Sunteți pe pagina 1din 14

RevistadeMarketingOnlineVol.1Nr.

Managementulriscurilorasociateinstrumentelorde
marketingonline
Autor: MihaiOrzan
Abstract:Managementulriscurilorreprezintprocesuldeimplementareiactualizarea
unor metode i instrumente de minimizare a riscurilor asociate sistemului
informaional al unui organizaii, precum Politicile de Securitate
Informaional,procedurileipracticileformalizateasociateacesteia,precum
i alte mijloace adoptate cu scopul aducerii acestor riscuri la niveluri
acceptabile.Acestproces implic identificarea,analiza,evaluarea,tratareai
monitorizarea riscurilor asociate securitii informaionale la nivel
organizaional.
Cuvintecheie:managementulriscurilor,evaluarecalitativ,evaluarecantitativ,VAR,
OCTAVE,UCRA
Keywords:riskmanagement,quantitativeevaluation,qualitativeevaluation

Pentru a se asigura succesul managementului riscurilor asociate securitii


informaionale este vital implicarea conducerii superioare a organizaiei, prin
promovareaactivaprocesuluiiasigurarearesurselornecesareacestuia.Deasemenea,
aceast practic sa dovedit de succes n special n situaiile n care managementul
riscurilorafostrealizatdectreechipemixte,careauinclusadministratoriaisistemelor
informaticeimanageridinsistemuldeproduciealorganizaiei.
Avndnvederecactivitileiactiveleorganizaionalesuntntropermanent
restructurare, ctehnologia informaiei este unul dintre cele mai efervescente domenii
ale economiei moderne i c resursele umane i tehnologice ale unei organizaii sunt
ajustate frecvent, i activitile asociate minimizrii riscurilor informaionale trebuie
revzute i actualizate periodic, pentru a se analiza aceste modificri i pentru a se
determinagradulcurentdeeficienacontroalelorimplementate.
Evaluarea riscurilor, n conformitate cu definiia dat de standardul BS7799:1
reprezint identificarea ameninrilor la adresa securitii informaionale i a
vulnerabilitilorfiziceilogicecarelearputeacauza,impactulpecarematerializarea
acelor ameninri lar avea asupra performanelor organizaiei analizate, ca i
probabilitatea producerii acestor ameninri. Pe scurt, riscul este tratat prin prisma
ameninrilor,activeloriavulnerabilitilorcucareesteasociat.Dealungultimpului,
a existat o modificare de paradigm n tratarea riscurilor, n acest moment atenia
specialitilor n securitate informaional fiind concentrat asupra managementului
riscurilorinunevitareaacestora.
n general, riscurile pot fi transferate, respinse, reduse sau acceptate. Un
exemplu de transfer al riscurilor este achiziionarea unei polie de asigurare de la o
societate specializat pentru riscul identificat. Respingerea unui risc presupune
ignorareasadectreorganizaiei,ceeacepoatefi,petermenlung,opoliticextremde
periculoas.Deasemenea,riscurilepotfireduse,prinimplementareasaumbuntirea
metodelor i instrumentelor de minimizare a riscurilor (controale), lunduse ns tot

RevistadeMarketingOnlineVol.1Nr.2

timpul n considerare att beneficiile, ct i costurile asociate acestor metode i


instrumente. Astfel, n cazul n care costul acestor controale depete beneficiile de
care se va bucura organizaia, atunci se poate decide acceptarea riscurilor n dauna
securizriisuplimentareasistemuluiinformaionalalorganizaiei.
Controalele asociate securitii informaionale a organizaiei sunt n general
clasificatecaiaciuni,proceduri,tehnicisauechipamente.Robustateaunuicontroleste
asociatngeneralcurobusteeasaimplicitsauobinutprinintervenieuman,cai
de eficiena n prevenirea riscurilor. De asemenea, controalele sunt clasificate din
perspectivadocumentriiiexplicitriilorncontroaleformaleicontroaleadhoc,din
perspectiva modului de declanare se discut despre controale manuale, respective
automate, iar din perspectiva momentului n care sunt aplicate, controalele sunt
clasificatenpreventiveidetective.
Nivelul de risc pe care o organizaie, n mod inevitabil, l va menine dup
implementarea unui program de management al riscurilor, poart denumirea de risc
rezidual.Acestapoatefiulteriorutilizatdectreechipademanagementalriscurilorsau
de ctre conducerea organizaiei pentru a identifica acele zone n care nivelul
controalelor nu este corespunztor i ntrirea acestora, pentru a reduce n continuare
nivelul de risc informaional la care este supus organizaia n cauz. n general,
conducerea stabilete o int (nivel maxim) pentru riscul rezidual, iar colectivul de
management al riscurilor face tot cei va sta n putin pentru atingerea acestei inte.
Acceptarea unui anumit nivel al riscului rezidual n general se bazeaz pe politica
organizaiei, un proces formal de identificare i msurare a riscurilor, nivelul de
incertitudine asociat nsui procesului de evaluare a riscurilor, ca i analiza cost
beneficiuacontroaleloridentificate.
Realizarea unui program de management al riscurilor presupune, ntro prim
faz,stabilireascopuluriloracesteiactiviti,acesteaputndincludereducereacosturilor
de asigurare a riscurilor sau reducerea scurgerii de informaii sensibile n afara
organizaiei. Prin determinarea inteniilor sale nainte de iniierea unui program de
management al riscurilor, instituia poate evalua rezultatele i le poate determina
eficiena.
De asemenea, n mod necesar realizarea activitatea de planificare pentru
programuldemanagementalriscurilorpresupunedesemnareauneipersoanesauaunei
echipe responsabile pentru implementarea acestuia. O echip de succes presupune
integrareatuturornivelelororanizaionalelanivelulacesteiechipe,saucelpuinobun
colaborare a membrilor echipei cu toate nivelele semnificative ale organizaiei,
colaborarengeneralfacilitatdeimplicareaisuportul conduceriiorganizaiei.
Pentru a realiza o identificare i evaluare a riscurilor asociate securitii
informaionale, este esenial identificarea ameninrilor asupra sistemului i
vulnerabilitile pe care acestea le pot exploata. Pentru fiecare pereche
ameninare/vulnerabilitate, se determin gravitatea impactului asupra activelor
informaionale ale organizaiei (pierderea confidenialitii, a integritii sau a
disponibilitiiacestora)isedeterminprobabilitateaexploatriiaceleivulnerabiliti,
ncondiiilecontroalelordesecuritateimplementatelanivelulsistemului.
StandardulBS7799coninenumaipuinde127deinstrumentedeminimizarea
riscurilor (controale). ns, n mod evident, nu toate acestea sunt aplicabile tuturor
organizaiilor, iar standardul sugereaz c un sistem de analiz a riscurilor ar trebui
utilizatpentruclasificareariscurilorrelevantepentrufiecaresituaienparte.

RevistadeMarketingOnlineVol.1Nr.2

Analizariscurilorreprezintaceaparteaprocesuluidemanagementalriscurilor
care este preocupat de minimizarea riscurilor asociate producerii unor ameninri din
mediul intern sau extern al organizaiei care s exploateze vulnerabiliti asumate sau
necunoscute ale sistemului informaional i astfel s afecteze securitatea activelor
informaionale. De asemenea, analiza riscurilor presupune asocierea unor frecvene cu
careameninrileasociateacestorriscurisepotproduce,caiimpactulpecareacestea
lpotaveaasupradesfurriioptimeaactivitilornormalealeorganizaieianalizate.
Dup ce conducerea organizaiei a neles informaiile legate de mediul
tehnologic i informaional care conduc la formarea riscurilor identificate i a
impactului lor potenial asupra organizaiei, se recomand prioritizarea acestor riscuri,
n funcie de gravitatea pe care producerea lor lear putea avea asupra organizaiei.
Probabilitateaproduceriii magnitudinea impactuluireprezintelementelede baz ale
acesteiprioritizri,care maipoate includeelementeprecum nivelulcosturilorasociate
implementrii respectivelor controale sau costul presupus de ndeprtarea efectelor
negativeprodusedectreproducerealor.
Dealungultimpului,unnumrridicatdemetodologiideidentificareariscurilor
asociate securitii informaionale au fost propuse i adoptate, iar o simplificare a
modului de abordare a diferitelor metodologii a dus la o clasificare a acestora n
cantitative i calitative, n special din perspectiva metricilor utilizate pentru
cuantificareariscurilor.npracticnsseutilizeazapropentotdeaunaocombinaiea
acestor metode, n funcie de caracteristicile organizaiei investigate i gradul de
incertitudineasociatmetodeideanalizi managementalriscurilor.Astfel,dactoate
elementele acestei analize (valoarea activelor, severitatea impactului, frecvena
ameninrilor, eficiena controalelor, inceretitudinea i probabilitatea materializrii
ameninrii) sunt exprimate n termeni cantitativi, atunci procesul poate fi caracterizat
ca fiind unul n totalitate cantitativ. Altfel, n funcie de modalitatea de exprimare a
acestormsurtori,managementulriscuriloresteparialsauntotalitateunulcalitativ.
Evaluarea riscurilor informaionale pleac de la ase elemente distincte
considerate n managementul riscurilor: valoarea activelor informaionale, frecvena
ameninrilor, gravitatea exploatarii vulnerabilitilor organizaionale cu ocazia
producerii ameninrilor, eficiena modalitilor de minimizare a riscurilor
(controalelor), costul acestora, ca i nivelu de incertitudine asociat procesului de
management al riscurilor informaionale. Msura n care aceste variabile sunt
cuantificatecuajutorulunor modalitide msurareindependenteiobiective,precum
costulnlocuiriipentruvaloareaactivelorinformaionale,saufrecvenaanualasociat
ameninrilor de securiate informaional, metodologia de evaluare a riscurilor este
considerat una cantitativ. Dac toate cele ase variabile sunt msurate cantitativ,
atuncimetodologiaesteunacantitativ.

Evaluareacantitativariscurilor
Numai valoarea activelor informaionale i costul implementrii i meninerii
elementelordeminimizareariscurilor(controalele)potfiasociateunorvalorimonetare.
Astfel, sunt utilizate metrici precum Frecvena Anual de producere a ameninarilor
(FA), exprimat sub forma x/y (x reprezint numr de apariii ale activittilor,
evenimentelor sau aciunilor considerate ameninri pentru sistemul informaional n
perioaday),PondereaPierderilor(PP)generatedematerializareaunuiriscnrelaiacu

RevistadeMarketingOnlineVol.1Nr.2

un anumit bun (activ) informaional, exprimat procentual, indicele eficienei


controalelorsauniveluldeincertitudine.
Frecvena Anual (FA) de producere a producere a ameninrilor
caracterizeazprobabilitateacaoanumitameninaressemanifestentrunan.Astfel,
oameninarecaresepoateproduceodatla10aniareoFAde1/10,sau0,1.
FactoruldeExpunere(FE)reprezintomodalitatedereprezentareagravitii
impactuluiuneianumiteameninriasuprasistemuluiinformaionalorganizaional.Este
exprimat sub forma unui procent din valoarea activului afectat n cazul producerii
ameninriiconsiderate.
Eficiena Controlului (EC) reprezint gradul, exprimat procentual, n care un
anumitcontrolprevinerisculdeexploatarealuneivulnerabilitidectreoameninare.
Pierderile Provizionate (PP) individuale sunt calculate pentru fiecare activ
informaionalincludnprogramuldemanagementalriscurilor,caprodusalValoriide
Schimb(VS)saude nlocuirearespectivuluiactiv i FactoruldeExpunere.Pierderile
provizionateindividualeaparngeneralcarezultatalanalizeideimpactaameninrilor
i tind s fie exagerate de ctre analiti, pentru a se atrage atenia conducerii asupra
importaneilor.
PierderileAnualePrevizionate(PAP)reprezintomodalitatededeterminarea
costurilorasociate materializriidiferitelortipuri deameninare,calculatcaprodusal
Pierderilor Previzionate (PP) individuale i al Frecvenei Anuale (FA) a acestora.
Exprimarea sa anual are rolul facilitrii utilizrii sale n calculele financiarcontabile
aleorganizaiei.Astfel,pentruoameninarecarepoategenerapierderide100.000Euro
pentruoanumitorganizaie,cuoFAde1/100,valoareaPAPvafide1.000deeuro.
Factorul de Incertitudine (FI) reprezint gradul, de asemenea exprimat
procentual, n care rezultatele procesului de evaluare a riscurilor sunt sigure.
Incertitudinea este n general msurat invers proporional cu nivelul de ncredere
(atuncicndniveluldencredereestesczutFIesteridicat,iinvers).
DistribuiaMarginal(DM)reprezintomodalitatedecentralizareametricilor
cantitativesuboformcareincludeincertitudineainerentprocesuluideevaluareprin
utilizareaunorintervale(ex.:Existoprobabilitatede80%cabazadedatecuclienii
organizaiei s aib un cost de nlocuire de 175.000 200.000 de euro, sau Centrul
Naional de Seismologie apreciaz c exist o ans de 60% de producere a unui
cutremurcumagnitudinedepeste7gradeRichternzonaVranceanurmtorii10ani).
DMprezintiavantajulfacilitriiconsensuluiprintremembriiechipeidemanagement
alriscurilornceeaceprivetevalorilediferitelormetrici.
Utilizarea metodologiilor cantitative de evaluare a riscurilor securitii
informaionalepresupunoseriedeavantajeprecumobinereaunorinformaiiobiective
isemnificativestatistic,valoareainformaiilorexprimatcantitativestemultmaiuor
inteligibil de ctre persoanele cu o pregtire marginal n domeniile asociate
tehnologiei informaiei, rezultatele reprezint o baz credibil pentru analiza
cost/beneficiu i pentru activitile bugetarcontabile, performana activitilor de
management al riscurilor este uor evaluabil i exprimat ntro modalitate familiar
conduceriiorganizaiei.
Pe de alt parte ns, utilizarea metodelor cantitative presupune asumarea unor
neajunsuri asociate acestora, precum complexitatea calculelor necesare determinrii
valorilor diferitelor variabile (iar lipsa unor explicaii clare poate duce la lipsa de
ncredere a conducerii pentru nite valori obinute pe baza unor metode de tip cutie
neagr),utilizareaacestormetodenlipsaunuiinstrumentautomatizatesteextremde

RevistadeMarketingOnlineVol.1Nr.2

dificilindelungat(saestimatctimpulnecesarrealizriiuneiastfeldeanalizefr
aportul instrumentelor automatizate este de 1020 de ori mai mare dect o analiz
calitativ similar), informaiile necesare analizei sunt mult mai numeroase i mai
complexeinuexistunstandarduniversalacceptatidezvoltatdectreoorganizaie
independent, ceea ce scade credibilitatea i acurateea instrumentelor automatizate
disponibilepepia.

Evaluareacalitativariscurilor
Avnd n vedere c toate metricile calitative conin un anumit grad de
subiectivism, utilizarea unor scale de tipul diferenialelor semantice (Foarte ridicat,
Ridicat, Mediu, Sczut, Foarte Sczut) poate fi adaptat fiecreia dintre
elementele identificrii i evalurii riscurilor informaionale. Astfel, diferitele
metodologii calitative sau parial calitative au dus la implementarea unor instrumente
specifice de recoltare a informaiilor necesare procesului de evaluare a riscurilor
informaionale,fraexistansunstandardgeneralacceptat.
Astfel, pentru determinarea probabilitii de exploatare a unei anumite
vulnerabiliti a sistemului presupune asocierea unei frecvene cu care ameninare
asociat acesteia se produce. Aceast probabilitate este asociat unui numr de factori
care includarhitecturasistemului, mediulextern,modalitateadecontrolaaccesului la
activele informatice protejate, ca i de eficiena controalelor implementate. Astfel,
Tabelul1prezintoseriedeniveluriasociatefrecveneimaterializriiameninrilor,n
condiiilecontroalelorexistente:
Tabelul1:Probabilitateadematerializareaameninrilor
Probabilitate
Descriere
Improbabilrealizarea
Neglijabil
Foarteredus Ameninareasemanifestodatla2sau3ani
Ameninareasemanifestanualsaumairar
Redus
Ameninareasemanifestbinanualsaumairar
Medie
Ameninareasemanifestlunarsaumairar
Ridicat
Foarteridicat Ameninareasemanifestdemaimulteoripelun
Permanent Ameninareasemanifestzilnicsauchiarmaides
Determinarea magnitudinii sau severitii impactului unei anumite
ameninripresupuneidentificareapierderilorpotenialelanivelulfiecreicategoriide
securitate (confidenialitate, integritate i disponibilitate), n condiiile probabilittii
asociate producerii acesteia. Impactul poate fi asociat cu pierderea funcionalitii
sistemului sau altor active ale organizaiei, degradarea acestora, reducere timpului de
rspuns pentru utilizatorii legitimi, pierderea ncrederii publice n organizaie sau
divulgareaneautorizatadatelorsensibile.Gravitateaimpactuluiacestorameninrieste
ngeneralevaluatpebazainformaiilorprezentatenTabelul2.
Tabelul2:Nivelurialeseveritiimaterializriiameninrilor
Severitatea
Descriere
impactului

RevistadeMarketingOnlineVol.1Nr.2

Nesemnificativ Producereaameninriiiexploatareavulnerabilitiinuvoravea
aproapeniciunimpactasupraorganizaiei.
Organizaiavafidoaruorafectat.Vafinecesarunefortmimin
Minor
pentruremediereaproblemelorgenerate.
Semnificativ Vaaveacarezultatefectenegativetangibile,deineglijabilei
remarcatedoardeunnumrredusdeangajaisauparteneri.Ar
puteaducenslapublicitatenegativivafinecesarafectarea
unuinumrsemnificativderesursepentruremediere.
Arputeaaveacarezultatpierdereancrederiincapacitatea
Important
conduceriiiasistemuluidesecuritateinformaionalal
organizaiei.Vorfinecesareresurseimportantepentruremedierea
problemelorcauzate.
Arputeaducelapierderisemnificativedeactiveinformaionale,ca
Ridicat
ilapierdereaunorclienisauparteneri,cailadiminuarea
credibilitiiexterneaorganizaiei.
Producereaacestorameninriaraveacarezultatcompromiterea
Critic
extensivasistemuluiinformaionalsauchiardeteriorarea
permanentaacestuia,mergndusepnladistrugereaacestuia.
n sfrit, determinarea nivelului riscurilor este n general fcut pe baza
probabilitiicaoanumitameninaresexploatezeovulnerabilitateasistemuluiipe
gravitateapecarematerializareaaceleiameninrioareasupraactivelorinformaionale
ale organizaiei. Matematic, nivelul riscului este determinat ca produs al probabilitii
demanifestareaameninriloriseverittiiimpactuluiacestoraasupraconfidenialitii,
disponibilitiiiintegritiisistemuluiinformaionalalorganizaiei.Tabelul3prezint
nivelul riscurilor bazate pe cei doi parametri, nivel ce poate fi incrementat n anumite
condiii(niveluldesecuritateasociatsistemului informaional,compromisurilepecare
lepresupunematerializareariscurilor,etc.)dectreechipademanagementalriscurilor.
Tabelul3:Nivelulriscurilor
Severitateaimpactului

Probabilitatea
Nesemnificativ Minor Semnificativ Important Ridicat Critic
producerii
Neglijabil
Foarteredus
Redus
Medie
Ridicat
Foarteridicat
Permanent

Redus
Redus
Redus
Redus
Redus
Redus
Redus

Redus
Redus
Redus
Redus
Moderat
Moderat
Moderat

Redus
Redus
Moderat
Moderat
Ridicat
Ridicat
Ridicat

Redus
Redus
Moderat
Ridicat
Ridicat
Ridicat
Ridicat

Redus
Redus
Moderat Moderat
Ridicat Ridicat
Ridicat Ridicat
Ridicat Ridicat
Ridicat Ridicat
Ridicat Ridicat

Printreavantajeleutilizriimetodelorcalitativeesteinclusfaptulc,ngeneral,
nu este nevoie de stabilirea exact a valorii financiare a activelor, ci mai degrab a
efectelor asupra acestora n termenii generali ai securitii informaionale
(confidenialitate, disponibilitate, integritate). De asemenea, eventualele calculele
prespusedeaceste metodesuntsimple irapide,nu necesit calcululexactalcostului
implementrii i meninerii controalelor i al diferitelor modaliti alternative de
minimizare a riscurilor i sunt mult mai rapid dezvoltate implementate dect
metodologiilecantitative.

RevistadeMarketingOnlineVol.1Nr.2

Evaluarea calitativ a riscurilor asociate securitii informaionale presupune


ns i o serie de dezavantaje, printre care faptul c evaluarea riscurilor i rezultatele
acestuiprocessuntesenialsubiective,influenatedecalificareaiexperienaanalitilor.
De asemenea, lipsa unor valori numerice asociate costurilor presupuse de riscurile
identificatetindesduclaopercepieinexactaacestora.nplus,acesttipdeevaluare
nu ofer informaii utile analizei cost/beneficiu i nu permite urmrirea obiectiv a
performaneloractivitilordemanagementalriscurilor,ncazulncaretoatemetricile
suntdenatursubiectiv.

MetodaOCTAVE
MetodologiaOCTAVE(Operationally CriticalThreat,AssetandVulnerability
Evaluation Evaluarea Ameninrilor, Activelor i Vulnerabilitilor Organizaionale
Critice) pleac de la definirea complex, sistematic i contextual a componentelor
esteniale ale unui sistem informaional, folosind o organizare n trei etape pentru a
determina riscurile asociate confidenialitii, integritii i disponibilitii activelor
informaionale critice pentru buna desfurare a activitilor organizaiei considerate.
Metoda abordeaz att aspectele organizaionale, ct i cele tehnologice necesare
asigurriisecuritiiinformaionale,dintroperspectivmodern,ceprevedeunproces
continuudeevaluare.
Etapa 1: Construirea unor profile ale activelor bazate pe ameninrile
asupra acestora. Aceast etap presupune evaluarea ntregii organizaii, zonele cheie
fiindidentificateianalizatenscopulextrageriiaceloractiveinformaionalerelevante,
ameninrile asociate acestora, controalele (curente i potenial necesare) pe care
minimizarea acestor ameninri le prespun, ca i puncte slabe la nivelul abordrii
Politicii ipracticilordesecuritate informaional la nivelulorganizaiei. Larndulei,
aceastetapestedivizatnpatrupai.
Pasul 1: Determinarea competenei la nivelul securitii informaionale pentru
managementulsuperioralorganizaiei.
Pasul 2: Determinarea competenei n domeniul securitii informaionale
pentruniveluloperaionalalorganizaiei.
Pasul 3: Determinarea competenei angajailor n domeniul securitii
informaionale.
Primii trei pai sunt dedicai ntlnirilor cu angajaii de pe toate nivelurile
organizaionale n scopul identificrii activelor asociate sistemului informaional i a
modalitii n care acestea pot fi afectate. Astfel, n cadrul acestor ntlniri
participanilor li se solicit identificarea prioritii/importanei acestor active i nivelul
desigurantcareexist/artrebuiobinutpentruprotejareaacestora.
Pasul 4: Crearea profilului ameninrilor. n acest pas participanii sunt n
exclusivitatemembriiechipeidemanagementalriscurilorinformaionale,carepebaza
documentaieiiainformaiilorobinutenprimiitreipaiselecteazactivelecriticen
buna desfurare a activitilor organizaionale, grupeaz i clasifc aceste active,
mpreun msurile de securitate asociate, n conformitate cu nivelul organizaional pe
care l deservesc, crend o imagine de ansamblu asupra activelor organizaionale i
identificameninrileasupraacestorclasedeactiveiasupraactivelorindividuale.

RevistadeMarketingOnlineVol.1Nr.2

Etapa2:Identificareavulnerabilitilorstructurale.Aceastetappresupune
evaluarea sistematic a structurii informaionale a organizaiei pentru a determina
eficiena soluiilor de securitate informaional curent, a identifica deficienele i
vulnerabilitile sistemului (clasificate ca vulnerabiliti conceptuale, de implementare
ideconfigurare).ngeneral,aspecteletehnologicesuntidentificateprincomparareacu
standardele de profil stabilite fie de productori, fie de organisme independente. n
general, n aceast faz punctele slabe ale sistemului sunt determinate pe baza unei
multitudini de instrumente automatizate, incluznd instrumente pentru testarea
integritii fiierelor, programe antivirus, eficiena sistemului de limitare a accesului
prinparole,siguranacomunicaiilor,precumimultealteinstrumente.
Pasul 5: Identificarea componentelor cheie.n aceast faz membrii echipei de
management al riscurilor implic i personalul departamentului informatic al
organizaieianalizateicuajutorulacestoraidentificprincipaleleclasedecomponente
ale sistemului informatic pe baza analizei cilor de acces la resursele informatice, n
contextulunorscenariidematerializareaameninrilor.
Pasul 6: Evaluarea componentelor cheie. Acest pas, de asemenea realizat n
colaborarecupersonalul departamentuluiinformaticalorganizaieianalizate,presupune
determinarea vulnerabilitii tehnologice, cu ajutorul instrumentelor automatizate, care
determinvulnerabilitateanfaaunorameninriprovenitedinexteriorul,dininteriorul
i din exteriorul organizaiei. Apoi rezultatele acestei investigaii sunt analizate i pe
baza lor sunt formulate concluzii prealabile n ceea ce privete cauzale fenomenelor
constatate(vulnerabilitilesistemuluiinformaional).
Etapa 3: Dezvoltarea Planului i Strategiei de Securitate Informaional.
Odat ce activele, ameninrile i vulnerabilitile au fost identificate, se trece la
identificareariscurilorlacareestesupussistemuluiinformaional.Scopulacesteietape
este de a determina modul n care anumite riscuri sunt asociate anumitor active
organizaionale. Din perspectiva OCTAVE riscul este considerat un rezulatat al
pierderilor cauzate de absena sau inadecvarea unor modaliti de prevenire sau
minimizare a acestora. Msurarea pierderilor, severitii impactului sau nivelului
riscurilor poate fi att calitativ, ct i cantitativ, n funcie de neceistile
organizaionale i resursele disponibile colectivului de management al riscurilor
sistemului de securitate informaional. Determinarea riscurilor asociate securitii
informaionale este n general mai dificil datorit faptului c informaiile despre
ameninri i valoarea activelor sunt n general mai greu de obinut i cuantificat, iar
factorii de risc sunt n permanent schimbare. Analiza riscurilor pe baza metodologiei
OCTAVE presupune utilizarea unor scenarii de risc, asociate fiecrui activ critic al
organizaiei.
Pasul 7: Identificarea riscurilor securitii informaionale. Scopul acestui pas
este de a definitiva un profil al riscurilor, n urma analizei gravitii impactului
ameninriloridentificateasuprafiecruiactivinformaional.Deasemenea,seutilizeaz
oseriedecriteriideevaluarecalitativ(scaladiferenialsemantic)ariscurilorpentru
stabilirea importanei i impactului riscurilor, iar n final echipa de management al
riscurilor informaionale stabilete costul materializrii riscurilor identificate pentru
organizaiaanalizat.
Pasul 8: Dezvoltarea modalitilor de protejare a sistemului informaional.
Scopul acestui ultim pas al metodologiei OCTAVE este de a dezvolta o strategie de
protejare a organizaiei prin intermediul unor controale pentru activele critice, ca i o

10

RevistadeMarketingOnlineVol.1Nr.2

list de activiti ce trebuie realizate pentru implementarea acestora, list ce include


termenederealizareinominalizareapersoanelorresponsabile.Deasemenea,lanivelul
acestuipasserealizeazorevizuireadocumentaieiadunatepeparcursulproiectuluide
managementalriscurilorasociatesecuritiiinformaionale,concluziilefiindprezentate
membrilor conducerii organizaiei, n colaborare cu care este stabilit forma final a
strategieideprotejareaactivelorinformaionalecriticealeorganizaiei.

MetodaVAR
Oaltmetodmixt(calitativicantitativdeevaluareariscurilor,cunoscut
sub denumirea de VAR (VAloarea Riscurilor), pleac de la identificarea celor mai
drastice efecte pe care producerea riscurilor asociate securitii informaionale lear
putea avea asupra organizaiei, ntrun orizont de tip i un interval de ncredere dat,
scopul su fiind realizarea unei balane optime ntre nivelul asumat al riscurilor i
cheltuielile necesare minimizrii acestora. Cele patru etape propuse de ctre
metodologia VAR includ identificarea ameninrilor, estimarea probabilitii de
producere a acestor ameninri, calcularea indicatorului VAR (valoarea riscurilor),
respectiv determinarea controalelor pentru prevenirea sau minimizarea efectelor
riscuriloridentificate.
Etapa 1: Identificarea ameninrilor: n aceast prim etap sunt identificate
riscurile (curente sau poteniale) cu care se poate confrunta sistemul informaional
analizat. Metoda VAR recomand classificarea acestora ca i fraude, activiti ru
intenionate, glume, tentative de accesare a informaiilor confideniale, dezastre
naturale, sabotaj i erori de utilizare. Modalitile concrete de manifestare a acestor
ameninripotincludeatacuridetipDoS,furtul,tergereasaumodificareainformaiilor
sau afectarea funcionrii normale a reelelor. Aceste metode sunt concepute pentru a
exploate vulnerabilitile sistemelor informaionale i includ virui informatici,
programedetiptroian,viermi,programedespargereaparolelor,interceptareapotei
electronice i a pachetelor tranzacionate de diverse aplicaii prin reelele de
comunicaie informatice, ca i asumarea unor false identiti la nivelul acestor reele
(spoofing).
Etapa 2: Estimarea probabilitii de producere a ameninrilor i a
riscurilorasociateacestora.Activitiledinaceastetapaucaobiectivdeterminarea
probabilitii de producere a ameninrilor identificate n etapa anterioar. Aceast
activitatepoatefirealizatpebazametodelorcalitativesaucantitativedescriseanterior.
n plus, metoda VAR recomand utilizarea surselor secundare de informaii (studii
furnizate de ctre agenii guvernamentale sau de ctre institute de sondare a pieei)
pentru obinerea informaiilor legate de frecvena producerii diferitelor tipuri de
ameninare. Astfel, un studiu publicat de Briney n anul 2000 (
http://www.infosecuritymag.com/articles/september00/pdfs/Survey1_9.00.pdf) reallizat
nStateleUniteasupraunuieantionreprezentativdinrndulangajailordepartamentele
de tehnologia informaiei ale unor organizaii particulare i guvernamentale a
concluzionatc80%dintresistemeleinformaticepecarelefolosescsauconfruntatcu
virui informatici n ultimul an, utilizarea abuziv a resurselor informaionale ale
organizaieiafostraportatde58%dintreacetia,42%sauconfruntatcutentativede
acces neautorizatdinafaraorganizaiei, iar24%dintreeiauavutderemediatefectele

11

RevistadeMarketingOnlineVol.1Nr.2

distructive ale activitii ru intenionat sau accidentale ale colegilor lor. Surse
suplimentarepentruacesteinformaiipotfirapoartelepublice/guvernamentale,jurnalele
asociate diferitelor sisteme informatice sau aplicaiilor utilizate, date istorice sau
interviuri n profunzime cu personalul relevant din departamentele de securitate
informaional.
Etapa3:EstimareaVAR.Pebazariscuriloridentificatenetapaanterioaria
frecvenei cu care ameninrile care le genereaz se produc, metoda VAR presupune
calcularea variabilei cu aceiai denumire, plecnd de la Valoarea de Pia (VP) a
organizaiei investigate, orizontul de tip dorit i intervalul de ncredere (statistic) a
rezultatuluiobinut,dupformula:
VAR= a * s * T
unde areprezint intervalul de ncredere a rezultatului (pentru 99% valoarea sa este
2,64,pentru95%1,96), reprezintValoareadePiaestimataorganizaiei,iarTeste
numruldezilepentrucareserealizeazcalculul.
Etapa 4: Modaliti de minimizare a riscurilor identificate. Ultima etap a
acestei metode presupune selectarea diferitelor metode de minimizare a riscurilor (pe
baza standardelor existente n industrie i pe baza surselor secundare de informare).
Valoarea VAR este utilizat pentru a determina nivelul investiiei, o companie pentru
careaceastvaloareeste mairedus necesitndo investiie mai modest nasigurarea
securitiiinformaionaledectcompaniilecuovaloaresimilarmairidicat.

MetodaUCRA
MetodadeevaluareariscurilorintitulatUCRA(UniversityofCaliforniaRisk
Assessment) dezvoltat de ctre teoreticienii de la University of California este o
metod esenial cantitativ, care urmrete ndeaproape recomandrile standardului
BS7799,realizareasapresupunndurmrireaunuinumrdenoupi.
Pasul 1: Stabilirea echipei de evaluare a riscurilor. Aceast echip va fi
responsabil pentru colectarea, analiza i raportarea rezultatelor ctre conducerea
organizaiei. Este esenial ca toate elementele ciclului productiv al organizaiei s fie
reprezentate la nivelul acestei echipe, incluznd la nivel minim fora de munc,
administraia,sistemeleinformaticeisecuritateafizic.
Pasul 2: Definirea obiectivului proiectului. Echipa de evaluare a riscurilor ar
trebui s clarifice nc de la nceput obiectivul proiectului de evaluare a riscurilor, cu
specificarea departamentului, ariei sau funciei organizaiei ce va fi evaluat,
responsabilitile membrilor echipei, personalul ce va fi intervievat, standardele
utilizate,documentaianecesarnprocesuldeevaluare,caioperaiilesaufunciilece
vorfiobservatenacestproces.
Pasul 3: Identificarea activelor implicate n procesul de evaluare. Activele
organizaionalepotinclude(frafilimitatela)personal,bunurihardwareisoftware,
date i informaii (inclusiv clasificri asupra datelor sensibile i critice pentru buna
funcionare a organizaiei), facilitile n care se desfoar activitatea, ca i controale
implementate pentru protejarea acestora. Identificarea tuturor activelor asocitate cu
obiectivele proiectului definite n pasul anterior este esenial pentru proiectul de
managementalriscurilor.

12

RevistadeMarketingOnlineVol.1Nr.2

Pasul 4: Clasificarea pierderilor poteniale. Aceast etap presupune


identificarea i descrierea modului n care producerea situaiilor de risc identificate ar
afecta funcionareaorganizaiei,precumipierderile(financiare saudealt natur)pe
care aceasta lear suport n acest caz. Astfel, aceste pierderi ar putea fi rezultatul
afectrii fizice a echipamentelor, mpiedicarea utilizatorilor legitimi s acceseze
bunurile organizaionale, modificarea, accesul neautorizat sau divulgarea informaiilor
confideniale. Iar n unele cazuri pierderile pot fi necuantificabile, precum pierderea
credibilitiiorganizaiei.
Pasul 5: Identificarea ameninrilor i vulnerabilitilor. O ameninare este
definit ca fiind un eveniment, proces sau aciune ce exploateaz o vulnerabilitate
pentruaafectaunactivinformaionalalorganizaiei.Astfe,poatefivorbadeameninri
naturale, umane accidentale sau ru intenionate. Mai n detaliu, ameninrile se pot
concretiza n evenimente de tipul cderilor de tensiune, contaminare biologic sau
scurgerea unor produse chimice toxice, dezastre naturale, funcionarea defectuoas a
echipamentelorhardwaresauaproduselorsoftware,distrugereasauafectareaintegritii
datelor, sabotaj, furt sau vandalism. La rndul lor, vulnerabilitile se refer la puncte
slabensecuritatealogicsaufizicaactivelororganizaionale,pecareoameninarele
poate exploata pentru a le afecta. Vulnerabilitile sunt n general clasificate ca i
vulnerabilitialesecuritiifizice,demeniu,desecuritateasistemelor,desecuritatea
proceselordecomunicaie,asociatepersonalului,aplanurilor,apoliticilor,procedurilor,
deconducere,desuport,precumialtetipuri.
Pasul 6: Identificarea controalelor existente. Diferitele modaliti de
minimizare a riscurilor de producere a evenimentelor cu efecte negative asupra
securitii informaionale a organizaiei sunt n general cunoscute sub denumirea de
controale. Astfe, controalele sunt definite ca instrumente de siguran cu rolul de a
reduceprobabilitateacaoanumitameninaresexploatezecusuccesovulnerabilitate
a sistemului informaional pentru a ataca cu succes un anumit activ al organizaiei.
Aceast etap este preocupat de identificarea acelor controale care sunt deja
implementate, ca i de determinarea utilitii i eficienei lor n contextul analizei
curente.
Pasul7:Analizadatelor.naceastetaptoatedatelecolectatevorfiutilizate
pentru a determina riscurile efective la care sunt supuse activele care fac obiectul
proiectului curent de management al riscurilor. Tehnica de analiz UCRA presupune
pregtirea unei liste (Tabelul 4) de active i ameninrile asociate acestora,tipurile de
pierderi cauzate de materializarea respectivelor ameninri i vulnerabilitile care au
facilitatatacurile.Deasemenea,trebuieestimatfrecvenacucareacesteameninris
arputeamanifesta.
Pasul8:Determinareaunor modalitideminimizarea riscuriloreficiente
din perspectiva costurilor de implementare. Evaluarea trebuie s prezinte i o
estimareacosturilorasociateimplementriicontroalelorpropuse,acosturiloranualede
mentenaniactualizareiasupracicluluideviaalacestora.
Pasul9:Raportulfinal.Proiectuldemanagementalriscurilor,nconformitate
cumetodologiaUCRA,presupuneprezentareaunuiraportfinalformalizatntroform
inteligibil i util audienei avute n vedere. n general este vorba despre un raport
simpluiuordecititiasimiliat,careprezintconcluziilealturideanalizeledetaliate
care au dus la formularea lor. De asemenea, raportul ar trebui s includ datele
identificate la nivelul organizaiei i lista complet de active, ameninri i

13

RevistadeMarketingOnlineVol.1Nr.2

vulnerabiliti asociate, ca i determinarea riscurilor, controalele recomandate i o


analizcostbeneficiu.

Avantajeleimplementriiunuiprocesdemanagementalriscurilor
Conducerea organizaional ignor, n majoritatea cazurilor, procesul de
management al riscurilor, ca i riscurile asociate securitii informaionale a
organizaiei, n ansamblul lor. n general, activitile care nu sunt n mod direct
cuantificabile i pentru care un nivel al profitului generat nu poate fi n mod direct
prezentat, tind s fie ignorate de ctre conducerea superioar, motiv pentru care
activitile de management al riscurilor necesit o activitate de contientizare, att
printremanageriiorganizaiei,ctilanivelulangajailor.Deasemenea,existiteama
ca aceste proiecte s scoat la lumin neconcordane i lipsuri legate de conducerea
sistemuluiinformaticalorganizaieisaualniveluluisuperiordeconducerecamotivant
al rezistenei ntmpinat de acest tip de activitate. i cu toate c un nivel ridicat al
securitii informaionale poate prea costisitor, lipsa unei securiti adecvate se va
dovedi cu siguran, pe termen lung, catastrofal pentru organizaie. n sfrit, atunci
cnd acest proces este realizat n ntregime manual, sau nu poate fi fcut dect prin
utilizareaunormetricicalitative,faptulcacestprocespoateduralunidezileicnu
arecarezultatoanalizdesensitivitateesteunobstacol majorpentrudeclararea saca
unsuccesalorganizaiei.
Dar procesul de management al riscurilor asociate securitii informaionale
aduce o serie de avantaje majore pentru oricare organizaie care depune eforturile
necesareimplementriisale.Astfel,lanivelminim,conducereaaceleiorganizaiivafi
sensibilizat asupra noiunii de risc de securitate informaional, va cunoate valoarea
activeloripierderilepecareacesteriscurilepotaduceorganizaiei(nceeaceprivete
confidenialitatea, integritatea i disponibilitatea activelor informaionale), va avea o
analizcostbeneficiuasociatacestorriscuriivaticaresuntmsurilenecesarepentru
a minimiza riscurile de exploatare a vulnerabilitilor inerente de ctre ameninrile
interneiexterne.
De asemenea, evaluarea riscurilor permite identificarea celor mai eficiente
modaliti de prevenire a efectelor negative asupra activelor informatice, nainte ca
diferite fonduri s fie alocate ctre variante alternative de lucru. n plus, o echip
specializatnprocesuldemanagementalriscurilorpoaterealizaaceastactivitatentr
un timp redus, porninduse de la cteva zile pn la cteva sptmni, n funcie de
dimensiuneaorganizaieiinvestigate.

14

RevistadeMarketingOnlineVol.1Nr.2

Tabelul4:InstrumentdeevaluareariscurilorconformmetodologieiUCRA
Proces,activitatesau
aciune
Descriere general a
proceselor,
activitilor
sau
aciunilor analizate.
Sunt
separate
subactivitile
sau
paii care pot expune
la diferite tipuri de
riscuri,
fiecruia
fiindui atribuit un
rndpropriu.

Proceduri
modalitatede
stocare
Descrierea
tipurilor
de
informaie
stocate, nivelul
de sensitivitate,
modul de stocare
i drepturile de
acces
asupra
acestora.

Riscuri

Controale
curente

Controalerecomandate

Care
sunt
evenimentele care ar
putea afecta buna
funcionare a activelor
iproceselordescrise?
Care ar fi impactul
acestora? Care sunt
vulnerabilitile
exploatate?

Descrierea
controalelor
utilizate
n
prezent pentru
minimizarea
riscurilor
de
securitate
identificate.

Evaluarea de ctre
oamenii
implicai
asupra completitudinii
proceselor,
procedurilor, riscurilor
i
controalelor
identificate n analiz.
n
general,
sunt
rspunsuri
din
categoriaDasauNu.

15

Aciuni
recomandate(cnd
idectrecine)
Dac
trebuie
mbuntite sau
adugate controale,
specificnduse
efectele obinute,
activitile
necesare,
personalul implicat
i
momentul
realizrii.

RevistadeMarketingOnlineVol.1Nr.2

n plus, nivelul de integrare i extindere a bunurilor informatice specifice


economiei moderne permite specialitilor n tehnologia informaiei si prezinte
recomandrilepebazaunoranalizestatisticeifinanciarebinefundamentate,carepermit
conducerii adoptarea unor decizii informate, nu bazate strict pe riscuri presupuse. Un
programdemanagementalriscurilorbazatpeunmodelstrictdeanaliz,attcalitativct
icantitativ,vaputeasprezintemodalititangibiledereducereacosturilordeasigurare
ariscuriloriapierderilorasociateriscurilorsecuritiiinformaionale.

Bibliografie
Amelinckx, I. i van Grembergen, W., Measuring and Managing Ebusiness
projectsthroughthebalancedscorecard,aprutn Proceedingsofthe
International Conference on Electronic Commerce (ICEC), Viena,
noiembrie2001
Berghout, E i Renkema, T. Methodologies for IT investment evaluation: a
reviewandassessment,aprutnInformationTechnologyEvaluation
MethodsandManagement,IdeaGroupPublishing,2001,pg.7897
Johner,H.,Fujiwara,S.,Yeung,A.,Stephanou,A.,Whitmore,J.,Deploying
aPublicKeyInfrastructure,IBM,2000
McNamee,David,BusinessRiskAssessment,TheInstitudeofInternalAuditors,
1998
Munteanu, Adrian, Auditul sistemelor informaionale contabile, Ed. Polirom,
2001
Orzan, Gheorghe, Sisteme informatice de Marketing, Ed. Uranus, Bucureti,
2001
Orzan, M, Munteanu, A., Iliescu, F., i Mincu, M., Securitatea IT i
implementareastandarduluiISO/IEC17799,Ed.Internews,2005
Parasuraman,A.,Zeithaml,V.A.iBerry,L.L.ReassessmentofExpectations
asaComparisonStandardinMeasuringServiceQuality:Implications
for Further Research, publicat n Journal of Marketing, Vol.58,
ianuarie1994
Parker,Michael,StrategicTransformationandinformationtechnology,Prentice
Hall,UpperSaddleRiver,NJ,1996
Seddon, P. B., A Respecification and Extension of the DeLone and McLean
ModelofISSuccess,publicatn InformationSystemsResearch,Vol.8,
No.3, septembrie1997.
Smith,Gordon,NetworkAuditing:AControlAssessmentApproach,JohnWiley
&Sons,USA,1999
Turban, E., Aronson, J.E., Decision Support Systems and Intelligent Systems,
PrenticeHall,EnglewoodCliffs,NJ,2001
Veghe,Clin,MarketingDirect,Ed.Uranus,2003

16