Sunteți pe pagina 1din 40

Exemplu de metodologie privind evaluarea intern a riscurilor operaionale

generate de sistemele informatice


Managementul riscurilor
Conceptul de management al riscului
Managementul riscului este un proces sistematic si iterativ pentru optimizarea resurselor in
concorda cu politica organizaional de management a riscurilor. Managementul riscului
este integrat n activitile zilnice prin roluri i responsabiliti definite n toate domeniile de
activitate.
Managementul riscului ajut la includerea aspectelor de tratare a riscului n practicile de
management i la luarea deciziilor pe parcursul ntregului ciclu de via al activitilor.
Managementul riscului poate s contribuie la maximizarea rezultatelor globale, dac este
desfurat ntr-o manier integrat, n domenii precum:
achizitia, testarea, operarea, mentenana i casarea sistemelor informatice, mpreun
cu interfeele acestora;
controlarea consecinelor riscurilor operaionale generate de sistemele informatice;
managementul, costurile i planificarea activitilor referitoare la sistemele
informatice.
Acest proces adaug valoare datelor produse, meninute i raportate n mod regulat, iar pentru
a asigura documentarea acestui proces, n evaluarea intern a riscurilor se constituie un
Registru al riscurilor operaionale generate de utilizarea sistemelor informatice de ctre
oameni, procese, sisteme i mediul extern. Acest registru poate fi integrat n nregistrul
general al riscurilor operaionale ale entitii.
Procesul de management al riscului
In cadrul procesului de management al riscului, este analizat i evaluat tot spectrul de riscuri.
Evenimentele nedorite trebuie s fie analizate i evaluate din punctul de vedere al severitii
(impactului) i al probabilitii de apariie. Msurile de diminuare a riscurilor vor fi analizate
i evaluate din perspectiva eficacitii acestora, iar rezultatele msurtorilor performanelor i
a tendinei riscurilor vor fi utilizate pentru optimizarea resurselor alocate, pentru gestionarea
adecvat a riscurilor i pentru meninerea acestora n limitele de toleran asumate de
conducerea organizaiei.
n cadrul procesului de management al riscurilor, informaiile referitoare la riscurile poteniale
sunt documentate i structurate, facilitndu-se astfel luarea deciziilor pentru tratarea
corespunztoare a acestora.
Rezultatul analizei i evaluarii riscurilor inerente, precum si ale riscurilor reziduale vor fi
comunicate ctre conductorii organizaiei.
Identificarea, analiza si evaluarea riscurilor trebuie revizuit periodic sau atunci cnd situaia
o impune: la modificarea modelului de business al organizaie, la orice ajustare a structurii
organizatorice i a activitilor ori a procedurilor de lucru n cadrul organizaiei, la schimbarea

tehnologiilor de procesare a informaiei, la modificri majore ale sistemului, n urma


apariiilor unor incidente, n urma aplicrii unor controale de risc etc.
Implementarea managementului riscului
Managementul riscului necesit implicarea tuturor factorilor att a celor cu responsabiliti
decizionale, ct i a celor cu atribuii executive din cadrul organizatiei i stabilirea de linii
clare de responsabilitate la nivelul tuturor structurilor organizatorice i decizionale.
Managementul riscului este un proces continuu, iterativ care constituie o parte integrant a
activitii curente din cadrul organizaiei.
Fiecare linie de business din cadrul unei organizaii i va evalua toate categoriile de risc
relevante, nregistrndu-le n registrul riscurilor. Se vor identifica toate potenialele probleme
operaionale n patru categorii: oameni, procese, sisteme/tehnologii i mediul extern,
incluznd externalizrile i furnizorii externi de produse i servicii informatice i de
comunicaii.
Registrul riscurilor operationale este structurat pe patru categorii:
1. Oameni
2. Procese
3. Sisteme/tehnologie
4. Extern
Riscuri aferente oamenilor pot fi, fr a se limita la:
- nerespectarea proceselor, procedurilor sau a instruciunilor de lucru;
- erori de introducere manual sau de utilizare neadecvat a sistemelor informatice;
- cunostine, experien i pregtire insuficient a personalului care utilizeaz sau
deservete sistemele informatice;
- personal insuficient;
- dependena de angajai cheie;
- lips de comunicare i cooperare ntre angajai;
- neraportarea erorilor sau greelilor aferente sistemelor informatice;
- alterarea datelor;
- modificarea informaiilor sau a datelor din rapoarte, fr documentarea adecvat;
- conflict de interese ntre personalul care dezvolt i cel care administreaz sistemele
informatice ori ntre utilizatorii acestora;
- lipsa unei delimitri clare ntre rolurile persoanelor care acceseaz/administreaz/
dezvolt sistemele informatice;
- automulumire;
- fraud;
- operaiuni suspecte de splarea banilor i finanarea actelor de terorism;
- nerespectarea regimului de sanciuni internaionale.
Riscuri aferente proceselor pot fi, fr a se limita la:
a) Riscuri de model: lipsa proceselor organizatorice (cel puin referitoare la
managementul schimbrii, al incidentelor, al problemelor, al nivelurilor de servicii, al
versionrilor, al capacitii, al disponibilitii i al proiectelor), erori de metodologie
2

sau de model, erori de evaluare, disponibilitatea rezervelor pentru acoperirea


pierderilor, complexitatea modelelor, control inadecvat al proceselor, software
neadecvate obiectivelor de activitate, insuficiena guvernanei corporative n acest
domeniu;
b) Riscuri tranzacionale: erori de execuie, erori de nregistrare, managementul
inadecvat al datelor i informaiilor, erori de matching, compensare, colateral,
complexitatea produselor, riscuri de capacitate, riscuri de evaluare, riscuri de
confidenialitate, fraude;
c) Riscuri aferente controlului operaiunilor: lipsa separrii drepturilor i atribuiilor,
depirea limitelor, riscuri de volum, riscuri de securitate, riscuri de raportare, riscuri
de nregistrri contabile neadecvate, control inadecvat al activitilor externalizate,
ntreruperea furnizrii serviciilor, neidentificarea operaiunilor n spe n funcie de
indicatorii de risc i variabile analitice prestabilite.
Riscuri aferente sistemelor/tehnologiei pot fi, fr a se limita la:
- sistem inadecvat de management al tehnologiei i securitii;
- lipsa metodologiilor de dezvoltare si testare;
- capacitate insuficient de procesare;
- ntreruperi n funcionarea sistemelor (hardware, software, stocare, telecomunicaii);
- cderi de reea;
- ntreruperii n furnizarea serviciilor prestate de furnizorii externi;
- sisteme inadecvate;
- protecie inadecvat mpotriva malware;
- riscuri de compatibilitate;
- riscuri generate de furnizori/vnztori;
- erori de programare;
- coruperea datelor;
- riscuri de recuperare dup dezastre;
- testare necorespunztoare a recuperrii n caz de dezastru;
- sistem inadecvat de actualizare tehnologic;
- sisteme nvechite;
- servicii necorespunztoare de suport pentru sisteme.
Riscuri aferente mediului extern pot fi, fr a se limita la:
- pierderi datorate evenimentelor catastrofice/dezastrelor naturale sau generate de
oameni ori factori din afara organizaiei;
- ntreruperi n furnizarea serviciilor prestate de furnizori externi;
- fraude i activiti criminale externe;
- expuneri externe ale securitii sistemelor;
- atacuri teroriste clasice sau informatice;
- criminalitate economic i/sau informatic;
- cderi ale alimentarii cu electricitate.

Structura organizaiei, sistemele informatice ale organizaiei i gestionarea


riscurilor operaionale generate de acestea
Domeniul prezentei analize de impact este reprezentat de urmatoarele:
Structura organizatoric
Entitatea care face obiectul prezentului exemplu de metodologie de evaluare a riscurilor
operaionale are urmtoarele caracteristici:
Structura organizatoric
Structura organizatoric a entitii este format din urmtoarele compartimente (structuri
organizatorice funcionale):
1. ORGANUL SUPERIOR DE CONDUCERE: n funcie de tipul entitii acesta poate
s fie consiliul de administraie sau consiliu de supraveghere;
2. CONDUCEREA EXECUTIV: acesta poate s fie constituit din comitet director,
directori executivi, director general sau alt form prin care se asigur conducerea
activitilor curente ale entitii i care duce la ndeplinire hotrrile organului superior
de conducere;
3. Compartiment RELAIA CU CLIENII (front office, vnzri, investitori, asigurai,
participani, membri etc): desfoar activitile legate de relaia cu persoanele externe
ale entitii n vederea ndeplinirii obiectului principal de activitate (prestarea
serviciilor financiare autorizate, reglementate i supravegheate de ASF);
4. Compartiment OPERAIUNI: desfoar toate activitile curente care in de
activitatea de baz a entitii. Aceast structur organizatoric acoper toate funciile
operaionale ale entitii;
5. Compartiment FINANCIAR-CONTABILITATE: desfoar activitile referitoare la
operaiunile financiar-contabile i de raportare aferente nregistrilor contabile;
6. Compartimente FUNCII CHEIE ALE ENTITII: n aceast seciune sunt
menionate mai multe structuri organizatorice distincte care asigur urmtoarele
funcii cheie, dup caz: audit intern, control intern, conformitate, managementul
riscurilor, funcia actuarial, etc;
7. Compartiment TEHNOLOGIA INFORMAIEI: desfoar activiti specifice pentru
administrarea i dezvoltarea sistemelor informatice (software, hardware i
comunicaii), inclusiv a paginilor de internet ale organizaiei;
8. Compartimente SUPORT: deruleaz activiti de marketing, juridic, resurse umane,
cercetare-dezvoltare, analiz i altele asemenea
Arhitectura infrastructurii IT:
n descrierea activitatii organizaiei, referitor la sistemele informatice, s-a inut cont de
urmtoarele aspecte:
- arhitectura IT (doi provideri, IDP/IPS, antivirus, firewall, servere, etc)
- de faptul c exist un BCP (business continuity plan) care cuprinde:

identificarea aplicaiilor critice a cror replicare este necesar n cadrul centrului de


recuperare;
4

descrierea infrastructurii IT din cadrul organizaiei;


descrierea sistemului de disaster recovery implementat;
descrierea personalului disponibil n cadrul organizaiei;
analiza de riscuri i impactul acestora;
definirea liniilor directoare pentru incheierea Service Level Agreements (SLA), n
vederea asigurarii QoS (Quality of Service) att cu furnizorii de echipamente, ct i cu
furnizorii de sisteme de comunicaii;
descrierea modului de monitorizare a sistemului de disaster recovery n operarea
curent;
definirea evenimentelor critice de tip dezastru;
definirea activitilor, a pailor i a procedurilor ce compun planul BCP (Business
Continuity Plan).
- existena unei locatii alternative de procesare a datelor
- efectuarea back-up-urilor conform unor proceduri existente
- existena unei politici de securitate informatic cu urmtoarele obiective:

Managementul securitii informaiei: Msurile managementului securitii


informaiei vor fi implementate i puse n aplicare n concordan cu obiectivele
securitii informaiei, declaraiile, politicile, standardele i procedurile stabilite de
conducerea organizaiei.

Clasificarea informaiei, sistemelor i resurselor: Informaiile, sistemele i resursele


vor fi clasificate corespunztor nivelului i tipului de protecie cerut.

Identificarea i autentificarea: toate informaiile i sistemele cu care institutia pune


n vigoare propria identificare i autentificare a angajailor, a altor utilizatori, terelor
pri i sistemelor.

Confidenialitatea: confidenialitatea tuturor datelor, informaiilor, sistemelor,


documentelor i software-urilor care este pus n aplicare.

Integritatea: integritatea datelor, informaiilor, sistemelor, documentelor i softwareurilor care este pus n aplicare, n funcie de ct de critic este resursa pentru
activitatea organizaiei.

Contabilizarea: Contabilizarea i responsabilitatea aciunilor utilizatorilor trebuie s


fie clar definite i puse n aplicare permanent.

Disponibilitatea: Toate informaiile i sistemele trebuie s fie disponibile utilizatorilor


autorizai, atunci cnd este nevoie. , Sunt considerate oportune, n totalitate i exacte
cu recuperarea oricror date, informaii, software sau sisteme pierdute datorit unor
evenimente nedorite i neateptate ( ex.ntreruperea sistemului n caz de dezastru).

Non-repudierea: Este un concept pentru asigurarea c o parte vtmat ntr-o disput


nu poate fi respins, sau contestat de o declaraie de valabilitate. Sistemele trebuie s
asigure c o tranzacie informatic nu poate fi ulterior respins (rejectat) de acea parte
vtmat.
5

Controlul accesului fizic i logic: Toate informaiile i sistemele vor fi asigurate


corespunztor i riguros cu controale de acces fizic i logic.

Evaluarea riscului: Evaluarea ameninrilor, impactului i vulnerabilitilor


informaiilor a utilitilor de procesare a informaiilor i a probabilitii producerii
acestora.

Managementul riscului: Procesul de identificare, revizuire i reducere sau eliminare


a riscurilor de securitate, care pot afecta sistemele informatice la un cost acceptabil.

Instruirea i contientizarea privind securitatea informaiei: Toi angajaii vor fi


supui unor programe de instruire i contientizare privind securitatea informaiei.

Rolurile i responsabilitile: Rolurile, responsabilitile i competenele decizionale


pentru toate prile care au acces la resursele informatice sunt clar definite i
comunicate.

Conformitatea : Personalul precum i ali utilizatori trebuie s fie familiarizai i s se


conformeze cu procedurile i politicile bncii privind securitatea informaiei.

Monitorizarea securitii informaiei i raportarea: Monitorizarea i raportarea


msurilor de securitate a informaiei vor fi stabilite s detecteze i s raporteze breele
actuale i suspecte i vor asigura aciuni de remediere ale acestora.

Prezentarea schematic a arhitecturii sistemelor informatice se regsete n figura de mai


jos:

PROVIDER 1

PROVIDER 2
DataCenter / Locatie
alternativa

Router

Server
Securitate IT
(IPS/IDS/Firewall/
Antivirus)

Locatie
Disaster Recovery

Switch 1

Switch 2

Sever MAIL

INTRANET

Server / Solutie
Backup

Server WEB

Server Baze de Date

Server Online
Aplicatie Clienti

Sever Aplicatii Intranet

Analiza i Tratarea Riscurilor. Impactul Acestora


Organizatia a definit o abordare sistematica a evaluarii riscului in procedura intern pentru
Evaluarea riscului. Metoda utilizata tine cont de cerinele legale, reglementri i de
securitatea informaiilor activitii organizaiei, precum i cele mai bune practici n domeniu.
S-au determinat riscurile (pe toate cele patru categorii), criteriile de acceptare a riscurilor si sau identificat nivelurile de risc acceptabile (apetitul i tolerana la risc).
Pentru abordarea sistematic a evalurii riscurilor sunt ndeplinite urmtoarele:
S-au identificat operaiunile i activitile organizaiei;
S-au identificat sistemele informatice pe care se bazeaz operaiunile i activitile
identificate anterior;
S-au identificat riscurile operaionale generate de sistemele informatice;
S-au identificat factorii de risc (ameninrile) la care care faciliteaz expunerea la
riscurile operaionale.
S-au identificat vulnerabilitatile care ar putea fi exploatate de aceste ameninri.
S-a stabilit impactul i daunele asupra organizaiei n cazul pierderii confidentialitii,
integritii i disponibilitii sistemelor informatice.
S-a evaluat probabilitatea real ca aceste evenimente s se produc.
Au fost evaluate nivelurile riscului inerent si s-a determinat dac riscul este acceptabil sau
necesit tratare. n schema de mai jos find prezentat relaionarea dintre elementele utilizate la
evaluarea intern a riscurilor operaionale.
Exploateza
Amenintarile

Vulnerabilitatile

Cresc

Protejeaza
impotriva

Masuri de
securitate

Reduc

Cresc

RISCURILE

Afecteza

Afecteza

Bunuri

Implementate prin

Au
Indica

Cresc

Cerinte de
securitate

Valoare bunuri

Impactul potential asupra


afacerii

Da

Fiecare responsabil de proces (coordonator de unitate funcional) a identificat resursele de


valoare i activitile din cadrul structurii organizatorice (birou, serviciu, compartiment,
departament, direcie etc) care sunt expuse la riscuri operaionale generate de sistemele
informatice.
Resursele de valoare sunt grupate conform urmatoarelor categorii (de ex :):
Informatii in format electronic (baze de date, fisiere de date, liste clieni investitori, participani, asigurai etc-, structuri ale bazelor de date, mesaje e-mail,
fiiere cu preturi etc.);

Documente tiprite (manuale de utilizare, manual i suport pentru instruiri,


ghiduri, licene, contracte furnizori / clieni, comunicri, facturi, rezultate
financiare, nregistrri referitoare la personalul angajat adrese, atestari etc.);
Software (sistemul de operare, aplicatii, utilitare etc)
Bunuri fizice (calculatoare, servere, echipamente de comunicare i securitate,
suport media magnetic, etc);
Persoane (angajai, clieni, furnizori etc.);
Servicii (disponibilitate servicii de retea, telecomunicatii, nclzire, iluminat,
alimentare cu ap, alarmare, servicii de stingerea incendiilor, etc.);
Imagine i reputatie (mijloacele de livrare a produselor sau prestare a
serviciilor, certificari existente, paginile de internet ale organizaiei etc.).
Stabilirea valorii resurselor i a operaiunilor
Pentru stabilirea valorii resurselor i a operaiunilor, s-au luat in considerare, numai resursele
informatice i operaiunile care presupun interaciunea cu aceste resurse. S-a definit valoarea
resurselor/operaiunilor utilizand urmtoarea scar de valori n funcie de impactul asupra
organizaiei:
1 puin important;
2 necesar;
3 vital;
Pentru stabilirea valorilor se analizeaz importana, gradul de dependen fa de
resurs/operaiune i pericolul pe care l reprezint pentru procesele organizaiei, asupra
organizaiei in general i asupra clienilor acesteia, atunci cand informaia sau resursa i
pierde integritatea, confidenialitatea i disponibilitatea.
Identificarea factorilor de risc
Pentru identificarea factorilor de risc se ntocmete o list a tuturor ameninrilor aplicabile,
iar pentru fiecare ameninare se identific vulnerabilitatile existente.
Pentru calcularea riscului se definesc, n continuare:
Probabilitatea riscului (probalilitatea exploatrii vulnerabilitii),
Probabilitatea de a se manifesta n conditiile date este evaluat astfel:
Grad
1
Probabilitate
Neglijabil
Descriere
Practic nu poate apare
n condiii obinuite.
Istoric nu au fost
semnalate situaii.

2
Slab
Poate apare n
conditii obisnuite,
dar frecvena
apariiei este rar.

3
Mare
Este probabil s se produc.
Acest risc este rezonabil sa se
produc n perioada imediat
urmtoare.

Nivelul vulnerabilitatii (poate s apar un incident pentru ca vulnerabilitatea


s fie mai greu sau mai uor exploatat ).

Criteriile pentru evaluarea vulnerabilitatii sunt:


Grad
Criterii
Descriere

1
Neglijabil
Exist protecii sigure,
testate i verificate,
condiiile existente conduc
la concluzia c, practic, nu
poate fi exploatat aceasta
vulnerabilitate.

2
Medie
Vulnerabilitatea poate fi
exploatat, exist
protecii implementate,
dar acestea nu au fost
testate i verificate pentru
toate cazurile.

3
Mare
Usor de exploatat,
protecia este foarte
slab, ineficace n
multe situaii sau
tehnic uzat moral.

Pentru evaluarea riscurilor i a nivelurilor asociate pentru fiecare eveniment nedorit care poate
avea impact asupra activitilor desfurate de organizaie, sistemelor informatice sau a
informaiilor se realizeaz matricea nivelului de risc.
Nivelul riscului este o funcie de probabilitatea de producere a unui eveniment nedorit i de
nivelul vulnerabilitii asupra activitilor, informaiilor sau sistemelor informatice ale
organziaiei.
Pentru
risc:
1.
2.
3.

exemplificare, a fost realizat o matrice 3x3 corespunztoare urmtoarelor niveluri de


Risc mic;
Risc mediu;
Risc mare.

VULNERABILITATE

Exemplu matrice niveluri de risc

MARE

Risc Mediu

Risc Mare

Risc Mare

MEDIE

Risc Mic

Risc Mediu

Risc Mare

NEGLIJABIL

Risc Mic

Risc Mic

Risc Mediu

NEGLIJABIL

SLAB

MARE

PROBABILITATE

n cazul n care organizaia utilizeaz o alt matrice de risc prin folosirea mai multor niveluri
de vulnerabiliti i probabiliti (4x4 sau 5x5) i a mai multor niveluri de risc (4 sau 5), se va
menine practica curent.
Activiti necesare identificrii i evalurii riscurilor i a msurilor de securitate
Conductorii structurilor organizatorice i ntreg personalul ce le compun au obligaia de a
identifica, evalua i raporta riscurile operaionale generate de sistemele informatice. Aplicarea
cadrului pentru gestionarea riscurilor generate de sistemele informatice ntr-o organizaie
presupune parcurgerea urmtoarelor etape:
1.
2.
3.
4.
5.

analiza preliminar a riscului;


identificarea i evaluarea riscurilor;
revizuirea i raportarea situaiei riscurilor;
stabilirea limitelor de toleran;
implementarea i monitorizarea msurilor de control al riscurilor.

Analiza preliminar
Persoana care identific un risc analizeaz preliminar riscul identificat, procednd, pentru
documentarea procesului de evaluare, la completarea unui formular de Alert la risc stabilit de fiecare organizaie i prezentat ca exemplu la finalul acestei seciuni cu
respectarea urmtoarelor etape:
1 descrierea nartativ a riscului, cu respectarea urmtoarelor reguli:
riscul este o situaie, eveniment, care poate s apar. Riscul este o incertitudine
i nu ceva sigur;
nu se identific riscuri care nu afecteaz organizaia;
problemele dificile identificate nu trebuie ignorate. Ele pot deveni riscuri n
situaii repetitive din cadrul aceleiai structuri organizatorice sau pentru alte
structuri organizatorice n care astfel de riscuri nu s-au materializat;
riscurile nu trebuie definite numai prin impactul lor asupra activitilor
organizaiei. Impactul nu este risc, ci consecina exploatrii unei vulnerabiliti;
riscurile nu se descriu prin negarea unei situaii;
problemele care vor aprea cu siguran, nu constituie riscuri, ci certitudini;
problemele a cror apariie este imposibil, nu constituie riscuri, ci ficiuni.
2 prezentarea preliminar a cauzelor, descrierea circumstanelor i a factorilor care
favorizeaz apariia riscului;
3 analizarea preliminar a consecinelor asupra activitilor i operaiunilor, n cazul
materializrii riscului.
4 evaluarea preliminara a expunerii la risc se realizeaz prin:
a) stabilirea valorii resursei/operaiunii, pe o scal n trei trepte, ca fiind: puin
important (valoare=1), necesar (valoare=2) sau vital (valoare=3).
b) estimarea probabilitii de apariie a riscului, pe o scal n trei trepte, ca fiind:
neglijabil (valoare=1), medie (valoare=2) sau mare (valoare=3).
c) estimarea vulnerabilitii sistemului informatic, pe o scal n trei trepte, ca
fiind: neglijabil (valoare=1), medie (valoare=2) sau mare (valoare=3).
d) evaluarea preliminar a nivelului riscului, conform matricei de risc, pe o
scal cu trei trepte, ca fiind: sczut, mediu sau mare.
10

e) evaluarea preliminar a valorii riscului se realizeaz prin adunarea valorii


resursei, cu valoarea probabilitii i cu cea a vulnerabilitii. Valoarea
maxim a riscului este 9 (3+3+3 = 9 resursa este vital, probabilitatea este
mare i vulnerabilitatea este mare).
Not: Explicaiile asociate denumirii fiecrei trepte a scalelor de msurare a valorii
resurselor, a probabilitii de apariie i a vulnerabilitii pentru evaluarea riscului inerent
au fost prezentate mai sus.
5 formularea unei opinii cu privire la msurile de tratare (controalele de risc) ce ar trebuie
ntreprinse pentru a gestiona riscul n mod adecvat, astfel nct s se ncadreze n
limitele de toleran;
6 formularul Alert la risc completat corespunztor este trimis coordonatorului stucturii
organizatorice.
Formular alert la risc
ORGANIZAIA -----------------------------Structura organizatoric: -----------------------------DETALII PRIVIND RISCUL
Descrierea riscului
Categorie resurs IT: -----------------------------------------------Denumire resurs IT: -----------------------------------------------Ameninri (factori de risc):
1.--------------2. -------------3. -------------4. -------------5. -------------Vulnerabilitate (descrierea riscului): --------------------------------------------------------------------------------------------------------Evaluare
valorii
resursei
1
2
3
1. neimportant; 2. necesar; 3. vital.
Evaluarea riscului
Evaluarea probabilitii de apariie

1
2
3
1. neglijabil; 2. medie; 3. mare.
Evaluarea vulnerabilitii (impactului)

1
2
3
1. neglijabil; 2. medie; 3. mare.
Opinie cu privire la Tipul de rspuns la risc (strategia adoptat): --------tipul de rspuns la risc
----------Msuri de control le riscului recomandate:------------------------------------------------------------------------------------------------Documentaia utilizat pentru fundamentarea riscului identificat (dac este cazul):--------------------------------------------------------------------------------------------------Nume:
Semntura:
Data ntocmirii:
----------------------------------------zz/ll/aaaa

11

Identificarea i evaluarea riscurilor


Coordonatorul structurii organizatorice analizeaz fiecare formular Alert la risc, primit de
la persoanele care au efectuat analiza preliminar a riscurilor, propunnd:
1 clasarea formularului Alert la risc, dac riscul este nerelevant;
2 nregistrarea riscului ca aparinnd activitii sau operaiuni care se bazeaz pe
sistemul informatic utilizat/administrat de structura organizatoric, caz n care
confirm existena riscului la nivelul structurii organizatorice, stabilete/confirm
nivelul riscului i propune cel puin o msur de tratare a acestuia.
Dup finalizarea aciunii de analiz preliminar a riscurilor, conductorul structurii
organizatorice, centralizeaz rezultatele analizei datelor/informaiilor cuprinse n formularele
Alert la risc, la care anexeaz documentaia privind riscurile nou-identificate.
n cadrul analizei alertelor la risc conductorul structurii organizatorice desfoar
urmtoarele aciuni:
1 delibereaz asupra tuturor riscurilor si stabileste riscurile pentru care s fie luat
decizia de reinere pentru gestionare n cadrul structurii organizatorice;
2 propunerea de clasare pentru riscurile considerate nerelevante;
3 delibereaz asupra riscurilor propuse spre includere n Registrul Riscurilor i face
propuneri de completare a Registrului Riscurilor, cel puin n urmtoarele situaii:
a) msurile prin care se realizeaz un control satisfctor al riscurilor exced
competenelor decizionale ale structurii organizatorice;
b) resursele structurii organizatorice sunt insuficiente;
c) se identific riscuri externe structurii organizatorice, dar al cror impact
afecteaz obiectivele stabilite pentru acesta.
4 efectueaz, pentru fiecare risc identificat i evaluat, o comparare a expunerii la risc
cu limitele de toleran aprobate de conducerea organizaiei;
5 analizeaz rapoartele de audit, reinnd riscurile identificate prin acestea i msurile
de control recomandate a fi implementate;
6 formuleaz propuneri pentru conducerea organizaiei, pentru fiecare risc identificat i
evaluat, cu privire la tipul de rspuns (strategia adoptat) considerat cel mai adecvat
dintre cele de mai jos, decizia final cu privire la acest aspect aparinnd
conductorului organizaiei:
a) acceptarea (tolerarea) riscului, n cazul riscurilor cu expunere sczut
sau atunci cnd aplicarea unei strategii de rspuns la risc nu este posibil;
b) monitorizarea permanent a riscului, n cazul riscurilor cu impact
semnificativ, dar cu probabilitate mic de apariie;
c) evitarea riscului, cu precizarea c aplicarea acestei strategii este limitat
n cazul activitilor care in de obiectul de activitate al organizaiei i de
deciziile conducerii acesteia;
d) transferarea (externalizarea) riscului, ndeosebi n cazul riscurilor
pentru care se nregistreaz doar cheltuieli financiare care pot fi acoperite
prin produse de asigurare;
e) tratarea (atenuarea) riscului, caz n care se identific msurile posibile
ce pot fi luate astfel nct riscurile s fie controlate satisfctor, se
12

grupeaz n variante alternative, se alege varianta cea mai avantajoas din


perspectiva raportului cost/beneficiu.
7 Stabilete ordinea de prioriti n tratarea riscurilor reinute pentru gestionare, astfel
nct expunerea la riscurile reziduale s se situeze n limitele de toleran aprobate;
8 stabilete msurile de control ce trebuie luate n vederea reducerii nivelelui riscurilor
(reducerea probabilitii sau a impactului), termenele-limit pn la care acestea
trebuie implementate, precum i persoanele responsabile cu implementarea lor prin
elaborarea unui planul pentru implementarea msurilor de control.
Conducerea organizaiei i persoana (comitetul) desemnat de aceasta cu responsabiliti
pentru gestionarea riscurilor, dac exist, desfoar urmtoarele aciuni:
1 primete formularele de Alert la risc i documentaia aferent pentru riscurile
semnalate ctre fiecare structur organizatoric;
2 transmite persoanelor responsabile cu implementarea msurilor de control,
modificarea msurilor sau a termenelor pentru riscurile aflate deja n faza de
implementare a msurilor de control intern;
3 iniial intocmete i ulterior completeaz, ori actualizeaz, dup caz, Registrul
Riscurilor, respectivei organizaii cu datele/informaiile despre riscurile care sunt sau
care urmeaz a fi gestionate la nivelul tuturor structurilor organizatorice.
Revizuirea i raportarea situaiei riscurilor
Cel puin anual sau ori de cte ori este cazul, conductorii structurilor organizatorice asigur
analizarea stadiului implementrii msurilor de control, a eficacitii acestora, precum i
reevaluarea riscurilor din sfera lor de responsabilitate.
n cadrul procesului de revizuire, se analizeaz dac:
1 riscurile persist;
2 au aprut riscuri noi;
3 impactul i probabilitatea riscurilor au suferit modificri, caz n se revizuiesc
nivelurile riscurilor;
4 sunt necesare noi msuri de control de risc i termene pentru implementarea acestora;
5 se impune reprioritizarea riscurilor;
Anual, conductorii structurilor organizatorice elaboreaz un raport cu privire la desfurarea
procesului de gestionare/revizuire a riscurilor la nivelul structurii organizatorice. Raportul
cuprinde o sintez a activitilor desfurate, n perioada de raportare, n cadrul procesului de
gestionare a riscurilor, coninnd cel puin urmtoarele aspecte:
1 activitile derulate n perioada pentru care se ntocmete raportul, n scopul tratrii
riscurilor identificate;
2 riscuri noi, tipul de rspuns i msurile de control instituite pentru acestea;
3

rezultatele reevalurii riscurilor, n cazul n care riscurile au fost reevaluate n


perioada raportat;
13

meniuni cu privire la ntocmirea/actualizarea Registrului riscurilor;

5 alte aspecte/probleme considerate relevante, n legtur cu modul n care au fost


gestionate riscurile la nivelul structurii organizatorice.
Raportul privind gestionarea i revizuirea riscurilor cuprinde, distinct, dou seciuni
referitoare la:

riscurile cu un nivel al expunerii ridicat i foarte ridicat, care ar putea


afecta ndeplinirea obiectivelor specifice ale structurilor organizatorice;

stadiul implementrii planului, la data raportrii.

Conductorul structurii organizatorice transmite conducerii organizaiei i persoana


(comitetul) desemnat de aceasta cu responsabiliti pentru gestionarea riscurilor, dac exist,
un exemplar al raportului, n vederea:
1 ntocmirii i actualizrii Registrului Riscurilor la nivelul ntregii organizaii, prin
agregarea datelor/informaiilor cuprinse n Registrul riscurilor de la nivelul fiecrei
structuri organizatorice;
2 ntocmirii i actualizrii profilului de risc al organizaiei, prin regruparea riscurilor
identificate, evaluate i ierarhizate n raport cu mrimea deviaiei expunerii fiecrui
risc de la tolerana la risc;
3 ntocmirii raportului privind evaluarea intern a riscurilor operaionale generate de
sistemele informatice pentru transmiterea lui ctre ASF, n conformitate cu prevederile
art.14 alin.(1) lit. a) din Norma ASF nr. 6/2015. n cadrul raportului se cuprinde,
distinct, o seciune referitoare la riscurile cu un nivel al expunerii ridicat i foarte
ridicat, care ar putea afecta ndeplinirea activitatea organizaiei.
n situaia n care intervin modificri n coninutul rapoartelor i a registrelor de riscuri,
conductorii structurilor organizatorice asigur transmiterea, ctreconducerea organizaiei, a
rapoartelor i/sau registrelor revizuite n termenul cel mai scurt posibil, dar nu mai trziu de
15 zile de la modificarea acestora.
Pentru etapa iniial, termenul pentru transmiterea la ASF a raportului privind evaluarea
intern a riscurilor operaionale generate de sistemele informatice este de 30 iunie 2016.
Stabilirea limitelor de toleran (tolerana la risc)
Condurtorii fiecrei structuri organizatorice analizeaz, cel puin o dat pe an, limitele de
toleran i, dac este cazul, propune revizuirea acestora, cel mai trziu pn la sfritul lunii
februarie pentru anul n curs.
Propunerile privind limitele de toleran revizuite se aprob de conducerea organizaiei
(Consiliul de administraie, Comitetul director sau Directorul general).
Toate riscurile trebuie controlate astfel nct expunerea la risc s se ncadreze n limitele de
toleran aprobate.
Limitele de toleran la risc au caracter obligatoriu pentru structurile organizatorice i au
aplicabilitate pn la o nou revizuire a acestora.

14

Implementarea i monitorizarea msurilor de control al riscurilor


Anual, pn la finele lunii februarie, conductorul fiecrei structuri organizatorice, ntocmete
Planul pentru implementarea msurilor de control ale riscurilor, pentru anul n curs, innd
cont i de:
deciziile conducerii organizaiei;
recomandrile cu privire la msurile de control, cuprinse n rapoartele de audit
(auditul intern, auditul IT Extern, auditul IT cu resurse interne certificate,
evalurile funciei de management al riscurilor).
Dup aprobare, conductorul structurii organizatorice transmite persoanelor responsabile cu
implementarea msurilor de control ale riscurilor, cte un exemplar al acestuia, pentru
aplicare, precum i conducerii organizaiei pentru includerea lor n raportul privind evaluarea
intern a riscurilor operaionale generate de sistemele informatice.
Responsabilii cu implementarea msurilor de control informeaz semestrial i ori de cte ori
este cazul, pe conductorul structurii organizatorice, cu privire la stadiul implementrii
msurilor de control ale riscurilor, pentru analiz i decizie.

Concluzii analiza riscuri


In urma analizei impactului riscurilor se pot trage urmatoarele concluzii:
1. Definirea evenimentelor critice
Solutia si serviciile de protectie pentru gestionarea corespunztoare a riscurilor operaionale
generate de sistemele informatice vor acoperi urmatoarele evenimente:
Riscuri aferente oamenilor:
o nerespectarea proceselor, procedurilor sau a instruciunilor de lucru;
o erori de introducere manual sau de utilizare neadecvat a sistemelor
informatice;
o cunostine, experien i pregtire insuficient a personalului care utilizeaz
sau deservete sistemele informatice;
o personal insuficient;
o dependena de angajai cheie;
o lips de comunicare i cooperare ntre angajai;
o neraportarea erorilor sau greelilor aferente sistemelor informatice;
o alterarea datelor;
o modificarea informaiilor sau a datelor din rapoarte, fr documentarea
adecvat;
o conflict de interese ntre personalul care dezvolt i cel care administreaz
sistemele informatice ori ntre utilizatorii acestora;
o lipsa
unei
delimitri
clare
ntre
rolurile
persoanelor
care
acceseaz/administreaz/ dezvolt sistemele informatice;
o automulumire;
o fraud;
o operaiuni suspecte de splarea banilor i finanarea actelor de terorism;
o nerespectarea regimului de sanciuni internaionale.
15

Riscuri aferente proceselor:


o Riscuri de model: lipsa proceselor organizatorice (cel puin referitoare la
managementul schimbrii, al incidentelor, al problemelor, al nivelurilor de
servicii, al versionrilor, al capacitii, al disponibilitii i al proiectelor),
erori de metodologie sau de model, erori de evaluare, disponibilitatea
rezervelor pentru acoperirea pierderilor, complexitatea modelelor, control
inadecvat al proceselor, software neadecvate obiectivelor de activitate,
insuficiena guvernanei corporative n acest domeniu;
o Riscuri tranzacionale: erori de execuie, erori de nregistrare, managementul
inadecvat al datelor i informaiilor, erori de matching, compensare, colateral,
complexitatea produselor, riscuri de capacitate, riscuri de evaluare, riscuri de
confidenialitate, fraude;
o Riscuri aferente controlului operaiunilor: lipsa separrii drepturilor i
atribuiilor, depirea limitelor, riscuri de volum, riscuri de securitate, riscuri
de raportare, riscuri de nregistrri contabile neadecvate, control inadecvat al
activitilor externalizate, ntreruperea furnizrii serviciilor, neidentificarea
operaiunilor n spe n funcie de indicatorii de risc i variabile analitice
prestabilite.
Riscuri aferente sistemelor:
o sistem inadecvat de management al tehnologiei i securitii;
o lipsa metodologiilor de dezvoltare si testare;
o capacitate insuficient de procesare;
o ntreruperi n funcionarea sistemelor (hardware, software, stocare,
telecomunicaii);
o cderi de reea;
o ntreruperii n furnizarea serviciilor prestate de furnizorii externi;
o sisteme inadecvate;
o protecie inadecvat mpotriva malware;
o riscuri de compatibilitate;
o riscuri generate de furnizori/vnztori;
o erori de programare;
o coruperea datelor;
o riscuri de recuperare dup dezastre;
o testare necorespunztoare a recuperrii n caz de dezastru;
o sistem inadecvat de actualizare tehnologic;
o sisteme nvechite;
o servicii necorespunztoare de suport pentru sisteme.
o caderi echipamente IT
Riscuri aferente mediului extern:
o pierderi datorate evenimentelor catastrofice/dezastrelor naturale sau generate
de oameni ori factori din afara organizaiei;
o ntreruperi n furnizarea serviciilor prestate de furnizori externi;
o fraude i activiti criminale externe;
o expuneri externe ale securitii sistemelor;
o atacuri teroriste clasice sau informatice;
o criminalitate economic i/sau informatic;
o cderi ale alimentarii cu electricitate.
16

2. Identificarea sistemelor informatice importante din cadrul organizatiei


n aceast seciune vor fi evideniate sistemele informatice importante, inclusiv principalele
caracteristici i versiunea n lucru la momentul evalurii.
3. Disponibilitatea sistemului
Sistemul i serviciile de protectie pentru situatii de dezastru trebuie sa asigure reducerea
riscurilor de indisponibilitate a sistemelor de productie cu o recuperare completa a
functionalitatii sistemelor informatice intr-un interval orar de ordinul orelor.
4. Toleranta la dezastru
Toleranta la dezastru este asigurata prin tehnologia si serviciile cu grad inalt de disponibilitate
care determina continuarea operarii aplicatiilor critice in cazul unui dezastru in cadrul
sistemelor organizatiei aceasta toleranta trebuie sa fie mare pentru garantarea continuitatii
operationale.
5. Restaurarea serviciilor (RTO - Recovery Time Objective)
Timpul de restaurare a serviciilor reprezinta timpul scurs intre producerea incidentului critic
care a determinat inoperabilitatea site-ului principal si reluarea functionalitatii sistemului de
catre site-ul de recuperare.
In cadrul proiectului timpul estimat este de x ore in cazul comutarii totale datorat
constrangerilor impuse de tehnologii, identificarea riscului si a masurilor necesare,
convocarea personelor responsabile si asigurarea intregii functionalitati la nivelul centrului de
recuperare.
In cazul comutarii manuale in care este necesara si identificarea incidentului timpul estimat de
recuperare este de yy minute.
In anumite circumstante, in conditiile in care comutarea se realizeaza automat si nu s-a produs
un incident major, timp de recuperare poate fi redus substantial.
6. Pierderile de date (RPO - Recovery Point Objective)
Pierderile de date reprezinta valoarea reala a pierderilor de date din momentul producerii
incidentului pana la recuperarea acetuia, sau volumul de date care trebuie recreat pentru a se
asigura integritatea datelor.
Cantitatea de date acceptate a fi pierdute in cazul unui dezastru depind de urmatorii factori:
cantitatea de date modificate (mediu/maxim) pe unitatea de timp;
interdependenta dintre aplicatiile care compun sistemul informatic;
calitatea, mediul si latimea de banda a conexiunilor dintre cele doua locatii.

Exemplul de evaluare intern a riscurilor operaionale generate de sistemele informatice


n tabelul de mai jos este prezentat un exemplu de evaluare intern a riscurilor operaionale
generate de sistemele informatice aplicat pentru o organizaie ipotetic a crei structur
organizatoric i infrastructur IT a fost descris la nceputul materialului.

17

Exemplul de evaluare intern a riscurilor operaionale generate de sistemele informatice (registrul riscurilor operaionale IT)
Categorie
Resurs/
Activitate
[1]

Denumire sistem informatic


[2]

Valoare
resursa /
activitate
[3]

Risc (descriere / amenintare)

Vulnerabilitate (factori de risc)

[4]

[5]

Valoare
probabilitate
[6]

Valoare
vulnerabi
li-tate
[7]

[3]+[6]+[7]

Masuri de
control al
riscului
[8]

Anexa 1

Valoare
risc

Categoria 1 - riscuri operaionale OAMENI

Conducerea
societatii
Conducerea
societatii
Conducerea
societatii
Conducerea
societatii
Conducerea
societatii

Personal si
activitati
front-office

Personal si
activitati
front-office

Personal si
activitati
front-office

Staie de lucru / baz de date /


sisteme informatice
importante
Staie de lucru / baz de date /
sisteme informatice
importante
Staie de lucru / baz de date /
sisteme informatice
importante
Staie de lucru / baz de date /
sisteme informatice
importante
Staie de lucru / baz de date /
sisteme informatice
importante
Sistem front-office / Staie de
lucru / baz de date / sisteme
informatice importante / Alte
sisteme informatice
importante
Sistem front-office / Staie de
lucru / baz de date / sisteme
informatice importante / Alte
sisteme informatice
importante
Sistem front-office / Staie de
lucru / baz de date / sisteme
informatice importante / Alte
sisteme informatice
importante

Conducerea executiv
nerespectarea proceselor,
Lipsa unor instrumente de control pentru situatia
procedurilor sau a instruciunilor
in care conducerea executiva nu respecta
de lucru
procesele si procedurile de lucru

Automulumire

Implementarea unor controale insuficiente sau


ineficiente.

Anexa 1

operaiuni suspecte de splarea


banilor i finanarea actelor de
terorism

Lipsa filtrelor eficiente pentru tranzactiile


suspecte.

Anexa 1

nerespectarea regimului de
sanciuni internaionale

Anexa 1

Frauda interna

Anexa 1

Vanzarea de produse
necorespunzatoare clientilor
respectivi

Functionarea defectuoasa a sistemelor de front


office. Incadrarea defectuoasa in categoriile de
risc pentru clientii noi.

Anexa 1

erori de introducere manual sau


de utilizare neadecvat a
sistemelor informatice

cunostinte si pregtire insuficiente a


personalului financiar contabil

Anexa 1

Stergerea accidentala a
informatiilor stocate in bazele de
date

cunostinte si pregtire insuficiente a


personalului financiar contabil. Management
impropriu al drepturilor de acces in aplicatie

Anexa 1

Lipsa filtrelor eficiente pentru tranzactiile


suspecte. Neaducerea la zi a noutatilor cu privire
la sanctiunile internationale
Lipsa verificarilor eficace. Lipsa principiului
celor patru ochi. Management impropriu al
drepturilor de acces in aplicatie.
Relatia cu clientii

18

Operatiuni
Personal si
activitati
operatiuni

Personal si
activitati
operatiuni

Personal si
activitati
operatiuni

Personal si
activitati
operatiuni

Personal si
activitati
operatiuni

Personal si
activitati
operatiuni

Personal si
activitati
operatiuni

Personal si
activitati
operatiuni

Sistem operatiuni / Staie de


lucru / baz de date / sisteme
informatice importante / Alte
sisteme informatice
importante
Sistem operatiuni / Staie de
lucru / baz de date / sisteme
informatice importante / Alte
sisteme informatice
importante
Sistem operatiuni / Staie de
lucru / baz de date / sisteme
informatice importante / Alte
sisteme informatice
importante
Sistem operatiuni / Staie de
lucru / baz de date / sisteme
informatice importante / Alte
sisteme informatice
importante
Sistem operatiuni / Staie de
lucru / baz de date / sisteme
informatice importante / Alte
sisteme informatice
importante
Sistem operatiuni / Staie de
lucru / baz de date / sisteme
informatice importante / Alte
sisteme informatice
importante
Sistem operatiuni / Staie de
lucru / baz de date / sisteme
informatice importante / Alte
sisteme informatice
importante
Sistem operatiuni / Staie de
lucru / baz de date / sisteme
informatice importante / Alte
sisteme informatice
importante

Frauda interna

Lipsa verificarilor eficace. Lipsa principiului


celor patru ochi. Management impropriu al
drepturilor de acces in aplicatie.

Anexa 1

nerespectarea proceselor,
procedurilor sau a instruciunilor
de lucru

Lipsa unor instrumente de control pentru situatia


in care conducerea executiva nu respecta
procesele si procedurile de lucru

Anexa 1

Automulumire

Implementarea unor controale insuficiente sau


ineficiente.

Anexa 1

operaiuni suspecte de splarea


banilor i finanarea actelor de
terorism

Lipsa filtrelor eficiente pentru tranzactiile


suspecte.

Anexa 1

nerespectarea regimului de
sanciuni internaionale

Lipsa filtrelor eficiente pentru tranzactiile


suspecte. Neaducerea la zi a noutatilor cu privire
la sanctiunile internationale

Anexa 1

Frauda interna

Lipsa verificarilor eficace. Lipsa principiului


celor patru ochi. Management impropriu al
drepturilor de acces in aplicatie.

Anexa 1

Vanzarea de produse
necorespunzatoare clientilor
respectivi

Functionarea defectuoasa a sistemelor de front


office. Incadrarea defectuoasa in categoriile de
risc pentru clientii noi.

Anexa 1

modificarea informaiilor sau a


datelor din rapoarte, fr
documentarea adecvat

Raportarea eronata catre autoritatile de


supraveghere

Anexa 1

19

Personal si
activitati
operatiuni

Personal si
activitati
operatiuni

Personal si
activitati
operatiuni

Personal si
activitati
operatiuni

Personal si
activitati
operatiuni

Personal si
activitati
operatiuni

Personal si
activitati
operatiuni

Personal si
activitati
operatiuni
Personal si
activitati
operatiuni

Sistem operatiuni / Staie de


lucru / baz de date / sisteme
informatice importante / Alte
sisteme informatice
importante
Sistem operatiuni / Staie de
lucru / baz de date / sisteme
informatice importante / Alte
sisteme informatice
importante
Sistem operatiuni / Staie de
lucru / baz de date / sisteme
informatice importante / Alte
sisteme informatice
importante
Sistem operatiuni / Staie de
lucru / baz de date / sisteme
informatice importante / Alte
sisteme informatice
importante
Sistem operatiuni / Staie de
lucru / baz de date / sisteme
informatice importante / Alte
sisteme informatice
importante
Sistem operatiuni / Staie de
lucru / baz de date / sisteme
informatice importante / Alte
sisteme informatice
importante
Sistem operatiuni / Staie de
lucru / baz de date / sisteme
informatice importante / Alte
sisteme informatice
importante
Sistem operatiuni / Staie de
lucru / baz de date / sisteme
informatice importante / Alte
sisteme informatice
importante
Sistem operatiuni / Staie de
lucru / baz de date / sisteme
informatice importante / Alte

erori de introducere manual sau


de utilizare neadecvat a
sistemelor informatice

cunostinte si pregtire insuficiente a


personalului financiar contabil

Anexa 1

Stergerea accidentala a
informatiilor stocate in bazele de
date

cunostinte si pregtire insuficiente a


personalului financiar contabil. Management
impropriu al drepturilor de acces in aplicatie

Anexa 1

Erori de evaluare

Evaluarea eronata a activelor societatii

Anexa 1

Erori de procesare

Procesarea eronata a documentelor justificative

Anexa 1

Erori de plata

Plata eronata a unor sume de bani

Anexa 1

erori de introducere manual sau


de utilizare neadecvat a
sistemelor informatice

Procesarea eronata a unor operatiuni

Anexa 1

Frauda interna

Lipsa verificarilor eficace. Lipsa principiului


celor patru ochi. Management impropriu al
drepturilor de acces in aplicatie.

Anexa 1

dependena de angajai cheie

Inexistenta unui back-up pentru persoanele cheie


din companie. Proceduri de recrutare ineficiente.

Anexa 1

Personal insuficient

Anexa 1

20

Personal si
activitati
operatiuni

Personal si
activitati
operatiuni

Personal si
activitati
operatiuni

Personal si
activitati
operatiuni

Personal si
activitati
operatiuni

Personal si
activitati
operatiuni

Personal si
activitati
operatiuni

sisteme informatice
importante
Sistem operatiuni / Staie de
lucru / baz de date / sisteme
informatice importante / Alte
sisteme informatice
importante
Sistem operatiuni / Staie de
lucru / baz de date / sisteme
informatice importante / Alte
sisteme informatice
importante
Sistem operatiuni / Staie de
lucru / baz de date / sisteme
informatice importante / Alte
sisteme informatice
importante
Sistem operatiuni / Staie de
lucru / baz de date / sisteme
informatice importante / Alte
sisteme informatice
importante
Sistem operatiuni / Staie de
lucru / baz de date / sisteme
informatice importante / Alte
sisteme informatice
importante
Sistem operatiuni / Staie de
lucru / baz de date / sisteme
informatice importante / Alte
sisteme informatice
importante
Sistem operatiuni / Staie de
lucru / baz de date / sisteme
informatice importante / Alte
sisteme informatice
importante

lipsa unei delimitri clare ntre


rolurile persoanelor care
acceseaz/administreaz/dezvolt
sistemele informatice

Proceduri de lucru neclare sau nepuse in aplicare

Anexa 1

conflict de interese ntre


personalul care dezvolt i cel
care administreaz sistemele
informatice ori ntre utilizatorii
acestora

Inexistenta unor proceduri privind gestiunea


conflictelor de interesa sau nepunerea in aplicare
a acesteia

Anexa 1

cunostine, experien i
pregtire insuficient a
personalului care utilizeaz sau
deservete sistemele informatice

Buget de training insuficient. Lipsa implicarii


managementului in acest aspect.

Anexa 1

alterarea datelor

Alterarea datelor din sistemele informatice, fara


posibilitatea identificarii autorului si a
informatiilor initiale

Anexa 1

nerespectarea proceselor,
procedurilor sau a instruciunilor
de lucru

Procese organizatorice, proceduri si instructiuni


de lucru neimplementate sau inexistente

Anexa 1

Lips de comunicare i cooperare


ntre angajai

Necomunicarea la timp a unor informatii critice


de la un departament catre altul

Anexa 1

Personal insuficient

Proceduri de recrutare ineficiente. Buget de


resurse umane insuficient. Evaluarea eronata e
necesarului de personal

Anexa 1

Anexa 1

Financiar - contabilitate
Personalul si
activitati
financiar
contabile

Sistem financiar contabil /


Staie de lucru / baz de date /
sisteme informatice
importante / Alte sisteme

modificarea informaiilor sau a


datelor din rapoarte, fr
documentarea adecvat

Raportarea eronata catre autoritatile de


supraveghere

21

Personalul si
activitati
financiar
contabile
Personalul si
activitati
financiar
contabile
Personalul si
activitati
financiar
contabile
Personalul si
activitati
financiar
contabile
Personalul si
activitati
financiar
contabile
Personalul si
activitati
financiar
contabile
Personalul si
activitati
financiar
contabile

informatice importante
Sistem financiar contabil /
Staie de lucru / baz de date /
sisteme informatice
importante / Alte sisteme
informatice importante
Sistem financiar contabil /
Staie de lucru / baz de date /
sisteme informatice
importante / Alte sisteme
informatice importante
Sistem financiar contabil /
Staie de lucru / baz de date /
sisteme informatice
importante / Alte sisteme
informatice importante
Sistem financiar contabil /
Staie de lucru / baz de date /
sisteme informatice
importante / Alte sisteme
informatice importante
Sistem financiar contabil /
Staie de lucru / baz de date /
sisteme informatice
importante / Alte sisteme
informatice importante
Sistem financiar contabil /
Staie de lucru / baz de date /
sisteme informatice
importante / Alte sisteme
informatice importante
Sistem financiar contabil /
Staie de lucru / baz de date /
sisteme informatice
importante / Alte sisteme
informatice importante

erori de introducere manual sau


de utilizare neadecvat a
sistemelor informatice

cunostinte si pregtire insuficiente a


personalului financiar contabil

Anexa 1

Stergerea accidentala a
informatiilor stocate in bazele de
date

cunostinte si pregtire insuficiente a


personalului financiar contabil. Management
impropriu al drepturilor de acces in aplicatie

Anexa 1

Erori de evaluare

Evaluarea eronata a activelor societatii

Anexa 1

Erori de procesare

Procesarea eronata a documentelor justificative

Anexa 1

Erori de plata

Plata eronata a unor sume de bani

Anexa 1

erori de introducere manual sau


de utilizare neadecvat a
sistemelor informatice

Procesarea eronata a unor operatiuni

Anexa 1

Frauda interna

Lipsa verificarilor eficace. Lipsa principiului


celor patru ochi. Management impropriu al
drepturilor de acces in aplicatie.

Anexa 1

Anexa 1

Functii cheie ale entitatii


Functii cheie
si activitati
aferente

Sistem cheie / Staie de lucru /


baz de date / sisteme
informatice importante / Alte
sisteme informatice
importante

dependena de angajai cheie

Inexistenta unui back-up pentru persoanele cheie


din companie. Proceduri de recrutare ineficiente.

22

Functii cheie
si activitati
aferente

Sistem cheie / Staie de lucru /


baz de date / sisteme
informatice importante / Alte
sisteme informatice
importante

Personal si
sisteme IT

Staie de lucru / baz de date /


sisteme informatice
importante

Personal si
sisteme IT

Staie de lucru / baz de date /


sisteme informatice
importante

Personal si
sisteme IT

Staie de lucru / baz de date /


sisteme informatice
importante

Personal si
sisteme IT
Personal si
sisteme IT
Personal si
sisteme IT

Functii suport
si activitati
aferente

Staie de lucru / baz de date /


sisteme informatice
importante
Staie de lucru / baz de date /
sisteme informatice
importante
Staie de lucru / baz de date /
sisteme informatice
importante

Staie de lucru / baz de date

Conducerea
societatii

Staie de lucru / baz de date

Conducerea
societatii

Staie de lucru / baz de date

Conducerea
societatii

Staie de lucru / baz de date

Anexa 1

Anexa 1

Anexa 1

Anexa 1

Anexa 1

Anexa 1

Necomunicarea la timp a unor informatii critice


de la un departament catre altul

Anexa 1

Suport
Proceduri de recrutare ineficiente. Buget de
Personal insuficient
resurse umane insuficient. Evaluarea eronata e
necesarului de personal
Categoria 2 - riscuri operaionale PROCESE

Anexa 1

Anexa 1

Anexa 1

Anexa 1

Personal insuficient

Tehnologia informatiei
lipsa unei delimitri clare ntre
rolurile persoanelor care
Proceduri de lucru neclare sau nepuse in aplicare
acceseaz/administreaz/dezvolt
sistemele informatice
conflict de interese ntre
personalul care dezvolt i cel
Inexistenta unor proceduri privind gestiunea
care administreaz sistemele
conflictelor de interesa sau nepunerea in aplicare
informatice ori ntre utilizatorii
a acesteia
acestora
cunostine, experien i
pregtire insuficient a
Buget de training insuficient. Lipsa implicarii
personalului care utilizeaz sau
managementului in acest aspect.
deservete sistemele informatice
Alterarea datelor din sistemele informatice, fara
alterarea datelor
posibilitatea identificarii autorului si a
informatiilor initiale
nerespectarea proceselor,
Procese organizatorice, proceduri si instructiuni
procedurilor sau a instruciunilor
de lucru neimplementate sau inexistente
de lucru
Lips de comunicare i cooperare
ntre angajai

Conducerea executiv
Procese organizatorice neimplementate sau
lipsa proceselor organizatorice
inexistente
Controlul efectuat de personal necorespunzator.
control inadecvat al proceselor
Neefectuarea controalelor conform cerintelor
interne
insuficiena guvernanei
Inexistenta strategiei privind guvernanta
corporative
corporativa. Mecanisme de guvernanta

23

corporativa necorespunzatoare
Personal si
activitati
front-office
Personal si
activitati
front-office

Personal si
activitati
front-office

Sistem front-office
Sistem front-office / Staie de
lucru / baz de date / sisteme
informatice importante / Alte
sisteme informatice
importante
Sistem front-office / Staie de
lucru / baz de date / sisteme
informatice importante / Alte
sisteme informatice
importante

Relatia cu clientii
Functionarea defectuoasa a sistemelor de front
office. Incadrarea defectuoasa in categoriile de
risc pentru clientii noi.

Vanzarea de produse
necorespunzatoare clientilor
respectivi

erori de introducere manual sau


de utilizare neadecvat a
sistemelor informatice

Stergerea accidentala a
informatiilor stocate in bazele de
date

Anexa 1

cunostinte si pregtire insuficiente a


personalului financiar contabil

Anexa 1

cunostinte si pregtire insuficiente a


personalului financiar contabil. Management
impropriu al drepturilor de acces in aplicatie

Anexa 1

Operatiuni
Personal si
activitati
operatiuni

Personal si
activitati
operatiuni

Personal si
activitati
operatiuni

Personal si
activitati
operatiuni

Personal si
activitati
operatiuni

Sistem operatiuni / Staie de


lucru / baz de date / sisteme
informatice importante / Alte
sisteme informatice
importante
Sistem operatiuni / Staie de
lucru / baz de date / sisteme
informatice importante / Alte
sisteme informatice
importante
Sistem operatiuni / Staie de
lucru / baz de date / sisteme
informatice importante / Alte
sisteme informatice
importante
Sistem operatiuni / Staie de
lucru / baz de date / sisteme
informatice importante / Alte
sisteme informatice
importante
Sistem operatiuni / Staie de
lucru / baz de date / sisteme
informatice importante / Alte
sisteme informatice
importante

lipsa separrii drepturilor i


atribuiilor

Tranzactionarea efectuata de catre personal


necalificat sau fara atributii in domeniul
respectiv

Anexa 1

depirea limitelor

Tranzactionarea eronata a unor instrumente


financiare

Anexa 1

riscuri de volum

Tranzactionarea eronata a unor instrumente


financiare

Anexa 1

riscuri de securitate

Alterarea datelor din sistemele informatice, fara


posibilitatea identificarii autorului si a
informatiilor initiale

Anexa 1

riscuri de raportare

Raportarea eronata catre autoritatile de


supraveghere

Anexa 1

24

Personal si
activitati
operatiuni

Personal si
activitati
operatiuni

Personal si
activitati
operatiuni

Personal si
activitati
operatiuni

Personal si
activitati
operatiuni

Personal si
activitati
operatiuni

Personal si
activitati
operatiuni

Personal si
activitati
operatiuni
Personal si
activitati
operatiuni

Sistem operatiuni / Staie de


lucru / baz de date / sisteme
informatice importante / Alte
sisteme informatice
importante
Sistem operatiuni / Staie de
lucru / baz de date / sisteme
informatice importante / Alte
sisteme informatice
importante
Sistem operatiuni / Staie de
lucru / baz de date / sisteme
informatice importante / Alte
sisteme informatice
importante
Sistem operatiuni / Staie de
lucru / baz de date / sisteme
informatice importante / Alte
sisteme informatice
importante
Sistem operatiuni / Staie de
lucru / baz de date / sisteme
informatice importante / Alte
sisteme informatice
importante
Sistem operatiuni / Staie de
lucru / baz de date / sisteme
informatice importante / Alte
sisteme informatice
importante
Sistem operatiuni / Staie de
lucru / baz de date / sisteme
informatice importante / Alte
sisteme informatice
importante
Sistem operatiuni / Staie de
lucru / baz de date / sisteme
informatice importante / Alte
sisteme informatice
importante
Sistem operatiuni / Staie de
lucru / baz de date / sisteme
informatice importante / Alte

riscuri de nregistrri contabile


neadecvate

Procesarea eronata a tranzactiilor cu instrumente


financiare

Anexa 1

control inadecvat al activitilor


externalizate

Lipsa unor controale interne cu privire la


activitati critice

Anexa 1

ntreruperea furnizrii serviciilor

Un sistem informatic critic nu poate fi accesat


pentru o lunga perioada de timp

Anexa 1

neidentificarea operaiunilor n
spe n funcie de indicatorii de
risc i variabile analitice
prestabilite

Neidentificarea indicatorilor de risc.


Parametrizarea necorespunzatoare a variabilelor
analitice prestabilite.

Anexa 1

lipsa proceselor organizatorice

Procese organizatorice neimplementate sau


inexistente

Anexa 1

control inadecvat al proceselor

Controlul efectuat de personal necorespunzator.


Neefectuarea controalelor conform cerintelor
interne

Anexa 1

insuficiena guvernanei
corporative

Inexistenta strategiei privind guvernanta


corporativa. Mecanisme de guvernanta
corporativa necorespunzatoare

Anexa 1

Vanzarea de produse
necorespunzatoare clientilor
respectivi

Functionarea defectuoasa a sistemelor de front


office. Incadrarea defectuoasa in categoriile de
risc pentru clientii noi.

Anexa 1

erori de execuie

Executarea eronata a unor operatiuni contabile

Anexa 1

25

Personal si
activitati
operatiuni

Personal si
activitati
operatiuni

Personal si
activitati
operatiuni

Personal si
activitati
operatiuni

Personal si
activitati
operatiuni

Personal si
activitati
operatiuni

Personal si
activitati
operatiuni

Personal si
activitati
operatiuni

sisteme informatice
importante
Sistem operatiuni / Staie de
lucru / baz de date / sisteme
informatice importante / Alte
sisteme informatice
importante
Sistem operatiuni / Staie de
lucru / baz de date / sisteme
informatice importante / Alte
sisteme informatice
importante
Sistem operatiuni / Staie de
lucru / baz de date / sisteme
informatice importante / Alte
sisteme informatice
importante
Sistem operatiuni / Staie de
lucru / baz de date / sisteme
informatice importante / Alte
sisteme informatice
importante
Sistem operatiuni / Staie de
lucru / baz de date / sisteme
informatice importante / Alte
sisteme informatice
importante
Sistem operatiuni / Staie de
lucru / baz de date / sisteme
informatice importante / Alte
sisteme informatice
importante
Sistem operatiuni / Staie de
lucru / baz de date / sisteme
informatice importante / Alte
sisteme informatice
importante
Sistem operatiuni / Staie de
lucru / baz de date / sisteme
informatice importante / Alte
sisteme informatice
importante

erori de nregistrare

Inregistrarea eronata a unor operatiuni


economice

Anexa 1

managementul inadecvat al
datelor i informaiilor

Neasigurarea caracteristicilor informatiilor


(consistenta, durabilitate)

Anexa 1

erori de matching, compensare i


colateral

Matching eronat datorat sistemelor informatice


utilizate. Erori in cadrul procesului de
compensare. Erori in cadrul procesului de
adecvare a colateralului clientilor

Anexa 1

complexitatea produselor

Erori cauzate de neintelegerea naturii economice


de la baza unor produse financiare complexe

Anexa 1

riscuri de capacitate

Capacitate insuficienta a bazelor de date de a


prelua informatiile. Capacitate insuficienta de
personal de a gestiona volumul operatiunilor
financiare

Anexa 1

riscuri de evaluare

Evaluarea eronata a activelor societatii

Anexa 1

riscuri de confidenialitate

Divulgarea de informatii sensibile catre mediul


exterior. Furt de date cu caracter personal

Anexa 1

fraude

Fraude cauzate de personal financiar contabil cu


acces la multiple sisteme si niveluri informatice.

Anexa 1

26

Personal si
activitati
operatiuni

Personal si
activitati
operatiuni

Personal si
activitati
operatiuni

Personal si
activitati
operatiuni

Personal si
activitati
operatiuni

Personal si
activitati
operatiuni

Sistem operatiuni / Staie de


lucru / baz de date / sisteme
informatice importante / Alte
sisteme informatice
importante
Sistem operatiuni / Staie de
lucru / baz de date / sisteme
informatice importante / Alte
sisteme informatice
importante
Sistem operatiuni / Staie de
lucru / baz de date / sisteme
informatice importante / Alte
sisteme informatice
importante
Sistem operatiuni / Staie de
lucru / baz de date / sisteme
informatice importante / Alte
sisteme informatice
importante
Sistem operatiuni / Staie de
lucru / baz de date / sisteme
informatice importante / Alte
sisteme informatice
importante
Sistem operatiuni / Staie de
lucru / baz de date / sisteme
informatice importante / Alte
sisteme informatice
importante

erori de metodologie sau de


model

Definirea gresita a modelelor econometrice

Anexa 1

erori de evaluare

Evaluarea eronata a activelor societatii

Anexa 1

disponibilitatea rezervelor pentru


acoperirea pierderilor

Rezerve insuficiente pentru acoperirea


pierderilor operationale. Lichiditate insuficienta
a activelor din rezerve

Anexa 1

complexitatea modelelor

Erori cauzate de neintelegerea naturii economice


de la baza unor produse financiare complexe

Anexa 1

software neadecvate obiectivelor


de activitate

Sofware fara functiile critice necesare. Software


cu o viteza redusa de procesare, sau cu o
capacitate insuficienta de procesare a
informatiilor.

Anexa 1

Personal insuficient

Proceduri de recrutare ineficiente. Buget de


resurse umane insuficient. Evaluarea eronata e
necesarului de personal

Anexa 1

Financiar - contabilitate
Personalul si
activitati
financiar
contabile
Personalul si
activitati
financiar
contabile

Sistem financiar contabil /


Staie de lucru / baz de date /
sisteme informatice
importante / Alte sisteme
informatice importante
Sistem financiar contabil /
Staie de lucru / baz de date /
sisteme informatice
importante / Alte sisteme
informatice importante

erori de execuie

Executarea eronata a unor operatiuni contabile

Anexa 1

erori de nregistrare

Inregistrarea eronata a unor operatiuni


economice

Anexa 1

27

Personalul si
activitati
financiar
contabile
Personalul si
activitati
financiar
contabile
Personalul si
activitati
financiar
contabile
Personalul si
activitati
financiar
contabile
Personalul si
activitati
financiar
contabile
Personalul si
activitati
financiar
contabile
Personalul si
activitati
financiar
contabile

Sistem financiar contabil /


Staie de lucru / baz de date /
sisteme informatice
importante / Alte sisteme
informatice importante
Sistem financiar contabil /
Staie de lucru / baz de date /
sisteme informatice
importante / Alte sisteme
informatice importante
Sistem financiar contabil /
Staie de lucru / baz de date /
sisteme informatice
importante / Alte sisteme
informatice importante
Sistem financiar contabil /
Staie de lucru / baz de date /
sisteme informatice
importante / Alte sisteme
informatice importante
Sistem financiar contabil /
Staie de lucru / baz de date /
sisteme informatice
importante / Alte sisteme
informatice importante
Sistem financiar contabil /
Staie de lucru / baz de date /
sisteme informatice
importante / Alte sisteme
informatice importante
Sistem financiar contabil /
Staie de lucru / baz de date /
sisteme informatice
importante / Alte sisteme
informatice importante

managementul inadecvat al
datelor i informaiilor

Neasigurarea caracteristicilor informatiilor


(consistenta, durabilitate)

Anexa 1

erori de matching, compensare i


colateral

Matching eronat datorat sistemelor informatice


utilizate. Erori in cadrul procesului de
compensare. Erori in cadrul procesului de
adecvare a colateralului clientilor

Anexa 1

complexitatea produselor

Erori cauzate de neintelegerea naturii economice


de la baza unor produse financiare complexe

Anexa 1

riscuri de capacitate

Capacitate insuficienta a bazelor de date de a


prelua informatiile. Capacitate insuficienta de
personal de a gestiona volumul operatiunilor
financiare

Anexa 1

riscuri de evaluare

Evaluarea eronata a activelor societatii

Anexa 1

riscuri de confidenialitate

Divulgarea de informatii sensibile catre mediul


exterior. Furt de date cu caracter personal

Anexa 1

fraude

Fraude cauzate de personal financiar contabil cu


acces la multiple sisteme si niveluri informatice.

Anexa 1

Anexa 1

Functii cheie ale entitatii


Functii cheie
si activitati
aferente

Sistem cheie / Staie de lucru /


baz de date / sisteme
informatice importante / Alte
sisteme informatice
importante

erori de metodologie sau de


model

Definirea gresita a modelelor econometrice

28

Functii cheie
si activitati
aferente

Functii cheie
si activitati
aferente

Functii cheie
si activitati
aferente

Sistem cheie / Staie de lucru /


baz de date / sisteme
informatice importante / Alte
sisteme informatice
importante
Sistem cheie / Staie de lucru /
baz de date / sisteme
informatice importante / Alte
sisteme informatice
importante
Sistem cheie / Staie de lucru /
baz de date / sisteme
informatice importante / Alte
sisteme informatice
importante

erori de evaluare

Evaluarea eronata a activelor societatii

Anexa 1

disponibilitatea rezervelor pentru


acoperirea pierderilor

Rezerve insuficiente pentru acoperirea


pierderilor operationale. Lichiditate insuficienta
a activelor din rezerve

Anexa 1

complexitatea modelelor

Erori cauzate de neintelegerea naturii economice


de la baza unor produse financiare complexe

Anexa 1

Anexa 1

Anexa 1

Anexa 1

Personal si
sisteme IT

Staie de lucru / baz de date /


sisteme informatice
importante

Functii suport
si activitati
aferente

Staie de lucru / baz de date

Tehnologia informatiei
Sofware fara functiile critice necesare. Software
software neadecvate obiectivelor
cu o viteza redusa de procesare, sau cu o
de activitate
capacitate insuficienta de procesare a
informatiilor.
Suport
Proceduri de recrutare ineficiente. Buget de
Personal insuficient
resurse umane insuficient. Evaluarea eronata e
necesarului de personal
Categoria 3 - riscuri operaionale SISTEME
Conducerea executiv
Sisteme care nu asigura functiile critice
sistem inadecvat de management
necesare. Inexistenta procedurilor de backup.
al tehnologiei i securitii
Operabilitate redusa a sistemelor.
Relatia cu clientii

Conducerea
societatii

Staie de lucru / baz de date

Personal si
activitati
front-office

Sistem front-office

sisteme inadecvate

Sisteme care nu asigura functiile critice


necesare. Operabilitate redusa a sistemelor.

Anexa 1

erori de introducere manual sau


de utilizare neadecvat a
sistemelor informatice

cunostinte si pregtire insuficiente a


personalului financiar contabil

Anexa 1

Stergerea accidentala a
informatiilor stocate in bazele de

cunostinte si pregtire insuficiente a


personalului financiar contabil. Management

Anexa 1

Personal si
activitati
front-office
Personal si
activitati

Sistem front-office / Staie de


lucru / baz de date / sisteme
informatice importante / Alte
sisteme informatice
importante
Sistem front-office / Staie de
lucru / baz de date / sisteme

29

front-office

informatice importante / Alte


sisteme informatice
importante

date

impropriu al drepturilor de acces in aplicatie

Operatiuni
Personal si
activitati
operatiuni

Personal si
activitati
operatiuni

Personal si
activitati
operatiuni

Personal si
activitati
operatiuni

Personal si
activitati
operatiuni

Personal si
activitati
operatiuni

Personal si
activitati
operatiuni
Personal si
activitati
operatiuni

Sistem operatiuni / Staie de


lucru / baz de date / sisteme
informatice importante / Alte
sisteme informatice
importante
Sistem operatiuni / Staie de
lucru / baz de date / sisteme
informatice importante / Alte
sisteme informatice
importante
Sistem operatiuni / Staie de
lucru / baz de date / sisteme
informatice importante / Alte
sisteme informatice
importante
Sistem operatiuni / Staie de
lucru / baz de date / sisteme
informatice importante / Alte
sisteme informatice
importante
Sistem operatiuni / Staie de
lucru / baz de date / sisteme
informatice importante / Alte
sisteme informatice
importante
Sistem operatiuni / Staie de
lucru / baz de date / sisteme
informatice importante / Alte
sisteme informatice
importante
Sistem operatiuni / Staie de
lucru / baz de date / sisteme
informatice importante / Alte
sisteme informatice
importante
Sistem operatiuni / Staie de
lucru / baz de date / sisteme
informatice importante / Alte

sistem inadecvat de management


al tehnologiei i securitii

Sisteme care nu asigura functiile critice


necesare. Inexistenta procedurilor de backup.
Operabilitate redusa a sistemelor.

Anexa 1

sisteme inadecvate

Sisteme care nu asigura functiile critice


necesare. Operabilitate redusa a sistemelor.

Anexa 1

coruperea datelor

Prezenta datelor invalide, sau a datelor ce nu pot


fi accesate de ctre utilizatori

Anexa 1

capacitate insuficient de
procesare

Capacitate insuficienta a bazelor de date de a


prelua informatiile. Capacitate insuficienta de
personal de a gestiona volumul operatiunilor
financiare

Anexa 1

ntreruperi n funcionarea
sistemelor (hardware, software,
stocare, telecomunicaii)

Lipsa sistemelor de back-up pentru energie


electrica sau a liniilor secundare de
telecomunicatii

Anexa 1

cderi de reea

Inexistenta sistemelor de backup


corespunzatoare

Anexa 1

ntreruperii n furnizarea
serviciilor prestate de furnizorii
externi

Neraportarea incidentului ctre furnizor in timp


util.

Anexa 1

protecie inadecvat mpotriva


malware

Sisteme critice importante afectate de malware

Anexa 1

30

Personal si
activitati
operatiuni

Personal si
activitati
operatiuni

Personal si
activitati
operatiuni

Personal si
activitati
operatiuni

Personal si
activitati
operatiuni

Personal si
activitati
operatiuni

Personal si
activitati
operatiuni

Personal si
activitati
operatiuni

sisteme informatice
importante
Sistem operatiuni / Staie de
lucru / baz de date / sisteme
informatice importante / Alte
sisteme informatice
importante
Sistem operatiuni / Staie de
lucru / baz de date / sisteme
informatice importante / Alte
sisteme informatice
importante
Sistem operatiuni / Staie de
lucru / baz de date / sisteme
informatice importante / Alte
sisteme informatice
importante
Sistem operatiuni / Staie de
lucru / baz de date / sisteme
informatice importante / Alte
sisteme informatice
importante
Sistem operatiuni / Staie de
lucru / baz de date / sisteme
informatice importante / Alte
sisteme informatice
importante
Sistem operatiuni / Staie de
lucru / baz de date / sisteme
informatice importante / Alte
sisteme informatice
importante
Sistem operatiuni / Staie de
lucru / baz de date / sisteme
informatice importante / Alte
sisteme informatice
importante
Sistem operatiuni / Staie de
lucru / baz de date / sisteme
informatice importante / Alte
sisteme informatice
importante

riscuri de compatibilitate

Incapacitatea de a utiliza informatii sau fisiere


necompatibile cu noile versiuni ale programelor
software

Anexa 1

riscuri generate de
furnizori/vnztori

Lipsa sistemelor de back-up pentru energie


electrica sau a liniilor secundare de
telecomunicatii

Anexa 1

erori de programare

Buguri, posibile brese de securitate, procesare


inceata a datelor, baze de date instabile.

Anexa 1

riscuri de recuperare dup


dezastre

Plan BCP necorespunzator sau necunoscut de


catre angajati. Locatie secundara improprie.

Anexa 1

testare necorespunztoare a
recuperrii n caz de dezastru

Locatie secundara improprie. Testarea


neefectuata la timp, sau efectuata partial

Anexa 1

sistem inadecvat de actualizare


tehnologic

Pierderi sau coruperea informatiilor existente.


Atacuri cibernetice asupra sistemelor critice

Anexa 1

sisteme nvechite

Pierderi sau coruperea informatiilor existente.


Atacuri cibernetice asupra sistemelor critice

Anexa 1

lipsa metodologiilor de
dezvoltare si testare

Dezvoltare improprie a sistemelor informatice.


Testare ce nu tine cont de specificatiile de
business

Anexa 1

31

Personal si
activitati
operatiuni

Sistem operatiuni / Staie de


lucru / baz de date / sisteme
informatice importante / Alte
sisteme informatice
importante

Personalul si
activitati
financiar
contabile

Sistem financiar contabil /


Staie de lucru / baz de date /
sisteme informatice
importante / Alte sisteme
informatice importante

Functii cheie
si activitati
aferente

Sistem cheie / Staie de lucru /


baz de date / sisteme
informatice importante / Alte
sisteme informatice
importante

servicii necorespunztoare de
suport pentru sisteme

Neconformitatea cu reglementarile legale


respective (resurse umane, PSI, autorizari /
avizari autoritati locale)

Anexa 1

Anexa 1

Anexa 1

Anexa 1

Financiar - contabilitate

Prezenta datelor invalide, sau a datelor ce nu pot


fi accesate de ctre utilizatori

coruperea datelor

Functii cheie ale entitatii

Personal si
sisteme IT
Personal si
sisteme IT
Personal si
sisteme IT
Personal si
sisteme IT
Personal si
sisteme IT
Personal si
sisteme IT
Personal si
sisteme IT
Personal si
sisteme IT

Staie de lucru / baz de date /


sisteme informatice
importante
Staie de lucru / baz de date /
sisteme informatice
importante
Staie de lucru / baz de date /
sisteme informatice
importante
Staie de lucru / baz de date /
sisteme informatice
importante
Staie de lucru / baz de date /
sisteme informatice
importante
Staie de lucru / baz de date /
sisteme informatice
importante
Staie de lucru / baz de date /
sisteme informatice
importante
Staie de lucru / baz de date /
sisteme informatice

capacitate insuficient de
procesare

Capacitate insuficienta a bazelor de date de a


prelua informatiile. Capacitate insuficienta de
personal de a gestiona volumul operatiunilor
financiare

Tehnologia informatiei
ntreruperi n funcionarea
Lipsa sistemelor de back-up pentru energie
sistemelor (hardware, software,
electrica sau a liniilor secundare de
stocare, telecomunicaii)
telecomunicatii

cderi de reea

Inexistenta sistemelor de backup


corespunzatoare

Anexa 1

ntreruperii n furnizarea
serviciilor prestate de furnizorii
externi

Neraportarea incidentului ctre furnizor in timp


util.

Anexa 1

protecie inadecvat mpotriva


malware

Sisteme critice importante afectate de malware

Anexa 1

riscuri de compatibilitate

Anexa 1

riscuri generate de
furnizori/vnztori

Anexa 1

erori de programare

Buguri, posibile brese de securitate, procesare


inceata a datelor, baze de date instabile.

Anexa 1

riscuri de recuperare dup


dezastre

Plan BCP necorespunzator sau necunoscut de


catre angajati. Locatie secundara improprie.

Anexa 1

Incapacitatea de a utiliza informatii sau fisiere


necompatibile cu noile versiuni ale programelor
software
Lipsa sistemelor de back-up pentru energie
electrica sau a liniilor secundare de
telecomunicatii

32

Personal si
sisteme IT
Personal si
sisteme IT
Personal si
sisteme IT
Personal si
sisteme IT

importante
Staie de lucru / baz de date /
sisteme informatice
importante
Staie de lucru / baz de date /
sisteme informatice
importante
Staie de lucru / baz de date /
sisteme informatice
importante
Staie de lucru / baz de date /
sisteme informatice
importante

testare necorespunztoare a
recuperrii n caz de dezastru

Locatie secundara improprie. Testarea


neefectuata la timp, sau efectuata partial

Anexa 1

sistem inadecvat de actualizare


tehnologic

Pierderi sau coruperea informatiilor existente.


Atacuri cibernetice asupra sistemelor critice

Anexa 1

sisteme nvechite

Pierderi sau coruperea informatiilor existente.


Atacuri cibernetice asupra sistemelor critice

Anexa 1

lipsa metodologiilor de
dezvoltare si testare

Anexa 1

Anexa 1

Anexa 1

Anexa 1

Anexa 1

Anexa 1

Anexa 1

Anexa 1

Anexa 1

Personal si
sisteme IT

Router
(Model , Serie)

Personal si
sisteme IT

IPS / IDS (Model , Serie)

Personal si
sisteme IT

Switch 1,2 (Model, Serie)

Personal si
sisteme IT

Server Mail (Model, Serie)

Personal si
sisteme IT

Server Backup
(Model, Serie)

Personal si
sisteme IT

Server Web
(Model, Serie)

Personal si
sisteme IT

Server BD
(Model, Serie)

Personal si
sisteme IT

Server Aplicatie Online


Clienti

Administrare defectuasa
Incendiu
Cutremur
Inundatie
Administrare defectuasa
Incendiu
Cutremur
Inundatie
Administrare defectuasa
Incendiu
Cutremur
Inundatie
Administrare defectuasa
Incendiu
Cutremur
Inundatie
Administrare defectuasa
Incendiu
Cutremur
Inundatie
Administrare defectuasa
Incendiu
Cutremur
Inundatie
Administrare defectuasa
Incendiu
Cutremur
Inundatie
Administrare defectuasa
Incendiu

Dezvoltare improprie a sistemelor informatice.


Testare ce nu tine cont de specificatiile de
business
Lipsa sistem automat de detectie si stingere a
incediilor
Lipsa sistem supraveghere video
Defectiune hardware
Lipsa sistem automat de detectie si stingere a
incediilor
Lipsa sistem supraveghere video
Defectiune hardware
Lipsa sistem automat de detectie si stingere a
incediilor
Lipsa sistem supraveghere video
Defectiune hardware
Lipsa sistem automat de detectie si stingere a
incediilor
Lipsa sistem supraveghere video
Defectiune hardware
Lipsa sistem automat de detectie si stingere a
incediilor
Lipsa sistem supraveghere video
Defectiune hardware
Lipsa sistem automat de detectie si stingere a
incediilor
Lipsa sistem supraveghere video
Defectiune hardware
Lipsa sistem automat de detectie si stingere a
incediilor
Lipsa sistem supraveghere video
Defectiune hardware
Lipsa sistem automat de detectie si stingere a
incediilor

33

(Model, Serie)

Personal si
sisteme IT

Sever Aplicatii Intranet


(Model, Serie)

Personal si
sisteme IT

Echipament1 locatie DR
(Model, Serie)

Personal si
sisteme IT

Echipament2 locatie DR
(Model, Serie)

Cutremur
Inundatie
Administrare defectuasa
Incendiu
Cutremur
Inundatie
N/A
Echipament hostat intr-o locatie
alternativa DataCenter
N/A
Echipament hostat intr-o locatie
alternativa DataCenter

Personal si
sisteme IT

Imprimante, scanere

Incendiu
Cutremur
Inundatie

Personal si
sisteme IT

Echipament desktop

Incendiu
Cutremur
Inundatie

Personal si
sisteme IT

Aplicatie online clienti

Personal si
sisteme IT

Aplicatie contabilitate

Personal si
sisteme IT

Aplicatie Intranet

Personal si
sisteme IT

Solutie securitate IT
(antivirus, firewall, etc)

Personal si
sisteme IT

Licente Sistem Operare 1

Vulnerabilitati software
Erori de programare
Acces neautorizat
Modificri neautorizate ale
software-ului sau datelor
Erori de programare
Vulnerabilitati software
Erori de programare
Acces neautorizat
Modificri neautorizate ale
software-ului sau datelor
Erori de operare
Vulnerabilitati software
Erori de programare
Acces neautorizat
Modificri neautorizate ale
software-ului sau datelor
Erori de programare
Vulnerabilitati software
Erori de programare
Acces neautorizat
Vulnerabilitati software. Acces
neautorizat

Lipsa sistem supraveghere video


Defectiune hardware
Lipsa sistem automat de detectie si stingere a
incediilor
Lipsa sistem supraveghere video
Defectiune hardware

Anexa 1

Defectiune hardware

N/A

Defectiune hardware

N/A

Anexa 1

Anexa 1

Lipsa testari periodice


Neaplicarea la timp a update-urilor necesare
Pregtire de specialitate necorespunz-toare a
personalului.

Anexa 1

Lipsa testari periodice


Neaplicarea la timp a update-urilor necesare

Anexa 1

Anexa 1

Anexa 1

Anexa 1

Lipsa sistem automat de detectie si stingere a


incediilor
Lipsa sistem supraveghere video
Defectiune hardware
Lipsa sistem automat de detectie si stingere a
incediilor
Lipsa sistem supraveghere video
Defectiune hardware

Lipsa testari periodice


Neaplicarea la timp a update-urilor necesare
Pregtire de specialitate necorespunz-toare a
personalului.
Lipsa testari periodice
Neaplicarea la timp a update-urilor necesare
Neaplicarea la timp a update-urilor necesare

34

Personal si
sisteme IT
Personal si
sisteme IT
Personal si
sisteme IT
Personal si
sisteme IT
Personal si
sisteme IT
Personal si
sisteme IT
Functii suport
si activitati
aferente

Conducerea
societatii
Conducerea
societatii

Conducerea
societatii

Contracte

Corespondenta

Arhiva date

Declaratii

Dosare personal

Decizii

Staie de lucru / baz de date

Staie de lucru / baz de date


Sistem front-office / Staie de
lucru / baz de date / sisteme
informatice importante / Alte
sisteme informatice
importante
Sistem front-office / Staie de
lucru / baz de date / sisteme
informatice importante / Alte
sisteme informatice
importante

Configurarea necorespunztoare a funciilor de


securitate ale sistemelor de operare
Acces neautorizat
Lipsa filtru software
Dezvaluire informatii
Continut trafic utilizatori
Acces neautorizat
Lipsa filtru software
Dezvaluire informatii
Continut trafic utilizatori
Acces neautorizat
Lipsa filtru software
Dezvaluire informatii
Continut trafic utilizatori
Acces neautorizat
Lipsa filtru software
Dezvaluire informatii
Continut trafic utilizatori
Acces neautorizat
Lipsa filtru software
Dezvaluire informatii
Continut trafic utilizatori
Acces neautorizat
Lipsa filtru software
Dezvaluire informatii
Continut trafic utilizatori
Suport
Neconformitatea cu reglementarile legale
servicii necorespunztoare de
respective (resurse umane, PSI, autorizari /
suport pentru sisteme
avizari autoritati locale)
Categoria 4 - riscuri operaionale EXTERNE
Conducerea executiv
Inexistenta unui back-up pentru persoanele cheie
Pierderea persoanelor cheie
din companie. Proceduri de recrutare ineficiente.

Anexa 1

Anexa 1

Anexa 1

Anexa 1

Anexa 1

Anexa 1

Anexa 1

Anexa 1

erori de introducere manual sau


de utilizare neadecvat a
sistemelor informatice

cunostinte si pregtire insuficiente a


personalului financiar contabil

Anexa 1

Stergerea accidentala a
informatiilor stocate in bazele de
date

cunostinte si pregtire insuficiente a


personalului financiar contabil. Management
impropriu al drepturilor de acces in aplicatie

Anexa 1

Relatia cu clientii
Personal si
activitati
front-office
Personal si
activitati
front-office

Sistem front-office / Staie de


lucru / baz de date / sisteme
informatice importante / Alte
sisteme informatice
importante
Sistem front-office / Staie de
lucru / baz de date / sisteme
informatice importante / Alte

Vanzarea de produse
necorespunzatoare clientilor
respectivi

Functionarea defectuoasa a sistemelor de front


office. Incadrarea defectuoasa in categoriile de
risc pentru clientii noi.

Anexa 1

erori de introducere manual sau


de utilizare neadecvat a
sistemelor informatice

cunostinte si pregtire insuficiente a


personalului financiar contabil

Anexa 1

35

Personal si
activitati
front-office

sisteme informatice
importante
Sistem front-office / Staie de
lucru / baz de date / sisteme
informatice importante / Alte
sisteme informatice
importante

Stergerea accidentala a
informatiilor stocate in bazele de
date

cunostinte si pregtire insuficiente a


personalului financiar contabil. Management
impropriu al drepturilor de acces in aplicatie

Anexa 1

Operatiuni
Personal si
activitati
operatiuni

Personal si
activitati
operatiuni

Personal si
activitati
operatiuni

Personal si
activitati
operatiuni

Personal si
activitati
operatiuni

Personal si
activitati
operatiuni
Personal si
activitati
operatiuni

Sistem operatiuni / Staie de


lucru / baz de date / sisteme
informatice importante / Alte
sisteme informatice
importante
Sistem operatiuni / Staie de
lucru / baz de date / sisteme
informatice importante / Alte
sisteme informatice
importante
Sistem operatiuni / Staie de
lucru / baz de date / sisteme
informatice importante / Alte
sisteme informatice
importante
Sistem operatiuni / Staie de
lucru / baz de date / sisteme
informatice importante / Alte
sisteme informatice
importante
Sistem operatiuni / Staie de
lucru / baz de date / sisteme
informatice importante / Alte
sisteme informatice
importante
Sistem operatiuni / Staie de
lucru / baz de date / sisteme
informatice importante / Alte
sisteme informatice
importante
Sistem operatiuni / Staie de
lucru / baz de date / sisteme
informatice importante / Alte
sisteme informatice

ntreruperi n furnizarea
serviciilor prestate de furnizori
externi

Lipsa sistemelor de back-up pentru energie


electrica sau a liniilor secundare de
telecomunicatii

Anexa 1

Pierderea persoanelor cheie

Inexistenta unui back-up pentru persoanele cheie


din companie. Proceduri de recrutare ineficiente.

Anexa 1

Vanzarea de produse
necorespunzatoare clientilor
respectivi

Functionarea defectuoasa a sistemelor de front


office. Incadrarea defectuoasa in categoriile de
risc pentru clientii noi.

Anexa 1

fraude i activiti criminale


externe

Lipsa verificarilor eficace. Lipsa principiului


celor patru ochi. Management impropriu al
drepturilor de acces in aplicatie.

Anexa 1

pierderi datorate evenimentelor


catastrofice/dezastrelor naturale
sau generate de oameni ori
factori din afara organizaiei

Lipsa sistem automat de detectie si stingere a


incediilor
Lipsa sistem supraveghere video
Defectiune hardware

Anexa 1

atacuri teroriste clasice sau


informatice

Lipsa sistemelor de siguranta si de back-up a


sistemelor informatice critice

Anexa 1

criminalitate economic i/sau


informatic

Lipsa sistemelor de siguranta si de back-up a


sistemelor informatice critice

Anexa 1

36

Personal si
activitati
operatiuni

Personal si
activitati
operatiuni

Personal si
activitati
operatiuni

importante
Sistem operatiuni / Staie de
lucru / baz de date / sisteme
informatice importante / Alte
sisteme informatice
importante
Sistem operatiuni / Staie de
lucru / baz de date / sisteme
informatice importante / Alte
sisteme informatice
importante
Sistem operatiuni / Staie de
lucru / baz de date / sisteme
informatice importante / Alte
sisteme informatice
importante

cderi ale alimentarii cu


electricitate

Lipsa sistemelor de back-up pentru energie


electrica sau a liniilor secundare de
telecomunicatii

Anexa 1

expuneri externe ale securitii


sistemelor

Lipsa sistem automat de detectie si stingere a


incediilor
Lipsa sistem supraveghere video
Defectiune hardware

Anexa 1

servicii necorespunztoare de
suport pentru sisteme

Neconformitatea cu reglementarile legale


respective (resurse umane, PSI, autorizari /
avizari autoritati locale)

Anexa 1

Anexa 1

Financiar - contabilitate
Personalul si
activitati
financiar
contabile

Sistem financiar contabil /


Staie de lucru / baz de date /
sisteme informatice
importante / Alte sisteme
informatice importante

fraude i activiti criminale


externe

Lipsa verificarilor eficace. Lipsa principiului


celor patru ochi. Management impropriu al
drepturilor de acces in aplicatie.

Functii cheie ale entitatii


Functii cheie
si activitati
aferente

Functii cheie
si activitati
aferente

Functii cheie
si activitati
aferente
Functii cheie
si activitati
aferente

Sistem cheie / Staie de lucru /


baz de date / sisteme
informatice importante / Alte
sisteme informatice
importante
Sistem cheie / Staie de lucru /
baz de date / sisteme
informatice importante / Alte
sisteme informatice
importante
Sistem cheie / Staie de lucru /
baz de date / sisteme
informatice importante / Alte
sisteme informatice
importante
Sistem cheie / Staie de lucru /
baz de date / sisteme
informatice importante / Alte
sisteme informatice

pierderi datorate evenimentelor


catastrofice/dezastrelor naturale
sau generate de oameni ori
factori din afara organizaiei

Lipsa sistem automat de detectie si stingere a


incediilor
Lipsa sistem supraveghere video
Defectiune hardware

Anexa 1

atacuri teroriste clasice sau


informatice

Lipsa sistemelor de siguranta si de back-up a


sistemelor informatice critice

Anexa 1

criminalitate economic i/sau


informatic

Lipsa sistemelor de siguranta si de back-up a


sistemelor informatice critice

Anexa 1

cderi ale alimentarii cu


electricitate

Lipsa sistemelor de back-up pentru energie


electrica sau a liniilor secundare de
telecomunicatii

Anexa 1

37

importante

Personal si
sisteme IT

Staie de lucru / baz de date /


sisteme informatice
importante

Functii suport
si activitati
aferente

Staie de lucru / baz de date

Tehnologia informatiei
Lipsa sistem automat de detectie si stingere a
expuneri externe ale securitii
incediilor
sistemelor
Lipsa sistem supraveghere video
Defectiune hardware
Suport
Neconformitatea cu reglementarile legale
servicii necorespunztoare de
respective (resurse umane, PSI, autorizari /
suport pentru sisteme
avizari autoritati locale)

Anexa 1

Anexa 1

38

Tratarea riscurilor (masuri de control ale riscurilor propuse pentru reducerea riscurilor) (exemplu)
ANEXA 1 la registrul riscurilor
Nr.
Crt
1.

Eveniment
Ameninare
nedorit
Producerea
unui incendiu

Incendiu

Vulnerabilitate
asociat
Absena unui sistem automat de
detectie si stingere a incendiului.

Prob.
Nivel Nivel
prod.
Impact risc
even.
Mica Mare Mediu

1.
2.
3.

Msuri de control al riscului


Implementate
-Verificarea si intreinerea instalaiilor.
-Existenta procedurilor de creare a fiierelor de back up care vizeza frecvena, tipul de back-up,
persoanele autorizate i verificarea periodic.
-Exista BCP, locatie alternativa de procesare a datelor.
- Instruirea personalului autorizat al sistemului privind modul de aciune la incendiu.

Masuri viitoare
-Existena unor mijloace automate de detectie si stingere a incendiului
-Realizarea unor contracte de furnizare echipamente de calcul, birotica, in cazul producerii unor astfel de
evenimente
6. -Existenta unui spatiu alternativ de reluare a activitatii pentru personal.
Mare Mediu Implementate
1. -Structura de rezisten a cldirii este solid.
2. -Pereii exteriori i despritori ai camerelor n care sunt instalate echipamentele sistemului sunt din
materiale solide.
- -Existenta procedurilor de creare a fiierelor de back up care vizeza frecvena, tipul de back-up, persoanele
autorizate i verificarea periodic.
7. -Exista BCP, locatie alternativa de procesare a datelor.
4.
5.

2.

Producerea
unui
cutremur

Cutremur

Lipsa planurilor de continuare a


Mica
activitatii sau a procedurilor de
recuperare /refacere a informatiilor
in caz de cutremur

1.
8.
3.

Alimentarene Cderi ale


corespunzto tensiunii de
are cu
alimentare
energie
electrica

Lipsa surselor nentreruptibile de


alimentare cu energie electrica.

Mica

Mare Mediu
1.
2.

Masuri viitoare
-Instruirea personalului autorizat al sistemului privind modul de aciune in caz de cutremur.
-Realizarea unor contracte de furnizare echipamente de calcul, birotica, in cazul producerii unor astfel de
evenimente.
Implementate
-Serverele de backup se afla intr-o locatie de tip data center avand disponibilitate de X%
-Toate serverele sunt prevazute cu UPS
Masuri viitoare
- implementare replicare sincrona intre sediul central si datacenter
-achizitionare generator electric

39

Nr.
Crt

Eveniment
Ameninare
nedorit

4.

Copierea
Dezvaluire
neautorizat informatii
de date /
software

Vulnerabilitate
asociat
Acces neautorizat - Copierea
neautorizat de date / software

Prob.
Nivel Nivel
prod.
Impact risc
even.
Mica Mare Mediu

1.

Configurarea necorespunztoare a
funciilor de securitate ale
sistemelor de operare.
Erori de
operare ale
personalului Lipsa fiierelor de back-up.

5.

Utilizarea
necorespunz
toare a
resurselor i
serviciilor
Erori de
sistemului programare
(erori de
utilizare)

Pregtire de specialitate
necorespunztoare a personalului.
Configurarea necorespunztoare a
funciilor de securitate ale
sistemelor de operare.
Lipsa fiierelor de back-up.
Pregtire de specialitate
necorespunztoare a personalului.
Lipsa fiierelor de back-up.

Modificri
neautorizate Pregtire de specialitate
ale software- necorespunztoare a personalului.
ului

Mica

2.
3.
Mare Mediu

Mica

Mare Mediu

Mica Mediu

Msuri de control al riscului


Implementate
-Existenta IDS, antivirus, Firewall.
-Instruirea continua a personalului.
-Backup periodic al datelor in data center conform procedurilor operationale existente
Masuri viitoare
-Utilizatorii cu drepturi de acces limitate ai sistemului trebuie s aib o pregtire corespunztoare privind
utilizarea resurselor i serviciilor sistemului.
-De asemenea trebuie resprectata politica de securitate existenta.
-In zona serverelor si nu numai accesul se va face pe baza de cartela magnetica.
Implementate
- Exista elaborata o politica de securitate care s in cont de rolul i misiunea sistemului, grupele de
utilizatori autorizai ai sistemului i de aplicarea principiului necesitii de a cunoate.
-Exista elaborarta o procedura de creare a fiierelor de back up care s vizeze frecvena, tipul de back-up,
persoanele autorizate i verificarea periodic a fiierelor de back-up.
-S-a creat o locatie alternativa de backup in DataCenter-ul X
- Toate update-urile pe aplicatiile software se testeaza pe mediul de test inainte de implemtarea in mediul
de productie

Mic

Mica

Mare Mediu
1.

Mica
Mica

Mare Mediu
Mare Mediu

Mica

Mare Mediu

Mica

Mare Mediu

Masuri viitoare
-Cursuri de specialitate

40