln acest contet costurile vor fi calculate prin costul manoperei pe durata interveniei6 9 1impul necesar sta(ilirii cauzelor malfuncionrii. Acest timp poate fi principala component a duratei glo(ale a refacerii funcionalitii. /oate necesita manoper cu costuri ridicate implicnd eforturile! de regul! a unei echipe. 9 Durata ncrcrii i testrii aplicaiei! componentei soft-are! dup gsirea i nlturarea cauzelor care au fost sta(ilite. /rocesul poate fi iterativ din cauza compleitii aplicaiilor constituite! n ma#oritatea situaiilor! din componente soft-are liceniate de furnizori diferii. 2e pot ntlni situaii n care o anumit malfuncionare mascheaz o alta care a#unge vizi(il a(ia dup nlturarea precedentei. 9 Durata restaurrii! rencrcarii! sistemelor mari de aplicaii. :eferitor la date! la informaiile stocate! criteriile se refer la6 9 %osturile restaurrii i reinstalrii. 9 Durata refacerii unor date pierdute sau compromise. 9 %osturile sta(ilirii cauzelor care au condus la pierderea integritii datelor ori a confidenialitii acestora. 9 %osturile informaiile pierdute care aparin organizaiei i costurile informaiilor pierdute care nu aparin organizaiei 3clieni care impun anumite costuri! uneori prohi(itiv de mari4. /rivitor la personalul companiei! principalele criterii se grupeaz n #urul acestor aspecte6 9 )olumul i calificarea personalului care va fi implicat n recuperarea funcionalitii organizaiei de dup un dezastru. 9 %osturile implicate de instruirea suplimentar a personalului. Aceste costuri se refer att la instruirea personalului pre-eistent dezastrului ct i la costurile instruirii personalului adugat %t cost instruirea unui nou personal0 9 %are sunt efectele psihologice ale dezastrelor0 Estimarea valorii impactului pe o zona "iecare (un are! n cazul pierderii acestuia sau al funcionrii defectuoase! impact asupra a trei elemente necesare n asigurarea securitii! i anume6 9 secretizare7 9 integritate7 9 disponi(ilitate. Eemplul C6 2e consider un fiier care stocheaz datele personale ale unui numr de D>> de anga#ai ai unei companii. Ln urma unui eveniment nedorit 3intenionat! neintenionat! accident! fenomen natural4! se pierd att datele din fiier! ct i structura acestuia. Mu eist copie de siguran pentru acestea. :efacerea structurii fiierului poate fi fcut de o persoan calificat! lucrnd H ore pentru reconstrucie 3n timpul programului4. 2alariul tarifar este de D!I K2D8or. :estaurarea datelor! repopularea fiierului! va putea fi fcut n afara orelor de program de aceeai persoan sau de o alt persoan. Aceast operaie dureaz I 3cinci4 ore i este pltit cu G K2D8or 3lucrul n afara orelor de program4. /ierderea secretului! netiind natura dezastrului! creeaz pierderi estimate la I.>>> K2D! aceasta fiind zona cu impactul cel mai mare n privina costurilor de refacere. H3ore4 D!I 3K2D8or4 N I3ore4 G 3K2D8or- suplimentar4 F DI K2D. %alculul valorii totale pentru fiecare activ. 2e calculeaz valoarea total pentru un impact folosind formula6 unde )aloare3a4 semnific valoarea impactului pentru activul a iar impact i semnific valoarea impactului n zona respectiv pentru (unul! activul a. Eist trei 3n F G4 zone de impact 32ecret ! Integritate i Disponi(ilitate4. Ln acest caz! )aloarea3a4 F I>.>>> N > N DI F I>.>DI K2D. D. 2ta(ilirea vulnera(ilitatilor dintr-o organizatie /resupune sta(ilirea ameninrilor la adresa activelor i frecvena cu care aceste ameninri se pot produce n respectiva organizaie. Impactul acestor ameninri asupra (unurilor depinde n mare msur de anumii factori! dintre care cei mai des invocai sunt6 9 amplasarea geografic7 9 facilitile cadrului organizatoric7 9 densitatea de informaie7 9 condiiile economice locale7 9 sistemele de avertizare i protecie implementate7 9 vizi(ilitate7 9 accesul facil la (unuri7 9 redundane7 9 procedurile i metodele de salvare7 9 contientizarea msurilor de securitate i protecie etc. 9 fulgerele! calamitile naturale! n general. G. Estimarea pro(a(ilitatii de producere a incidentelor 2e sta(ilete pro(a(ilitatea de producere a unui incident ntr-un interval de timp! (ine precizat. Ln ta(elul urmator sunt prezentate! spre eemplu! frecvenele de producere ale unor incidente6 "olosind datele statistice se poate sta(ili rata de producere a unui incident. Aceste date statistice sunt evideniate n ta(elul D. H. %alculul pierderilor anuale estimate %alculul pierderilor anuale estimate pentru fiecare ameninare unde /AEa F /ierderi Anuale Estimate pentru ameninarea a! )( F )aloarea (unului ( 3fiind considerate (unuri etichetate de la > la n4! Ea F Estimarea numrului de incidente ale ameninrii a 3sunt luate n calcul ameninri etichetate de la > la m4. Eemplul D6 %alculul pierderilor anuale estimate n raport cu fiecare (un considerat unde reprezentnd /ierderile Anuale Estimate pentru (unul ( i ! cu notaiile6 )( i F )aloarea (unului ( 3i de la > la n (unuri4 i respectiv Ea # F Estimarea numrului de incidente ale ameninrii a 3# de la > la m ameninri4. Eemplul G6 %alculul pierderilor anuale estimate su(-totale i totale 2e determin /ierderile Anuale Estimate nsumnd dup categorii de ameninri6 3/AEO( # 4. 2e determin /ierderile Anuale Estimate nsumnd pe categorii de (unuri6 3/AEOa i 4. /AE F 1otal /ierderi Anuale Estimate pentru perechile (un8ameninare. Ln am(ele cazuri de calculare a pierderilor totale! pe categorii de ameninri sau pe categorii de (unuri! rezultatul tre(uie s fie identic. 2e poate genera o matrice ameninri 8 (unuri i /AE-urile corespunztoare fiecrui (un! fiecrei ameninri i /AE-ul glo(al 3respectiv colul din dreapta #os4. I. Determinarea principalelor masuri de prevenire si control Dintre toate ameninrile avute n vedere! se identific ameninarea care produce pierderile cu cele mai mari valori anuale estimate corespunztoare 3/AEOa4. /rincipalel msuri de control vor viza diminuarea pierderilor cauzate de aceast ameninare. 2e identific msurile care pot duce la reducerea vulnera(ilitii fa de ameninarea cea mai costisitoare. Lntotdeauna se are n vedere c unele msuri se pot aplica pentru mai multe categorii de ameninri ori pentru mai multe categorii de (unuri. Ln afara acestor msuri specifice unei anume ameninri se mai pot institui i altele cu caracter mai general6 o 2tocarea datelor critice n afara organizaiei7 o Introducerea unor procedee precise i riguros aplicate att pentru salvrile de siguran ct i pentru salvrile periodice de date7 o Lnsoirea personalului din eterior primit n interiorul organizaiei7 o Etichetarea i marcarea cu culori distincte a diverselor poriuni de documente care conin date ce vor fi operate sau introduse n sistemele de calcul7 o ,surile de protecie la nivel fizic 5 supravegherea electronic monitorizat! paza prin personal calificat! nsoitori7 o %ontrolul accesului la anumite zone prin avertizri audio-vizuale! validarea accesului prin chei de acces 3fizice i soft-are4 ori ecusoane validate prin mi#loace de supraveghere7 o Accesul la sistemele informaionale s ai( loc n (aza unei identificri iar activitatea la aceste sisteme s fie memorat n log-uri sau #urnale de acces. J. %alculul Estimrii :enta(ilitii Investiiei 3:I4. /entru fiecare msur de control aplicat se identific6 o )ulnera(ilitile care pot fi reduse prin aplicarea acelor msuri de control. o Atri(uirea unei rate8valori optime pentru fiecare pereche eveniment8mod de control. o Estimarea costurilor anuale pentru implementarea msurii de control respectiv. Estimarea :enta(ilitii Investiiei 3:I46 :I F rcP/AEOa 5%c Knde se opereaz cu notaiile6 %c F %ostul anual pentru aplicarea controlului c! rc F indicele de eficacitate pentru controlul c! /AEOa F /ierderile Anuale Estimate pentru ameninarea a. 2electarea msurilor suplimentare de control tre(uie s se in cont de realizarea urmtoarelor o(iective6 valoarea :enta(ilitii Investiiei ct mai mare7 minimizarea /AE 3/ierderilor Anuale Estimate4. )aloarea factorului :I ct mai mare se va putea o(ine acionnd asupra indicelui de eficacitate rc prin creterea acestuia pn la valoarea maim 3C4! sau asupra costului anual pentru aplicarea controlului %c prin micorarea costurilor de implementare a controlului. ,etodele cantitative de calcul a riscului de securitate sunt folosite cu precdere la companiile de mrime medie i8sau mare. ,etoda cantitativ epus are ns anumite nea#unsuri. /rintre acestea se pot enumera6 9 Dificultatea de a gsi un numr care s cuantifice ct mai eact frecvena de producere a unui eveniment. 9 Dificultatea de a cuantifica anumite valori. De eemplu! sunt foarte greu de definit disponi(ilitatea unei informaii i calculul pierderilor cnd aceast caracteristic lipsete. 9 ,etoda nu face distincie ntre ameninrile rare! dar care produc dezastre mari ca valoare 3incendiu! cutremure! tornade etc.4! i ameninrile dese care produc dezastre mici ca valoare 3erori de operare4! n am(ele cazuri efectele financiare fiind asemntoare. 9 Alegerea numerelor folosite poate fi considerat su(iectiv! munc la(orioas care necesit timp i consum de resurse. )aloarea rc este C 3unu4 pentru o eficacitate de C>>Q. R. Analiza calitativa a riscului de securitate Aceast metod este mai des folosit dect metoda anterioar! pretndu-se la firmele de mrime mic. ,etoda nu folosete date statistice. Ln schim(! se folosete ca dat de intrare potenialul de pierdere. ,etoda opereaz cu termeni ca6 9 des8nalt! mediu! rar8redus 5 referitor la pro(a(ilitatea de apariie a riscurilor i impactul acestora. 9 vital! critic! important! general i informaional 5 referitor la tipul i clasificarea informaiilor. 9 numere! C! D! G. Aceasta are ca efect imediat reducerea volumului de munc i a timpului consumat. ,etoda are i dezavanta#e. /rintre acestea6 9 greu de cuantificat 3ca i la metoda anterioar4 anumii termeni 3important 5 este un termen greu de definit n management4. 9 Mumerele sunt de aceast dat i mai su(iective. Dac la metoda anterioar acestea erau date statistice! acum sunt alese su(iectiv. Aceast metod se poate aplica parcurgnd urmtorii pai6 9 2ta(ilirea nivelului de pierderi 9 2ta(ilirea costurile dezastrelor 9 2ta(ilirea pro(a(ilitii de producere a dezastrelor. 2ta(ilirea consecinelor dezastrelor Kn nivel redus de securitate are ca efect creterea riscului n afaceri. %a revers! asigurarea unui nivel ridicat de securitate poate afecta afacerile prin diri#area fondurilor ctre asigurarea securitii i nu ctre destinaia lor de drept. De aceea! tre(uie gsit o cale de mi#loc. Aceste analize de risc se fac cu precdere n cadrul organizaiilor mari i eventual n cadrul celor medii. .rganizaiile mici nu au nici personal specializat i nici (ani pentru a pltii o astfel de evaluare. %u toate acestea! un minimum de preocupri privind securitatea tre(uie considerate. Ln ma#oritatea cazurilor! D>Q din costuri se reflect n S>Q (eneficii n ceea ce privete minimizarea riscurilor i asigurarea securitii. . securitate maim poate fi asigurat cu costuri foarte mari. Asigurarea unei eficiene maime conduce! de regul! la un nivel prohi(itiv al cheltuielilor. Este tiut faptul c managerii de firme se las greu convini s investeasc n ceva care nu aduce profit direct. Iar atunci cnd se las convini de necesitatea disponi(ilizrii sumelor pentru asigurarea securitii! sumele alocate sunt su( limita celor recomandate. Ln aceste condiii! tre(uie s se asigure o securitate ale crei cheltuieli s nu depeasc o anumit limit a sumei alocate. 2e poate vor(i despre o securitate impus financiar. Alternativele de rezolvare a acestei situaii sunt dou6 9 acoperirea ameninrilor celor mai pro(a(ile! cu pstrarea metodelor de control iniiale7 9 acoperirea tuturor ameninrilor i reducerea costurilor msurilor de control. /rima msur va permite o securitate maim pentru anumite ameninri! dar va lsa descoperit securitatea parial sau total la alte ameninri. A doua msur va impune reducerea cheltuielilor necesare asigurrii controalelor pentru a putea s fie acoperite toate ameninrile posi(ile. Aceasta ar putea s se reflecte n modificarea i configurarea msurilor de control. Mu se vor mai achiziiona dou surse nentrerupti(ile! spre eemplu! A/% K/2 de GI>)A la preul de TI dolari (ucata pentru dou calculatoare! ci se va achiziiona o singur surs A/% K/2 de JI>)A la preul de CH> de dolari (ucata. Economia este de I> de dolari 3TI D . CH> F I>4. Ln acest caz! ns! cele dou calculatoare vor tre(ui s fie alimentate de la aceeai surs nentrerupti(il prin prelungirea ca(lurilor de alimentare sau prin plasarea lor n imediata vecintate. Aceast a doua msur este de preferat primei! deoarece nu las vulnera(iliti neacoperite de msuri de control. 2ecuritatea este o entitate greu de cuantificat. )a fi dificil de apreciat c n cadrul unei organizaii eist o securitate de un anumit nivel de performan. 2e poate! doar! s se estimeze ca fiind de un nivel ridicat! mediu! minim sau deloc. Acestea sunt aprecieri suficient de largi ca s nu permit! cel mai frecevnt! comparaii. %u toate acestea! se poate face o cuantificare 3cel puin financiar4 a nivelului de securitate i! respectiv! asupra nivelului de costuri ale riscurilor. Lntotdeauna implementarea securitii sau testarea i m(untirea acesteia genereaz costuri semnificative n termeni de resurse umane i de echipamente.