Sunteți pe pagina 1din 37

ANALIZA RISCULUI DE SECURITATE A

SISTEMELOR DE AUDIT SI CERTIFICARE

MASTER MPI
STUDENT: Marcu Iulia

1
2
1. Analiza de risc i managementul riscului de
securitate

Asigurarea securitii datelor din interiorul firmei reprezint o aliniere


la cerinele actuale ale dezvoltrii societii informaionale. Dezvoltarea fr
precedent a mediului de afaceri din ultimul timp folosete ca purttoare
tehnologiile Internet. Dezvoltarea acestor tehnologii ntr-un ritm att de
rapid nu a putut fi prezis de iniiatorii ei i aceste tehnologii nu s-ar fi
dezvoltat fr sprijinul mediului economic care le-a adoptat i acestea s-au
adaptat la acest mediu. Aceasta a fcut posibil apariia de noi domenii
domeniile e (e-Commerce, e-Business). Acest mediu de comunicare,
informare, documentare, tranzacionare etc, care reune te milioane de
utilizatori are ns i punctele lui vulnerabile. Vulnerabilitatea reprezint
poate punctul cel mai nevralgic al mediului Internet. Zilnic au loc atacuri la
adresa serverelor de orice tip din Internet. i tot zilnic se depun eforturi
uriae i se cheltuiesc sume mari de ctre companii specializate pentru
acoperirea gurilor de securitate descoperite la timp sau n urma unor atacuri
uneori cu consecine catastrofale. Marile companii productoare de software
au compartimente specializate pe securitate. Orice produs program are
ncorporate i elemente de siguran i securitate.

Ce trebuie s fac ns o firm mic ce nu dispune de fonduri? Cum va


face ea fa unor posibile atacuri atunci cnd este conectat la reeaua
Internet? Este necesar i suficient s-i achiziioneze software de ultim or?

i nu avem numai aceast problem. Ce va face firma n caz de

3
dezastre naturale? Sau n situaia n care se vede n faa pierderii datelor din
cauza unor ocuri de tensiune care au afectat datele din serverul de fiiere.
Angajatul x din postul y poate s fac o manevr greit (voit sau
nevoit) care s duc la pierderi de date, pierderi materiale etc. ?
n unele cazuri nu se mai poate face nimic. Aceasta este situaia dup
dezastru.

Dar nainte de producerea posibil a unui dezastru se pot face dou


lucruri pentru a nu se ajunge n situaii-limit:
- analiza riscurilor la adresa securitii (i nu numai);
- planificarea costurilor pentru msuri de control al dezastrelor sau
pentru acoperirea pierderilor.

Ameninrile la adresa securitii sistemului pot veni de la o mulime de


factori. Printre acetia se pot enumera:

- spioni;
- organizaii criminale i teroriste;
- utilizatori rutcioi sau ruvoitori;
- persoane din interiorul firmei;
- persoane din afar care au acces la anumite informaii;
- fenomene naturale.
Riscul poate fi definit ca o ameninate care poate s exploateze
eventualele slbiciuni ale sistemului. Riscul este un eveniment care ateapt
s se ntmple.

Pentru a se prentmpina apariia unui eveniment care s afecteze


4
securitatea sistemului trebuie luate msuri specifice. Aceste msuri poart
denumirea de msuri de securitate.
Se pot enumera urmtoarele msuri de securitate:
- hardware;

- software;
- proceduri de operare specifice;
- controlul i contorizarea accesului;
- testarea procedurilor;
- securitatea personalului;
- msuri de securitate la nivel de structuri fizice, cldiri, zone sau alte
bunuri.

Analiza de risc presupune un proces de identificare a riscurilor de


securitate, determinarea amplitudinii riscurilor, precum i identificarea
zonelor cu risc mare i care trebuie securizate. Analiza de risc face parte din
ansamblul de msuri care poarta denumirea de managementul riscului.
Evaluarea riscurilor este un rezultat al unui proces de analiz a riscurilor.

Managementul riscului poate fi definit ca totalitatea metodelor de


identificare, control, eliminare sau minimizare a evenimentelor care pot
afecta resursele sistemului.
Acesta include:
- analiza riscurilor;
- analiza costului beneficiilor;
- selecia mecanismelor;
- evaluarea securitii msurilor adoptate;
5
- analiza securitii n general.
Analiza de risc trebuie efectuat din mai multe motive, i anume:
- pentru a identifica bunurile ntreprinderii i elementele de control
asupra siguranei acestora;

- pentru a ateniona managerul n legtur cu riscurile n apropierea


termenului-limit. De exemplu: dac ai un sistem n leasing pe 3 ani
i se apropie termenul de expirare pentru echipamente, acestea
trebuie returnate, ceea ce nseamn c trebuie s te pregteti din
timp sau riti ca prezentul contractor s-i foreze mna ntr-un
contract dezavantajos;

- precizeaz necesitatea pentru msuri de corecie;


- te ghideaz n legtur cu alocarea de resurse;
- aliniaz programul de control cu misiunea organizaiei;
- ofer criterii pentru proiectarea i evaluarea planurilor de avarie;
- mbuntete nelegerea general (asupra sistemului, cum opereaz,
etc.).

Analiza riscurilor urmrete s pun acest proces pe baze teoretice i


practice solide. Sunt mai multe modaliti de abordare a riscului. Dintre
acestea se disting cteva, i anume:
- analiza cantitativ;
- analiza calitativ;
- analiza pe post de lucru.

6
2. Analiza cantitativ a riscului de securitate

Pentru analiza calitativ a riscului se parcurg urmtorii pai:


1. Identificarea i evaluarea activelor (bunurilor firmei)
2. Determinarea vulnerabilitilor
3. Estimarea probabilitii de producere
4. Calcularea pierderilor anuale estimate
5. Analiza msurilor de control
6. Calcularea Rentabilitii Investiiei (RI).

2.1. Identificarea i evaluarea activelor


(bunurilor firmei)

Identificarea bunurilor

Presupune identificarea componentelor hardware, software, datele cu


care se opereaz, personalul implicat n procese, documentaiile aferente,
suporturi etc. Prezentarea bunurilor unei firme este disponibil n tabelul
2.1.a.

7
Tabelul 2.1.a. Bunurile
firmei.

Evaluarea bunurilor

Presupune s se stabileasc costurile de nlocuire pentru cazuri cnd


un anume bun este distrus. Pentru aceasta trebuie s ne punem ntrebri care
s ne ajute s evalum aceste bunuri. Unele dintre aceste ntrebri ar putea
s fie cele din rndurile urmtoare.
Referitor la componentele hardware trebuie puse urmtoarele ntrebri:
-Care este costul de nlocuire a bunului la preurile actuale?
-Ct timp dureaz pn se nlocuiete bunul/componenta distrus?
-Dac operaia/operaiile pot fi fcute manual, de ci oameni este

8
nevoie? De ct timp suplimentar este nevoie pentru remediere?

- Care sunt pierderile n relaiile cu clienii n condiii de


nefuncionalitate? Pentru componenta software trebuie puse
urmtoarele ntrebri:

-Ct timp i va lua programatorului s gseasc problema n caz de


disfuncionalitate a programelor?

-Ct timp i va lua pentru ncrcarea i testarea programului depanat?


-Ct timp i va lua pentru repunerea sistemului de operare n caz de
dezastre?

Pentru date:
- Pot fi acestea refcute sau repuse?
- Ct timp se pierde pentru refacerea acestora n caz de pierdere?
- Dezastrul produs este din cauza unei aciuni voite, sau sunt cauze
ntmpltoare?
- Informaiile pierdute au caracter special (militare, secrete de serviciu,
confideniale)?

Pentru personal:
- De ci oameni este nevoie s lucreze pentru recuperare dezastre?
- Ct cost instruirea unui nou personal?
- Care sunt efectele psihologice ale dezastrelor?
Atunci cnd evalum bunurile este de preferat s se foloseasc o scal a
valorii bunurilor (tabelul 35).
9
Tabelul 2.1.b. Scala valorii bunurilor firmei.

Rezultatele vor fi mai aproape de realitate dac alegem o scal mai


mare cu valori ale bunurilor avnd o baz mai mic. Dezavantajul utilizrii
scalei este acela c suntem obligai s lucrm n valori absolute.

Estimarea valorii impactului pe o zon

Fiecare bun are, n cazul pierderii acestuia sau al funcionrii


defectuoase, impact asupra
a trei elemente necesare n asigurarea securitii, i anume:
secretizare;
integritate;
disponibilitate.
Exemplu:

Se consider un fiier care stocheaz datele personale ale unui num r


de 200 de angajai ai firmei. n urma unui eveniment nedorit (intenionat,

10
neinten ionat, accident, fenomen natural), se pierd att datele din fiier, ct
i structura acestuia. Nu exist copie de siguran pentru acestea. Refacerea
structurii fi ierului poate fi fcut de o persoan calificat , lucrnd 4 ore
pentru reconstrucie (n timpul programului). Salariul tarifar este de 2,5
USD/or. Repunerea datelor, repopularea fiierului, va putea fi fcut n
afara orelor de program de aceeai persoan sau de ctre o alt persoan.
Aceast operaie dureaz 5 (cinci) ore i este pltit cu 3 USD/or (lucrul n
afara orelor de program).

Pierderea secretului, netiind natura dezastrului, creeaz pierderi


estimate la 5.000 USD, aceasta fiind zona cu impactul cel mai mare n
privina costurilor de refacere.

4(ore) x 2,5 (USD/or) + 5(ore) x 3 (USD/or suplimentar) = 25


USD.

Zona impact Valoare impact (USD)


Secret 5.000
Integritate -
Disponibilitate 10 + 15 = 25

Calculul valorii totale pentru fiecare bun

Calculm valoarea total pentru un impact folosind formula:

Valoareb = n Im pacti
i=1

11
unde Valoareb = valoarea impactului pentru bunul b; Impacti = valoarea
impactului n zona respectiv pentru bunul b.

Avem trei (i = 3) zone de impact (Secret, Integritate


Disponibilitate).

n acest caz, Valoarea b = 50.000 + 0 + 25 = 50.025


USD.

2.2. Determinarea vulnerabilitilor

Presupune stabilirea ameninrilor la adresa bunurilor i frecvena cu


care aceste ameninri se pot produce.

Posibilele ameninri la adresa bunurilor firmei sunt exemplificate n


tabelul 2.2.

12
Tabelul 2.2. Posibile amenintari la adresa bunurilor

Impactul acestor ameninri asupra bunurilor depinde n mare msur


de:
- amplasarea geografic;
- facilitile cadrului organizatoric;
- densitatea de informaie;
- condiiile economice locale;
- sistemele de avertizare i protecie implementate;
- vizibilitate;
- accesul facil la bunuri;
- redundane;
- procedurile i metodele de salvare;
- contientizarea msurilor de securitate i protecie etc.

13
2.3. Estimarea probabilitii de producere

Se stabilete probabilitatea de producere a unui incident ntr-un interval


de timp. n tabelul 37 avem exemplificate frecvenele de producere a
incidentelor:
Tabelul 2.3.a. Frecvena de producere a incidentelor.

Frecve Valoar
na ea

Niciodat 0,0
O dat la 300 ani 1/300 0,00333
O dat la 200 ani 1/200 0,005
O dat la 100 ani 1/100 0,01
O dat la 50 ani 1/50 0,02
O dat la 25 ani 1/25 0,04
O dat la 5 ani 1/5 0,2
O dat la 2 ani 1/ 2 0,5
O dat pe an 1/1 1,0
De dou ori pe an 2/1 2,0
O dat pe lun 12/1 12,0
O dat pe sptmn 52/1 52
O dat pe zi 365/1 365

Folosind datele statistice se stabilete rata de producere a unui incident.


Aceste date statistice sunt evideniate n tabelul 38.

Tabelul 2.3.b. Rata de producere a incidentelor.

14
Ameninr Rata
i de
producer
e

0,005 -
Naturale Cutremure de pmnt 0,2
Inundaii 0,01- 0,5
Uragane 0, 05 - 0,5
Alunecri de teren 0 - 0,1
Furtuni de zpad 0,07 - 50
Furtuni de nisip 0,01 - 0,5
Tornado 0 - 10
0,00001 -
Tsunami 2
Descrcri electrice 0 - 0,125
Erupii vulcanice 0 - 0,01
0,
Accidente Dezvluiri 2 -5
Perturbri electrice 0, 1 - 30
0,
ntreruperi electrice 1 -10
0,
Incendii 1 - 10
Scurgeri de lichide 0,02 - 3
0,
Erori de transmisii/telecomunicaii 5 - 100
Erori ale operatorilor/utilizatorilor 10 - 200
Erori hardware 10 - 200
Erori software 1 - 200
0,
Acte intenionate Dezvluiri 2 -5
Sabotaj al angajailor 0, - 5

15
1
Fraudri 0,09 - 0,5
Furturi 0,015 - 1
0,
Loviri 1 -5
Utilizri neautorizate 0,009 - 5
0,008 -
Vandalism 1,0
Intruziuni -
0, 01 -
Atacuri cu bombe 100
Revolte/rscoale 0 - 0,29

2.4. Calcularea pierderilor anuale estimate


Calcularea pierderilor anuale estimate pe fiecare ameninare

unde PAE a = Pierderi Anuale Estimate pentru ameninarea a, Vb = Valoarea


bunului b (0 la n bunuri), Ea = Estimarea numrului de incidente ale
ameninrii a (0 la m ameninri).

16
Calcularea pierderilor anuale estimate pe fiecare bun

unde PAE b = Pierderi Anuale Estimate pentru bunul b, V b = Valoarea


bunului b (0 la n bunuri), Ea = Estimarea numrului de incidente ale
ameninrii a (0 la m ameninri).

Exemplu (la firma studiat)

Calcularea pierderilor anuale estimate totale

Se determin Pierderile Anuale Estimate (PAE) nsumnd pe categorii


de ameninri:

Se determin Pierderile Anuale Estimate (PAE) nsumnd pe categorii


de bunuri:

17
PAE = Total Pierderi Anuale Estimate pentru perechile bun/ameninare.

n ambele cazuri de calculare a pierderilor totale, pe categorii de


ameninri sau pe categorii de bunuri, rezultatul trebuie s fie identic.

Se poate obine matricea ameninare/bunuri:

2.5. Analiza msurilor de control

Se va identifica ameninarea care produce cele mai mari valori ale


pierderilor anuale estimate corespunztor acesteia (PAE a).

Se vor identifica msurile care pot duce la reducerea vulnerabilitii.


Unele msuri se pot aplica pentru mai multe tipuri de ameninri sau pentru
mai multe categorii de bunuri.

Cteva msuri de control sunt exemplificate n tabelul 2.5.

Tabelul 2.5. Msuri de control.


Ameninri Metode de control
Naturale Cutremure de pmnt Senzori, amplasament
Inundaii Senzori, amplasament
Uragane Amplasament
18
Alunecri de teren Amplasament
Furtuni de zpad Amplasament
Furtuni de nisip Amplasament
Tornade Amplasament
Tsunami Amplasament
Descrcri electrice Eclatoare, amplasament
Erupii vulcanice Amplasament
Accidente Dezvluiri Criptare
Perturbri electrice Stabilizatoare tensiune
ntreruperi electrice Surse nentreruptibile
Incendii Sisteme avertizare/stingere
Scurgeri de lichide Senzori, carcase protecie
Erori de telecomunicaii Linii dedicate de transmisie
Erori ale
operatorilor/utilizatorilor Instruire personal
Erori hardware Testare echipament de marc
Erori software Testare software
Acte Dezvluiri Criptare date
intenionate Sabotaj al angajailor Criptare date
Fraudri Jurnale de acces (control log)
Furturi Jurnale de acces (control log)
Loviri Limitare acces fizic
Utilizri neautorizate Parole, criptare
Vandalism Limitare acces fizic
Atacuri cu bombe Limitare acces fizic
Revolte/rscoale Limitare acces fizic
Intruziuni Control acces/criptare date

Pe lng aceste metode de control se mai pot enumera i:


Stocare date de siguran n afara ntreprinderii;
Stabilirea unor proceduri riguroase pentru salvrile de
siguran sau salvrile periodice;
nsoirea personalului din exterior n interiorul ntreprinderii;

19
Etichetarea i marcarea cu culori distincte a diverselor poriuni de
documente care conin date ce vor fi operate sau introduse n
sistemele de calcul;

Msuri de protecie fizice paz, nsoitori;


Limitarea accesului la anumite zone prin avertizri audio vizuale,
accesul pe baz de ecusoane sau chei de acces (fizice i software);

Accesul la sistemele de calcul s se fac pe baz de identificare i


jurnale de acces.

2.6. Calcularea Rentabilitii Investiiei (RI)

Pentru fiecare msur de control aplicat se identific:


Vulnerabilitile care pot fi reduse prin aplicarea acelor msuri de
control.
Atribuirea unei rate/valori optime pentru fiecare pereche
eveniment/mod de control.
Estimarea costurilor anuale pentru implementarea msurii de
control respectiv.
Calcularea Rentabilitii Investiiei (RI).

unde Cc = Costul anual pentru aplicarea controlului c, rc = indicele de


eficacitate pentru controlul c, PAEa = Pierderile Anuale Estimate pentru

20
ameninarea a.

La selectarea msurilor suplimentare de control trebuie s se in cont


de realizarea urmtoarelor obiective:
valoare a Rentabilitii Investiiei ct mai mare;
minimizare a PAE (Pierderi Anuale Estimate).

Valoarea lui RI ct mai mare se va putea obine acionnd asupra


indicelui de eficacitate rc prin creterea acestuia pn la valoarea maxim
(1), sau asupra costului anual pentru aplicarea controlului C c prin micorarea
costurilor de implementare a controlului.

Exemplu:

Metoda cantitativ de calcul al riscului de securitate este folosit cu


precdere la firmele de mrime medie i/sau mare.
Metoda cantitativ expus are ns anumite neajunsuri. Printre acestea
se pot enumera:

Dificultatea de a gsi un numr care s cuantifice ct mai exact


21
frecvena de producere a unui eveniment.

Dificultatea de a cuantifica anumite valori. De exemplu, sunt foarte


greu de definit disponibilitatea unei informaii i calculul pierderilor
cnd aceast caracteristic lipsete.
Metoda nu face distincie ntre ameninrile rare, dar care produc
dezastre mari ca valoare (incendiu, cutremure, tornade etc.), i
ameninrile dese care produc dezastre mici ca valoare (erori de
operare), n ambele cazuri efectele financiare fiind asemntoare.

Alegerea numerelor folosite poate fi considerat subiectiv, munc


laborioas care necesit timp i consum de resurse.

22
3. Analiza calitativ a riscului de securitate

Aceast metod este mai des folosit dect metoda anterioar,


pretndu-se la firmele de mrime mic.
Metoda nu folosete date statistice. n schimb, se folosete ca dat de
intrare potenialul de pierdere.
Metoda opereaz cu termeni ca:

-des/nalt, mediu, rar/redus referitor la probabilitatea de


apariie a riscurilor i impactul acestora.

-vital, critic, important, general i informaional referitor la


tipul i clasificarea informaiilor.
- numere, 1, 2, 3.
Aceasta are ca efect imediat reducerea volumului de munc i a
timpului consumat. Metoda are i dezavantaje. Printre acestea:

-greu de cuantificat (ca i la metoda anterioar) anumii termeni


(important este un termen greu de definit n management).

-Numerele sunt de aceast dat i mai subiective. Dac la metoda


anterioar ele erau date statistice, acum sunt alese subiectiv.

Aceast metod se poate aplica parcurgnd urmtorii pai:

23
Stabilirea nivelului de pierderi

Stabilim nivelul pierderilor i punctajul acordat pentru fiecare nivel al


pierderilor (tabelul 3.a.).

Tabelul 3.a. Nivelul de pierderi i punctajul acordat.

Pierderi (USD) Puncte


<1.000 1
1.001 10.000 2
10.001 50.000 3
50.001 100.000 4
100.001 500.000 5
500.001 1.000.000 6
1.000.001 5.000.000 7
5.000.001 10.000.000 8
10.000.001 50.000.000 9
>50.000.000 10

Stabilim costurile dezastrelor (tabelul 3.b.).

24
Tabelul 3.b. Costul dezastrelor.

Pierderi (USD) Puncte


<1.000 1
1.001 10.000 2
10.001 50.000 3
50.001 100.000 4
100.001 500.000 5
500.001 1.000.000 6
1.000.001 5.000.000 7
5.000.001 10.000.000 8
10.000.001 50.000.000 9
>50.000.000 10

Stabilim probabilitatea de producere a dezastrelor (tabelul 3.b).

Tabelul 3.c. Probabilitatea de producere a dezastrelor.

Nivel de producere Probabilitate Descriere


producere

25
A Aproape sigur Se poate produce n orice condiii
Se poate produce n anumite
B Probabil condiii
C Moderat Se poate produce n timp
D Improbabil S-ar putea produce n timp
Se poate produce numai n
E Rar condiii
Excepionale

Stabilim consecinele dezastrelor (tabelul 3.c.).

Tabelul 3.c. Consecine dezastre.

Nivel Descriere / Exemple consecine


consecin
e consecine
Pierderi financiare minore. Nu sunt pagube
1 Insignifiante materiale sau rnii.

26
Pierderi financiare medii. Pagube materiale
2 Minore reduse, se impune
primul ajutor acordat personalului.
Pierderi financiare importante. Se impune
3 Moderate tratament medical
aplicat personalului. Activitatea se poate
desfura n
continuare.
Pierderi financiare importante. Rniri grave
4 Majore ale personalului.
Avarii importante. Capacitile de producie
sunt diminuate.
Pierderi financiare enorme. Mori.
5 Catastrofale Pierderea total a
capacitilor de producie.

Stabilim matricea analizei calitative a riscului (tabelul 44). Aceasta


se face pe baza datelor din ultimele dou tabele.
Tabelul 3.d. Matricea analizei calitative a riscului.

CONSECINE
Catastrofa
Probabilitate Insignifiante Minore Moderate Majore le
de producere 1 2 3 4 5
A (aproape sigur) I I E E E
B (probabil) M I I E E
C (moderat) R M I E E
D (improbabil) R R M I E
E (rar) R R M I I

27
Legend: E - Risc Extrem. Se impun ac iuni imediate pentru
minimizarea acestuia. Se impune o detaliere asupra bunurilor i a planurilor
de management pentru minimizarea riscurilor. Trebuie impuse strategii
pentru aceasta. I - Risc nalt. Trebuie luate imediat n calcul de ctre
manager. Se vor identifica strategiile de management n acest caz. Ca i
anterior, trebuie minimizate riscurile. M - Risc moderat. Trebuie luate n
calcul de ctre manager. R - Risc Redus. Aciuni specificate n procedurile
de rutin.
Tabelele folosite n analiza calitativ a riscului trebuie particularizate pe
activitile i locurile specifice.

28
4. Analiza pe post a riscului de securitate

Aceast metod analizeaz riscurile pornind de la postul de lucru i de


la caracteristicile acestuia.

Se analizeaz:
- condiiile de lucru;
- accesul i nivelurile de acces;
- pregtirea profesional pentru postul respectiv;
- particularitile postului;
- bunurile cu care personalul/postul respectiv are tangen i aciunea
asupra acestora. Datorit tratrii la nivel de personal, metoda este i mai
subiectiv dect cele expuse anterior.

Metoda implic parcurgerea urmtorilor pai:


1.Identificarea bunurilor i a ameninrilor la adresa acestora.
2.Estimarea probabilitii i a impactului asupra vulnerabilitii.
3.Evidenierea punctelor vulnerabile.
4.Identificarea metodelor de control.

Identificarea bunurilor i a ameninrilor la adresa acestora se face ca la


metodele anterior discutate.

Estimarea probabilitii i a impactului asupra vulnerabilitii se face


mult mai simplu folosind matricea din tabelul urmtor (tabelul 45):

29
Tabelul 4.a. Estimarea probabilitii de producere a unui dezastru i
impactul asupra securitii.
Expune
Probabilitate re
Medi
Mic e Mare
Rar 1 3 6
Mediu 2 5 8
Des 4 7 9

Folosind tabelul, pentru fiecare bun sau post de lucru, localiz m gradul
de expunere i probabilitatea de producere a unui eveniment. La o prim
vedere, se observ c nu se mai lucreaz cu date statistice ca la metoda
cantitativ de analiz a riscurilor.
Se completeaz urmtorul tabel (tabelul 46):

Tabelul 4.b. Gradul de expunere i probabilitatea de producere.

Pentru fiecare bun sau post de lucru analizat se identific cea mai mare
valoare din tabel (gradul de expunere i probabilitate, n acest caz se observ
c cel mai mare impact l au cderile de tensiune) i se stabilesc msurile de
control.

Toate metodele de analizare a riscurilor au ns neajunsuri. Unele dintre

30
acestea au fost enunate la fiecare metod. n principiu, acestea sunt:
- valorile folosite sunt imprecise;
- frecvena pierderilor estimate este imprecis;
- calcule bazate pe analize i teorii statistice i probabilistice;
- datele trebuie actualizate anual.

Un nivel redus de securitate are ca efect creterea riscului n afaceri. Ca


revers, asigurarea unui nivel ridicat de securitate poate afecta afacerile prin
balansarea fondurilor ctre asigurarea securitii i nu ctre destinaia lor de
drept. De aceea, trebuie gsit o cale de mijloc.

Din analizele fcute n acest domeniu rezult c alocarea a 20% din


costuri pentru securitate se reflect n 80% beneficii n ceea ce privete
minimizarea riscurilor i asigurarea securitii. Pentru a se asigura o eficien
maxim cheltuielile sunt prohibitive (figura 85).

31
Figura 4.c. Raportul cost beneficii n asigurarea securitii.

Aceste analize de risc se fac cu precdere n cadrul firmelor mari i


eventual n cadrul firmelor medii. Firmele mici nu au nici personal
specializat i nici bani pentru a plti o astfel de evaluare. Cu toate acestea,
un minimum de msuri de securitate trebuie luate. Este tiut faptul c
managerii de firme se las greu convini s investeasc n ceva care nu
aduce profit direct. Iar atunci cnd se las convin i de necesitatea
disponibilizrii sumelor pentru asigurarea securitii, sumele alocate sunt
sub limita celor impuse. n aceste condiii, trebuie s se asigure o securitate
ale crei cheltuieli s nu depeasc o limit de sum alocat. Se poate vorbi
despre o securitate impus financiar. Alternativele de rezolvare a acestei
situaii sunt dou:
acoperirea ameninrilor cele mai probabile, cu pstrarea metodelor de
control iniiale;
32
acoperirea tuturor ameninrilor i reducerea costurilor msurilor de
control.

Prima msur va permite o securitate maxim pentru anumite


ameninri, dar va lsa descoperite parial sau total alte ameninri.
A doua msur va impune reducerea cheltuielilor necesare asigurrii
controalelor pentru a putea s fie acoperite toate ameninrile posibile.
Aceasta ar putea s se reflecte n modificarea i configurarea msurilor de
control. Ca exemplu, nu se vor mai achiziiona dou surse nentreruptibile
APC UPS de 350VA la pre ul de 95 dolari bucata pentru dou calculatoare,
ci se va achizi iona o singur surs APC UPS de 650VA la preul de 140 de
dolari bucata. Economia este de 50 de dolari (95 x 2 140 = 50). n acest
caz ns , cele dou calculatoare vor trebui s fie alimentate de la aceeai
surs nentreruptibil prin prelungirea cablurilor de alimentare sau prin
plasarea lor aproape.

Aceast a doua msur este de preferat primei, deoarece nu las


vulnerabiliti neacoperite de msuri de control.
Securitatea este greu de cuantificat. Nu o s se poat spune niciodat n
cadrul firmei c are o securitate de o anumit not. Se poate doar estima ca
fiind de un nivel ridicat, mediu, minim sau deloc. Cu toate acestea, putem s
facem o cuantificare (cel pu in financiar) a nivelului de securitate.
ntotdeauna implementarea securitii sau testarea i mbuntirea acesteia
genereaz costuri de echipamente i umane. Indicele propus ca s cuantifice
securitatea n cadrul firmei se va referi la echipamente i n special la
tehnica de calcul. Se propune ca acest indice s poarte denumirea de ISf
(indice de securitate financiar) i s poat s fie calculat cu ajutorul
33
formulei:

unde: Ce - costul echipamentului de tehnic de calcul, P i ponderea


controlului, Cci costul controalelor pentru echipamentul de tehnic de
calcul aplicate.
S lum urmtorul exemplu:

Avem un calculator care cost la pre de achiziie 1.000 dolari. Pentru


sigurana datelor acestui calculator i se ataeaz o surs nentreruptibil care
cost 140 dolari. Aceeai surs mai deservete i un alt calculator. Tot
acestui calculator i mai atam un dispozitiv de criptare a discului care cost
500 de dolari. Fcnd un calcul, va rezulta un indice de securitate - IS f
=[(1.000 + 0,5 x 140 + 1 x 500) / 1.000] - 1 =0,57. S-a considerat ponderea
controlului n cazul sursei nentreruptibile de 0,5 deoarece aceasta mai
deservete un echipament, iar in cazul dispozitivului de criptare am ales ca
pondere 1 (unu) deoarece acesta deservete doar calculatorul n cauz.

n cazul n care nu avem nici o investiie n echipamente care s asigure


securitatea, atunci, evident, acest indice este nul. Indicat este ca ISf s ia
valori mai mari de zero. Aceasta nseamn o securitate minim. n cazul n
care ISf are valori mai mari de 1 (unu), atunci se poate spune c asigurarea
securit ii echipamentului de calcul cost mai mult dect echipamentul
34
nsui. Aceast situaie poate avea mai multe cauze, i anume:
nu s-au evaluat bine riscurile i/sau s-a exagerat cu msurile de
control;
echipamentul (calculatorul) nu este de calitate i are nevoie de
echipamente suplimentare;

valoarea reactualizat a echipamentului este sczut n


comparaie cu costul
controalelor.

n primul caz, de teama pierderii datelor, se exagereaz cu msurile de


control ca numr al acestora sau ca investiie financiar n acestea. Cu alte
cuvinte, se cumpr mai mult dect este necesar i la preuri mai mari.

A doua situaie se ntlnete atunci cnd s-au achiziionat calculatoare


slab calitative i este nevoie s se achiziioneze ulterior echipamente care s
compenseze aceast situaie. Este cazul calculatoarelor care nu sunt de
marc sau sunt de marc, dar sunt vechi i nu mai prezint siguran n
exploatare. Nu rare sunt cazurile cnd calculatoare noi cumprate prezint
blocaje la mici fluctuaii de tensiune electric.

Situaia a treia se ntlne te atunci cnd costul echipamentului este


actualizat la noua valoare. Dac att calculatorul, ct i echipamentele de
control au fost achiziionate la date apropiate i costul echipamentului, ct i
costul msurilor de control sunt actualizate simultan, atunci ISf nu sufer
modificri semnificative.

35
ISf indicele de securitate financiar va putea s ofere o baz n
evaluarea securitii firmei.

36
5. Bibliografie

1. CISA (Certified Information Systems Auditor)

2. AAAI - Curs 10 Master MPI, Universitatea Politehnica Bucuresti

3. Asociatia de standardizare din Romania Sisteme de certificare si


audit

- http://www.scribd.com/doc/91809664/AUDIT-FINANCIAR-
VERIFICAREA-%C5%9EI-CERTIFICAREA-SITUA%C5%A2IILOR-
FINANCIARE-Copy#scribd

- http://excelcont.ro/audit-financiar?
gclid=CjwKEAjws5CrBRD8ze702_2dyjYSJAAAJK9y8PS9wPEOQBoedv
PmoSNtC4vrdwXq3gjUCPYkN-HMYhoCSKHw_wcB

37