Documente Academic
Documente Profesional
Documente Cultură
Managementul Riscurilor
Managementul Riscurilor
Hardware
Software OS
Software Aplicatii
Date
Dezastre naturale
Furtul de date si aplicatii
Erori umane
Incompetenta manageriala
Identificarea riscurilor
Evaluarea riscurilor
Controlul ricurilor
Managementul riscurilor IT
Factori de risc
Vulnerabilitatile sistemelor
1. ACCES
2. Numar de utilizatori
3. Solutii tehnice
Complexitate
1. ORGANIZATIEI
2. Sistemelor informationale
Ciclul de viata
Nivelul de incredere
1.
2.
3.
4.
Calitatea documentatiilor
Control intern
Profesionalismul angajatilor
Calitatea managementului
Climatul de munca
Managementul riscului IT
Procesul de management al riscului IT:
1.Identificarea vulnerabilitatilor
2.Identificarea amenintarilor
3.Stabilirea masurilor de limitare a riscurilor
SCOPUL managementului riscurilor:
reducerea riscurilor la un nivel acceptat.
DEFINITII
Vulnerabilitate: un punct slab n
sistemul IT care poate afecta sistemul
sau operaiile acestuia, mai ales cnd
aceast punct slab este exploatat de o
persoan ostil sau afectat urmare a
unui eveniment sau conjunctur.
Vulnerabilitile reprezint
orice caracteristici ale sistemului
care l pot expune la ameninri.
Tipuri de vulnerabiliti
Vulnerabiliti hardware i software
Vulnerabiliti ale mediului de
stocare
Vulnerabiliti ale mediului de
comunicaii
Vulnerabiliti umane
Vulnerabiliti fizice
DEFINIII
Ameninrile reprezint un pericol
potenial la care este expus un
sistem constnd n: acces
neautorizat, alterri sau distrugerea
datelor, software-ului, resurselor
harware i/sau de comunicaie
Ameninri ex.
Dezastre naturale,
evenimente sociale
si/sau politice
Managementul riscului IT
Activitati specifice pentru fiecare
categorie de risc:
1.IDENTIFICARE
2.ANALIZA
3.EVALUAREA IMPACTULUI
4.EVALUAREA VULNERABILITATILOR
5.MONITORIZARE
6.MASURI DE LIMITARE
Managementul riscului IT
ACTIUNI:
1. EVITATREA RISCURILOR (NU SE IMPLEMENTEAZA
ACTIVITATI GENERATOARE DE RISC)
2. LIMITATREA RISCURILOR PRIN IMPLEMENTAREA
DE CONTROALE PUTERNICE
3. TRANSFERUL RISCULUI PRIN OUTSOURCING
4. PREGATIREA MASURILOR DE LIMITARE A
RISCURILOR SAU ELIMINARE
Managementul riscului IT
CONSECINTELE RISCURILOR:
1.Pierderi financiare
2.Afectarea reputatiei
3.Afectarea reputatiei tertilor
4.Pierderea oportunitatilor de afaceri
5.Reducerea performantei sistemelor IT
si a organizatiei
6.Pericole pentru personal
Managementul riscului IT
Evaluarea riscurilor este primul proces
in metodologia de risc management.
Organizatiile folosesc evaluarea
riscurilor pentru a determina extinderea
potentialelor amenintari si riscurile
asociare cu sistemele IT. Rezultatele
acestui process ajuta la identificarea
controalelor necesare pentru reducerea
sau eliminarea riscului.
Evaluarea riscului
Riscul este o functie intre probabilitatea
de aparitie a unei surse de amenentare
datorate unei vulnerabilitati particulare
si impactul asupra organizatiei a unui
eveniment advers.
Pentru a determina probabilitatea unui
eveniment advers, trebuie analizate
amenintarile sistemelor IT in conjuctie cu
vulnerabilitatile potentiale si controalele
implementate pentru sistemele IT.
Managementu ricului IT
Atacuri externe asupra sistemelor IT
Evaluarea riscurilor
ACTIUNI
1. Securitatatea sistemului
Identificarea vulnerabilitatilor
1. Arhitectura sistemului IT
2. Probabilitatea de aparitie
2. Politica de securitate
3. Identificarea actiunii si a
tipurilor de tehnologie implicata
3. Managementul evenimentelor
4. Estimarea probabilitatii
4. Managementul evenimentelor
Evaluarea riscurilor
Etape metodologice
Evaluarea riscurilor
Etape metodologice
Evaluarea riscurilor
Pas 1 : CARACTERIZAREA
SISTEMULUI
Informatii privind sistemul:
1.Hardware
2. Software
3.Interfee (ex: conectivitatea intern
i extern)
4.Date i informaii
Pas 1 : CARACTERIZAREA
SISTEMULUI
5. Persoane care ntrein i folosesc
sistemul informatic
6. Misiunea sistemului (ex: procesele
executate n cadrul sistemului
informatic)
7. Sisteme i date critice (ex: valoarea
sistemului sau importana pentru
organizaie)
8. Senzitivitatea sistemului i datelor
Pas 1 : CARACTERIZAREA
SISTEMULUI
Informaii suplimentare privind mediul
operaional al sistemului informatic i
datele acestuia includ:
1.Cerine funcionale a sistemului informatic
2.Utilizatorii sistemului (ex: utilizatorii
sistemului care ofer suport tehnic
sistemului informatic; aplicaiile
utilizatorilor care asigur funciile de
business)
Pas 1 : CARACTERIZAREA
SISTEMULUI
3. Politici de securitate a sistemului
(politici organizationale, cerine
generale, legislative, practici ale
domeniului)
4. Arhitectura de securitate a sistemului
5. Topologia reelei (ex: Diagrama reelei)
6. Protecia informaiei stocate i
disponibilitatea datelor, integritatea i
confidenialitatea datelor.
Pas 1 : CARACTERIZAREA
SISTEMULUI
7. Fluxul informaiei n sistemul
informatic (ex:interfeele sistemului,
fluxul intrrilor i ieirilor).
8. Controale tehnice folosite n sistem
(ex: produse de securitate
implementate n sistem pentru
asigurarea identificrii i autentificrii,
controlul accesului, audit, protecia
informatiei, metode de criptare).
Pas 1 : CARACTERIZAREA
SISTEMULUI
Pas 1 : CARACTERIZAREA
SISTEMULUI
11. Securitatea fizic a mediului
sistemului IT (ex: faciliti de
securitate, politicile centrului de
date).
12. Securitatea mediului implementat
pentru mediul sistemului IT (control
al umiditii, ap, curent electric,
poluare, temperatur etc).
Pas 2: IDENTIFICAREA
AMENINRILOR
O ameninare este eventualitatea unei
surse particulare de ameninare de a folosi
cu succes o vulnerabilitate.
O vulnerabilitate reprezint o slbiciune
care poate accidental declana un
eveniment sau poate fi exploatat
intenionat.
O surs de ameninare nu reprezint un
risc atunci cnd nu exist o vulnerabilitate
care s poat fi folosit.
Pas 2: IDENTIFICAREA
AMENINRILOR
In determinarea probabilitii de
apariiei a unei ameninri trebuie
luate n considerare sursele
ameninrii i controalele existente.
Pas 2: Surse de
ameninri
Dezastre naturale: inundaii, cutremure,
tornade, alunecri de teren, avalane,
furtuni electrice i alte astfel de
evenimente.
Ameninri umane: Evenimente care
sunt facilitate sau cauzate de oameni cum
ar fi acte unilaterale (introduceri de date
greite) sau aciuni deliberate (atacuri
asupra reelelor, acces neautorizat la date
confideniale).
Pas 2: Surse de
ameninri
Ameninri ale mediului: cderi
ale alimentrii cu energie electric
pe termen lung, poluare, scurgeri de
lichide.
Sursa ameninrii
Motivaie
Aciuni
Hacker, cracker
Provocare
Ego
Rzvrtire
Hacking
Social engineering
Intruziuni
Acces neautorizat la
sisteme
Criminal computer
Distrugerea
informaiei
Dezvaluire ilegal
de informaii
Ctiguri bneti
Modificarea
neautorizat a
datelor
Computer crime
( cyber
stalking=hartuire,
afectarea intimitii)
Acte frauduloase
(interceptri)
Spoofing
Intruziuni n sistem
Teroriti
antaj
Distrugere
Expoatare
Rzbunare
Bombe
Atacuri asupra
sistemelor (DoS)
Penetrarea
sistemelor
Spionaj industrial
Avantaj
competiional
Spionaj economic
Furt de informaii
Intruziuni in
intimitatea
persoanelor
Penetrarea
sistemelor
Acces neautorizat
Curiozitate
Ego
Inteligen
Rzbunare
Erori neintenionate
i omisiuni (erori
introducere date,
erori de programare)
antaj
Folosire abuziv a
calculatorului
Fraud i furt
Introducere i
falsificare date
Virusi, bombe
logice. Troieni
Vnzarea
informiilor despre
angajai
Erori ale sistemului
Acces neautorizat
Saborarea
Sursa ameninrii
Aciunea
ameninrii
Foti angajai
Accesarea reelei
companiei i
accesarea datelor
Parametrizarea
Acces neautorizat
neadecvat a firewall- (Hackeri, foti
ului
angajai, teroriti)
Folosirea telnet pe
serverul respectiv
Vnztorul a
Utilizatori neautorizati Obinerea accesului
identificat lacune n
(hackeri, angajati
ne -autorizat la date
sistemul de securitate nemultumiti, teroristi) critice folosind
vulnerabilitile
identificate
Sisteme anti incendiu
nu exist protecie
pentru echipamente
Incendiu, persoane
neglijente
Sistemele anti
incendiu pornite (fr
a fi necesar)
Pas 4: Analiza
controalelor
Tipuri de controale
Controale preventive blocheaz ncercrile s
violare a politici de securitate i includ
controale cum ar fi implementarea controlului
accesului, criptarea, autentificarea.
Controale detective: avertizeaz asupra
violrilor sau ncercrilor de violare a politicii
de securitate i includ controale cum ar fi
audit trail, metode pentru detectarea
intruziunilor etc.
Pas 5: Determinarea
probabilitii
Rating pentru probabilitate (Ridicat, Mediu,
Sczut)
Probabilitate
Definitia probabilitii
Mare
Mediu
Sczut
Definitie
Mare
Mediu
Sczut
Pas 7: Determinarea
riscului
Matricea
riscului
Determinarea riscului se face prin
ponderarea probabilitii cu
impactul. Tabela de mai jos arat
cum ratingul riscului poate fi
determinat pe baza introducerii
probabilitii si impactului. Tabela de
mai jos este de tip 3X3:
probabilitatea si impactul sunt
stabilite pe 3 niveluri (mare, mediu,
sczut).
Pas 7: Determinarea
riscului
Matricea riscului
Pas 7: Determinarea
riscului
Matricea riscului
Mare
Mediu
Sczut
Pas 8: Recomandri
privind controlul
Scopul controalelor recomandate
este de a reduce nivelul de risc al
sistemului IT precum si al datelor la
un nivel acceptabil. Urmtorii factori
trebuie luai n considerare n
recomandarea controalelor i soluii
alternative pentru minimizarea sau
eliminarea riscurilor identificate:
Pas 8: Recomandri
privind controlul
Eficacitatea opiunilor recomandate
(ex: compatibilitatea sistemului)
Legislaie i reglementri
Politic organizaional
Impact operaional
Siguran i credibilitate.
Pas 9: Documentarea
rezultatelor