An

naliza risculu
r ui intrr-un m
mediu inform
matizaat
Elemenntele prezenttate conduc la l ideea ca mediul
m informmatizat geneereaza noi risscuri si oricee organizatiee, în vederea
asiguraarii unei protectii eficientte a informattiilor, este neecesar sa dezzvolte un prooces compleex de studiu si analiza a
riscuriloor.

Realitattea practica impune aborrdarea riscullui informatiic prin prism ma a 3 factorii: amenintarrile privite cca evenimentte
sau actiivitati (în general, din ex
xteriorul sisteemului audittat) care pot sa afecteze vulnerabilittatile existennte în orice
sistem ccauzând astffel impactul,, apreciat a fi
f o pierdere sau o conse cinta pe term men scurt, m
mediu sau lunng suportata de
organizzatie.

Riscul lla nivelul un

nei organizattii nu poate fi
f eliminat, el
e va exista înntotdeaua, m
managmentull societatii fi
fiind responsabil
de reduucerea lui la un
u nivel acceptabil. În acest sens, figgura 3.1 puune în coresppondenta differite elemennte ce necesita a
fi luate în calcul pentru reducerrea riscului.

Figura nnr.3.1 Comp ponentele riscului IT[1]

În acesst context, riscul informaatic se poate caracteriza prin urmatoaarele elemennte :
 Amenintarile si vuulnerabilitatille proceselo or sau/si acttivelor
 Impacttul asupra acctivelor bazat pe vulnerrabilitati si aamenintari
 Frecventa de apariitie a amenin ntarilor.
Odata identificcate, riscurilee trebuie evaluate în fun nctie de gravvitatea efecteloor pe care le prroduc.
În ggeneral, risccurile asociatte unui sisteem informattional, pe caare orice audditor trebuie sa le analiizeze si evalueze
(tehnica frecvent utilizata
u în accest caz estee chestionarrul), în vederrea aprecierrii sistemuluui în sine, vizzeaza:
 Riscull securitatii ii fizice ce va fi evaluuat în functtie de inforrmatiile culeese, cu privvire la: existtenta
sistemeelor de pazza, detectie si alarma a incendiilo or, sistemeloor de proteectie împotrriva caderillor de tensiiune,
protecttia echipamentelor împ potriva furtuurilor, proteectia împotrriva catastroofelor naturaale (inundattii, cutremure..),
protecttia fizica a suportilor
s de
d memorare, pastrareaa copiilor dee siguranta într-o alta llocatie decâât cea în carre îsi
desfaso
oara activitattea organizaatia.

Model dee chestionarr utilizat pen

ntru aprecieerea risculu
ui securitatii fizice
 Nr.
Intrebari Da Nu Comentarii
crt.
PREVENIREA INCIDENTELOR, INUNDAŢIILOR
sI CĂDERILOR DE TENSIUNE
1. Mediul în care se desfasoara activitatea de
p. a. d. este protejat în mod corespunzator împotriva
incendiilor :
- exista sisteme de detectie si de alarma împotriva
incendiilor? ;
- exista sisteme de stingere automata a incendiilor? ;
- locul de depozitare a suportilor de memorare este
rezistent la foc? ;
- exista stingatoare de incendii ?;
- a fost instruit personalul privind situatiile in care
trebuie sa alerteze echipa de prevenire a incidentelor?
2 Rapoartele privind aparitia incidentelor sunt furnizate
managementului?
3 Echipamentele sînt protejate împotriva inundatiilor?

4 Exista sisteme de protectie împotriva caderilor de

tensiune ?
5. Sistemele si dotarea tehnica sunt securizate impotriva
furturilor?
FACTORI FIZICI sI DE DOTARE
6 Este controlat accesul fizic în departamentele IT?
7 Exista un loc de protejare a suportilor de memorare aflat
în afara sediului firmei ?
8 Exista proceduri privind modul de stocare a informatiilor
confidentiale?
9. Documentatiile programelor, sistemului sînt depozitate la
loc sigur cu restrictionarea accesului persoanelor
neautorizate ?
10. Copiile de siguranta ale documentatiilor se afla la loc
sigur ?
11. Serverele se afla într-o încapere separata ?
12. Echipamentele de comunicatie sînt protejate în mod
corespunzator ?
CONTROLUL ACTIVITĂŢILOR DE DUPĂ
PROGRAMUL DE LUCRU
13 Exista un nivel mai ridicat de control dupa terminarea
programului?
14 Sunt securizate calculatoarele dupa terminarea
programului de lucru?
15 Sunt securizate cheile si cardurile de acces?
16 Sunt monitorizate echipele de curatenie si mentenanta?
17 Exista un jurnal pentru identificarea persoanelor care au
avut acces la sistemul informatic în afara orelor de
program?

 Riscul de comunicatie poate lua valente diferite, în functie de disponibilitatea sistemului la reteaua
publica, situatie în care auditorul e necesar sa analizeze masurile de securitate adoptate: existenta unui firewall,
modul de configurare a acestuia, analiza modului de transmitere a datelor prin reteaua publica (utilizarea
tehnicilor de criptare, existenta unei retele virtuale private - VPN). Acest risc se poate manifesta si la nivelul unei
retele locale, atunci când configurarea acesteia lasa de dorit si prin “ascultarea” liniilor de comunicatie, traficul
acesteia poate fi compromis. Confidentialitatea informatiilor nu vizeaza doar memorarea acestora pe statiile de
lucru sau servere, ci si liniile de comunicatie.

 Riscul privind integritatea datelor si tranzactiilor vizeaza toate riscurile asociate cu autorizarea,
completitudinea si acuratetea acestora.

 Riscul de acces se refera la riscul asociat accesului inadecvat la sistem, date sau informatii. Implicatiile
acestui risc sunt majore, el vizând confidentialitatea informatiilor, integritatea datelor sau bazelor de date si
disponibilitatea acestora. În acest sens, actiunile auditorului presupun o analiza a managementului parolelor la
nivelul organizatiei (altfel spus atribuirea si schimbarea parolelor de acces fac obiectul unei aprobari formale?), o
investigare a încercarilor de accesare neautorizata a sistemului (exista o jurnalizare a acestora ?), o analiza a
protectiei statiilor de lucru (sunt acestea dotate cu soft care sa blocheze accesul la retea, atunci când utilizatorul nu
se afla la statia sa ?).

 Riscul privind protectia antivirus ce impune o analiza a existentei programelor antivirus în entitate,
utilizarea lor la nivel de server si statii de lucru, upgrade-ul acestor programe (manual sau automat). Lupta cu
virusii este esentiala, dar nu usor de realizat. În ciuda numarului mare de programe antivirus existente este
necesara o analiza a caracteristicilor programului privind: scanarea în timp real a sistemului sau monitorizarea
continua a acestuia, scanarea mesajelor e-mail, scanarea manuala.

 Riscul legat de documentatia sistemului informatic. Documentatia generala a unui sistem

informatic vizeaza pe de o parte documentatia sistemului de operare sau retelei si, pe de alta parte, documentatia
aplicatiilor instalate. Aceasta documentatie poate fi diferita pentru administratori, utilizatori si operatori astfel
încât sa ajute la instalarea, operarea, administrarea si utilizarea produsului. Riscurile asociate documentatiei se pot
referi la faptul ca, aceasta nu reflecta realitatea în ceea ce priveste sistemul, nu este inteligibila, este accesibila
persoanelor neautorizate, nu este actualizata.

 Riscul de personal poate fi analizat prin prisma urmatoarelor criterii:

 Structura organizationala la nivelul departamentului IT ce va avea în vedere modul în care

sunt distribuite sarcinile si responsabilitatile în cadrul acestuia. Alocarea unui numar prea mare de responsabilitati
la nivelul unei singure persoane sau unui grup de persoane este semnul unei organizari interne defectuoase.

 Practica de selectie a angajatilor. La baza unui mediu de control adecvat stau competenta si
integritatea personalului, ceea ce implica din partea auditorilor o analiza a politicilor si procedurilor organizatiei
privind angajarea, specializarea, evaluarea performantelor si promovarea angajatilor.

 Riscul de infrastructura se concretizeaza în faptul ca organizatia nu detine o infrastructura efectiva a

tehnologiei informatiei (hardware, retele, software, oameni si procese) pentru a sustine nevoile acesteia.

 Riscul de management al situatiilor neprevazute (risc de disponibilitate) este riscul asociat

pericolelor naturale, dezastrelor, caderilor de sistem care pot conduce la pierderi definitive ale datelor, aplicatiilor,
în absenta unor proceduri de monitorizare a activitatii, a planurilor de refacere în caz de dezastre.

3.3 Managementul riscurilor IT

Literatura de specialitate defineste managementul riscului ca fiind „procesul de identificare a vulnerabilitatilor si

amenintarilor din cadrul unei organizatii, precum si de elaborare a unor masuri de minimizare a impactului acestora
asupra resurselor informationale”. Demersul metodologic al acestui proces[2] include urmatoarele etape:
 1. Caracterizarea sistemului informational.
2. Identificarea amenintarilor.
3. Identificarea vulnerabilitatilor.
4. Analiza controalelor existente la nivelul sistemului informatic.
5. Determinarea probabilitatii de realizare a amenintarilor.
6. Analiza impactului.
7. Determinarea riscului.
8. Recomandari asupra unor controale adecvate.
9. Documentarea rezultatelor.

1. Etapa 1- Caracterizarea sistemului. La nivelul acesteie etape, auditorul va desfasura în primul rând o
activitate de colectare a informatiilor despre sistemul informational, informatii care vor viza echipamentele
hardware, software, interfetele sistemului, utilizatorii sistemului informatic, datele si aplicatiile importante,
senzitivitatea datelor si sistemului în vederea aprecierii nivelului de protectie ce este necesar a fi realizat pentru
asigurarea integritatii, confidentialitatii si disponibilitatii datelor. Cele mai utilizate tehnici de investigare pentru
colectarea acestor informatii sunt: chestionarele, interviurile, documentatia sistemului, utilizarea unor instrumente
de scanare automata a sistemului informatic (SATAN este doar un exemplu de astfel de instrument ce permite
detectarea vulnerabilitatilor unei retele de calculatoare). Rezultatele acestei etape vor furniza o imagine a mediului
informatizat, a limitelor sistemului informatic analizat.

Etapa 2 – Identificarea amenintarilor.

Amenintarile sunt acele evenimente sau activitati, în general externe unui sistem, care pot afecta la un
moment dat punctele slabe ale acestuia, cauzând pierderi semnificative. În general o amenintare este o forta
potentiala care poate degrada confidentialitatea si integritatea sistemului, generând adeseori întreruperi de servicii
ale acestuia. Un element esential în cadrul acestei etape îl reprezinta determinarea probabilitatii de realizare a
acestei amenintari, element ce trebuie analizat în functie de:

- sursa amenintarii.
 naturala (cutremure, foc, tornade, etc)
 umana (atacuri într-o retea, acces neautorizat la date confidentiale)
 de mediu (caderi de tensiune pe termen lung, poluare, umiditate)
- vulnerabilitatea potentiala
- controalele existente.

Cu titlu exemplificativ, tabelul 3.1 releva diferite surse de amenintari umane cu actiunile generatoare:

Sursa amenintarii Actiunea amenintarilor

Hackeri, crackeri Intruziuni în sistem, atacuri de tip „hacking”,
acces neautorizat la sistem
Criminalitate Acte frauduloase, actiuni de tip spoofing,
informatica intruziuni ale sistemului.
Terorism Penetrarea sistemului, interferarea sistemului în
mod distructiv.
Spionaj industrial Penetrarea sistemului, acces neautorizat,
captarea datelor dintr-o linie de comunicatie
neprotejata.
Atacuri ale Fraude si erori, coruperea datelor, introducerea
angajatior unor date false, acces neautorizat la sistem,
 introducerea virusilor, caii troieni, etc.

Tabelul 3.1 – Surse de amenintari umane la nivelul unui sistem informational

Etapa 3 – Identificarea vulnerabilitatilor. Scopul acestei etape este de a dezvolta o lista a vulnerabilitatilor
sistemului (lipsuri sau slabiciuni) care pot fi exploatate de surse de amenintare potentiale. În acest context este
necesara o analiza a vulnerabilitatilor – amenintarilor pereche exemplificata, într-o maniera limitata, în cadrul
tabelului 3.2.

Vulnerabilitate Sursa amenintarii Actiunea amenintarii

Identificatorul (ID) angajatilor Salariati concediati Conectare la reateaua
concediati nu este eliminat din organizatiei si acceseaza
sistem datele acesteia.
Firewall-ul companiei permite Utilizatori neautorizati Utizarea serviciului Telnet,
un acces la sistem prin (hackeri, teroristi, permite accesul la fisierele
serviciul Telnet angajati concediati) din sistem.
Unul din partenerii societatii a Utilizatori neautorizati Obtinerea accesului
identificat slabiciuni în neautorizat la fisierele
proiectarea securitatii sensibile ale sistemului,
sistemului, sistemul în sine bazat pe vulnerabilitati
furnizându-i diferite metode cunoscute.
de remediere a acestora (este
si exeplul sistemului de
operare Windows – Internet
Explorer, care în momentul
detectarii unor slabiciuni în
proiectarea securitatii
sistemului face disponibile
pentru utilizatori „patch-uri”
pentru remedierea
slabiciunilor date).
Centrul de prelucrare automata Foc, persoane Declansarea automata a
a datelor foloseste pentru neglijente stingatoarelor de incendii.
stingerea incendiilor
„împrastietoare” de apa
(încastrate în tavan) fapt ce
poate afecta în mod negativ
echipamentele hardware.

Tabelul 3.2 – Exemple de amenintari – vulnerabilitati pereche

Etapa 4 – Analiza controalelor. În vederea minimizarii sau eliminarii riscurilor fiecare organizatie
dispune implementarea unor metode de control tehnice sau nontehnice ce pot viza:
- mecanisme de control al accesului,
- mecanisme de identificare si autentificare,
- metode de criptare a datelor
- software de detectare a intruziunilor
- politici de securitate
- proceduri operationale si de personal.

Etapa 5 – Determinarea probabilitatii de realizare a amenintarilor. Pentru determinarea unei rate de

probabilitate generala, care indica probabilitatea ca o vulnerabilitate potentiala sa fie exercitata în modelul de
amenintari asociate, este necesar ca auditorul sa analizeze urmatorii factori:
  capacitattea si motivaatia sursei dee amenintarre
 natura vuulnerabilitatii
 existentaa si eficienta controaleloor curente.

Acest eelement poaate fi apreciaat prin calificcativele „Înaalt”, „Mediu”” si „Scazut””, în urmatoaarele conditi
tii:

„Înalt” – sursa am menintarii esste foarte motivata

m si suficient dee capabila, iiar controallele de prevvenire a aceestor
vulneraabilitati suntt ineficiente.

„Mediu” – sursa am menintarii este

e foarte motivata
m si suficient
s dee capabila, ddar controallele existentte pot împieedica
declanssarea vulnerrabilitatii.

„Scazutt” – sursa amenintarii

a este lipsita de motivattie, sau conntroalele exxista pentru a preveni sau cel puttin a
împiediica semnificcativ vulneraabilitatea de a se manifeesta.

Etapa 6 – Analiza im
mpactului. Impactul
I fin
nanciar este definit ca eestimarea vaalorica a pieerderilor enttitatii
ca urm
mare a explo
oatarii slabiciunilor sisteemului de caatre ameninntari. Acest impact poaate avea douua componeente:
un imp
pact pe term
men scurt si un
u impact pe termen luung.

În esenta, impactul
i estte specific fiecarei
f orgaanizatii, deppinde de acttivele acesteeia, de tipul organizatiei, de
masurille de prevennire existentte, descrie efectul
e amen nintarii si see poate mannifesta ca o pierdere fin nanciara directa,
ca o coonsecinta asupra reputtatiei entitattii sau ca o sanctiune temporara, cu o ulteriioara conseecinta financciara
(figura 3.3).

Figura nnr.3.3 Relatiia dintre vuln

nerabilitati, amenintari, impact si maasuri de prevvenire
Impactul poate fi exprimat si el prin calificativele „Înalt”, „Mediu” si „Scazut”.

Etapa 7 – Determinarea riscului.

Modelele de risc, fie ele cantitative sau calitative, reprezinta instrumente deosebit de utile auditorilor IT
pentru identificarea diferitelor tipuri de risc, oferind în acelasi timp informatii pentru a le determina si controla.

Literatura de specialitate abordeaza doua modele de analiza a valorii riscului: modelul cantitativ si modelul
calitativ ; acestea pornesc de la premisa ca orice organizatie se poate astepta la aparitia unor pierderi cauzate de
ineficienta unui sistem informatic, iar acest risc al pierderilor, rezulta din impactul pe care îl au amenintarile
asupra resurselor organizatiei.

Determinarea riscului pentru fiecare pereche vulnerabilitate – amenintare particulara poate fi exprimat ca o
functie ce depinde de:

 probabilitatea de realizare a unei amenintari,

 marimea impactului,
 masurile de control existente pentru reducerea sau eliminarea riscului.
În acest sens poate fi dezvoltata o matrice a nivelului de risc (conform tabelului 3.3) – derivata din multiplicarea
probabilitatii de realizare a amenintarii si impactul acesteia.Spre exemplu, daca :
- probabilitatea asociata pentru fiecare nivel de realizare a amenintarii este :
1 - Înalt
2 – Mediu
3 – Scazut
- valoarea asociata pentru fiecare nivel de impact :
100 – Înalt
50 – Mediu
10 – Scazut.
Probabilitatea Impact
amenintarii Scazut (10) Mediu (50) Înalt (100)
Înalt (1) Scazut (10) Mediu (50) Înalt (100)
Mediu (0.5) Scazut (5) Mediu (25) Mediu (50)
Scazut (0.1) Scazut (1) Scazut (5) Scazut (10)

Tabelul 3.3 - Matricea nivelului de risc

Specialistul Alan Oliphant propune un model calitativ de determinare a nivelului de risc, conform caruia sunt luati în
calcul 4 factori de baza în aprecierea valorii riscului: impactul financiar, vulnerabilitatea, complexitatea si
încrederea (model reprezentat în figura 3.2[3]).
Figura nnr. 3.2 Evalu
uarea riscuriilor

În acestt caz, valoarrea riscului va

v fi exprimaata prin califficativele “Fooarte Scazutt , «Scazut, M
Mediu, Înalt,, Foarte Înalt” si
nu în vaalori absolutte ; formula de
d determinaare a valorii riscului estee urmatoareaa :

VR=
= VF * [( Cvv*Wv )+( C
Cc*Wc )+( Ct*Wt )

undde:

R - valoarea de
VR d risc

VF - impactul financiar assupra organiizatiei; acestta reprezintaa un cost pootential al oorganizatiei îîn eventualittatea
aparitieei unei erori, caderi de sistem,
s fraud
de sau alte evenimente
e negative. V
Valoarea matteriala va fi ddata de valo
oarea
financiaara sau valooarea activellor. Impactuul asupra orrganizatiei ppoate fi spoorit prin inteermediul un
nui multipliccator
non finnanciar:

[(Cv*Wv))+(Cc*Wc))+(Ci*Wi)

Aceest model de d calcul po

oate fi privvit ca un puunct culminnant al anallizei factorillor de risc: vulnerabiliitate,
compleexitate si înccredere.

Cv - vulnerabi bilitatea, se refera

r pe dee o parte la modul
m în caare utilizatorrii autorizatii au acces în
n sistem si pe
p de
alta parrte la accesib
bilitatea sisttemului si a activelor orrganizatiei dde catre utilizzatori neauttorizati. Acccesibilitatea unui
sistem information nal se poatte evalua în n functie dee restrictiile fizice impllementate în n cadrul orrganizatiei sis de
modalitatile de accces prin intermediul reteelei de comuunicatie.

Cc - complexiitatea - are în vedere riiscul asociatt tehnologieei informatioonale în sinee, numarul uutilizatorilorr din
cadrul compartimeentelor sau în
î termeni mai
m generici complexitaatea organizaationala.

Ci - încrederrea, reflecta comportaamentul um man din orrganizatie ssi vizeaza doua aspeccte: integrittatea
personalului si grad
dul de impliicare al man
nagerilor.

Wvv, Wc, Wi - reprezinta

r factori
fa de greutate
gr (im
mportanta) caare pot fi applicati la disccretia audito
orului, în fun
nctie
de connditiile specifice. Initiall, acesti facctori pot fi stabiliti la o valoare de 0.33 în vederea deeterminarii unui
multipllicator mediiu general ala riscului ; aceasta valo oare nu estee fixa si atuunci când sse consideraa ca unul diintre
elemen
nte are un immpact mai mare
m decât ceelelalte, se potp folosi vaalori diferitee.
 Valoarea ded risc calcuulata va fi transpusa în ntr-un „tab el de traduucere”, indiccându-se nivvelul de risc; în
proiecttarea acestuii tabel, audittorii au în vedere
v urmattoarele reguuli: valoarea cea mai scaazuta de riscc = 0 si valo
oarea
cea maii ridicata se apreciaza ca fiind valoaarea totala (financiara) a organizatiei multiplicaata cu 3.

Etaapa 8. - Reccomandarii asupra un

nor controal
ale adecvatee.

Scopul acesstei etape see rezuma la recomandar

r rile auditoruului asupra ccontroalelorr necesare a fi implemen
ntate
pentru reducerea nivelului
n de risc la un nivel
n accepttabil. În mood implicit, auditorul vaa determinaa nivelul risccului
reziduaal definit caa acel nivell de risc cee ramâne dupa analizaa si evaluarea tuturor masurilor dde combateere a
riscurilo
or. Riscul reezidual ia fo
orma unei cooncluzii la care
c s-a ajunns în urma uunui proces de analiza a lui si trebu uie sa
continaa:

 sem
mnalarea pun nctelor slab
be, nevralgicce ale sistem
mului asociaate cu amen
nintarile correspunzatoare si
probbabilitatea lo
or de a aveaa loc;
 toatte masurile (recomandaarile) ce se impun a fi aaplicate dacaa riscul reziddual nu se îîncadreaza la un
niveel acceptabill.

Figura nnr.3.5 Repreezentarea riscului rezidual[4]

Etapa 99. - Documeentarea rezultatelor este ultima etapaa a acestui pproces ce se m materializeaaza sub form
ma unui raporrt
scris cee va include identificarea
i a vulnerabilittatilor, amen
nintarilor surrsa, evaluareea riscurilor si recomanddarile de
controaale adecvate.