Sunteți pe pagina 1din 92

Universitatea Cretin Dimitrie Cantemir

Facultatea de Finane, Bnci i Contabilitate


Braov

MASTERAT: MANAGEMENT
FINANCIAR-BANCAR

SISTEME INFORMATICE DE
BUSINESS INTELLIGENCE
Conf. univ. dr.
Nicolae BRSAN-PIPU

TEMA 7
MANAGEMENTUL RISCULUI
N SOFTWARE

CUPRINS
1.
2.

3.

Riscul n proiectele software


Procesul de management al
riscului n software
Aplicaie: Un model de evaluare a
riscurilor n sistemele informatice

1. RISCUL N PROIECTELE
SOFTWARE

Dezvoltarea fr precedent a informaticii din


ultimele dou decenii, a avut drept
consecin creterea complexitii proiectelor
de realizare i implementare a sistemelor de
aplicaii software.
Proiectele de software au devenit o
necesitate, dar i riscurile implicate de
realizarea
lor
au
crescut
aproape
exponenial.
Literatura de specialitate este plin de
exemple de proiecte de software care au
euat, au ntrziat sau nu s-au mai realizat
niciodat.
5

1. RISCUL N PROIECTELE
SOFTWARE
Riscul poate fi definit, n general, ca
fiind posibilitatea de a pierde.
El este o funcie dat de probabilitatea
unui eveniment advers care poate s
apar, ct i de impactul acestuia.
Acest impact poate fi o combinaie de
pierderi financiare, ntrzieri sau pierderea
performanei.

1. RISCUL N PROIECTELE
SOFTWARE
Riscul n software este dat de
probabilitatea ca, la un anumit moment din
ciclul de via al proiectului software,
obiectivele planificate s nu fie atinse cu
resursele alocate.
De obicei, riscul nu poate fi eliminat din
proiectele software, dar el poate fi tratat.
Managementul riscului este o activitate
critic pentru succesul oricrui proiect
software, fiind o component strategic de
realizare a acestuia.

1. RISCUL N PROIECTELE
SOFTWARE
Managementul riscului n software face
parte din practicile de inginerie a softwareului i const din procesele, metodele i
tehnicile de management a proiectelor
software.
El furnizeaz o abordare sistematic i o
atitudine pro-activ de adoptare a
deciziilor care s evalueze lucrurile care
nu merg bine, s determine care sunt
riscurile care sunt importante i s
implementeze aciunile necesare pentru
tratarea acestor riscuri.

1. RISCUL N PROIECTELE
SOFTWARE

Ca i n alte domenii ale managementului n


general i al managementului proiectelor n
special i n acest domeniu implicarea
managementului de cel mai nalt nivel al
organizaiei este esenial pentru succes.
Top-managementul trebuie s susin
managementul riscului prin alocarea resurselor
necesare, prin planificare i analize de
management dedicate acestui scop.

1. RISCUL N PROIECTELE
SOFTWARE
S analizm acum modelul global al
procesului de management al riscului n
software, care se integreaz modelelor de
management al proiectelor n general, fiind
de fapt o adaptare i o particularizare
pentru ciclul de via i specificitatea
proiectelor de software.
Modelul identific funciile fundamentale
pentru managementul riscului ce trebuie
avute n vedere pentru un management
eficace al riscului n proiectele de
software.

10

1. RISCUL N PROIECTELE
SOFTWARE

Funciile pentru managementul riscului n software:


Identificare

Analiz

Planificare

Monitorizare
Control
Comunicare

Cutarea i localizarea riscurilor nainte ca ele s


devin probleme adverse care s afecteze
proiectul.
Prelucrarea datelor referitoare la riscuri i
includerea lor n informaiile pentru procesul de
adoptare a deciziilor.
Translatarea informaiilor referitoare la riscuri n
decizii i aciuni (prezente i viitoare) i
implementarea acestor aciuni.
Monitorizarea indicatorilor de risc i a aciunilor
luate mpotriva manifestrii riscurilor.
Corectarea abaterilor de la aciunile planificate
pentru riscurile n software.
Asigurarea transparenei i a feed-back-ului datelor
interne i externe din programul activitilor curente
11
i urgente referitoare la riscuri.

1. RISCUL N PROIECTELE
SOFTWARE
Ciclul activitilor continue de realizare a
funciilor procesului de monitorizare a riscului n
proiectele software:

COMUNICARE
riz
ito
on
M
e
ar

if
n
la

iza
Anal

trol

Identificare

Con

r
a
c
i

12

2. PROCESUL DE MANAGEMENT
AL RISCULUI N SOFTWARE
Procesul de management al riscului n
software detaliaz funciile modelului
general discutat anterior.
Dei paii acestui proces sunt prezentai
ntr-o form secvenial, n mod practic pot
s aib loc iteraii ale pailor procesului,
care se repet dup cum este necesar.

13

2. PROCESUL DE MANAGEMENT
AL RISCULUI N SOFTWARE

Responsabilitile pentru proces sunt alocate unei


echipe de evaluare a riscului, coordonat de un
manager de risc.
Criteriile care sunt utilizate pentru selecia membrilor
echipei sunt legate de cunotinele i experiena n
domeniul proiectului software, precum i de experiena
privind managementul riscului.
Echipa este, de obicei, un mix de specialiti din diferite
domenii (dezvoltare, testare, asigurarea calitii),
acoperind toate ariile funcionale considerate critice
pentru proiect.
14

2. PROCESUL DE MANAGEMENT
AL RISCULUI N SOFTWARE

Procesul de management al riscului este


constituit din 10 pai pe care i vom detalia n
continuare.
Realizarea activitilor asociate cu aceti pai
reprezint o abordare acceptabil a
managementului riscului n software i trebuie
inclus n planul general al proiectului de
realizare i implementare al software-ului.

15

Procesul de management al riscului n software


Functiile
procesului

Activitatile
procesului

Identificare

1. Identificare
riscuri

Analizeaza riscurile potentiale si


identifica lista riscurilor specifice
proiectului

Lista riscuri
initiale

Analiza

2. Analiza
riscuri

Completeaza lista riscurilor cu impactul


asupra costurilor, programului, calitatii

Lista riscuri
actualizata

Completeaza lista riscurilor cu


probabilitatile de aparitie si impact

Lista riscuri
prioritizate

4. Identificare
metode de raspuns

Determina raspunsurile la risc: evitare,


control, acceptare, transfer

Plan
management
risc

5. Identificare
metode de
atenuare riscuri

Analizeaza riscurile reziduale si actiunile


de atenuare pentru a reduce probabilitatea
si/sau severitatea de impact

Plan
management
risc

6. Identificare
metode de
recuperare
riscuri

Pentru riscurile prioritare sunt


documentate actiunile de recuperare si
semnale de declansare

Plan
management
risc

7. Definire metrici
ale riscurilor

Identifica si documenteaza metricile


pentru a stabili daca riscul a fost
ndepartat sau a fost atenuat

Monitorizare
metrici risc

8. Implementare
actiuni de
atenuare

Managementul trece proactiv la


implementarea actiunilor de raspuns si de
atenuare identificate

Plan proiect
actualizat

Monitorizare

9. Monitorizare
riscuri

Colecteaza, analizeaza si raporteaza


valorile metricilor, periodic si n functie
de evenimentele aparute

Metrici riscuri
active

Control

10.Implementare
actiuni de control

Aplica actiunile de control


corespunzatoare, pe baza valorilor
metricilor riscului

Plan proiect
actualizat

3. Prioritizare
riscuri

COMUNICARE

Planificare

Sarcinile echipei de
management a riscului

Iesiri

16

2.1 Funcia 1: Identificare


nainte ca riscul s fie tratat, el trebuie s
fie identificat, pentru a nu deveni o
problem care s afecteze desfurarea
proiectului.
Tehnicile de identificare a riscului se aplic
de ctre echipa de proiect care are aceste
responsabiliti.

17

2.1 Funcia 1: Identificare


Pasul 1: Identificarea riscurilor
Managerul de risc conduce o reuniune de
analiz a echipei de managementul
riscului i transmite membrilor echipei o
clasificare a domeniilor de risc potenial
ale proiectului.
Aceast clasificare rezult din lista
riscurilor posibile ale proiectului i
constituie baza pentru analiza detaliat a
riscurilor specifice proiectului.

18

2.1 Funcia 1: Identificare


Pasul 1: Identificarea riscurilor
(continuare)
Fiecare membru al echipei, avnd la baz
clasificarea general, documenteaz
riscurile pe care le consider poteniale
pentru proiectul respectiv.
Ieirea din acest pas al procesului o
constituie o list a riscurilor identificate
ca fiind specifice proiectului, pentru care
se vor completa informaiile de analiz i
cuantificare n paii urmtori.

19

2.2 Funcia 2: Analiz


Analiza este conversia datelor referitoare
la riscuri n informaii pentru adoptarea
deciziilor.
Ea include analiza, prioritizarea i
selectarea riscurilor critice.

20

2.2 Funcia 2: Analiz


Pasul 2: Analiza riscurilor
Echipa analizeaz fiecare din riscurile
identificate, n funcie de consecinele
riscului asupra factorilor de cost, program,
performan i calitatea produsului.
Un anumit risc poate s aib impact
asupra uneia sau mai multor categorii din
factorii menionai.
21

2.2 Funcia 2: Analiz


Pasul 2: Analiza riscurilor (continuare)

Pentru fiecare risc identificat se determin


severitatea de impact, iar apoi se estimeaz
probabilitatea de apariie a riscului respectiv.
La finalul acestui pas, echipa trebuie s ajung
la un consens asupra consecinelor, severitii,
probabilitii i perioadei de apariie a fiecrui
risc identificat.
22

2.2 Funcia 2: Analiz


Pasul 3: Prioritizarea riscurilor
Echipa determin nivelele de prioritate
pentru fiecare din riscurile identificate,
considernd matricea de risc
Pe baza nivelelor de prioritate, echipa
stabilete aciunile necesare de tratare a
riscurilor.
23

2.2 Funcia 2: Analiz


Pasul 3: Prioritizarea riscurilor
(continuare)
Nivelele scorurilor de impact ale riscurilor
sunt urmtoarele:

Risc tolerabil T: Riscul este identificat ca


avnd un efect mic sau nici o consecin
asupra obiectivelor proiectului.
Scorul de impact este cuprins ntre 0,01 i
0,03, fiind suficient de mic ca s nu constituie
24
un motiv de preocupare.

2.2 Funcia 2: Analiz


Pasul 3: Prioritizarea riscurilor (continuare)

Risc sczut S: Riscul este identificat ca


avnd un efect minor sau o consecin redus
asupra obiectivelor proiectului.

Scorul de impact este cuprins ntre 0,04 i


0,06, fiind suficient de mic ca s constituie
numai o preocupare sczut.

ntrzierea programului este mai mic de 10%,


iar efectul asupra costurilor este mai mic de
2%.
25

2.2 Funcia 2: Analiz


Pasul 3: Prioritizarea riscurilor
(continuare)

Risc mediu M: Riscul este identificat ca


putnd s afecteze obiectivele proiectului.
Scorul de impact este cuprins ntre 0,07 i
0,12.
ntrzierea programului este de 10-25%, iar
efectul asupra costurilor este de 2-5%.
26

2.2 Funcia 2: Analiz


Pasul 3: Prioritizarea riscurilor
(continuare)

Risc ridicat R: Riscul este identificat ca fiind


suficient de mare ca s afecteze obiectivele
proiectului.
Scorul de impact este cuprins ntre 0,14 i
0,24. ntrzierea programului este de 25-50%,
iar efectul asupra costurilor este de 5-10%.
27

2.2 Funcia 2: Analiz


Pasul 3: Prioritizarea riscurilor
(continuare)

Risc intolerabil IN: Riscul este identificat ca


fiind foarte mare i va afecta obiectivele
proiectului.
Scorul de impact este cuprins ntre 0,28 i
0,72.
ntrzierea programului este mai mare de 50%,
iar efectul asupra costurilor este mai mare de
10%.
28

2.2 Funcia 2: Analiz


Matricea de risc
Probabilitate
Severitate

Frecvent
0,90

Probabil
0,70

Ocazional
0,50

ndeprtat
0,30

Improbabil
0,10

Catastrofic
0,80

IN
0,72

IN
0,56

IN
0,40

R
0,24

M
0,08

Critic
0,40

IN
0,36

IN
0,28

R
0,20

M
0,12

S
0,04

Serios
0,20

R
0,18

R
0,14

M
0,10

S
0,06

T
0,02

Minor
0,10

M
0,09

M
0,07

S
0,05

T
0,03

T
0,01

Neglijabil
0,05

S
0,05

S
0,04

T
0,03

T
0,02

T
0,01

Legenda:

T = Tolerabil

S = Sczut

M = Mediu

R = Ridicat

IN = Intolerabil
29

2.2 Funcia 2: Analiz


Matricea de risc (continuare)
Probabilitate

Descriere

Severitate

Consecine

Frecvent
0,90

Va aprea de mai multe


ori / Nu este surprinztor

Catastrofic
0,80

ntrziere program > 50%


Depire costuri > 10%

Probabil
0,70

Apare n mod repetat /


Eveniment ateptat

Critic
0,40

ntrziere program 25-50%


Depire costuri 5-10%

Ocazional
0,50

Poate s apar
la un moment dat

Serios
0,20

ntrziere program 10-25%


Depire costuri 2-5%

ndeprtat
0,30

Puin probabil
s apar

Minor
0,10

ntrziere program < 10%


Depire costuri < 2%

Improbabil
0,10

Probabilitate foarte mic


s apar

Neglijabil
0,05

Impact neglijabil
asupra proiectului

30

2.2 Funcia 3: Planificare


Funcia de planificare are rolul de a
transforma informaia despre riscuri n
decizii i aciuni, att pentru prezent, ct i
pentru viitor.
Planificarea implic stabilirea aciunilor
care se adreseaz fiecrui risc individual,
prioritizarea acestor aciuni i crearea
planului de management al riscului.

31

2.2 Funcia 3: Planificare


Planul de management al riscului se
utilizeaz pentru:

Avertizarea asupra riscurilor, prin schimbarea


proiectrii i a proceselor sau prin neadoptarea
de aciuni i acceptarea implicit a consecinelor
n cazul apariiei riscurilor.
Atenuarea impactului riscurilor prin aciuni de
reducere a nivelului de impact.
Dezvoltarea unor strategii de rezerv pentru
cazurile n care riscurile apar.
32

2.2 Funcia 3: Planificare


Pasul 4: Identificarea metodelor de
rspuns la riscuri

Avnd acum la dispoziie o list a riscurilor cu


ordinea lor de prioritate, echipa de management
a riscului efectueaz o analiz pentru a
determina ce aciuni de rspuns la risc (evitarea,
controlul, acceptarea sau transferul riscului) pot
fi aplicate sau ce decizii ar putea fi luate pentru a
elimina riscurile identificate.
33

2.2 Funcia 3: Planificare


Pasul 4: Identificarea metodelor de
rspuns la riscuri (continuare)

Echipa evalueaz, cuantific i decide asupra


posibilelor consecine ale lipsei de aciune pe
de o parte respectiv dac beneficiile obinute
prin aciunea asupra riscurilor justific
cheltuielile de timp i de bani pe de alt parte.

34

2.2 Funcia 3: Planificare


Pasul 4: Identificarea metodelor de
rspuns la riscuri (continuare)

Acest pas trebuie s se concentreze asupra


mbuntirii continue a proceselor, identificnd
acele procese organizaionale care ar putea
conduce la eliminarea sau reducerea
substanial a riscurilor.

35

2.2 Funcia 3: Planificare


Pasul 5: Identificarea
atenuare a riscurilor

metodelor

de

Riscurile care sunt analizate la acest pas sunt


considerate ca fiind generate de evenimente
externe.
Echipa de management a riscului trebuie s
determine ce aciuni sau decizii pot fi aplicate
sau adoptate, care s reduc probabilitatea
i/sau severitatea impactului fiecrui risc.
36

2.2 Funcia 3: Planificare


Pasul 5: Identificarea metodelor
atenuare a riscurilor (continuare)

de

De exemplu, dac contractarea reprezint un


risc semnificativ pentru proiect, atunci pentru
minimizarea acestui risc trebuie definite
practicile de management i procedurile pentru
monitorizarea,
evaluarea
i
controlul
performanei subcontractanilor.
37

2.2 Funcia 3: Planificare


Pasul 6: Identificarea metodelor de
recuperare a riscurilor

Pentru fiecare din primele riscuri din top-ul listei


de riscuri prioritizate, echipa de management a
riscului analizeaz i valideaz natura
evenimentelor care ar putea genera o aciune de
recuperare a riscului.
Aceste
aciuni
de
recuperare
trebuie
documentate n planul de management al
riscului, mpreun cu circumstanele msurabile
sau observabile care trebuie s apar pentru a
semnala necesitatea implementrii aciunilor de
38
recuperare.

2.2 Funcia 3: Planificare


Pasul 6: Identificarea metodelor de recuperare
a riscurilor (continuare)

Aciunile de recuperare pentru riscurile care au impact


asupra calitii produsului pot s includ fr a fi
limitative combinaii ale urmtoarelor aciuni:

Reproiectare pentru a corecta deficienele constatate.


Realocarea cerinelor pentru a menine performana specificat
a ntregului sistem.
Definirea unor praguri mai reduse de performan, dar deasupra
cerinelor minim acceptabile.

39

2.2 Funcia 3: Planificare


Pasul 7: Definirea metricilor riscurilor

Pentru fiecare risc, echipa de management a riscului


determin i documenteaz ce evenimente msurabile
sau observabile pot s fie urmrite pentru a ti dac
riscul este ndeprtat, accentuat sau minimizat.
De exemplu, dac testarea software-ului a fost
identificat ca fiind o funcie cu risc ridicat, atunci pot fi
utilizate ca i metrici ale acestui risc: procentul de
defective la testare, rata de eliminare a erorilor la
proiectare.

40

2.2 Funcia 3: Planificare


Pasul 7: Definirea metricilor riscurilor

(continuare)
Metricile privind procesul de management al riscului n
software trebuie s fie stabilite i determinate astfel nct
s furnizeze elemente de intrare pentru mbuntirea
procesului.
Metricile pot s includ:

eforturile i fondurile cheltuite n activitile de managementul


riscului;
datele de realizare a evalurilor riscurilor;
numrul de riscuri noi aprute;
numrul de riscuri noi evitate

41

2.2 Funcia 3: Planificare


Pasul 8: Implementarea aciunilor de
atenuare / reducere a riscurilor

Pentru fiecare risc, echipa de management a


riscului realizeaz activitile necesare pentru a
implementa aciunile de atenuare / reducere a
riscurilor stabilite la Pasul 5.
Aceste activiti sunt documentate n planul de
management al riscului pentru fiecare scenariu
de reducere a riscului.

42

2.2 Funcia 3: Planificare


Pasul 8: Implementarea aciunilor de

atenuare / reducere a riscurilor (continuare)


Exemplele de activiti referitoare la nivelele
de risc definite la Pasul 3 sunt:

Risc tolerabil: Aplicarea metodelor


corespunztoare de inginerie a software-ului va
contribui la atenuarea oricror riscuri de acest nivel.
Risc sczut: Pentru acest nivel nu sunt necesare
aciuni suplimentare, n afara celor normale de
monitorizare i control a realizrii software-ului.
43

2.2 Funcia 3: Planificare


Pasul 8: Implementarea aciunilor de

atenuare / reducere a riscurilor (continuare)


Exemplele de activiti referitoare la nivelele
de risc definite la Pasul 3 sunt (continuare):

Risc mediu: Acest nivel de risc poate s necesite


adoptarea unor aciuni la analizele de evaluare a
riscurilor.
Risc ridicat: Acest nivel de risc necesit adoptarea
unor aciuni la analizele de evaluare a riscurilor.

44

2.2 Funcia 3: Planificare


Pasul 8: Implementarea aciunilor de

atenuare / reducere a riscurilor (continuare)


Exemplele de activiti referitoare la nivelele
de risc definite la Pasul 3 sunt (continuare):

Risc intolerabil: Acest nivel implic controlul,


monitorizarea i dezvoltarea de aciuni de
recuperare. Fiecare risc de acest nivel are definite
evenimentele care genereaz aciunile de
recuperare. Valorile abaterilor sunt documentate
prin metricile stabilite.
45

2.2 Funcia 4: Monitorizare

Monitorizarea are n vedere starea


riscurilor i aciunile adoptate pentru
atenuarea lor.
Monitorizarea se realizeaz prin
evaluarea metricilor stabilite i prin funcii
de urmrire n cadrul managementului
riscului.
46

2.2 Funcia 4: Monitorizare


Pasul 9: Monitorizarea riscurilor

Procedurile de raportare a stadiului


implementrii proiectului trebuie s sesizeze
orice situaie n care o metric sau un
parametru al proiectului se situeaz sub
pragurile stabilite sau nregistreaz abateri
prea mari fa de cele planificate.
Managerul de risc primete i analizeaz
aceste date i pe baza lor adopt aciunile
corective, acolo unde este necesar.

47

2.2 Funcia 5: Control

Funcia de control a riscului are rolul de a corecta


abaterile de la aciunile de risc planificate.
Controlul riscului este parte a managementului
proiectului i se bazeaz pe procesele care
controleaz planurile aciunilor de risc, corecteaz
abaterile fa de plan, rspund la evenimentele
semnalate i mbuntesc procesele de
management al riscului.
Activitile de control al riscului sunt documentate
n planul de management al riscului.
48

2.2 Funcia 5: Control


Pasul 10: Implementarea aciunilor de
control a riscurilor

Pentru fiecare risc, dac datele disponibile


colectate indic realizarea criteriilor de intrare
n aceast etap, atunci managerul de proiect
trebuie s analizeze necesitatea implementrii
aciunilor de control i s aloce resursele
necesare aplicrii acestor aciuni.
49

2.2 Funcia 6: Comunicare

Comunicarea este unul din elementele


centrale ale procesului de management
a riscului, care evideniaz importana i
relevana acesteia.
Comunicarea se desfoar n toate
fazele procesului de management a
riscului.
Ea este, de asemenea, o parte esenial
a tuturor celorlalte activiti de
management a riscului n software.

50

2.2 Funcia 6: Comunicare

Riscurile sunt identificate de personalul implicat ce


particip la realizarea activitilor proiectului.
Managementul de proiect trebuie s asigure un
mediu deschis care s permit personalului
discuii i exprimarea opiniilor privind riscurile
poteniale.
O
comunicare
eficace
furnizeaz
att
transparena, ct i datele de feed-back, interne
sau externe proiectului, referitoare la riscurile
curente i poteniale.
51

3. Aplicaie: Un model de
evaluare a riscurilor n SI

Vom analiza n cele ce urmeaz un model


de evaluare a riscurilor pentru o
organizaie care dispune de un sistem
informatic complex, sistem care st la
baza integrrii tuturor activitilor
organizaiei i pentru care riscurile n acest
domeniu sunt deosebit de importante.

52

3. Aplicaie: Un model de
evaluare a riscurilor n SI

Principalele clase de riscuri care se pot


manifesta n sistemele informatice sunt
urmtoarele:
Integritate;
Relevan;
Acces;
Disponibilitate;
Infrastructur.
53

3. Aplicaie: Un model de
evaluare a riscurilor n SI

Clasa de riscuri de integritate include


toate riscurile asociate cu autorizarea,
completitudinea i acurateea tranzaciilor
de introducere, prelucrare, centralizare i
raportare realizate n aplicaiile (modulele)
sistemului informatic.

54

3. Aplicaie: Un model de
evaluare a riscurilor n SI
Clasa de
risc

Surse / Cauze

Integritate

Coruperea datelor, erori,


omisiuni
Integritatea poate fi
pierdut ca urmare a:

erorilor de programare;
erorilor de prelucrare;
erorilor de mentenan;
erorilor de management.

Efecte

Coruperea
datelor

55

3. Aplicaie: Un model de
evaluare a riscurilor n SI

Riscurile componente pentru clasa de riscuri de


integritate sunt:

Interfaa
utilizator:

Restricii asupra utilizatorilor individuali


care sunt autorizai s realizeze
anumite funcii ale sistemului, pe baza
cerinelor postului, ceea ce implic o
repartizare a responsabilitilor.
Alte riscuri din aceast categorie se
refer la gradul de adecvare al
aciunilor de control preventive i/sau
detective care s asigure c n sistem
sunt introduse numai date valide i
complete.
56

3. Aplicaie: Un model de
evaluare a riscurilor n SI

Riscurile componente pentru clasa de riscuri de


integritate sunt (continuare):

Prelucrare:

Aciunile de control preventive sau


detective care s asigure c datele
prelucrate au fost complete i
transmise la timp.
Acestea includ i riscurile asociate
cu acurateea i integritatea
rapoartelor
utilizate
pentru
centralizarea rezultatelor i/sau
pentru luarea deciziilor de afaceri.
57

3. Aplicaie: Un model de
evaluare a riscurilor n SI

Riscurile componente pentru clasa de riscuri de


integritate sunt (continuare):

Tratarea
erorilor:

Aceste riscuri se refer la


procesele i metodele care s
asigure c orice excepii sau erori
ale datelor de intrare sau ale
datelor prelucrate ce sunt depistate
sunt
corectate
n
mod
corespunztor
i
reprelucrate
complet i n timp util.
58

3. Aplicaie: Un model de
evaluare a riscurilor n SI

Riscurile componente pentru clasa de riscuri de


integritate sunt (continuare):

Interfee:

Aciunile de control preventive sau


detective care s asigure c datele
prelucrate au fost complete i la
timp i au fost transmise ctre alte
aplicaii (module) ale sistemului
care le utilizeaz.

59

3. Aplicaie: Un model de
evaluare a riscurilor n SI

Riscurile componente pentru clasa de riscuri de


integritate sunt (continuare):

Managementul
schimbrii

Aceste riscuri sunt asociate cu


procese
inadecvate
de
managementul
schimbrii,
respectiv implicarea utilizatorilor i
instruirea lor, precum i procesele
prin care schimbrile n sistemul
informatic sunt comunicate i
implementate.
60

3. Aplicaie: Un model de
evaluare a riscurilor n SI

Riscurile componente pentru clasa de riscuri de


integritate sunt (continuare):

Date:

Aceste riscuri sunt asociate cu aciuni


inadecvate de control al managementului
datelor, incluznd att securitatea /
integritatea datelor prelucrate, ct i un
management eficace al bazelor i
structurilor de date.
Integritatea poate fi pierdut din cauza
erorilor de programare, a erorilor de
prelucrare sau a erorilor de management
sau de proces.
61

3. Aplicaie: Un model de
evaluare a riscurilor n SI
Clasa de riscuri de relevan se refer la
modul i timpul de utilizare a informaiei
generate de sistemul informatic.
Sunt riscurile asociate cu nerealizarea
obiectivului: Informaia corect i
necesar, transmis persoanei /
procesului / sistemului corespunztor, n
timp util pentru a permite luarea deciziei
corespunztoare.

62

3. Aplicaie: Un model de
evaluare a riscurilor n SI
Clasa de
risc

Surse / Cauze

Efecte

Relevan

Lipsa unei comunicri


eficace

Nefurnizarea
informaiei
necesare la
locul i la
timpul potrivit

63

3. Aplicaie: Un model de
evaluare a riscurilor n SI

A treia clas o constituie riscurile de acces.


Aceast clas de riscuri se focalizeaz asupra
riscurilor legate de accesul necorespunztor la
sistem, date sau informaii.
Ea include riscurile unor repartizri neadecvate
a sarcinilor, riscurile asociate integritii datelor
i bazelor de date i riscurile asociate cu
confidenialitatea asupra informaiilor.

64

3. Aplicaie: Un model de
evaluare a riscurilor n SI
Clasa de
risc

Surse / Cauze

Acces

Securitatea accesului nu
este corespunztoare
Acces necorespunztor
la mediul de prelucrare
sau la reele;
Dispozitive fizice
neprotejate la
deteriorare, furt sau la
acces nepermis.

Efecte

Violarea
confidenialitii
Pierderea sau
coruperea
datelor
Infectarea cu
virui
Atacul hackerilor
65

3. Aplicaie: Un model de
evaluare a riscurilor n SI

Riscurile componente pentru clasa de riscuri de


acces sunt:

Procesul de
afaceri:

Sunt riscurile generate de deciziile


organizatorice care trebuie s
separe sarcinile incompatibile i s
asigure nivelul corespunztor de
responsabilitate i autoritate pentru
realizarea
funciilor
sistemului
informatic.

66

3. Aplicaie: Un model de
evaluare a riscurilor n SI

Riscurile componente pentru clasa de riscuri de


acces sunt (continuare):

Aplicaii

(module):

Sunt determinate de mecanismele


interne ale aplicaiilor (modulelor),
care permit utilizatorilor autorizai
s execute funciile alocate n
sistemul informatic.

67

3. Aplicaie: Un model de
evaluare a riscurilor n SI

Riscurile componente pentru clasa de riscuri de


acces sunt (continuare):

Managementul
datelor:

Aceste riscuri sunt asociate cu


mecanismul
de
a
asigura
utilizatorilor accesul la anumite
date sau baze de date din mediul
de prelucrare.

68

3. Aplicaie: Un model de
evaluare a riscurilor n SI

Riscurile componente pentru clasa de riscuri de


acces sunt (continuare):

Mediul de
prelucrare:

Riscurile de acces n aceast zon


sunt
generate
de
accesul
necorespunztor
la
reelele
sistemului.

69

3. Aplicaie: Un model de
evaluare a riscurilor n SI

Riscurile componente pentru clasa de riscuri de


acces sunt (continuare):

Reelele:

n
aceast
categorie
sunt
nregistrate riscurile de acces
necorespunztor la mediul de
prelucrare, respectiv la aplicaiile
(modulele), programele sau datele
stocate n acest mediu.

70

3. Aplicaie: Un model de
evaluare a riscurilor n SI

Riscurile componente pentru clasa de riscuri de


acces sunt (continuare):

Accesul

fizic:

Sunt riscurile legate de protecia


dispozitivelor
fizice
fa
de
deteriorare,
sustragere
sau
accesare nepermis.

71

3. Aplicaie: Un model de
evaluare a riscurilor n SI

Clasa de riscuri de disponibilitate se


refer la riscurile asociate cu funcionarea
la parametri normali a sistemului
informatic, riscurile de ntrerupere a
funcionrii sistemului sau cu riscurile
legate de posibilele dezastre ce ar putea
s apar.

72

3. Aplicaie: Un model de
evaluare a riscurilor n SI
Clasa de
risc

Surse / Cauze

Disponibilitate

Dezastre naturale
(incendii, inundaii
etc.) ce determin
cderea hardwareului sau software-ului;

Efecte

ntreruperea
sistemului pe
termen scurt
sau termen
lung.

73

3. Aplicaie: Un model de
evaluare a riscurilor n SI

Riscurile componente pentru clasa de riscuri de


disponibilitate sunt:

Monitorizarea
performanei:

Sunt riscurile care pot fi evitate


prin monitorizarea performanei
sistemului i printr-o abordare proactiv a problemelor, nainte ca
acestea s apar.

74

3. Aplicaie: Un model de
evaluare a riscurilor n SI

Riscurile componente pentru clasa de riscuri de


disponibilitate sunt (continuare):

ntreruperi
ale
sistemului:

Sunt riscurile asociate cu


ntreruperile pe termen scurt ale
sistemului, n care tehnicile de
restaurare / recuperare pot fi
utilizate pentru a minimiza
efectele i duratele ntreruperilor.

75

3. Aplicaie: Un model de
evaluare a riscurilor n SI

Riscurile componente pentru clasa de riscuri de


disponibilitate sunt (continuare):

Dezastre:

Riscurile asociate dezastrelor


determin ntreruperi pe termen
lung a funcionrii sistemului
informatic, iar aciunile de control
se refer la procedurile de salvare
a bazelor de date (backup) i la
planurile de recuperare.
76

3. Aplicaie: Un model de
evaluare a riscurilor n SI

Clasa de riscuri de infrastructur include


riscurile ca organizaia s nu aib o
infrastructur de tehnologia informaiei
(hardware, reele, software, personal,
procese), care s susin n mod eficace,
dar i eficient, procesele de afaceri ale
organizaiei respective.

77

3. Aplicaie: Un model de
evaluare a riscurilor n SI
Clasa de
risc

Surse / Cauze

Efecte

Infrastructur

O planificare
deficitar sau
lipsa planificrii
sistemului
informatic n
organizaie.

Decizii nefuncionale
n domeniul
tehnologiei informaiei;
Lipsa politicilor i
procedurilor n
sistemul informatic sau
inconsistena lor la
nivelul organizaiei.
78

3. Aplicaie: Un model de
evaluare a riscurilor n SI

Riscurile componente pentru clasa de riscuri de


infrastructur sunt:

Planificare:

Sunt riscurile generate de


organizarea activitilor pentru
tehnologia informaiei (IT).
Este important s existe o structur
organizatoric i funcional
(persoane i procese) care s
garanteze c eforturile n domeniul IT
sunt ncununate de succes.
79

3. Aplicaie: Un model de
evaluare a riscurilor n SI

Riscurile componente pentru clasa de riscuri de


infrastructur sunt (continuare):
Definirea i
utilizarea
aplicaiilor
sistemului:

Riscurile din aceast zon se refer la


asigurarea c sistemul informatic
realizeaz cerinele de afaceri ale
organizaiei i cerinele utilizatorilor.
Aici este inclus i procesul de decizie
asupra achiziionrii unei aplicaii
(sistem) existente sau a dezvolta o
aplicaie specific. De asemenea,
asigurarea c modificrile n aplicaii sunt
comunicate, testate i implementate.
80

3. Aplicaie: Un model de
evaluare a riscurilor n SI

Riscurile componente pentru clasa de riscuri de


infrastructur sunt (continuare):
Adminis-

trarea
sistemului:

Procesele din aceast arie de activiti


asigur c organizaia trateaz n mod
corespunztor riscurile de acces, prin
stabilirea, meninerea i monitorizarea
unui sistem de securitate intern, care s
garanteze integritatea i
confidenialitatea datelor i informaiilor
organizaiei, reducnd riscurile de fraud
informaional la nivele acceptabile.
81

3. Aplicaie: Un model de
evaluare a riscurilor n SI

Riscurile componente pentru clasa de riscuri de


infrastructur sunt (continuare):
Adminis-

trarea
calculatoarel
or i
reelelor:

Aceast zon asigur c sistemul


informatic este utilizat ntr-o
manier sigur i protejat, de
ctre personal de specialitate,
care monitorizeaz funcionarea i
performanele calculatoarelor,
echipamentelor i reelelor
sistemului.
82

3. Aplicaie: Un model de
evaluare a riscurilor n SI

Cu ajutorul riscurilor clasificate anterior,


putem s realizm acum o evaluare a
riscurilor sistemului informatic, utiliznd
clasele de riscuri i componentele
acestora, pentru care stabilim, n urma
analizei i evalurii, probabilitile de
apariie i nivelele de severitate pe baza
matricei de risc
83

3. Aplicaie: Un model de
evaluare a riscurilor n SI
Clasa de risc

Componentele de risc

1. Integritate

1.1 Interfaa utilizator


1.2 Prelucrare
1.3 Tratarea erorilor
1.4 Interfee
1.5 Managementul
schimbrii
1.6 Date
2.1 Utilizarea informaiei
generate de sistemul
informatic
2.2 Timpul de utilizare a
informaiei transmise de
sistemul informatic

2. Relevana

Apariie

Severitate

Scor

0,50
0,70
0,90
0,30

0,20
0,40
0,40
0,20

0,10
0,28
0,36
0,06

0,30

0,20

0,06

0,50

0,20

0,10

0,50

0,40

0,20

0,50

0,20

0,10
84

3. Aplicaie: Un model de
evaluare a riscurilor n SI
Clasa de risc

3. Accesul

Componentele de risc

3.1 Procesul de
afaceri
3.2 Aplicaii (module)
3.3 Managementul
datelor
3.4 Mediul de
prelucrare
3.5 Reelele
3.6 Accesul fizic
4. Disponibilitatea 4.1 Monitorizarea
performanei
4.2 ntreruperi ale
sistemului
4.3 Dezastre

Apariie

Severitate

Scor

0,30

0,10

0,03

0,50

0,40

0,20

0,50

0,40

0,20

0,30

0,20

0,06

0,30
0,10

0,80
0,80

0,24
0,08

0,30

0,40

0,12

0,30

0,40

0,12

0,10

0,80

0,08
85

3. Aplicaie: Un model de
evaluare a riscurilor n SI
Apariie

Severitate

Scor

5.1 Planificare

0,30

0,10

0,03

5.2 Definirea i
utilizarea
aplicaiilor
sistemului

0,50

0,20

0,10

5.3 Administrarea
sistemului

0,70

0,40

0,28

5.4 Administrarea
calculatoarelor i
reelelor

0,70

0,40

0,28

Clasa de risc

Componentele de risc

5. Infrastructura

86

3. Aplicaie: Un model de
evaluare a riscurilor n SI

Pe baza datelor de evaluare i a probabilitilor


de apariie i a nivelelor de severitate acordate
pentru diferitele componente de risc, se poate
realiza o list a riscurilor prioritizate, n funcie de
scorul de impact rezultat. Aceast list, care
conine primele cinci riscuri identificate i
cuantificate, este prezentat n urmtor.
Din evaluare a rezultat c riscul cel mai
important, asupra cruia trebuie s se aplice
metodele de rspuns la risc, este cel legat de
tratarea erorilor.
Scoruri mari au nregistrat i riscurile de
administrare a sistemului i a reelelor.
87

3. Aplicaie: Un model de
evaluare a riscurilor n SI
Lista riscurilor prioritizate
Componenta de risc
1.3 Tratarea erorilor
1.2 Prelucrare
5.3 Administrarea sistemului
5.4 Administrarea calculatoarelor i reelelor
3.5 Reelele

Scorul
0,36
0,28
0,28
0,28
0,24

88

3. Aplicaie: Un model de
evaluare a riscurilor n SI
Continund evaluarea i considernd
media scorurilor pe clasele de risc,
obinem nivelele de riscuri prezentate n
matricea de risc din tabelul urmtor
Din datele obinute pentru clasele de
riscuri, rezult c riscurile de infrastructur
au potenialul cel mai ridicat, n timp ce
riscurile de disponibilitate au un nivel
mediu.

89

3. Aplicaie: Un model de
evaluare a riscurilor n SI
Nivelele claselor de risc
Clasa de risc

Scorul

Nivelul

1. Integritate

0,16

Ridicat

2. Relevana

0,15

Ridicat

3. Accesul

0,14

Ridicat

4. Disponibilitatea

0,11

Mediu

5. Infrastructura

0,17

Ridicat
90

3. Aplicaie: Un model de
evaluare a riscurilor n SI

Efectund i o analiz Pareto a ponderii


riscurilor la nivelul ntregului sistem
informatic, observm c n urma evalurii,
riscurile de infrastructur, de integritate i
de relevan prezint ponderi mai mari, n
timp ce riscurile de acces i de
disponibilitate a sistemului au o pondere
mai redus.
91

3. Aplicaie: Un model de
evaluare a riscurilor n SI
100%

85%

80%

67%

60%

22%

21%

19%

15%

Accesul

Disponibilitatea

24%

Relevana

46%

Integritate

40%

100%

20%

Infrastructura

0%

Diagrama Pareto a ponderii claselor de risc 92