Documente Academic
Documente Profesional
Documente Cultură
Managementulriscurilorasociateinstrumentelorde
marketingonline
Autor: MihaiOrzan
Abstract:Managementulriscurilorreprezintprocesuldeimplementareiactualizarea
unor metode i instrumente de minimizare a riscurilor asociate sistemului
informaional al unui organizaii, precum Politicile de Securitate
Informaional,procedurileipracticileformalizateasociateacesteia,precum
i alte mijloace adoptate cu scopul aducerii acestor riscuri la niveluri
acceptabile.Acestproces implic identificarea,analiza,evaluarea,tratareai
monitorizarea riscurilor asociate securitii informaionale la nivel
organizaional.
Cuvintecheie:managementulriscurilor,evaluarecalitativ,evaluarecantitativ,VAR,
OCTAVE,UCRA
Keywords:riskmanagement,quantitativeevaluation,qualitativeevaluation
RevistadeMarketingOnlineVol.1Nr.2
RevistadeMarketingOnlineVol.1Nr.2
Analizariscurilorreprezintaceaparteaprocesuluidemanagementalriscurilor
care este preocupat de minimizarea riscurilor asociate producerii unor ameninri din
mediul intern sau extern al organizaiei care s exploateze vulnerabiliti asumate sau
necunoscute ale sistemului informaional i astfel s afecteze securitatea activelor
informaionale. De asemenea, analiza riscurilor presupune asocierea unor frecvene cu
careameninrileasociateacestorriscurisepotproduce,caiimpactulpecareacestea
lpotaveaasupradesfurriioptimeaactivitilornormalealeorganizaieianalizate.
Dup ce conducerea organizaiei a neles informaiile legate de mediul
tehnologic i informaional care conduc la formarea riscurilor identificate i a
impactului lor potenial asupra organizaiei, se recomand prioritizarea acestor riscuri,
n funcie de gravitatea pe care producerea lor lear putea avea asupra organizaiei.
Probabilitateaproduceriii magnitudinea impactuluireprezintelementelede baz ale
acesteiprioritizri,care maipoate includeelementeprecum nivelulcosturilorasociate
implementrii respectivelor controale sau costul presupus de ndeprtarea efectelor
negativeprodusedectreproducerealor.
Dealungultimpului,unnumrridicatdemetodologiideidentificareariscurilor
asociate securitii informaionale au fost propuse i adoptate, iar o simplificare a
modului de abordare a diferitelor metodologii a dus la o clasificare a acestora n
cantitative i calitative, n special din perspectiva metricilor utilizate pentru
cuantificareariscurilor.npracticnsseutilizeazapropentotdeaunaocombinaiea
acestor metode, n funcie de caracteristicile organizaiei investigate i gradul de
incertitudineasociatmetodeideanalizi managementalriscurilor.Astfel,dactoate
elementele acestei analize (valoarea activelor, severitatea impactului, frecvena
ameninrilor, eficiena controalelor, inceretitudinea i probabilitatea materializrii
ameninrii) sunt exprimate n termeni cantitativi, atunci procesul poate fi caracterizat
ca fiind unul n totalitate cantitativ. Altfel, n funcie de modalitatea de exprimare a
acestormsurtori,managementulriscuriloresteparialsauntotalitateunulcalitativ.
Evaluarea riscurilor informaionale pleac de la ase elemente distincte
considerate n managementul riscurilor: valoarea activelor informaionale, frecvena
ameninrilor, gravitatea exploatarii vulnerabilitilor organizaionale cu ocazia
producerii ameninrilor, eficiena modalitilor de minimizare a riscurilor
(controalelor), costul acestora, ca i nivelu de incertitudine asociat procesului de
management al riscurilor informaionale. Msura n care aceste variabile sunt
cuantificatecuajutorulunor modalitide msurareindependenteiobiective,precum
costulnlocuiriipentruvaloareaactivelorinformaionale,saufrecvenaanualasociat
ameninrilor de securiate informaional, metodologia de evaluare a riscurilor este
considerat una cantitativ. Dac toate cele ase variabile sunt msurate cantitativ,
atuncimetodologiaesteunacantitativ.
Evaluareacantitativariscurilor
Numai valoarea activelor informaionale i costul implementrii i meninerii
elementelordeminimizareariscurilor(controalele)potfiasociateunorvalorimonetare.
Astfel, sunt utilizate metrici precum Frecvena Anual de producere a ameninarilor
(FA), exprimat sub forma x/y (x reprezint numr de apariii ale activittilor,
evenimentelor sau aciunilor considerate ameninri pentru sistemul informaional n
perioaday),PondereaPierderilor(PP)generatedematerializareaunuiriscnrelaiacu
RevistadeMarketingOnlineVol.1Nr.2
RevistadeMarketingOnlineVol.1Nr.2
dificilindelungat(saestimatctimpulnecesarrealizriiuneiastfeldeanalizefr
aportul instrumentelor automatizate este de 1020 de ori mai mare dect o analiz
calitativ similar), informaiile necesare analizei sunt mult mai numeroase i mai
complexeinuexistunstandarduniversalacceptatidezvoltatdectreoorganizaie
independent, ceea ce scade credibilitatea i acurateea instrumentelor automatizate
disponibilepepia.
Evaluareacalitativariscurilor
Avnd n vedere c toate metricile calitative conin un anumit grad de
subiectivism, utilizarea unor scale de tipul diferenialelor semantice (Foarte ridicat,
Ridicat, Mediu, Sczut, Foarte Sczut) poate fi adaptat fiecreia dintre
elementele identificrii i evalurii riscurilor informaionale. Astfel, diferitele
metodologii calitative sau parial calitative au dus la implementarea unor instrumente
specifice de recoltare a informaiilor necesare procesului de evaluare a riscurilor
informaionale,fraexistansunstandardgeneralacceptat.
Astfel, pentru determinarea probabilitii de exploatare a unei anumite
vulnerabiliti a sistemului presupune asocierea unei frecvene cu care ameninare
asociat acesteia se produce. Aceast probabilitate este asociat unui numr de factori
care includarhitecturasistemului, mediulextern,modalitateadecontrolaaccesului la
activele informatice protejate, ca i de eficiena controalelor implementate. Astfel,
Tabelul1prezintoseriedeniveluriasociatefrecveneimaterializriiameninrilor,n
condiiilecontroalelorexistente:
Tabelul1:Probabilitateadematerializareaameninrilor
Probabilitate
Descriere
Improbabilrealizarea
Neglijabil
Foarteredus Ameninareasemanifestodatla2sau3ani
Ameninareasemanifestanualsaumairar
Redus
Ameninareasemanifestbinanualsaumairar
Medie
Ameninareasemanifestlunarsaumairar
Ridicat
Foarteridicat Ameninareasemanifestdemaimulteoripelun
Permanent Ameninareasemanifestzilnicsauchiarmaides
Determinarea magnitudinii sau severitii impactului unei anumite
ameninripresupuneidentificareapierderilorpotenialelanivelulfiecreicategoriide
securitate (confidenialitate, integritate i disponibilitate), n condiiile probabilittii
asociate producerii acesteia. Impactul poate fi asociat cu pierderea funcionalitii
sistemului sau altor active ale organizaiei, degradarea acestora, reducere timpului de
rspuns pentru utilizatorii legitimi, pierderea ncrederii publice n organizaie sau
divulgareaneautorizatadatelorsensibile.Gravitateaimpactuluiacestorameninrieste
ngeneralevaluatpebazainformaiilorprezentatenTabelul2.
Tabelul2:Nivelurialeseveritiimaterializriiameninrilor
Severitatea
Descriere
impactului
RevistadeMarketingOnlineVol.1Nr.2
Nesemnificativ Producereaameninriiiexploatareavulnerabilitiinuvoravea
aproapeniciunimpactasupraorganizaiei.
Organizaiavafidoaruorafectat.Vafinecesarunefortmimin
Minor
pentruremediereaproblemelorgenerate.
Semnificativ Vaaveacarezultatefectenegativetangibile,deineglijabilei
remarcatedoardeunnumrredusdeangajaisauparteneri.Ar
puteaducenslapublicitatenegativivafinecesarafectarea
unuinumrsemnificativderesursepentruremediere.
Arputeaaveacarezultatpierdereancrederiincapacitatea
Important
conduceriiiasistemuluidesecuritateinformaionalal
organizaiei.Vorfinecesareresurseimportantepentruremedierea
problemelorcauzate.
Arputeaducelapierderisemnificativedeactiveinformaionale,ca
Ridicat
ilapierdereaunorclienisauparteneri,cailadiminuarea
credibilitiiexterneaorganizaiei.
Producereaacestorameninriaraveacarezultatcompromiterea
Critic
extensivasistemuluiinformaionalsauchiardeteriorarea
permanentaacestuia,mergndusepnladistrugereaacestuia.
n sfrit, determinarea nivelului riscurilor este n general fcut pe baza
probabilitiicaoanumitameninaresexploatezeovulnerabilitateasistemuluiipe
gravitateapecarematerializareaaceleiameninrioareasupraactivelorinformaionale
ale organizaiei. Matematic, nivelul riscului este determinat ca produs al probabilitii
demanifestareaameninriloriseverittiiimpactuluiacestoraasupraconfidenialitii,
disponibilitiiiintegritiisistemuluiinformaionalalorganizaiei.Tabelul3prezint
nivelul riscurilor bazate pe cei doi parametri, nivel ce poate fi incrementat n anumite
condiii(niveluldesecuritateasociatsistemului informaional,compromisurilepecare
lepresupunematerializareariscurilor,etc.)dectreechipademanagementalriscurilor.
Tabelul3:Nivelulriscurilor
Severitateaimpactului
Probabilitatea
Nesemnificativ Minor Semnificativ Important Ridicat Critic
producerii
Neglijabil
Foarteredus
Redus
Medie
Ridicat
Foarteridicat
Permanent
Redus
Redus
Redus
Redus
Redus
Redus
Redus
Redus
Redus
Redus
Redus
Moderat
Moderat
Moderat
Redus
Redus
Moderat
Moderat
Ridicat
Ridicat
Ridicat
Redus
Redus
Moderat
Ridicat
Ridicat
Ridicat
Ridicat
Redus
Redus
Moderat Moderat
Ridicat Ridicat
Ridicat Ridicat
Ridicat Ridicat
Ridicat Ridicat
Ridicat Ridicat
Printreavantajeleutilizriimetodelorcalitativeesteinclusfaptulc,ngeneral,
nu este nevoie de stabilirea exact a valorii financiare a activelor, ci mai degrab a
efectelor asupra acestora n termenii generali ai securitii informaionale
(confidenialitate, disponibilitate, integritate). De asemenea, eventualele calculele
prespusedeaceste metodesuntsimple irapide,nu necesit calcululexactalcostului
implementrii i meninerii controalelor i al diferitelor modaliti alternative de
minimizare a riscurilor i sunt mult mai rapid dezvoltate implementate dect
metodologiilecantitative.
RevistadeMarketingOnlineVol.1Nr.2
MetodaOCTAVE
MetodologiaOCTAVE(Operationally CriticalThreat,AssetandVulnerability
Evaluation Evaluarea Ameninrilor, Activelor i Vulnerabilitilor Organizaionale
Critice) pleac de la definirea complex, sistematic i contextual a componentelor
esteniale ale unui sistem informaional, folosind o organizare n trei etape pentru a
determina riscurile asociate confidenialitii, integritii i disponibilitii activelor
informaionale critice pentru buna desfurare a activitilor organizaiei considerate.
Metoda abordeaz att aspectele organizaionale, ct i cele tehnologice necesare
asigurriisecuritiiinformaionale,dintroperspectivmodern,ceprevedeunproces
continuudeevaluare.
Etapa 1: Construirea unor profile ale activelor bazate pe ameninrile
asupra acestora. Aceast etap presupune evaluarea ntregii organizaii, zonele cheie
fiindidentificateianalizatenscopulextrageriiaceloractiveinformaionalerelevante,
ameninrile asociate acestora, controalele (curente i potenial necesare) pe care
minimizarea acestor ameninri le prespun, ca i puncte slabe la nivelul abordrii
Politicii ipracticilordesecuritate informaional la nivelulorganizaiei. Larndulei,
aceastetapestedivizatnpatrupai.
Pasul 1: Determinarea competenei la nivelul securitii informaionale pentru
managementulsuperioralorganizaiei.
Pasul 2: Determinarea competenei n domeniul securitii informaionale
pentruniveluloperaionalalorganizaiei.
Pasul 3: Determinarea competenei angajailor n domeniul securitii
informaionale.
Primii trei pai sunt dedicai ntlnirilor cu angajaii de pe toate nivelurile
organizaionale n scopul identificrii activelor asociate sistemului informaional i a
modalitii n care acestea pot fi afectate. Astfel, n cadrul acestor ntlniri
participanilor li se solicit identificarea prioritii/importanei acestor active i nivelul
desigurantcareexist/artrebuiobinutpentruprotejareaacestora.
Pasul 4: Crearea profilului ameninrilor. n acest pas participanii sunt n
exclusivitatemembriiechipeidemanagementalriscurilorinformaionale,carepebaza
documentaieiiainformaiilorobinutenprimiitreipaiselecteazactivelecriticen
buna desfurare a activitilor organizaionale, grupeaz i clasifc aceste active,
mpreun msurile de securitate asociate, n conformitate cu nivelul organizaional pe
care l deservesc, crend o imagine de ansamblu asupra activelor organizaionale i
identificameninrileasupraacestorclasedeactiveiasupraactivelorindividuale.
RevistadeMarketingOnlineVol.1Nr.2
Etapa2:Identificareavulnerabilitilorstructurale.Aceastetappresupune
evaluarea sistematic a structurii informaionale a organizaiei pentru a determina
eficiena soluiilor de securitate informaional curent, a identifica deficienele i
vulnerabilitile sistemului (clasificate ca vulnerabiliti conceptuale, de implementare
ideconfigurare).ngeneral,aspecteletehnologicesuntidentificateprincomparareacu
standardele de profil stabilite fie de productori, fie de organisme independente. n
general, n aceast faz punctele slabe ale sistemului sunt determinate pe baza unei
multitudini de instrumente automatizate, incluznd instrumente pentru testarea
integritii fiierelor, programe antivirus, eficiena sistemului de limitare a accesului
prinparole,siguranacomunicaiilor,precumimultealteinstrumente.
Pasul 5: Identificarea componentelor cheie.n aceast faz membrii echipei de
management al riscurilor implic i personalul departamentului informatic al
organizaieianalizateicuajutorulacestoraidentificprincipaleleclasedecomponente
ale sistemului informatic pe baza analizei cilor de acces la resursele informatice, n
contextulunorscenariidematerializareaameninrilor.
Pasul 6: Evaluarea componentelor cheie. Acest pas, de asemenea realizat n
colaborarecupersonalul departamentuluiinformaticalorganizaieianalizate,presupune
determinarea vulnerabilitii tehnologice, cu ajutorul instrumentelor automatizate, care
determinvulnerabilitateanfaaunorameninriprovenitedinexteriorul,dininteriorul
i din exteriorul organizaiei. Apoi rezultatele acestei investigaii sunt analizate i pe
baza lor sunt formulate concluzii prealabile n ceea ce privete cauzale fenomenelor
constatate(vulnerabilitilesistemuluiinformaional).
Etapa 3: Dezvoltarea Planului i Strategiei de Securitate Informaional.
Odat ce activele, ameninrile i vulnerabilitile au fost identificate, se trece la
identificareariscurilorlacareestesupussistemuluiinformaional.Scopulacesteietape
este de a determina modul n care anumite riscuri sunt asociate anumitor active
organizaionale. Din perspectiva OCTAVE riscul este considerat un rezulatat al
pierderilor cauzate de absena sau inadecvarea unor modaliti de prevenire sau
minimizare a acestora. Msurarea pierderilor, severitii impactului sau nivelului
riscurilor poate fi att calitativ, ct i cantitativ, n funcie de neceistile
organizaionale i resursele disponibile colectivului de management al riscurilor
sistemului de securitate informaional. Determinarea riscurilor asociate securitii
informaionale este n general mai dificil datorit faptului c informaiile despre
ameninri i valoarea activelor sunt n general mai greu de obinut i cuantificat, iar
factorii de risc sunt n permanent schimbare. Analiza riscurilor pe baza metodologiei
OCTAVE presupune utilizarea unor scenarii de risc, asociate fiecrui activ critic al
organizaiei.
Pasul 7: Identificarea riscurilor securitii informaionale. Scopul acestui pas
este de a definitiva un profil al riscurilor, n urma analizei gravitii impactului
ameninriloridentificateasuprafiecruiactivinformaional.Deasemenea,seutilizeaz
oseriedecriteriideevaluarecalitativ(scaladiferenialsemantic)ariscurilorpentru
stabilirea importanei i impactului riscurilor, iar n final echipa de management al
riscurilor informaionale stabilete costul materializrii riscurilor identificate pentru
organizaiaanalizat.
Pasul 8: Dezvoltarea modalitilor de protejare a sistemului informaional.
Scopul acestui ultim pas al metodologiei OCTAVE este de a dezvolta o strategie de
protejare a organizaiei prin intermediul unor controale pentru activele critice, ca i o
10
RevistadeMarketingOnlineVol.1Nr.2
MetodaVAR
Oaltmetodmixt(calitativicantitativdeevaluareariscurilor,cunoscut
sub denumirea de VAR (VAloarea Riscurilor), pleac de la identificarea celor mai
drastice efecte pe care producerea riscurilor asociate securitii informaionale lear
putea avea asupra organizaiei, ntrun orizont de tip i un interval de ncredere dat,
scopul su fiind realizarea unei balane optime ntre nivelul asumat al riscurilor i
cheltuielile necesare minimizrii acestora. Cele patru etape propuse de ctre
metodologia VAR includ identificarea ameninrilor, estimarea probabilitii de
producere a acestor ameninri, calcularea indicatorului VAR (valoarea riscurilor),
respectiv determinarea controalelor pentru prevenirea sau minimizarea efectelor
riscuriloridentificate.
Etapa 1: Identificarea ameninrilor: n aceast prim etap sunt identificate
riscurile (curente sau poteniale) cu care se poate confrunta sistemul informaional
analizat. Metoda VAR recomand classificarea acestora ca i fraude, activiti ru
intenionate, glume, tentative de accesare a informaiilor confideniale, dezastre
naturale, sabotaj i erori de utilizare. Modalitile concrete de manifestare a acestor
ameninripotincludeatacuridetipDoS,furtul,tergereasaumodificareainformaiilor
sau afectarea funcionrii normale a reelelor. Aceste metode sunt concepute pentru a
exploate vulnerabilitile sistemelor informaionale i includ virui informatici,
programedetiptroian,viermi,programedespargereaparolelor,interceptareapotei
electronice i a pachetelor tranzacionate de diverse aplicaii prin reelele de
comunicaie informatice, ca i asumarea unor false identiti la nivelul acestor reele
(spoofing).
Etapa 2: Estimarea probabilitii de producere a ameninrilor i a
riscurilorasociateacestora.Activitiledinaceastetapaucaobiectivdeterminarea
probabilitii de producere a ameninrilor identificate n etapa anterioar. Aceast
activitatepoatefirealizatpebazametodelorcalitativesaucantitativedescriseanterior.
n plus, metoda VAR recomand utilizarea surselor secundare de informaii (studii
furnizate de ctre agenii guvernamentale sau de ctre institute de sondare a pieei)
pentru obinerea informaiilor legate de frecvena producerii diferitelor tipuri de
ameninare. Astfel, un studiu publicat de Briney n anul 2000 (
http://www.infosecuritymag.com/articles/september00/pdfs/Survey1_9.00.pdf) reallizat
nStateleUniteasupraunuieantionreprezentativdinrndulangajailordepartamentele
de tehnologia informaiei ale unor organizaii particulare i guvernamentale a
concluzionatc80%dintresistemeleinformaticepecarelefolosescsauconfruntatcu
virui informatici n ultimul an, utilizarea abuziv a resurselor informaionale ale
organizaieiafostraportatde58%dintreacetia,42%sauconfruntatcutentativede
acces neautorizatdinafaraorganizaiei, iar24%dintreeiauavutderemediatefectele
11
RevistadeMarketingOnlineVol.1Nr.2
distructive ale activitii ru intenionat sau accidentale ale colegilor lor. Surse
suplimentarepentruacesteinformaiipotfirapoartelepublice/guvernamentale,jurnalele
asociate diferitelor sisteme informatice sau aplicaiilor utilizate, date istorice sau
interviuri n profunzime cu personalul relevant din departamentele de securitate
informaional.
Etapa3:EstimareaVAR.Pebazariscuriloridentificatenetapaanterioaria
frecvenei cu care ameninrile care le genereaz se produc, metoda VAR presupune
calcularea variabilei cu aceiai denumire, plecnd de la Valoarea de Pia (VP) a
organizaiei investigate, orizontul de tip dorit i intervalul de ncredere (statistic) a
rezultatuluiobinut,dupformula:
VAR= a * s * T
unde areprezint intervalul de ncredere a rezultatului (pentru 99% valoarea sa este
2,64,pentru95%1,96), reprezintValoareadePiaestimataorganizaiei,iarTeste
numruldezilepentrucareserealizeazcalculul.
Etapa 4: Modaliti de minimizare a riscurilor identificate. Ultima etap a
acestei metode presupune selectarea diferitelor metode de minimizare a riscurilor (pe
baza standardelor existente n industrie i pe baza surselor secundare de informare).
Valoarea VAR este utilizat pentru a determina nivelul investiiei, o companie pentru
careaceastvaloareeste mairedus necesitndo investiie mai modest nasigurarea
securitiiinformaionaledectcompaniilecuovaloaresimilarmairidicat.
MetodaUCRA
MetodadeevaluareariscurilorintitulatUCRA(UniversityofCaliforniaRisk
Assessment) dezvoltat de ctre teoreticienii de la University of California este o
metod esenial cantitativ, care urmrete ndeaproape recomandrile standardului
BS7799,realizareasapresupunndurmrireaunuinumrdenoupi.
Pasul 1: Stabilirea echipei de evaluare a riscurilor. Aceast echip va fi
responsabil pentru colectarea, analiza i raportarea rezultatelor ctre conducerea
organizaiei. Este esenial ca toate elementele ciclului productiv al organizaiei s fie
reprezentate la nivelul acestei echipe, incluznd la nivel minim fora de munc,
administraia,sistemeleinformaticeisecuritateafizic.
Pasul 2: Definirea obiectivului proiectului. Echipa de evaluare a riscurilor ar
trebui s clarifice nc de la nceput obiectivul proiectului de evaluare a riscurilor, cu
specificarea departamentului, ariei sau funciei organizaiei ce va fi evaluat,
responsabilitile membrilor echipei, personalul ce va fi intervievat, standardele
utilizate,documentaianecesarnprocesuldeevaluare,caioperaiilesaufunciilece
vorfiobservatenacestproces.
Pasul 3: Identificarea activelor implicate n procesul de evaluare. Activele
organizaionalepotinclude(frafilimitatela)personal,bunurihardwareisoftware,
date i informaii (inclusiv clasificri asupra datelor sensibile i critice pentru buna
funcionare a organizaiei), facilitile n care se desfoar activitatea, ca i controale
implementate pentru protejarea acestora. Identificarea tuturor activelor asocitate cu
obiectivele proiectului definite n pasul anterior este esenial pentru proiectul de
managementalriscurilor.
12
RevistadeMarketingOnlineVol.1Nr.2
13
RevistadeMarketingOnlineVol.1Nr.2
Avantajeleimplementriiunuiprocesdemanagementalriscurilor
Conducerea organizaional ignor, n majoritatea cazurilor, procesul de
management al riscurilor, ca i riscurile asociate securitii informaionale a
organizaiei, n ansamblul lor. n general, activitile care nu sunt n mod direct
cuantificabile i pentru care un nivel al profitului generat nu poate fi n mod direct
prezentat, tind s fie ignorate de ctre conducerea superioar, motiv pentru care
activitile de management al riscurilor necesit o activitate de contientizare, att
printremanageriiorganizaiei,ctilanivelulangajailor.Deasemenea,existiteama
ca aceste proiecte s scoat la lumin neconcordane i lipsuri legate de conducerea
sistemuluiinformaticalorganizaieisaualniveluluisuperiordeconducerecamotivant
al rezistenei ntmpinat de acest tip de activitate. i cu toate c un nivel ridicat al
securitii informaionale poate prea costisitor, lipsa unei securiti adecvate se va
dovedi cu siguran, pe termen lung, catastrofal pentru organizaie. n sfrit, atunci
cnd acest proces este realizat n ntregime manual, sau nu poate fi fcut dect prin
utilizareaunormetricicalitative,faptulcacestprocespoateduralunidezileicnu
arecarezultatoanalizdesensitivitateesteunobstacol majorpentrudeclararea saca
unsuccesalorganizaiei.
Dar procesul de management al riscurilor asociate securitii informaionale
aduce o serie de avantaje majore pentru oricare organizaie care depune eforturile
necesareimplementriisale.Astfel,lanivelminim,conducereaaceleiorganizaiivafi
sensibilizat asupra noiunii de risc de securitate informaional, va cunoate valoarea
activeloripierderilepecareacesteriscurilepotaduceorganizaiei(nceeaceprivete
confidenialitatea, integritatea i disponibilitatea activelor informaionale), va avea o
analizcostbeneficiuasociatacestorriscuriivaticaresuntmsurilenecesarepentru
a minimiza riscurile de exploatare a vulnerabilitilor inerente de ctre ameninrile
interneiexterne.
De asemenea, evaluarea riscurilor permite identificarea celor mai eficiente
modaliti de prevenire a efectelor negative asupra activelor informatice, nainte ca
diferite fonduri s fie alocate ctre variante alternative de lucru. n plus, o echip
specializatnprocesuldemanagementalriscurilorpoaterealizaaceastactivitatentr
un timp redus, porninduse de la cteva zile pn la cteva sptmni, n funcie de
dimensiuneaorganizaieiinvestigate.
14
RevistadeMarketingOnlineVol.1Nr.2
Tabelul4:InstrumentdeevaluareariscurilorconformmetodologieiUCRA
Proces,activitatesau
aciune
Descriere general a
proceselor,
activitilor
sau
aciunilor analizate.
Sunt
separate
subactivitile
sau
paii care pot expune
la diferite tipuri de
riscuri,
fiecruia
fiindui atribuit un
rndpropriu.
Proceduri
modalitatede
stocare
Descrierea
tipurilor
de
informaie
stocate, nivelul
de sensitivitate,
modul de stocare
i drepturile de
acces
asupra
acestora.
Riscuri
Controale
curente
Controalerecomandate
Care
sunt
evenimentele care ar
putea afecta buna
funcionare a activelor
iproceselordescrise?
Care ar fi impactul
acestora? Care sunt
vulnerabilitile
exploatate?
Descrierea
controalelor
utilizate
n
prezent pentru
minimizarea
riscurilor
de
securitate
identificate.
Evaluarea de ctre
oamenii
implicai
asupra completitudinii
proceselor,
procedurilor, riscurilor
i
controalelor
identificate n analiz.
n
general,
sunt
rspunsuri
din
categoriaDasauNu.
15
Aciuni
recomandate(cnd
idectrecine)
Dac
trebuie
mbuntite sau
adugate controale,
specificnduse
efectele obinute,
activitile
necesare,
personalul implicat
i
momentul
realizrii.
RevistadeMarketingOnlineVol.1Nr.2
Bibliografie
Amelinckx, I. i van Grembergen, W., Measuring and Managing Ebusiness
projectsthroughthebalancedscorecard,aprutn Proceedingsofthe
International Conference on Electronic Commerce (ICEC), Viena,
noiembrie2001
Berghout, E i Renkema, T. Methodologies for IT investment evaluation: a
reviewandassessment,aprutnInformationTechnologyEvaluation
MethodsandManagement,IdeaGroupPublishing,2001,pg.7897
Johner,H.,Fujiwara,S.,Yeung,A.,Stephanou,A.,Whitmore,J.,Deploying
aPublicKeyInfrastructure,IBM,2000
McNamee,David,BusinessRiskAssessment,TheInstitudeofInternalAuditors,
1998
Munteanu, Adrian, Auditul sistemelor informaionale contabile, Ed. Polirom,
2001
Orzan, Gheorghe, Sisteme informatice de Marketing, Ed. Uranus, Bucureti,
2001
Orzan, M, Munteanu, A., Iliescu, F., i Mincu, M., Securitatea IT i
implementareastandarduluiISO/IEC17799,Ed.Internews,2005
Parasuraman,A.,Zeithaml,V.A.iBerry,L.L.ReassessmentofExpectations
asaComparisonStandardinMeasuringServiceQuality:Implications
for Further Research, publicat n Journal of Marketing, Vol.58,
ianuarie1994
Parker,Michael,StrategicTransformationandinformationtechnology,Prentice
Hall,UpperSaddleRiver,NJ,1996
Seddon, P. B., A Respecification and Extension of the DeLone and McLean
ModelofISSuccess,publicatn InformationSystemsResearch,Vol.8,
No.3, septembrie1997.
Smith,Gordon,NetworkAuditing:AControlAssessmentApproach,JohnWiley
&Sons,USA,1999
Turban, E., Aronson, J.E., Decision Support Systems and Intelligent Systems,
PrenticeHall,EnglewoodCliffs,NJ,2001
Veghe,Clin,MarketingDirect,Ed.Uranus,2003
16