MANAGEMENTUL RISCURILOR

Riscuri ale mediului IT

Hardware
Software OS
Software Aplicatii
Date

Riscuri asociate mediului IT

Dezastre naturale
Furtul de date si aplicatii
Erori umane
Incompetenta manageriala

Identificarea riscurilor

Evaluarea riscurilor

Controlul ricurilor

Risc management - definitie

RM este procesul care permite
managerilor IT sa asigure un
echilibru intre costurile
operationale si resursele financiare
pentru masurile de protectie si
atingerea obiectivelor privind
protejarea datelor si sistemelor IT
care sustin activitatea organizatiei.

Risc management - definitie

De ce organizaiile
implementeaz managementul
riscurilor IT?
Minimizarea impactului negativ
asupra organizaiei i nevoia
unei base solide n luarea
deciziilor.

Managementul riscurilor IT
Factori de risc
Vulnerabilitatile sistemelor

1. ACCES
2. Numar de utilizatori
3. Solutii tehnice

Complexitate

1. ORGANIZATIEI
2. Sistemelor informationale

Ciclul de viata

1. Fazele ciclului de viata

2. Perenitatea sistemelor

Nivelul de incredere

1.
2.
3.
4.

Calitatea documentatiilor

Control intern
Profesionalismul angajatilor
Calitatea managementului
Climatul de munca

Managementul riscului IT
Procesul de management al riscului IT:
1.Identificarea vulnerabilitatilor
2.Identificarea amenintarilor
3.Stabilirea masurilor de limitare a riscurilor
SCOPUL managementului riscurilor:
reducerea riscurilor la un nivel acceptat.

DEFINITII
Vulnerabilitate: un punct slab n
sistemul IT care poate afecta sistemul
sau operaiile acestuia, mai ales cnd
aceast punct slab este exploatat de o
persoan ostil sau afectat urmare a
unui eveniment sau conjunctur.
Vulnerabilitile reprezint
orice caracteristici ale sistemului
care l pot expune la ameninri.

Tipuri de vulnerabiliti
Vulnerabiliti hardware i software
Vulnerabiliti ale mediului de
stocare
Vulnerabiliti ale mediului de
comunicaii
Vulnerabiliti umane
Vulnerabiliti fizice

DEFINIII
Ameninrile reprezint un pericol
potenial la care este expus un
sistem constnd n: acces
neautorizat, alterri sau distrugerea
datelor, software-ului, resurselor
harware i/sau de comunicaie

Ameninri ex.
Dezastre naturale,
evenimente sociale
si/sau politice

Incendiu sau cldur excesiv

Inundaii
Cutremure
Furtuni
Rzboi
Micri sociale virulente

Erori soft i funcionri

Erori hardware
defectuoase ale hardware- Cderi ale sursei de curent sau
ului
fluctuaii ale tensiunii
Erori nedetectate legate de
transmisia datelor
Aciuni neintenionate

Accidente generate de neglijen

uman, nerespectarea procedurilor,
pregatire sau supraveghere
insuficient
Greeli neintenionate sau erori
Pierderi de date
Erori logice
Sisteme care nu rspund nevoilor

Managementul riscului IT
Activitati specifice pentru fiecare
categorie de risc:
1.IDENTIFICARE
2.ANALIZA
3.EVALUAREA IMPACTULUI
4.EVALUAREA VULNERABILITATILOR
5.MONITORIZARE
6.MASURI DE LIMITARE

Managementul riscului IT
ACTIUNI:
1. EVITATREA RISCURILOR (NU SE IMPLEMENTEAZA
ACTIVITATI GENERATOARE DE RISC)
2. LIMITATREA RISCURILOR PRIN IMPLEMENTAREA
DE CONTROALE PUTERNICE
3. TRANSFERUL RISCULUI PRIN OUTSOURCING
4. PREGATIREA MASURILOR DE LIMITARE A
RISCURILOR SAU ELIMINARE

Managementul riscului IT
CONSECINTELE RISCURILOR:
1.Pierderi financiare
2.Afectarea reputatiei
3.Afectarea reputatiei tertilor
4.Pierderea oportunitatilor de afaceri
5.Reducerea performantei sistemelor IT
si a organizatiei
6.Pericole pentru personal

Managementul riscului IT
Evaluarea riscurilor este primul proces
in metodologia de risc management.
Organizatiile folosesc evaluarea
riscurilor pentru a determina extinderea
potentialelor amenintari si riscurile
asociare cu sistemele IT. Rezultatele
acestui process ajuta la identificarea
controalelor necesare pentru reducerea
sau eliminarea riscului.

Evaluarea riscului
Riscul este o functie intre probabilitatea
de aparitie a unei surse de amenentare
datorate unei vulnerabilitati particulare
si impactul asupra organizatiei a unui
eveniment advers.
Pentru a determina probabilitatea unui
eveniment advers, trebuie analizate
amenintarile sistemelor IT in conjuctie cu
vulnerabilitatile potentiale si controalele
implementate pentru sistemele IT.

Managementu ricului IT
Atacuri externe asupra sistemelor IT
Evaluarea riscurilor

ACTIUNI

1. Securitatatea sistemului
Identificarea vulnerabilitatilor

1. Arhitectura sistemului IT

2. Probabilitatea de aparitie

2. Politica de securitate

3. Identificarea actiunii si a
tipurilor de tehnologie implicata

3. Managementul evenimentelor

4. Estimarea probabilitatii

4. Managementul evenimentelor

Evaluarea riscurilor
Etape metodologice

Evaluarea riscurilor
Etape metodologice

Evaluarea riscurilor

Pas 1 : CARACTERIZAREA
SISTEMULUI
Informatii privind sistemul:
1.Hardware
2. Software
3.Interfee (ex: conectivitatea intern
i extern)
4.Date i informaii

Pas 1 : CARACTERIZAREA
SISTEMULUI
5. Persoane care ntrein i folosesc
sistemul informatic
6. Misiunea sistemului (ex: procesele
executate n cadrul sistemului
informatic)
7. Sisteme i date critice (ex: valoarea
sistemului sau importana pentru
organizaie)
8. Senzitivitatea sistemului i datelor

Pas 1 : CARACTERIZAREA
SISTEMULUI
Informaii suplimentare privind mediul
operaional al sistemului informatic i
datele acestuia includ:
1.Cerine funcionale a sistemului informatic
2.Utilizatorii sistemului (ex: utilizatorii
sistemului care ofer suport tehnic
sistemului informatic; aplicaiile
utilizatorilor care asigur funciile de
business)

Pas 1 : CARACTERIZAREA
SISTEMULUI
3. Politici de securitate a sistemului
(politici organizationale, cerine
generale, legislative, practici ale
domeniului)
4. Arhitectura de securitate a sistemului
5. Topologia reelei (ex: Diagrama reelei)
6. Protecia informaiei stocate i
disponibilitatea datelor, integritatea i
confidenialitatea datelor.

Pas 1 : CARACTERIZAREA
SISTEMULUI
7. Fluxul informaiei n sistemul
informatic (ex:interfeele sistemului,
fluxul intrrilor i ieirilor).
8. Controale tehnice folosite n sistem
(ex: produse de securitate
implementate n sistem pentru
asigurarea identificrii i autentificrii,
controlul accesului, audit, protecia
informatiei, metode de criptare).

Pas 1 : CARACTERIZAREA
SISTEMULUI

9. Controlul managementului n sistemul IT (ex:

reguli privind comportamentul utilizatorilor,
planificarea securitii).
10. Controale operaionale folosite n sistemul
informatic (ex: secuirtatea persoanelor, backup, operaiuni de refacere a sistemului,
mentenena sistemului, stocarea off-site,
proceduri pentru crearea i anularea
conturilor utilizator, controale ale segregrii
funciilor utilizatorilor cum ar fi accesul
utilizatorilor privilegiati vs accesul
utilizatorilor standard).

Pas 1 : CARACTERIZAREA
SISTEMULUI
11. Securitatea fizic a mediului
sistemului IT (ex: faciliti de
securitate, politicile centrului de
date).
12. Securitatea mediului implementat
pentru mediul sistemului IT (control
al umiditii, ap, curent electric,
poluare, temperatur etc).

Pas 2: IDENTIFICAREA
AMENINRILOR
O ameninare este eventualitatea unei
surse particulare de ameninare de a folosi
cu succes o vulnerabilitate.
O vulnerabilitate reprezint o slbiciune
care poate accidental declana un
eveniment sau poate fi exploatat
intenionat.
O surs de ameninare nu reprezint un
risc atunci cnd nu exist o vulnerabilitate
care s poat fi folosit.

Pas 2: IDENTIFICAREA
AMENINRILOR
In determinarea probabilitii de
apariiei a unei ameninri trebuie
luate n considerare sursele
ameninrii i controalele existente.

Pas 2: Surse de
ameninri
Dezastre naturale: inundaii, cutremure,
tornade, alunecri de teren, avalane,
furtuni electrice i alte astfel de
evenimente.
Ameninri umane: Evenimente care
sunt facilitate sau cauzate de oameni cum
ar fi acte unilaterale (introduceri de date
greite) sau aciuni deliberate (atacuri
asupra reelelor, acces neautorizat la date
confideniale).

Pas 2: Surse de
ameninri
Ameninri ale mediului: cderi
ale alimentrii cu energie electric
pe termen lung, poluare, scurgeri de
lichide.

Ameninri umane: sursa ameninrii, motivaie,

aciuni

Sursa ameninrii

Motivaie

Aciuni

Hacker, cracker

Provocare
Ego
Rzvrtire

Hacking
Social engineering
Intruziuni
Acces neautorizat la
sisteme

Criminal computer

Distrugerea
informaiei
Dezvaluire ilegal
de informaii
Ctiguri bneti
Modificarea
neautorizat a
datelor

Computer crime
( cyber
stalking=hartuire,
afectarea intimitii)
Acte frauduloase
(interceptri)
Spoofing
Intruziuni n sistem

Teroriti

antaj
Distrugere
Expoatare
Rzbunare

Bombe
Atacuri asupra
sistemelor (DoS)
Penetrarea
sistemelor

Ameninri umane: sursa ameninrii, motivaie,

aciuni

Spionaj industrial

Avantaj
competiional
Spionaj economic

Furt de informaii
Intruziuni in
intimitatea
persoanelor
Penetrarea
sistemelor
Acces neautorizat

Persoane din interior

(slab pregtii,
neglijeni, neoneti)

Curiozitate
Ego
Inteligen
Rzbunare
Erori neintenionate
i omisiuni (erori
introducere date,
erori de programare)

antaj
Folosire abuziv a
calculatorului
Fraud i furt
Introducere i
falsificare date
Virusi, bombe
logice. Troieni
Vnzarea
informiilor despre
angajai
Erori ale sistemului
Acces neautorizat
Saborarea

Pasul 3: Identificarea vulnerabilitii

Vulnerabilitate/Ameninare
Vulnerabilitate

Sursa ameninrii

Aciunea
ameninrii

Pentru fotii angajai

nu au fost anulate IDurile

Foti angajai

Accesarea reelei
companiei i
accesarea datelor

Parametrizarea
Acces neautorizat
neadecvat a firewall- (Hackeri, foti
ului
angajai, teroriti)

Folosirea telnet pe
serverul respectiv

Vnztorul a
Utilizatori neautorizati Obinerea accesului
identificat lacune n
(hackeri, angajati
ne -autorizat la date
sistemul de securitate nemultumiti, teroristi) critice folosind
vulnerabilitile
identificate
Sisteme anti incendiu
nu exist protecie
pentru echipamente

Incendiu, persoane
neglijente

Sistemele anti
incendiu pornite (fr
a fi necesar)

Pas 4: Analiza
controalelor
Tipuri de controale
Controale preventive blocheaz ncercrile s
violare a politici de securitate i includ
controale cum ar fi implementarea controlului
accesului, criptarea, autentificarea.
Controale detective: avertizeaz asupra
violrilor sau ncercrilor de violare a politicii
de securitate i includ controale cum ar fi
audit trail, metode pentru detectarea
intruziunilor etc.

Pas 5: Determinarea
probabilitii
Rating pentru probabilitate (Ridicat, Mediu,
Sczut)
Probabilitate

Definitia probabilitii

Mare

Sursa ameninrii este bine motivat i

capabil, si controale care s previn
vulnerabilitatea sunt ineficiente

Mediu

Sursa ameninrii este motivat i

capabil dar exist controale care pot
mpiedica folosirea vulnerabilitii

Sczut

Sursei ameninrii i lipsesc motivatia

si cunotinele i controalele existente
pot mpiedica n mod semnificativ
folosirea vulnerabilitii

Pas 6: Analiza impactului

Definirea magnitudinii impactului
Impact

Definitie

Mare

Valorificarea vulnerabilitii poate conduce

la pierderi mari privind active tangibile sau
resurse; poate influena semnificativ
misiunea si reputatia organizatiei sau
profitul; poate determina decesul sau
rnirea personalului

Mediu

Valorificarea vulnerabilitii poate conduce

la pierderi privind active tangibile sau
resurse; poate influena misiunea si
reputatia organizatiei sau profitul; poate
determina rnirea personalului

Sczut

Valorificarea vulnerabilitii poate conduce

la unele pierderi privind active tangibile sau
resurse; poate influena notabil misiunea si
reputatia organizatiei sau profitul.

Pas 7: Determinarea
riscului
Matricea
riscului
Determinarea riscului se face prin
ponderarea probabilitii cu
impactul. Tabela de mai jos arat
cum ratingul riscului poate fi
determinat pe baza introducerii
probabilitii si impactului. Tabela de
mai jos este de tip 3X3:
probabilitatea si impactul sunt
stabilite pe 3 niveluri (mare, mediu,
sczut).

Pas 7: Determinarea
riscului
Matricea riscului

Probabilitatea stabilit pentru fiecare

ameninare prezint urmtoarele
nivele: 1.0 pentru Mare, 0.5 pentru
Mediu, 0.1 pentru Sczut.
Valoarea asignat pentru fiecare
nivel al impactului este: 100 pentru
Mare, 50 pentru Mediu si 10 pentru
Sczut.

Pas 7: Determinarea
riscului
Matricea riscului

Pas 7: Descrierea nivelului riscului

Scara riscului si aciuni necesare
Nevel de risc

Descrierea riscului si aciuni necesare

Mare

Dac o observaie sau deficien este

evaluat cu risc mare se impun msuri
corective puternice. Sistemul va continua s
lucreze dar msurile corective vor trebui luate
urgent.

Mediu

Dac o observaie este apreciat cu risc

mediu sunt necesare aciuni corective. Se va
elabora un plan pentru implementarea
aciunilor ntr-o perioad de timp rezonabil.

Sczut

Dac observaia este apreciat cu risc sczut

se decide dac sunt necesare masuri corective
sau se accept riscul.

Matrice de risc dezvoltat

pe cinci niveluri

Pas 8: Recomandri
privind controlul
Scopul controalelor recomandate
este de a reduce nivelul de risc al
sistemului IT precum si al datelor la
un nivel acceptabil. Urmtorii factori
trebuie luai n considerare n
recomandarea controalelor i soluii
alternative pentru minimizarea sau
eliminarea riscurilor identificate:

Pas 8: Recomandri
privind controlul
Eficacitatea opiunilor recomandate
(ex: compatibilitatea sistemului)
Legislaie i reglementri
Politic organizaional
Impact operaional
Siguran i credibilitate.

Pas 9: Documentarea
rezultatelor

Odat ce evaluarea riscurilor a fost

realizat (sursele ameninrilor i
vulnerabilitile identificate, riscurile
evaluate i formulate recomandrile privind
controalele), rezultatele trebuie s fie
documentate ntr-un raport oficial.
Un raport de evaluare a riscurilor este un
raport de management care ajut
managementul s ia decizii privind politica,
procedurile, bugetul si sistemul operaional
i schimbrile de management.