Documente Academic
Documente Profesional
Documente Cultură
Securitatea Informatiei
Securitatea Informatiei
Chiinu 2004
METOD PRACTIC DE ANALIZ A RISCURILOR TI
Cuvinte cheie: risc, analiza riscurilor, managementul riscurilor, raportarea riscurilor, soluionarea
riscurilor, resurse informaionale, tehnologii informaionale.
Adnotare
Prezenta lucrare prezint succint o metod practic de analiz a riscurilor TI. Lucrarea este adresat
auditorilor interni ai tehnologiilor informaionale, ofierilor de securitate informaional,
managerilor tehnologiilor informaionale, precum i managementului de vrf. Scopul lucrrii este
de a oferi o soluie simplificat n privina organizrii i derulrii procesului de analiz a riscurilor
aferente utilizrii tehnologiilor informaionale. Se consider necesar acest fapt datorit situaiei de
confuzie n care sunt muli specialiti n domeniu i importanei tot mai mari ce se acord n ultimul
timp analizei riscurilor tehnologiilor informaionale. La etapa actual de dezvoltare a tehnologiilor
informaionale n R. Moldova, metoda propus poate fi aplicat n cazul majoritii organizaiilor i
va constitui o etap preliminar pentru desfurarea proceselor complexe de analiz cantitativ a
riscurilor tehnologiilor informaionale.
Introducere
Astzi este aproape imposibil s nu auzim sau s nu citim despre riscurile utilizrii tehnologiilor
informaionale. Managementul de vrf este din ce n ce mai interesat de sensul noiunilor de
management al riscurilor i analiz a riscurilor, aplicate tehnologiilor informaionale utilizate n
cadrul organizaiei. Acest fapt se datoreaz creterii considerabile a nivelului de dependen a
business-ului de tehnologiile informaionale:
- procesele de afaceri sunt tot mai mult dependente de procesele TI, respectiv euarea
proceselor TI pot condiiona euarea proceselor de afaceri cu o mai mare probabilitate;
- cnd are loc o cdere a serviciilor TI, timpul n care acest fapt este resimit de procesele de
afaceri s-a micorat considerabil;
- cderile serviciilor TI sunt tot mai mult vizibile i resimite n afara centrului de procesare a
datelor, astfel crescnd numrul de persoane afectate ce-i manifest nemulumirea.
Pe scurt, astzi tehnologiile informaionale au posibilitatea mai mult ca oricnd s determine reuita
unei afaceri, dup cum i cderile TI, eecul ei. Din aceast cauz, pe lng obiectivele evidente ale
analizei riscurilor, trebuie menionat cel de etap preliminar n procesul de formare a planului de
asigurare a continuitii sistemului informaional al organizaiei.
n continuare vom considera risc ca fiind probabilitatea de realizarea a unei situaii nedorite, ce
poate genera pierderi sau inconveniene pentru organizaie. Managementul i analiza riscurilor este
procesul de identificare a riscurilor i determinare a soluiei optime de gestiune a lor.
Numrul de membri n echip poate varia, n dependen de dimensiunile organizaiei, oricum este
recomandabil s nu fie mai mic dect trei, sau cel puin un reprezentant al fiecrei subdiviziuni ce
utilizeaz activ resurse informaionale. Membrii echipei trebuie s fie selectai cu grij, asigurndu-
se de competena lor n ce privete procesele de afaceri ce au loc n cadrul subdiviziunilor din care
fac parte i modul n care aceste procese depind de tehnologiile informaionale.
3. Identificarea riscurilor
6. Evaluarea riscurilor
7. ntocmirea recomandrilor
- Resurse critice organizaia sau subdiviziunea posesoare a resursei nu poate s-i continue
activitate n lipsa resursei respective;
- Resurse eseniale organizaia sau subdiviziunea posesoare a resursei poate s-i continue
activitatea, ns pentru o perioad determinat de timp (cteva ore sau zile), ns resursa
trebuie neaprat restabilit;
- Resurse normale organizaia sau subdiviziunea posesoare a resursei poate s-i continue
activitatea pentru o perioad ndelungat de timp, totui anumite persoane vor fi parial
afectate, fiind impuse s gseasc alternative.
O metod de identificare i ierarhizare a resurselor critice de ctre membrii echipei este prezentat
n anexa 2.
4. La faza de asociere a riscurilor la resurse are loc o particularizare a riscurilor pentru fiecare
resurs critic n parte. Din lista de riscuri acceptate la faza a trei-a, se selecteaz acele riscuri ce
sunt aferente resursei analizate, cu adugarea comentariilor de vigoare. Se ine cont de specificul
resursei respective. Rezultatul acestei faze este o list de riscuri i descrierea lor, pentru fiecare
resurs clasificat ca fiind critic, la faza a doua.
5. Identificare mijloacelor de protecie presupune completarea listei rezultate la etapa a patra cu
descrierea mijloacelor de protecie n prezent utilizate pentru nlturarea sau atenuarea riscului
abordat. n rezultat se obine pentru fiecare resurs critic identificat o list cu riscurile aferente,
descrierea fiecrui risc i descrierea mijloacelor de protecie utilizate la moment n organizaie
pentru atenuarea sau nlturarea riscului respectiv.
6. Faza de evaluare a riscurilor este foarte important, iar succesul ei depinde n mare parte de
competenele profesionale ale membrilor echipei. Pentru fiecare resurs critic, n ordinea
importanei lor, se face o ierarhizare a riscurilor aferente n dependen de impactul ce l-ar putea
avea. Ierarhizarea respectiv se face n baza voturilor membrilor echipei i se ine cont de toat
informaia acumulat la etapele precedente. Procedura este asemntoare procedurii de ierarhizare a
resurselor informaionale, putnd fi utilizat un tabel asemntor celui din anexa 2. Rezultatele
obinute se argumenteaz, descriind pentru fiecare din riscuri impactul pe care l-ar putea avea
realizarea sa n condiiile n care mijloacele de protecie rmn cele actuale.
c. efectua o analiz tip costuri / beneficii pentru fiecare soluie propus, incluznd
costuri directe, costuri de instruire a personalului i costurile operaionale ulterioare.
n caz de necesitatea pot fi consultai specialiti competeni din cadrul organizaiei;
E recomandabil identificarea mai multor soluii de nlturare a aceluiai risc, prioritate n cazul
sta acordndu-se soluiilor ce permit nlturarea unui grup de riscuri pentru o resurs sau grup de
resurse. Rezultatul acestei faze l constituie raportul final adresat managementului de vrf. Un
exemplu de formular ce poate fi completat pentru fiecare risc asociat uneia din resurse este
prezentat n anexa 4. Toate formularele astfel completate sunt incluse n raportul final, adresat
conducerii de vrf.
- foaia de titlu;
- riscurile informaionale;
Raportul final astfel ntocmit se discut la ntlnirea tuturor membrilor echipei, n scopul
consultrilor finale ntre membrii echipei i efecturii modificrilor de rigoare. Ultima redactare,
semnat de toi membrii echipei, se transmite managementului de vrf.
n final, reuita unui proces de analiz a riscurilor depinde de implicarea managementului de vrf.
Rolul managementului, pe lng iniierea procesului, desemnarea echipei i delegarea
responsabilitilor, este i de a analiza i susine descoperirile efectuate n procesul de analiz a
riscurilor. Liderul echipei e bine s informeze regulat managementul de vrf privind derularea i
succesul procesului de analiz a riscurilor. n acest fel se va asigura un grad mai nalt de implicare a
managementului de vrf i suport financiar pentru implementarea soluiilor propuse. Verdictul final
n privina soluiei de implementat pentru fiecare dintre riscurile identificate aparine evident,
managementului de vrf, ns nu fr a se consulta membrii echipei. Soluia implementat e foarte
probabil s nu fie cea mai performant, ns e necesar s fie cea optim din punct de vedere al
raportului cost / beneficiu.
Concluzii
3. http://www.theiia.org/itaudit/
4. http://www.knowledgeleader.com/InternalAudit/
5. http://www.auditserve.com
6. http://www.security-audit-internal-audit.com/rusecure.htm
Anexa 1
Lista resurselor informaionale grupate pe categorii
Aplicaii:
Id resurs Descriere Tehnologii Date Res. Umane
SIC Sistem informatic contabil Win2000, BDE, BDSIC1 Popa M.
Srv6
Date:
Id resurs Descriere Tehnologie Res. Umane
BDSIC1 Baza de date pt sistemul contabil Oracle 9i, Srv2, Vasile M.
Solaris 9
Tehnologii:
Id resurs Descriere Tehnologii Amplasare Res. Umane
Srv2 SunFire V480 Solaris 9, Oracle 9i 309 Popescu I.
Anexa 2
Res.1 Res.2 Res.3 Res.4 Res.5 Res.6 Res.7 Res.8 Res.9 Total
Res.1 0 0 0 0 0 0 0 0 0
Res.2 0 0 0 0 0 0 0 0 0
Res.3 0 0 0 0 0 0 0 0 0
Res.4 0 0 0 0 0 0 0 0 0
Res.5 0 0 0 0 0 0 0 0 0
Res.6 0 0 0 0 0 0 0 0 0
Res.7 0 0 0 0 0 0 0 0 0
Res.8 0 0 0 0 0 0 0 0 0
Res.9 0 0 0 0 0 0 0 0 0
Total 0 0 0 0 0 0 0 0 0
Anexa 3
Riscuri informaionale
Descriere
Risc
Un ir de riscuri sunt implicate de utilizarea practicilor inadecvate
Administrare sisteme
de administrare a sistemelor: gestiune conturi utilizatori, auditul
sistemelor, proceduri de back-up, configurare sisteme, instruire
administratori.
Acces utilizatori Presupune riscurile implicate de compromiterea securitii
informaionale pe staiile utilizator sau de ctre utilizatorii
sistemului informaional (virusare, acces nesancionat,
compromiterea parolelor, utilizarea inadecvat a resurselor
disponibile .a.).
Proceduri operaionale Riscuri implicate de lipsa documentrii detaliate i adecvate a
utilizrii tuturor resurselor critice.
Dependene externe Riscuri implicate de dependena de anumii furnizori n vederea
livrrii tehnicii de calcul, produselor program, alte echipamente.
Personalul critic Existena unei singure persoane n vederea efecturii procedurilor
critice (administrare sisteme i reele) poate s compromit
activitatea normal curent.
Parole vulnerabile Riscuri implicate de utilizarea parolelor vulnerabile, n special
pentru conturile de administrare a sistemelor i pentru conturile
utilizatorilor critici.
Accesul la date Riscuri implicate de gestionarea inadecvat a drepturilor de acces la
resursele informaionale, modul n care se pot accesa resursele i
informaia din sistem.
Sniffering i spoofing Riscuri implicate de posibilitatea interceptrii informaiei transmise
prin reea, sau posibilitatea de a fura identitatea unei maini din
reea, acionnd n numele ei, cu drepturile acordate ei.
Securitatea fizic Riscuri implicate de controlul inadecvat al accesului fizic la
resursele informaionale att intern ct i extern.
Dezastre de scar mare Dezastrele naturale ca incendii, inundaii, alunecri de teren, cderi
de durat a curentului electric .a. pot avea impacturi considerabile
asupra activitii operaionale.
Construcii Afectarea construciilor, sediilor organizaiei pot afecta activitatea
operaional n cazul n care nu este analizat aceast posibilitate i
nu sunt prevzute alternative.
Anexa 4
Raport de analiz a riscului
Nume resurs:
Prioritatea resursei:
Mijloace de protecie:
Risc sau / i problem identificat:
Soluii propuse:
Justificarea soluiei: