Analiza riscului intr-un mediu informatizat

Marketing

http://www.scritube.com/management/marketing/Analiza-riscului-intrun-mediu-1517181916.php

Submit
Analiza riscului într-un mediu informatizat

Elementele prezentate în paragraful anterior conduc la ideea ca mediul informatizat genereaza noi riscuri si orice organizatie, în
vederea asigurarii unei protectii eficiente a informatiilor, este necesar sa dezvolte un proces complex de studiu si analiza a riscurilor.

Realitatea practica impune abordarea riscului informatic prin prisma a 3 factori: amenintarile privite ca evenimente sau activitati (în
general, din exteriorul sistemului auditat) care pot sa afecteze vulnerabilitatile existente în orice sistem cauzând astfel impactul,
apreciat a fi o pierdere sau o consecinta pe termen scurt, mediu sau lung suportata de organizatie.

Riscul la nivelul unei organizatii nu poate fi eliminat, el va exista întotdeaua, managmentul societatii fiind responsabil de reducerea lui
la un nivel acceptabil. În acest sens, figura 3.1 17517s1819r pune în corespondenta diferite elemente ce necesita a fi luate în calcul
pentru reducerea riscului.

Figura nr.3.1 Componentele riscului IT1[1]

În acest context, riscul informatic se poate caracteriza prin urmatoarele elemente :

 Amenintarile si vulnerabilitatile proceselor sau/si activelor

 Impactul asupra activelor bazat pe vulnerabilitati si amenintari

 Frecventa de aparitie a amenintarilor.

Odata identificate, riscurile trebuie evaluate în functie de gravitatea

efectelor pe care le produc.
1
 În general, riscurile asociate unui sistem informational, pe care orice
auditor trebuie sa le analizeze si evalueze (tehnica frecvent utilizata în
acest caz este chestionarul), în vederea aprecierii sistemului în sine,
vizeaza:

 Riscul securitatii fizice ce va fi evaluat în functie de informatiile

culese, cu privire la: existenta sistemelor de paza, detectie si alarma a
incendiilor, sistemelor de protectie împotriva caderilor de tensiune,
protectia echipamentelor împotriva furturilor, protectia împotriva
catastrofelor naturale (inundatii, cutremure..), protectia fizica a suportilor
de memorare, pastrarea copiilor de siguranta într-o alta locatie decât cea în
care îsi desfasoara activitatea organizatia.

Model de chestionar utilizat pentru aprecierea riscului securitatii fizice

Nr.
Intrebari Da Nu Comentarii
crt.
PREVENIREA INCIDENTELOR, INUNDAŢIILOR
sI CĂDERILOR DE TENSIUNE
1. Mediul în care se desfasoara activitatea de
p. a. d. este protejat în mod corespunzator
împotriva incendiilor :

- exista sisteme de detectie si de alarma

împotriva incendiilor? ;

- exista sisteme de stingere automata a

incendiilor? ;

- locul de depozitare a suportilor de memorare

este rezistent la foc? ;

- exista stingatoare de incendii ?;

- a fost instruit personalul privind situatiile in

care trebuie sa alerteze echipa de prevenire a
incidentelor?
2 Rapoartele privind aparitia incidentelor sunt
furnizate managementului?
3 Echipamentele sînt protejate împotriva
inundatiilor?
4 Exista sisteme de protectie împotriva caderilor
de tensiune ?
5. Sistemele si dotarea tehnica sunt securizate
impotriva furturilor?
FACTORI FIZICI sI DE DOTARE
6 Este controlat accesul fizic în departamentele
IT?
7 Exista un loc de protejare a suportilor de
memorare aflat în afara sediului firmei ?
8 Exista proceduri privind modul de stocare a
informatiilor confidentiale?
9. Documentatiile programelor, sistemului sînt
depozitate la loc sigur cu restrictionarea
accesului persoanelor neautorizate ?
 10. Copiile de siguranta ale documentatiilor se afla
la loc sigur ?
11. Serverele se afla într-o încapere separata ?
12. Echipamentele de comunicatie sînt protejate în
mod corespunzator ?
CONTROLUL ACTIVITĂŢILOR DE DUPĂ
PROGRAMUL DE LUCRU
13 Exista un nivel mai ridicat de control dupa
terminarea programului?
14 Sunt securizate calculatoarele dupa terminarea
programului de lucru?
15 Sunt securizate cheile si cardurile de acces?
16 Sunt monitorizate echipele de curatenie si
mentenanta?
17 Exista un jurnal pentru identificarea
persoanelor care au avut acces la sistemul
informatic în afara orelor de program?

 Riscul de comunicatie poate lua valente diferite, în functie de

disponibilitatea sistemului la reteaua publica, situatie în care auditorul e
necesar sa analizeze masurile de securitate adoptate: existenta unui
firewall, modul de configurare a acestuia, analiza modului de transmitere a
datelor prin reteaua publica (utilizarea tehnicilor de criptare, existenta unei
retele virtuale private - VPN). Acest risc se poate manifesta si la nivelul
unei retele locale, atunci când configurarea acesteia lasa de dorit si prin
“ascultarea” liniilor de comunicatie, traficul acesteia poate fi compromis.
Confidentialitatea informatiilor nu vizeaza doar memorarea acestora pe
statiile de lucru sau servere, ci si liniile de comunicatie.

 Riscul privind integritatea datelor si tranzactiilor vizeaza toate

riscurile asociate cu autorizarea, completitudinea si acuratetea acestora.

 Riscul de acces se refera la riscul asociat accesului inadecvat la

sistem, date sau informatii. Implicatiile acestui risc sunt majore, el vizând
confidentialitatea informatiilor, integritatea datelor sau bazelor de date si
disponibilitatea acestora. În acest sens, actiunile auditorului presupun o
analiza a managementului parolelor la nivelul organizatiei (altfel spus
atribuirea si schimbarea parolelor de acces fac obiectul unei aprobari
formale?), o investigare a încercarilor de accesare neautorizata a sistemului
(exista o jurnalizare a acestora ?), o analiza a protectiei statiilor de lucru
(sunt acestea dotate cu soft care sa blocheze accesul la retea, atunci când
utilizatorul nu se afla la statia sa ?).

 Riscul privind protectia antivirus ce impune o analiza a

existentei programelor antivirus în entitate, utilizarea lor la nivel de server
si statii de lucru, upgrade-ul acestor programe (manual sau automat). Lupta
cu virusii este esentiala, dar nu usor de realizat. În ciuda numarului mare
de programe antivirus existente este necesara o analiza a caracteristicilor
programului privind: scanarea în timp real a sistemului sau monitorizarea
continua a acestuia, scanarea mesajelor e-mail, scanarea manuala.

 Riscul legat de documentatia sistemului informatic.

Documentatia generala a unui sistem informatic vizeaza pe de o parte
documentatia sistemului de operare sau retelei si, pe de alta parte,
documentatia aplicatiilor instalate. Aceasta documentatie poate fi diferita
pentru administratori, utilizatori si operatori astfel încât sa ajute la
instalarea, operarea, administrarea si utilizarea produsului. Riscurile
asociate documentatiei se pot referi la faptul ca, aceasta nu reflecta
realitatea în ceea ce priveste sistemul, nu este inteligibila, este accesibila
persoanelor neautorizate, nu este actualizata.

 Riscul de personal poate fi analizat prin prisma urmatoarelor

criterii:

 Structura organizationala la nivelul departamentului IT ce va

avea în vedere modul în care sunt distribuite sarcinile si responsabilitatile
în cadrul acestuia. Alocarea unui numar prea mare de responsabilitati la
nivelul unei singure persoane sau unui grup de persoane este semnul unei
organizari interne defectuoase.

 Practica de selectie a angajatilor. La baza unui mediu de

control adecvat stau competenta si integritatea personalului, ceea ce
implica din partea auditorilor o analiza a politicilor si procedurilor
organizatiei privind angajarea, specializarea, evaluarea performantelor si
promovarea angajatilor.

 Riscul de infrastructura se concretizeaza în faptul ca organizatia

nu detine o infrastructura efectiva a tehnologiei informatiei (hardware,
retele, software, oameni si procese) pentru a sustine nevoile acesteia.

 Riscul de management al situatiilor neprevazute (risc de

disponibilitate) este riscul asociat pericolelor naturale, dezastrelor,
caderilor de sistem care pot conduce la pierderi definitive ale datelor,
aplicatiilor, în absenta unor proceduri de monitorizare a activitatii, a
planurilor de refacere în caz de dezastre.
3.3 Managementul riscurilor IT

Literatura de specialitate defineste managementul riscului ca fiind „procesul de identificare a vulnerabilitatilor si amenintarilor din
cadrul unei organizatii, precum si de elaborare a unor masuri de minimizare a impactului acestora asupra resurselor informationale”.
Demersul metodologic al acestui proces2[2] include urmatoarele etape:

1. Caracterizarea sistemului informational.

2. Identificarea amenintarilor.

3. Identificarea vulnerabilitatilor.

4. Analiza controalelor existente la nivelul sistemului informatic.

5. Determinarea probabilitatii de realizare a amenintarilor.

6. Analiza impactului.

7. Determinarea riscului.

2
 8. Recomandari asupra unor controale adecvate.

9. Documentarea rezultatelor.

1. Etapa 1- Caracterizarea sistemului. La nivelul acesteie etape,

auditorul va desfasura în primul rând o activitate de colectare a
informatiilor despre sistemul informational, informatii care vor viza
echipamentele hardware, software, interfetele sistemului, utilizatorii
sistemului informatic, datele si aplicatiile importante, senzitivitatea datelor
si sistemului în vederea aprecierii nivelului de protectie ce este necesar a fi
realizat pentru asigurarea integritatii, confidentialitatii si disponibilitatii
datelor. Cele mai utilizate tehnici de investigare pentru colectarea acestor
informatii sunt: chestionarele, interviurile, documentatia sistemului,
utilizarea unor instrumente de scanare automata a sistemului informatic
(SATAN este doar un exemplu de astfel de instrument ce permite
detectarea vulnerabilitatilor unei retele de calculatoare). Rezultatele
acestei etape vor furniza o imagine a mediului informatizat, a limitelor
sistemului informatic analizat.

Etapa 2 – Identificarea amenintarilor.

Amenintarile sunt acele evenimente sau activitati, în general externe

unui sistem, care pot afecta la un moment dat punctele slabe ale acestuia,
cauzând pierderi semnificative. În general o amenintare este o forta
potentiala care poate degrada confidentialitatea si integritatea sistemului,
generând adeseori întreruperi de servicii ale acestuia. Un element esential
în cadrul acestei etape îl reprezinta determinarea probabilitatii de realizare
a acestei amenintari, element ce trebuie analizat în functie de:

- sursa amenintarii.

 naturala (cutremure, foc, tornade, etc)

 umana (atacuri într-o retea, acces neautorizat la date

confidentiale)

 de mediu (caderi de tensiune pe termen lung, poluare,

umiditate)

- vulnerabilitatea potentiala

- controalele existente.

Cu titlu exemplificativ, tabelul 3.1 releva diferite surse de amenintari umane cu actiunile
generatoare:

Sursa Actiunea amenintarilor

amenintarii
Hackeri, Intruziuni în sistem, atacuri de tip
crackeri „hacking”, acces neautorizat la
sistem
Criminalitate Acte frauduloase, actiuni de tip
 informatica spoofing, intruziuni ale sistemului.
Terorism Penetrarea sistemului, interferarea
sistemului în mod distructiv.
Spionaj Penetrarea sistemului, acces
industrial neautorizat, captarea datelor dintr-o
linie de comunicatie neprotejata.
Atacuri ale Fraude si erori, coruperea datelor,
angajatior introducerea unor date false, acces
neautorizat la sistem, introducerea
virusilor, caii troieni, etc.
Tabelul 3.1 – Surse de amenintari umane la nivelul unui sistem informational

Etapa 3 – Identificarea vulnerabilitatilor. Scopul acestei etape este de a dezvolta o lista a

vulnerabilitatilor sistemului (lipsuri sau slabiciuni) care pot fi exploatate de surse de amenintare
potentiale. În acest context este necesara o analiza a vulnerabilitatilor – amenintarilor pereche
exemplificata, într-o maniera limitata, în cadrul tabelului 3.2.

Vulnerabilitate Sursa amenintarii Actiunea amenintarii

Identificatorul (ID) Salariati concediati Conectare la reateaua
angajatilor concediati nu organizatiei si
este eliminat din sistem acceseaza datele
acesteia.
Firewall-ul companiei Utilizatori Utizarea serviciului
permite un acces la neautorizati Telnet, permite accesul
sistem prin serviciul (hackeri, teroristi, la fisierele din sistem.
Telnet angajati concediati)
Unul din partenerii Utilizatori Obtinerea accesului
societatii a identificat neautorizati neautorizat la fisierele
slabiciuni în proiectarea sensibile ale sistemului,
securitatii sistemului, bazat pe vulnerabilitati
sistemul în sine cunoscute.
furnizându-i diferite
metode de remediere a
acestora (este si exeplul
sistemului de operare
Windows – Internet
Explorer, care în
momentul detectarii unor
slabiciuni în proiectarea
securitatii sistemului face
disponibile pentru
utilizatori „patch-uri”
pentru remedierea
slabiciunilor date).
Centrul de prelucrare Foc, persoane Declansarea automata a
automata a datelor neglijente stingatoarelor de
foloseste pentru stingerea incendii.
incendiilor
„împrastietoare” de apa
(încastrate în tavan) fapt
ce poate afecta în mod
negativ echipamentele
hardware.

Tabelul 3.2 – Exemple de amenintari – vulnerabilitati pereche

 Etapa 4 – Analiza controalelor. În vederea minimizarii sau
eliminarii riscurilor fiecare organizatie dispune implementarea unor
metode de control tehnice sau nontehnice ce pot viza:

- mecanisme de control al accesului,

- mecanisme de identificare si autentificare,

- metode de criptare a datelor

- software de detectare a intruziunilor

- politici de securitate

- proceduri operationale si de personal.

Etapa 5 – Determinarea probabilitatii de realizare a

amenintarilor. Pentru determinarea unei rate de probabilitate generala,
care indica probabilitatea ca o vulnerabilitate potentiala sa fie exercitata în
modelul de amenintari asociate, este necesar ca auditorul sa analizeze
urmatorii factori:

 capacitatea si motivatia sursei de amenintare

 natura vulnerabilitatii

 existenta si eficienta controalelor curente.

Acest element poate fi apreciat prin calificativele „Înalt”, „Mediu” si

„Scazut”, în urmatoarele conditii:

„Înalt” – sursa amenintarii este foarte motivata si suficient de capabila, iar

controalele de prevenire a acestor vulnerabilitati sunt ineficiente.

„Mediu” – sursa amenintarii este foarte motivata si suficient de capabila,

dar controalele existente pot împiedica declansarea vulnerabilitatii.

„Scazut” – sursa amenintarii este lipsita de motivatie, sau controalele exista

pentru a preveni sau cel putin a împiedica semnificativ vulnerabilitatea de a
se manifesta.

Etapa 6 – Analiza impactului. Impactul financiar este definit ca

estimarea valorica a pierderilor entitatii ca urmare a exploatarii
slabiciunilor sistemului de catre amenintari. Acest impact poate avea doua
componente: un impact pe termen scurt si un impact pe termen lung.

În esenta, impactul este specific fiecarei organizatii, depinde de

activele acesteia, de tipul organizatiei, de masurile de prevenire existente,
descrie efectul amenintarii si se poate manifesta ca o pierdere financiara
directa, ca o consecinta asupra reputatiei entitatii sau ca o sanctiune
temporara, cu o ulterioara consecinta financiara (figura 3.3).
 Figura nr.3.3 Relatia dintre vulnerabilitati, amenintari, impact si masuri de prevenire

Impactul poate fi exprimat si el prin calificativele „Înalt”, „Mediu” si „Scazut”.

Etapa 7 – Determinarea riscului.

Modelele de risc, fie ele cantitative sau calitative, reprezinta

instrumente deosebit de utile auditorilor IT pentru identificarea diferitelor
tipuri de risc, oferind în acelasi timp informatii pentru a le determina si
controla.

Literatura de specialitate abordeaza doua modele de analiza a valorii

riscului: modelul cantitativ si modelul calitativ ; acestea pornesc de la
premisa ca orice organizatie se poate astepta la aparitia unor pierderi
cauzate de ineficienta unui sistem informatic, iar acest risc al pierderilor,
rezulta din impactul pe care îl au amenintarile asupra resurselor
organizatiei.

Determinarea riscului pentru fiecare pereche vulnerabilitate –

amenintare particulara poate fi exprimat ca o functie ce depinde de:

 probabilitatea de realizare a unei amenintari,

 marimea impactului,

 masurile de control existente pentru reducerea sau eliminarea

riscului.

În acest sens poate fi dezvoltata o matrice a nivelului de risc (conform

tabelului 3.3) – derivata din multiplicarea probabilitatii de realizare a
amenintarii si impactul acesteia.Spre exemplu, daca :
 - probabilitatea asociata pentru fiecare nivel de realizare a amenintarii
este :

1 - Înalt

2 – Mediu

3 – Scazut

- valoarea asociata pentru fiecare nivel de impact :

100 – Înalt

50 – Mediu

10 – Scazut.

Probabilit Impact
atea Scazut Mediu Înalt
amenintar (10) (50) (100)
ii
Înalt (1) Scazut Mediu Înalt (100)
(10) (50)
Mediu (0.5) Scazut (5) Mediu Mediu
(25) (50)
Scazut Scazut (1) Scazut (5) Scazut
(0.1) (10)
Tabelul 3.3 - Matricea nivelului de risc

Specialistul Alan Oliphant propune un model calitativ de determinare a nivelului de risc, conform caruia sunt luati în calcul 4 factori de
baza în aprecierea valorii riscului: impactul financiar, vulnerabilitatea, complexitatea si încrederea (model reprezentat în figura
3.23[3]).

Figura nr. 3.2 Evaluarea riscurilor

În acest caz, valoarea riscului va fi exprimata prin calificativele “Foarte Scazut , «Scazut, Mediu, Înalt, Foarte Înalt” si nu în valori
absolute ; formula de determinare a valorii riscului este urmatoarea :

VR= VF * [( Cv*Wv )+( Cc*Wc )+( Ct*Wt )

3
 unde:

VR - valoarea de risc

VF - impactul financiar asupra organizatiei; acesta reprezinta un cost

potential al organizatiei în eventualitatea aparitiei unei erori, caderi de
sistem, fraude sau alte evenimente negative. Valoarea materiala va fi data
de valoarea financiara sau valoarea activelor. Impactul asupra organizatiei
poate fi sporit prin intermediul unui multiplicator non financiar:

[(Cv*Wv)+(Cc*Wc)+(Ci*Wi)

Acest model de calcul poate fi privit ca un punct culminant al analizei

factorilor de risc: vulnerabilitate, complexitate si încredere.

Cv - vulnerabilitatea, se refera pe de o parte la modul în care

utilizatorii autorizati au acces în sistem si pe de alta parte la accesibilitatea
sistemului si a activelor organizatiei de catre utilizatori neautorizati.
Accesibilitatea unui sistem informational se poate evalua în functie de
restrictiile fizice implementate în cadrul organizatiei si de modalitatile de
acces prin intermediul retelei de comunicatie.

Cc - complexitatea - are în vedere riscul asociat tehnologiei

informationale în sine, numarul utilizatorilor din cadrul compartimentelor
sau în termeni mai generici complexitatea organizationala.

Ci - încrederea, reflecta comportamentul uman din organizatie si

vizeaza doua aspecte: integritatea personalului si gradul de implicare al
managerilor.

Wv, Wc, Wi - reprezinta factori de greutate (importanta) care pot fi

aplicati la discretia auditorului, în functie de conditiile specifice. Initial,
acesti factori pot fi stabiliti la o valoare de 0.33 în vederea determinarii
unui multiplicator mediu general al riscului ; aceasta valoare nu este fixa si
atunci când se considera ca unul dintre elemente are un impact mai mare
decât celelalte, se pot folosi valori diferite.

Valoarea de risc calculata va fi transpusa într-un „tabel de traducere”,

indicându-se nivelul de risc; în proiectarea acestui tabel, auditorii au în
vedere urmatoarele reguli: valoarea cea mai scazuta de risc = 0 si valoarea
cea mai ridicata se apreciaza ca fiind valoarea totala (financiara) a
organizatiei multiplicata cu 3.

Etapa 8. - Recomandari asupra unor controale adecvate.

Scopul acestei etape se rezuma la recomandarile auditorului asupra

controalelor necesare a fi implementate pentru reducerea nivelului de risc
la un nivel acceptabil. În mod implicit, auditorul va determina nivelul
riscului rezidual definit ca acel nivel de risc ce ramâne dupa analiza si
evaluarea tuturor masurilor de combatere a riscurilor. Riscul rezidual ia
forma unei concluzii la care s-a ajuns în urma unui proces de analiza a lui si
trebuie sa contina:
  semnalarea punctelor slabe, nevralgice ale sistemului asociate cu
amenintarile corespunzatoare si probabilitatea lor de a avea loc;

 toate masurile (recomandarile) ce se impun a fi aplicate daca

riscul rezidual nu se încadreaza la un nivel acceptabil.

Figura nr.3.5 Reprezentarea riscului rezidual4[4]

Managementul riscurilor în IT

http://www.datasecurity.ro/?p=33
Realizarea obiectivelor firmei presupune cunoaşterea şi asumarea unor riscuri multiple. Procesul de management
al riscului cuprinde trei faze: identificarea riscului, analiza riscului şi reacţia la risc. Identificarea riscului se
realizează prin întocmirea unor liste de control, organizarea unor şedinţe de identificare a riscurilor şi analiza
documentelor arhivate. Analiza riscului utilizează metode cum sunt: determinarea valorii aşteptate, simularea
Monte Carlo şi arborii decizionali. Reacţia la risc cuprinde măsuri şi acţiuni pentru diminuarea, eliminarea sau
repartizarea riscului.

Numim risc nesiguranţa asociată oricărui rezultat. Nesiguranţa se poate referi la probabilitatea de apariţie
a unui eveniment sau la influenţa, la efectul unui eveniment în cazul în care acesta se produce. Riscul
apare atunci când:

 un eveniment se produce sigur, dar rezultatul acestuia e nesigur;

 efectul unui eveniment este cunoscut, dar apariţia evenimentului este nesigură;

 atât evenimentul cât şi efectul acestuia sunt incerte.

Riscul poate fi identificat folosind diferite metode:

 întocmirea unor liste de control care cuprind surse potenţiale de risc;

 analiza documentelor disponibile în arhiva firmei, pentru identificarea problemelor care au apărut în
situaţii similare celor curente;

 utilizarea experienţei personalului prin invitarea acestora la o şedinţă formala de identificare a riscurilor.
De multe ori oamenii de specialitate sunt conştienţi de riscuri şi probleme pe care ceilalţi nu le sesizează.
O comunicare eficientă este una dintre cele mai bune surse de identificare şi diminuare a riscurilor;
 Etapa 9. - Documentarea rezultatelor este ultima etapa a acestui proces ce se materializeaza sub forma unui raport scris ce va
include identificarea vulnerabilitatilor, amenintarilor sursa, evaluarea riscurilor si recomandarile de controale adecvate.

 identificarea riscurilor impuse din exterior (prin legislaţie, schimbări în economie, tehnologie) prin
desemnarea unei persoane care să participe la întrunirile asociaţiilor profesionale, la conferinţe şi care să
parcurgă publicaţiile de specialitate.

Faza de analiză a riscului ia în considerare riscurile identificate în prima fază şi realizează o cuantificare
aprofundată a acestora. Pentru analiza riscului se foloseşte un instrumentar matematic divers, mergând de la
analiza probabilistică la analiza Monte Carlo. Alegerea instrumentarului matematic trebuie să fie adaptată
necesităţilor analizei şi să ţină seama de acurateţea datelor disponibile.

Eliminarea riscurilor are scopul de a îndepărta riscurile, însă cele mai multe dintre opţiunile care elimină riscul
tind să scoată organizaţia din afaceri. O organizaţie cu aversiune prea mare faţă de risc nu va supravieţui mult timp
şi ar trebui să-şi investească capitalul în altă parte.

Diminuarea riscurilor se poate realiza printr-o serie de instrumente cum sunt:

 Programarea activităţilor. Dacă riscurile sunt legate de termenul de execuţie programarea ştiinţifică a
activităţilor cu ajutorul graficelor reţea poate diminua riscurile în limite rezonabile.
 Instruirea. Multe riscuri în IT sunt legate de personalul neinstruit în problematica securităţii informaţiilor.
Aceasta influenţează productivitatea şi calitatea lucrărilor. Prin programe de instruire şi conştientizare în
domeniul securităţii informaţiilor se poate reduce probabilitatea producerii incidentelor şi efectul
acestora.

 Reproiectarea controalelor de securitate. Riscurile pot fi de multe ori diminuate printr-o reproiectare
judicioasă a controalelor de securitate.

Repartizarea riscurilor este de asemenea un instrument performant de management al riscului. Aceasta se referă
la părţile care vor accepta o parte sau întreaga responsabilitate pentru consecinţele riscului. Repartizarea riscului
trebuie să se facă ţinându-se seama de comportamentul faţă de risc al diferitelor organizaţii implicate. În acest
sens regula generală de alocare a riscului este să se aloce riscul părţii care poate să îl suporte şi să îl controleze cel
mai bine.

Riscuri in exploatarea aplicatiilor informatice

http://www.securizare.ro/content/view/516/36/

Riscul este un element definitoriu in exploatarea sistemelor informatice. Nu se poate spune ca s-a gasit
un panaceu universal, capabil sa elimine in totalitate riscul de utilizare al solutiilor IT&C. Totusi,
respectarea unor reguli de baza in ceea ce priveste securitatea va conduce la diminuarea riscurilor si
folosirea optima a sistemelor informatice.
 Riscul este prezent la tot pasul. Simplul fapt ca iesiti pe usa locuintei implica un risc. In aceeasi
masura riscul este prezent atunci cand stati in apartament, impreuna cu mobila existenta. Nu fiti
sceptici, pentru ca un studiu arata ca 400.000 de americani sunt raniti anual de catre obiecte de
mobilier precum scaune, canapele sau paturi. Cum reusesc, va veti intreba? Specificam ca este
vorba de raniri care implica deplasarea la camera de urgenta a spitalelor. Este totusi un numar
de 10 ori mai mare decat cel al persoanelor ranite de pe urma utilizarii skateboard-urilor sau
foarfecelor.

Desigur, nu reprezinta o surpriza faptul ca riscul capata diferite forme. In zona securitatii IT
amenintarile includ angajati nemultumiti, fosti angajati concediati, parole lasate aiurea pe postit-
uri, aplicatii de instant messaging folosite si lasate deschise, precum si instrumente de hacking
din ce in ce mai puternice si accesibile pe scara larga tinerilor teribilisti.
Fiti siguri ca va indreptati atentia intai catre acestea inainte de a cauta si identifica alte probleme
exotice. Daca nu reusiti sa le identificati, luati in consideratie posibilitatea de a apela la un
consultant extern (varianta de multe ori recomandata pentru cei care nu au experienta
suficienta in domeniu).

Sfaturi pentru o infrastructura IT sigura

Computerworld USA a publicat recent 65 de sfaturi pentru a va imbunatati securitatea IT. Iata o
selectie a celor mai importante:

 GESTIONATI nivelul maxim de acces la informatii, ceea ce inseamna ca angajatii vor putea

obtine accesul numai la informatiile strict necesare pentru derularea activitatii. Nu este nevoie ca toti

membrii companiei sa aiba acces la toate datele existente.

 SCHIMBATI parolele pentru administratorul de sistem atunci cand persoane-cheie din echipa IT

parasesc compania.

 SOLICITATI ca administratorii de retea sa ia doua saptamani consecutive de concediu pentru ca

eventualele activitati frauduloase sau alte iregularitati sa iasa la suprafata in perioada cand acestia
 lipsesc.

 STABILITI conditii stricte de colaborare cu furnizorul extern de solutii de securitate astfel incat sa

limitati pe cat se poate pierderile.

 ANTICIPATI amenintarile de securitate venite din partea angajatilor nemultumiti. Acordati o

atentie sporita persoanelor care pot parasi compania impreuna cu informatii ce au caracter secret.

 CORELATI datele legate de accesul in biroul companiei (oferite de cartelele de acces, acolo

unde este cazul) cu cele referitoare la accesul in retea, pentru a preveni cazuri precum cele in care

persoane intra in cladire la ore tarzii si in aceeasi perioada de timp au loc violari ale securitatii retelei.

 ASIGURATI gestionarea datelor senzitive de catre doua persoane (de exemplu, transportarea

benzilor de backup de la un sediu local la sediul central sau catre locul de depozitare). Nu lasati o

singura persoana nemonitorizata sa se afle in posesia datelor private ale companiei.

 BLOCATI transferul fisierelor prin intermediul programelor de instant messaging utilizate de catre

utilizatorii de asemenea aplicatii din interiorul retelei.

 ANGAJATI persoane cu experienta pentru a investiga cazuri de frauda pe computer. Chiar si cei

mai experimentati administratori de sistem din companie pot trece cu vederea peste unele probe ce pot

ajuta la deslusirea

 STUDIATI permanent noile cai de atac pe care le folosesc persoanele rau intentionate din afara

companiei pentru a intra in posesia datelor private ale companiei.

12 greseli facute de managerii IT in securizarea sistemelor informatice

Greseala este fara indoiala un element strans legat de natura umana. Securitatea infrastructurii
IT a sistemelor este un domeniu in care greselile pot determina prejudicii importante pentru
companii, din aceste motive administratorii si managerii IT este necesar sa acorde o atentie
deosebita principalelor greseli care le pot face in aceste operatiuni. Ken M. Shaurette,
consultant la MPC Solutions, a realizat un top al principalelor 12 greseli ale managerilor IT in
implementarea politicilor de securitate.
1. Configurarea inadecvata a sistemelor de securitate (firewall, antivirus, detectia de intrusi).
2. Incercarea de a rezolva toate problemele de securitate prin prisma tehnologiilor, fara a tine
cont de implicarea utilizatorilor.
3. Utilizatorii nu sunt familiarizati cu politicile si regulile de baza de securitate.
4. Lipsa unei arhitecturi de distributie a pacth-urilor si a actualizarilor de securitate.
5. Acordati mare atentie alegerii firmei de consultanta in securitate daca intentionati sa folositi
serviciile unei asemenea companii.
6. Aplicarea cerintelor minime de securitate in utilizarea solutiilor informatice nu este suficienta
in asigurarea unui nivel optim de siguranta in exploatare.
7. Neglijarea operatiunilor de actualizare periodica a sistemelor de operare.
8. Lipsa unei planificari a operatiunilor legate de securizarea infrastructurii IT a companiei.
9. Convingerea eronata a managerilor IT ca instalarea unei solutii firewall si a unui program
antivirus asigura securitatea deplina la nivelul companiei.
10. Lipsa unei politici centralizate de management si monitorizare a securitatii la nivelul
companiei.
11. Lipsa unor reguli de baza legate securitatea sistemelor informatice, care este necesar sa fie
respectate de catre utilizatori.
12. Implementarea partiala sau folosirea unor solutii care nu acopera toate cerintele de
securitate ale companiilor.