Documente Academic
Documente Profesional
Documente Cultură
naliza risculu
r ui intrr-un m
mediu inform
matizaat
Elemenntele prezenttate conduc la l ideea ca mediul
m informmatizat geneereaza noi risscuri si oricee organizatiee, în vederea
asiguraarii unei protectii eficientte a informattiilor, este neecesar sa dezzvolte un prooces compleex de studiu si analiza a
riscuriloor.
Realitattea practica impune aborrdarea riscullui informatiic prin prism ma a 3 factorii: amenintarrile privite cca evenimentte
sau actiivitati (în general, din ex
xteriorul sisteemului audittat) care pot sa afecteze vulnerabilittatile existennte în orice
sistem ccauzând astffel impactul,, apreciat a fi
f o pierdere sau o conse cinta pe term men scurt, m
mediu sau lunng suportata de
organizzatie.
Riscul de comunicatie poate lua valente diferite, în functie de disponibilitatea sistemului la reteaua
publica, situatie în care auditorul e necesar sa analizeze masurile de securitate adoptate: existenta unui firewall,
modul de configurare a acestuia, analiza modului de transmitere a datelor prin reteaua publica (utilizarea
tehnicilor de criptare, existenta unei retele virtuale private - VPN). Acest risc se poate manifesta si la nivelul unei
retele locale, atunci când configurarea acesteia lasa de dorit si prin “ascultarea” liniilor de comunicatie, traficul
acesteia poate fi compromis. Confidentialitatea informatiilor nu vizeaza doar memorarea acestora pe statiile de
lucru sau servere, ci si liniile de comunicatie.
Riscul privind integritatea datelor si tranzactiilor vizeaza toate riscurile asociate cu autorizarea,
completitudinea si acuratetea acestora.
Riscul de acces se refera la riscul asociat accesului inadecvat la sistem, date sau informatii. Implicatiile
acestui risc sunt majore, el vizând confidentialitatea informatiilor, integritatea datelor sau bazelor de date si
disponibilitatea acestora. În acest sens, actiunile auditorului presupun o analiza a managementului parolelor la
nivelul organizatiei (altfel spus atribuirea si schimbarea parolelor de acces fac obiectul unei aprobari formale?), o
investigare a încercarilor de accesare neautorizata a sistemului (exista o jurnalizare a acestora ?), o analiza a
protectiei statiilor de lucru (sunt acestea dotate cu soft care sa blocheze accesul la retea, atunci când utilizatorul nu
se afla la statia sa ?).
Riscul privind protectia antivirus ce impune o analiza a existentei programelor antivirus în entitate,
utilizarea lor la nivel de server si statii de lucru, upgrade-ul acestor programe (manual sau automat). Lupta cu
virusii este esentiala, dar nu usor de realizat. În ciuda numarului mare de programe antivirus existente este
necesara o analiza a caracteristicilor programului privind: scanarea în timp real a sistemului sau monitorizarea
continua a acestuia, scanarea mesajelor e-mail, scanarea manuala.
Practica de selectie a angajatilor. La baza unui mediu de control adecvat stau competenta si
integritatea personalului, ceea ce implica din partea auditorilor o analiza a politicilor si procedurilor organizatiei
privind angajarea, specializarea, evaluarea performantelor si promovarea angajatilor.
1. Etapa 1- Caracterizarea sistemului. La nivelul acesteie etape, auditorul va desfasura în primul rând o
activitate de colectare a informatiilor despre sistemul informational, informatii care vor viza echipamentele
hardware, software, interfetele sistemului, utilizatorii sistemului informatic, datele si aplicatiile importante,
senzitivitatea datelor si sistemului în vederea aprecierii nivelului de protectie ce este necesar a fi realizat pentru
asigurarea integritatii, confidentialitatii si disponibilitatii datelor. Cele mai utilizate tehnici de investigare pentru
colectarea acestor informatii sunt: chestionarele, interviurile, documentatia sistemului, utilizarea unor instrumente
de scanare automata a sistemului informatic (SATAN este doar un exemplu de astfel de instrument ce permite
detectarea vulnerabilitatilor unei retele de calculatoare). Rezultatele acestei etape vor furniza o imagine a mediului
informatizat, a limitelor sistemului informatic analizat.
Amenintarile sunt acele evenimente sau activitati, în general externe unui sistem, care pot afecta la un
moment dat punctele slabe ale acestuia, cauzând pierderi semnificative. În general o amenintare este o forta
potentiala care poate degrada confidentialitatea si integritatea sistemului, generând adeseori întreruperi de servicii
ale acestuia. Un element esential în cadrul acestei etape îl reprezinta determinarea probabilitatii de realizare a
acestei amenintari, element ce trebuie analizat în functie de:
- sursa amenintarii.
naturala (cutremure, foc, tornade, etc)
umana (atacuri într-o retea, acces neautorizat la date confidentiale)
de mediu (caderi de tensiune pe termen lung, poluare, umiditate)
- vulnerabilitatea potentiala
- controalele existente.
Cu titlu exemplificativ, tabelul 3.1 releva diferite surse de amenintari umane cu actiunile generatoare:
Etapa 3 – Identificarea vulnerabilitatilor. Scopul acestei etape este de a dezvolta o lista a vulnerabilitatilor
sistemului (lipsuri sau slabiciuni) care pot fi exploatate de surse de amenintare potentiale. În acest context este
necesara o analiza a vulnerabilitatilor – amenintarilor pereche exemplificata, într-o maniera limitata, în cadrul
tabelului 3.2.
Etapa 4 – Analiza controalelor. În vederea minimizarii sau eliminarii riscurilor fiecare organizatie
dispune implementarea unor metode de control tehnice sau nontehnice ce pot viza:
- mecanisme de control al accesului,
- mecanisme de identificare si autentificare,
- metode de criptare a datelor
- software de detectare a intruziunilor
- politici de securitate
- proceduri operationale si de personal.
Acest eelement poaate fi apreciaat prin calificcativele „Înaalt”, „Mediu”” si „Scazut””, în urmatoaarele conditi
tii:
Etapa 6 – Analiza im
mpactului. Impactul
I fin
nanciar este definit ca eestimarea vaalorica a pieerderilor enttitatii
ca urm
mare a explo
oatarii slabiciunilor sisteemului de caatre ameninntari. Acest impact poaate avea douua componeente:
un imp
pact pe term
men scurt si un
u impact pe termen luung.
În esenta, impactul
i estte specific fiecarei
f orgaanizatii, deppinde de acttivele acesteeia, de tipul organizatiei, de
masurille de prevennire existentte, descrie efectul
e amen nintarii si see poate mannifesta ca o pierdere fin nanciara directa,
ca o coonsecinta asupra reputtatiei entitattii sau ca o sanctiune temporara, cu o ulteriioara conseecinta financciara
(figura 3.3).
Modelele de risc, fie ele cantitative sau calitative, reprezinta instrumente deosebit de utile auditorilor IT
pentru identificarea diferitelor tipuri de risc, oferind în acelasi timp informatii pentru a le determina si controla.
Literatura de specialitate abordeaza doua modele de analiza a valorii riscului: modelul cantitativ si modelul
calitativ ; acestea pornesc de la premisa ca orice organizatie se poate astepta la aparitia unor pierderi cauzate de
ineficienta unui sistem informatic, iar acest risc al pierderilor, rezulta din impactul pe care îl au amenintarile
asupra resurselor organizatiei.
Determinarea riscului pentru fiecare pereche vulnerabilitate – amenintare particulara poate fi exprimat ca o
functie ce depinde de:
Specialistul Alan Oliphant propune un model calitativ de determinare a nivelului de risc, conform caruia sunt luati în
calcul 4 factori de baza în aprecierea valorii riscului: impactul financiar, vulnerabilitatea, complexitatea si
încrederea (model reprezentat în figura 3.2[3]).
Figura nnr. 3.2 Evalu
uarea riscuriilor
VR=
= VF * [( Cvv*Wv )+( C
Cc*Wc )+( Ct*Wt )
undde:
R - valoarea de
VR d risc
VF - impactul financiar assupra organiizatiei; acestta reprezintaa un cost pootential al oorganizatiei îîn eventualittatea
aparitieei unei erori, caderi de sistem,
s fraud
de sau alte evenimente
e negative. V
Valoarea matteriala va fi ddata de valo
oarea
financiaara sau valooarea activellor. Impactuul asupra orrganizatiei ppoate fi spoorit prin inteermediul un
nui multipliccator
non finnanciar:
[(Cv*Wv))+(Cc*Wc))+(Ci*Wi)
Cc - complexiitatea - are în vedere riiscul asociatt tehnologieei informatioonale în sinee, numarul uutilizatorilorr din
cadrul compartimeentelor sau în
î termeni mai
m generici complexitaatea organizaationala.
Ci - încrederrea, reflecta comportaamentul um man din orrganizatie ssi vizeaza doua aspeccte: integrittatea
personalului si grad
dul de impliicare al man
nagerilor.
sem
mnalarea pun nctelor slab
be, nevralgicce ale sistem
mului asociaate cu amen
nintarile correspunzatoare si
probbabilitatea lo
or de a aveaa loc;
toatte masurile (recomandaarile) ce se impun a fi aaplicate dacaa riscul reziddual nu se îîncadreaza la un
niveel acceptabill.
Etapa 99. - Documeentarea rezultatelor este ultima etapaa a acestui pproces ce se m materializeaaza sub form
ma unui raporrt
scris cee va include identificarea
i a vulnerabilittatilor, amen
nintarilor surrsa, evaluareea riscurilor si recomanddarile de
controaale adecvate.