Documente Academic
Documente Profesional
Documente Cultură
Marketing
http://www.scritube.com/management/marketing/Analiza-riscului-intrun-mediu-1517181916.php
Submit
Analiza riscului într-un mediu informatizat
Elementele prezentate în paragraful anterior conduc la ideea ca mediul informatizat genereaza noi riscuri si orice organizatie, în
vederea asigurarii unei protectii eficiente a informatiilor, este necesar sa dezvolte un proces complex de studiu si analiza a riscurilor.
Realitatea practica impune abordarea riscului informatic prin prisma a 3 factori: amenintarile privite ca evenimente sau activitati (în
general, din exteriorul sistemului auditat) care pot sa afecteze vulnerabilitatile existente în orice sistem cauzând astfel impactul,
apreciat a fi o pierdere sau o consecinta pe termen scurt, mediu sau lung suportata de organizatie.
Riscul la nivelul unei organizatii nu poate fi eliminat, el va exista întotdeaua, managmentul societatii fiind responsabil de reducerea lui
la un nivel acceptabil. În acest sens, figura 3.1 17517s1819r pune în corespondenta diferite elemente ce necesita a fi luate în calcul
pentru reducerea riscului.
Nr.
Intrebari Da Nu Comentarii
crt.
PREVENIREA INCIDENTELOR, INUNDAŢIILOR
sI CĂDERILOR DE TENSIUNE
1. Mediul în care se desfasoara activitatea de
p. a. d. este protejat în mod corespunzator
împotriva incendiilor :
Literatura de specialitate defineste managementul riscului ca fiind „procesul de identificare a vulnerabilitatilor si amenintarilor din
cadrul unei organizatii, precum si de elaborare a unor masuri de minimizare a impactului acestora asupra resurselor informationale”.
Demersul metodologic al acestui proces2[2] include urmatoarele etape:
2. Identificarea amenintarilor.
3. Identificarea vulnerabilitatilor.
6. Analiza impactului.
7. Determinarea riscului.
2
8. Recomandari asupra unor controale adecvate.
9. Documentarea rezultatelor.
- sursa amenintarii.
- vulnerabilitatea potentiala
- controalele existente.
Cu titlu exemplificativ, tabelul 3.1 releva diferite surse de amenintari umane cu actiunile
generatoare:
- politici de securitate
natura vulnerabilitatii
marimea impactului,
1 - Înalt
2 – Mediu
3 – Scazut
100 – Înalt
50 – Mediu
10 – Scazut.
Probabilit Impact
atea Scazut Mediu Înalt
amenintar (10) (50) (100)
ii
Înalt (1) Scazut Mediu Înalt (100)
(10) (50)
Mediu (0.5) Scazut (5) Mediu Mediu
(25) (50)
Scazut Scazut (1) Scazut (5) Scazut
(0.1) (10)
Tabelul 3.3 - Matricea nivelului de risc
Specialistul Alan Oliphant propune un model calitativ de determinare a nivelului de risc, conform caruia sunt luati în calcul 4 factori de
baza în aprecierea valorii riscului: impactul financiar, vulnerabilitatea, complexitatea si încrederea (model reprezentat în figura
3.23[3]).
În acest caz, valoarea riscului va fi exprimata prin calificativele “Foarte Scazut , «Scazut, Mediu, Înalt, Foarte Înalt” si nu în valori
absolute ; formula de determinare a valorii riscului este urmatoarea :
VR - valoarea de risc
[(Cv*Wv)+(Cc*Wc)+(Ci*Wi)
Managementul riscurilor în IT
http://www.datasecurity.ro/?p=33
Realizarea obiectivelor firmei presupune cunoaşterea şi asumarea unor riscuri multiple. Procesul de management
al riscului cuprinde trei faze: identificarea riscului, analiza riscului şi reacţia la risc. Identificarea riscului se
realizează prin întocmirea unor liste de control, organizarea unor şedinţe de identificare a riscurilor şi analiza
documentelor arhivate. Analiza riscului utilizează metode cum sunt: determinarea valorii aşteptate, simularea
Monte Carlo şi arborii decizionali. Reacţia la risc cuprinde măsuri şi acţiuni pentru diminuarea, eliminarea sau
repartizarea riscului.
Numim risc nesiguranţa asociată oricărui rezultat. Nesiguranţa se poate referi la probabilitatea de apariţie
a unui eveniment sau la influenţa, la efectul unui eveniment în cazul în care acesta se produce. Riscul
apare atunci când:
utilizarea experienţei personalului prin invitarea acestora la o şedinţă formala de identificare a riscurilor.
De multe ori oamenii de specialitate sunt conştienţi de riscuri şi probleme pe care ceilalţi nu le sesizează.
O comunicare eficientă este una dintre cele mai bune surse de identificare şi diminuare a riscurilor;
Etapa 9. - Documentarea rezultatelor este ultima etapa a acestui proces ce se materializeaza sub forma unui raport scris ce va
include identificarea vulnerabilitatilor, amenintarilor sursa, evaluarea riscurilor si recomandarile de controale adecvate.
identificarea riscurilor impuse din exterior (prin legislaţie, schimbări în economie, tehnologie) prin
desemnarea unei persoane care să participe la întrunirile asociaţiilor profesionale, la conferinţe şi care să
parcurgă publicaţiile de specialitate.
Faza de analiză a riscului ia în considerare riscurile identificate în prima fază şi realizează o cuantificare
aprofundată a acestora. Pentru analiza riscului se foloseşte un instrumentar matematic divers, mergând de la
analiza probabilistică la analiza Monte Carlo. Alegerea instrumentarului matematic trebuie să fie adaptată
necesităţilor analizei şi să ţină seama de acurateţea datelor disponibile.
Eliminarea riscurilor are scopul de a îndepărta riscurile, însă cele mai multe dintre opţiunile care elimină riscul
tind să scoată organizaţia din afaceri. O organizaţie cu aversiune prea mare faţă de risc nu va supravieţui mult timp
şi ar trebui să-şi investească capitalul în altă parte.
Programarea activităţilor. Dacă riscurile sunt legate de termenul de execuţie programarea ştiinţifică a
activităţilor cu ajutorul graficelor reţea poate diminua riscurile în limite rezonabile.
Instruirea. Multe riscuri în IT sunt legate de personalul neinstruit în problematica securităţii informaţiilor.
Aceasta influenţează productivitatea şi calitatea lucrărilor. Prin programe de instruire şi conştientizare în
domeniul securităţii informaţiilor se poate reduce probabilitatea producerii incidentelor şi efectul
acestora.
Reproiectarea controalelor de securitate. Riscurile pot fi de multe ori diminuate printr-o reproiectare
judicioasă a controalelor de securitate.
Repartizarea riscurilor este de asemenea un instrument performant de management al riscului. Aceasta se referă
la părţile care vor accepta o parte sau întreaga responsabilitate pentru consecinţele riscului. Repartizarea riscului
trebuie să se facă ţinându-se seama de comportamentul faţă de risc al diferitelor organizaţii implicate. În acest
sens regula generală de alocare a riscului este să se aloce riscul părţii care poate să îl suporte şi să îl controleze cel
mai bine.
Riscul este un element definitoriu in exploatarea sistemelor informatice. Nu se poate spune ca s-a gasit
un panaceu universal, capabil sa elimine in totalitate riscul de utilizare al solutiilor IT&C. Totusi,
respectarea unor reguli de baza in ceea ce priveste securitatea va conduce la diminuarea riscurilor si
folosirea optima a sistemelor informatice.
Riscul este prezent la tot pasul. Simplul fapt ca iesiti pe usa locuintei implica un risc. In aceeasi
masura riscul este prezent atunci cand stati in apartament, impreuna cu mobila existenta. Nu fiti
sceptici, pentru ca un studiu arata ca 400.000 de americani sunt raniti anual de catre obiecte de
mobilier precum scaune, canapele sau paturi. Cum reusesc, va veti intreba? Specificam ca este
vorba de raniri care implica deplasarea la camera de urgenta a spitalelor. Este totusi un numar
de 10 ori mai mare decat cel al persoanelor ranite de pe urma utilizarii skateboard-urilor sau
foarfecelor.
Desigur, nu reprezinta o surpriza faptul ca riscul capata diferite forme. In zona securitatii IT
amenintarile includ angajati nemultumiti, fosti angajati concediati, parole lasate aiurea pe postit-
uri, aplicatii de instant messaging folosite si lasate deschise, precum si instrumente de hacking
din ce in ce mai puternice si accesibile pe scara larga tinerilor teribilisti.
Fiti siguri ca va indreptati atentia intai catre acestea inainte de a cauta si identifica alte probleme
exotice. Daca nu reusiti sa le identificati, luati in consideratie posibilitatea de a apela la un
consultant extern (varianta de multe ori recomandata pentru cei care nu au experienta
suficienta in domeniu).
Computerworld USA a publicat recent 65 de sfaturi pentru a va imbunatati securitatea IT. Iata o
selectie a celor mai importante:
GESTIONATI nivelul maxim de acces la informatii, ceea ce inseamna ca angajatii vor putea
obtine accesul numai la informatiile strict necesare pentru derularea activitatii. Nu este nevoie ca toti
SCHIMBATI parolele pentru administratorul de sistem atunci cand persoane-cheie din echipa IT
parasesc compania.
eventualele activitati frauduloase sau alte iregularitati sa iasa la suprafata in perioada cand acestia
lipsesc.
STABILITI conditii stricte de colaborare cu furnizorul extern de solutii de securitate astfel incat sa
atentie sporita persoanelor care pot parasi compania impreuna cu informatii ce au caracter secret.
CORELATI datele legate de accesul in biroul companiei (oferite de cartelele de acces, acolo
unde este cazul) cu cele referitoare la accesul in retea, pentru a preveni cazuri precum cele in care
persoane intra in cladire la ore tarzii si in aceeasi perioada de timp au loc violari ale securitatii retelei.
ASIGURATI gestionarea datelor senzitive de catre doua persoane (de exemplu, transportarea
benzilor de backup de la un sediu local la sediul central sau catre locul de depozitare). Nu lasati o
BLOCATI transferul fisierelor prin intermediul programelor de instant messaging utilizate de catre
ANGAJATI persoane cu experienta pentru a investiga cazuri de frauda pe computer. Chiar si cei
mai experimentati administratori de sistem din companie pot trece cu vederea peste unele probe ce pot
ajuta la deslusirea
STUDIATI permanent noile cai de atac pe care le folosesc persoanele rau intentionate din afara
Greseala este fara indoiala un element strans legat de natura umana. Securitatea infrastructurii
IT a sistemelor este un domeniu in care greselile pot determina prejudicii importante pentru
companii, din aceste motive administratorii si managerii IT este necesar sa acorde o atentie
deosebita principalelor greseli care le pot face in aceste operatiuni. Ken M. Shaurette,
consultant la MPC Solutions, a realizat un top al principalelor 12 greseli ale managerilor IT in
implementarea politicilor de securitate.
1. Configurarea inadecvata a sistemelor de securitate (firewall, antivirus, detectia de intrusi).
2. Incercarea de a rezolva toate problemele de securitate prin prisma tehnologiilor, fara a tine
cont de implicarea utilizatorilor.
3. Utilizatorii nu sunt familiarizati cu politicile si regulile de baza de securitate.
4. Lipsa unei arhitecturi de distributie a pacth-urilor si a actualizarilor de securitate.
5. Acordati mare atentie alegerii firmei de consultanta in securitate daca intentionati sa folositi
serviciile unei asemenea companii.
6. Aplicarea cerintelor minime de securitate in utilizarea solutiilor informatice nu este suficienta
in asigurarea unui nivel optim de siguranta in exploatare.
7. Neglijarea operatiunilor de actualizare periodica a sistemelor de operare.
8. Lipsa unei planificari a operatiunilor legate de securizarea infrastructurii IT a companiei.
9. Convingerea eronata a managerilor IT ca instalarea unei solutii firewall si a unui program
antivirus asigura securitatea deplina la nivelul companiei.
10. Lipsa unei politici centralizate de management si monitorizare a securitatii la nivelul
companiei.
11. Lipsa unor reguli de baza legate securitatea sistemelor informatice, care este necesar sa fie
respectate de catre utilizatori.
12. Implementarea partiala sau folosirea unor solutii care nu acopera toate cerintele de
securitate ale companiilor.