Concursul Internaional Securitatea Informaional 2004

Tema: Metod practic de analiz a riscurilor TI

Autor: Marin PRISCARU

Banca Naional a Moldovei

Chiinu 2004
 METOD PRACTIC DE ANALIZ A RISCURILOR TI

Cuvinte cheie: risc, analiza riscurilor, managementul riscurilor, raportarea riscurilor, soluionarea
riscurilor, resurse informaionale, tehnologii informaionale.
Adnotare

Prezenta lucrare prezint succint o metod practic de analiz a riscurilor TI. Lucrarea este adresat
auditorilor interni ai tehnologiilor informaionale, ofierilor de securitate informaional,
managerilor tehnologiilor informaionale, precum i managementului de vrf. Scopul lucrrii este
de a oferi o soluie simplificat n privina organizrii i derulrii procesului de analiz a riscurilor
aferente utilizrii tehnologiilor informaionale. Se consider necesar acest fapt datorit situaiei de
confuzie n care sunt muli specialiti n domeniu i importanei tot mai mari ce se acord n ultimul
timp analizei riscurilor tehnologiilor informaionale. La etapa actual de dezvoltare a tehnologiilor
informaionale n R. Moldova, metoda propus poate fi aplicat n cazul majoritii organizaiilor i
va constitui o etap preliminar pentru desfurarea proceselor complexe de analiz cantitativ a
riscurilor tehnologiilor informaionale.
Introducere

Astzi este aproape imposibil s nu auzim sau s nu citim despre riscurile utilizrii tehnologiilor
informaionale. Managementul de vrf este din ce n ce mai interesat de sensul noiunilor de
management al riscurilor i analiz a riscurilor, aplicate tehnologiilor informaionale utilizate n
cadrul organizaiei. Acest fapt se datoreaz creterii considerabile a nivelului de dependen a
business-ului de tehnologiile informaionale:

- procesele de afaceri sunt tot mai mult dependente de procesele TI, respectiv euarea
proceselor TI pot condiiona euarea proceselor de afaceri cu o mai mare probabilitate;

- infrastructura informaional devine din ce n ce mai complex, iar punctele critice

aparinnd domeniului TI ce ar putea influena procesele de afaceri sunt n cretere;

- cnd are loc o cdere a serviciilor TI, timpul n care acest fapt este resimit de procesele de
afaceri s-a micorat considerabil;

- cderile serviciilor TI sunt tot mai mult vizibile i resimite n afara centrului de procesare a
datelor, astfel crescnd numrul de persoane afectate ce-i manifest nemulumirea.

Pe scurt, astzi tehnologiile informaionale au posibilitatea mai mult ca oricnd s determine reuita
unei afaceri, dup cum i cderile TI, eecul ei. Din aceast cauz, pe lng obiectivele evidente ale
analizei riscurilor, trebuie menionat cel de etap preliminar n procesul de formare a planului de
asigurare a continuitii sistemului informaional al organizaiei.

n continuare vom considera risc ca fiind probabilitatea de realizarea a unei situaii nedorite, ce
poate genera pierderi sau inconveniene pentru organizaie. Managementul i analiza riscurilor este
procesul de identificare a riscurilor i determinare a soluiei optime de gestiune a lor.

I. Implicare top management

Succesul procesului de management i analiz a riscurilor depinde considerabil de nivelul de

implicare i suport al managementului de vrf. Anume managementul de vrf este responsabil de
iniiere procesului, coordonarea activitilor i asigurarea raportrii n timpi utili. Dei implicarea lui
poate s nu fie direct, suportul managementului este esenial. Sarcini specifice managementului de
vrf n procesul de analiz a riscurilor pot fi:

- selectarea i desemnarea echipei, inclusiv liderul echipei;

- delegarea autoritilor i responsabilitilor pentru aceast sarcin;

- revizuirea i suportul descoperirilor efectuate;

 - luarea deciziei finale n privina implementrii anumitor msuri de securitate.

Liderul echipei trebuie la rndul su s se implice la selectare echipei ce va participa la proces, s

ntocmeasc un plan al activitilor de efectuat i s se asigure c ele vor fi ndeplinite n termenii
prestabilii. Va coordona de asemenea ntocmirea rapoartelor n formatul prestabilit adresate
managementului de vrf.

Numrul de membri n echip poate varia, n dependen de dimensiunile organizaiei, oricum este
recomandabil s nu fie mai mic dect trei, sau cel puin un reprezentant al fiecrei subdiviziuni ce
utilizeaz activ resurse informaionale. Membrii echipei trebuie s fie selectai cu grij, asigurndu-
se de competena lor n ce privete procesele de afaceri ce au loc n cadrul subdiviziunilor din care
fac parte i modul n care aceste procese depind de tehnologiile informaionale.

II. Procesul de analiz a riscurilor

Dup desemnarea liderului i formarea echipei, procesul de analiz a riscurilor se va derula n

urmtoarele faze:

1. Identificarea resurselor informaionale

2. Gruparea i ierarhizarea resurselor informaionale

3. Identificarea riscurilor

4. Asociere riscuri la resurse

5. Identificarea mijloacelor de protecie

6. Evaluarea riscurilor

7. ntocmirea recomandrilor

1. La faza de identificare a resurselor informaionale urmeaz s se creeze un tablou de

ansamblu al infrastructurii informaionale a organizaiei. Resurse informaionale sunt considerate
aici ca fiind: datele, aplicaiile, tehnologiile, ncperi, resurse umane [1]. Aceste resurse e necesar de
a fi identificate cu un anumit grad de granularitate (nici prea detaliat, nici prea general) i astfel
nct s se evite suprapunerea resurselor informaionale. n multe cazuri ar putea s fie oportun
gruparea resurselor (ex.: staii de lucru, printere, documentaie). Poate de asemenea s fie util
informaia privind persoana responsabil pentru fiecare resurs identificat. Alt informaie
indispensabil analizei de mai departe este interdependena resurselor (ex.: ce sistem, cu ce date
gestioneaz, ce tehnologii utilizeaz, unde este amplasat i cine administreaz). Rezultatul acestei
faze poate fi o list (sau mai multe liste, pentru fiecare categorie separat) cu toate resursele
informaionale identificate n cadrul organizaiei. Exemplu al acestor liste este prezentat n anexa 1.

2. Gruparea i ierarhizarea resurselor informaionale este necesar pentru determinare

prioritilor de protejare a lor (ex.: dac exist dou servere i un singur UPS, pentru care din ele l
vom utiliza?) Echipa va selecta n continuare criteriile de clasificare a resurselor ca fiind critice,
eseniale i normale. Criterii posibile sunt nivelul de criticitate, impactul produs de
indisponibilitatea resursei, costul cderii resursei, compromiterea confidenialitii, integritii .a.
Este important ca ntre membrii echipei s existe o interpretare univoc a acestor criterii. Clasificare
resurselor trebuie s in cont de interdependenele dintre ele. Numrul de resurse n fiecare
categorie este cumva arbitrar, ns totui e preferabil limitarea numrului de resurse critice pentru a
evita confuzia. Rezultatul acestei faze este o list de resurse informaionale prioritare din punct de
vedere al nivelului de criticitate a lor.

- Resurse critice organizaia sau subdiviziunea posesoare a resursei nu poate s-i continue
activitate n lipsa resursei respective;

- Resurse eseniale organizaia sau subdiviziunea posesoare a resursei poate s-i continue
activitatea, ns pentru o perioad determinat de timp (cteva ore sau zile), ns resursa
trebuie neaprat restabilit;

- Resurse normale organizaia sau subdiviziunea posesoare a resursei poate s-i continue
activitatea pentru o perioad ndelungat de timp, totui anumite persoane vor fi parial
afectate, fiind impuse s gseasc alternative.

O metod de identificare i ierarhizare a resurselor critice de ctre membrii echipei este prezentat
n anexa 2.

3. Identificare riscurilor presupune selectarea dintr-o list cu riscuri comune aferente

tehnologiilor informaionale, a celor pe care membrii echipei le consider aplicabile infrastructurii
proprii. Riscurile care se vor considera c nu merit atenie sunt nlturate din list. Riscurile trebuie
s fie explicit identificate n raport cu una sau mai multe resurse. O list cu unele din cele mai
comune riscuri generice este prezentat n anexa 3. Unele din ele pot fi detaliate, pentru a
corespunde cazurilor concrete de utilizare ale unor resurse informaionale.

4. La faza de asociere a riscurilor la resurse are loc o particularizare a riscurilor pentru fiecare
resurs critic n parte. Din lista de riscuri acceptate la faza a trei-a, se selecteaz acele riscuri ce
sunt aferente resursei analizate, cu adugarea comentariilor de vigoare. Se ine cont de specificul
resursei respective. Rezultatul acestei faze este o list de riscuri i descrierea lor, pentru fiecare
resurs clasificat ca fiind critic, la faza a doua.
5. Identificare mijloacelor de protecie presupune completarea listei rezultate la etapa a patra cu
descrierea mijloacelor de protecie n prezent utilizate pentru nlturarea sau atenuarea riscului
abordat. n rezultat se obine pentru fiecare resurs critic identificat o list cu riscurile aferente,
descrierea fiecrui risc i descrierea mijloacelor de protecie utilizate la moment n organizaie
pentru atenuarea sau nlturarea riscului respectiv.

6. Faza de evaluare a riscurilor este foarte important, iar succesul ei depinde n mare parte de
competenele profesionale ale membrilor echipei. Pentru fiecare resurs critic, n ordinea
importanei lor, se face o ierarhizare a riscurilor aferente n dependen de impactul ce l-ar putea
avea. Ierarhizarea respectiv se face n baza voturilor membrilor echipei i se ine cont de toat
informaia acumulat la etapele precedente. Procedura este asemntoare procedurii de ierarhizare a
resurselor informaionale, putnd fi utilizat un tabel asemntor celui din anexa 2. Rezultatele
obinute se argumenteaz, descriind pentru fiecare din riscuri impactul pe care l-ar putea avea
realizarea sa n condiiile n care mijloacele de protecie rmn cele actuale.

7. La faza de ntocmire a recomandrilor membrii echipei analizeaz informaia acumulat la

fazele precedente i iau decizii asupra soluiilor existente (dac exist) ce ar permite atenuarea,
redirecionarea sau nlturarea riscurilor identificate. Dac membrii echipei consider c exist
soluii acceptabile, se va:

a. identifica i documenta fiecare soluie ce poate fi implementat. Pot fi soluii tehnice,

manuale sau procedurale. La aceast faz poate fi evident existena unei singure
soluii. n acest caz, e necesar argumentarea acestui fapt, precum i argumentarea
imposibilitii acceptrii altor soluii;

b. justifica fiecare soluie propus. Argumentul evident e soluionare problemei, ns s-

ar putea ca o anumit soluie s rezolve mai multe probleme simultan, fapt ce e
necesar de a fi menionat;

c. efectua o analiz tip costuri / beneficii pentru fiecare soluie propus, incluznd
costuri directe, costuri de instruire a personalului i costurile operaionale ulterioare.
n caz de necesitatea pot fi consultai specialiti competeni din cadrul organizaiei;

d. propune un plan de implementare a soluiei identificate. Planul trebuie s in cont de

prioritatea resursei i impactul pe care l poate avea realizarea riscului analizat.

E recomandabil identificarea mai multor soluii de nlturare a aceluiai risc, prioritate n cazul
sta acordndu-se soluiilor ce permit nlturarea unui grup de riscuri pentru o resurs sau grup de
resurse. Rezultatul acestei faze l constituie raportul final adresat managementului de vrf. Un
exemplu de formular ce poate fi completat pentru fiecare risc asociat uneia din resurse este
prezentat n anexa 4. Toate formularele astfel completate sunt incluse n raportul final, adresat
conducerii de vrf.

III. Raportare top management i decizia final

Raportul adresat conducerii de vrf va conine:

- foaia de titlu;

- informaii generale eful echipei, membrii echipei, perioada efecturii analizei;

- comentarii generale informaii generale privind infrastructura informaional, procese de

afaceri care sunt susinute de procese TI;

- resursele informaionale lista resurselor informaionale n ordinea descendent a prioritii

lor (mai mare -> mai mic);

- riscurile informaionale;

- lista de asociere a riscurilor la resursele informaionale i mijloace de protecie;

- rapoarte tipizate conform formularului din anexa 4.

Raportul final astfel ntocmit se discut la ntlnirea tuturor membrilor echipei, n scopul
consultrilor finale ntre membrii echipei i efecturii modificrilor de rigoare. Ultima redactare,
semnat de toi membrii echipei, se transmite managementului de vrf.

n final, reuita unui proces de analiz a riscurilor depinde de implicarea managementului de vrf.
Rolul managementului, pe lng iniierea procesului, desemnarea echipei i delegarea
responsabilitilor, este i de a analiza i susine descoperirile efectuate n procesul de analiz a
riscurilor. Liderul echipei e bine s informeze regulat managementul de vrf privind derularea i
succesul procesului de analiz a riscurilor. n acest fel se va asigura un grad mai nalt de implicare a
managementului de vrf i suport financiar pentru implementarea soluiilor propuse. Verdictul final
n privina soluiei de implementat pentru fiecare dintre riscurile identificate aparine evident,
managementului de vrf, ns nu fr a se consulta membrii echipei. Soluia implementat e foarte
probabil s nu fie cea mai performant, ns e necesar s fie cea optim din punct de vedere al
raportului cost / beneficiu.
Concluzii

Managementul i analiza riscurilor e necesar de a fi abordate nu ca o activitate de proiect (finit n

timp) ci ca un proces continuu. Metoda practic propus poate constitui un bun nceput pentru acest
proces, n special n cazul organizaiilor din R. Moldova, unde riscurile aferente tehnologiilor
informaionale sunt abordate doar intuitiv la nivel operaional. Activiti ulterioare sunt necesare n
scopul monitorizrii implementrii soluiilor selectate i evoluiei evenimentelor de dup.
Managementul de vrf trebuie s se asigure de prezena marjelor de control necesare pentru
informarea veridic, operativ i oportun privind situaia actual n domeniul tehnologiilor
informaionale.
Bibliografie:

1. ISACA, CobiT 3rd edition Control Objectives

2. Microsoft, Microsoft Operations Framework Risk Model for Operations

3. http://www.theiia.org/itaudit/

4. http://www.knowledgeleader.com/InternalAudit/

5. http://www.auditserve.com

6. http://www.security-audit-internal-audit.com/rusecure.htm
 Anexa 1
Lista resurselor informaionale grupate pe categorii

Aplicaii:
Id resurs Descriere Tehnologii Date Res. Umane
SIC Sistem informatic contabil Win2000, BDE, BDSIC1 Popa M.
Srv6

Date:
Id resurs Descriere Tehnologie Res. Umane
BDSIC1 Baza de date pt sistemul contabil Oracle 9i, Srv2, Vasile M.
Solaris 9

Tehnologii:
Id resurs Descriere Tehnologii Amplasare Res. Umane
Srv2 SunFire V480 Solaris 9, Oracle 9i 309 Popescu I.

Anexa 2

Tabel de vot pentru membrii echipei

Res.1 Res.2 Res.3 Res.4 Res.5 Res.6 Res.7 Res.8 Res.9 Total
Res.1 0 0 0 0 0 0 0 0 0
Res.2 0 0 0 0 0 0 0 0 0
Res.3 0 0 0 0 0 0 0 0 0
Res.4 0 0 0 0 0 0 0 0 0
Res.5 0 0 0 0 0 0 0 0 0
Res.6 0 0 0 0 0 0 0 0 0
Res.7 0 0 0 0 0 0 0 0 0
Res.8 0 0 0 0 0 0 0 0 0
Res.9 0 0 0 0 0 0 0 0 0
Total 0 0 0 0 0 0 0 0 0

Scurt explicaie a procesului (presupunem c echipa este format din 5 persoane):

- Se va lua fiecare resurs de pe linia sus i se va compara cu toate resursele de pe vertical;
- De exemplu, ci consider c resursa 3 este mai important dect resursa 6? Presupunem c
4 din 5. Respectiv vom nscrie 4 la intersecia coloanei 3 cu linia 6 i 1 la intersecia
coloanei 6 cu linia 3.
- Sumnd coloanele obinem totalul pe linia de jos. Resursele cu o valoare mai mare pe
aceast linie sunt apreciate de ctre membrii echipei ca fiind mai importante, respectiv ele
urmeaz s fie primele analizate din punct de vedere al riscurilor implicate.

Anexa 3

Riscuri informaionale
Risc
Administrare sisteme
Acces utilizatori
Descriere
Un ir de riscuri sunt implicate de utilizarea practicilor inadecvate
de administrare a sistemelor: gestiune conturi utilizatori, auditul
sistemelor, proceduri de back-up, configurare sisteme, instruire
administratori.
Presupune riscurile implicate de compromiterea securitii
informaionale pe staiile utilizator sau de ctre utilizatorii
sistemului informaional (virusare, acces nesancionat,
compromiterea parolelor, utilizarea inadecvat a resurselor
 disponibile .a.).
Proceduri operaionale Riscuri implicate de lipsa documentrii detaliate i adecvate a
utilizrii tuturor resurselor critice.
Dependene externe Riscuri implicate de dependena de anumii furnizori n vederea
livrrii tehnicii de calcul, produselor program, alte echipamente.
Personalul critic Existena unei singure persoane n vederea efecturii procedurilor
critice (administrare sisteme i reele) poate s compromit
activitatea normal curent.
Parole vulnerabile Riscuri implicate de utilizarea parolelor vulnerabile, n special
pentru conturile de administrare a sistemelor i pentru conturile
utilizatorilor critici.
Accesul la date Riscuri implicate de gestionarea inadecvat a drepturilor de acces la
resursele informaionale, modul n care se pot accesa resursele i
informaia din sistem.
Sniffering i spoofing Riscuri implicate de posibilitatea interceptrii informaiei transmise
prin reea, sau posibilitatea de a fura identitatea unei maini din
reea, acionnd n numele ei, cu drepturile acordate ei.
Securitatea fizic Riscuri implicate de controlul inadecvat al accesului fizic la
resursele informaionale att intern ct i extern.
Dezastre de scar mare Dezastrele naturale ca incendii, inundaii, alunecri de teren, cderi
de durat a curentului electric .a. pot avea impacturi considerabile
asupra activitii operaionale.
Construcii Afectarea construciilor, sediilor organizaiei pot afecta activitatea
operaional n cazul n care nu este analizat aceast posibilitate i
nu sunt prevzute alternative.

Anexa 4
Raport de analiz a riscului

Nume resurs:

Prioritatea resursei:

Mijloace de protecie:
Risc sau / i problem identificat:

Impactul n urma realizrii:

Soluii propuse:

Justificarea soluiei:

Plan posibil de implementare:

Dat raport: ntocmit de: