Evaluarea cantitativa si calitativa a riscurilor

care ameninta functionarea normal a unui

sistem informatic

Agheorghiesei Roxana
Artem Alexandra
Anul II, Seria A, Grupa 128
 1. Oportunitatea temei datata prin proiect

Am ales aceasta tema deoarece traim in era informationala, cunoscuta si sub

numele de era digitala. Este o idee conform careia epoca în care traim este
caracterizata de capacitatea oamenilor de a transmite informatii fara restrictii
si de a avea acces la informatii la un mod care era imposibil in trecut. De
aceea, este foarte important sa stim cum sa protejam aceste informatii si date
personale.

2. Stadiul cunoasterii in domeniu

Datorita dezvoltarii tehnologice din domeniului IT, informatiile circula cu o viteza

foarte mare, accesul utilizatorului fiind aproape instantaneu, via internet.
Informatiile unei companii se pot regasi: in format tiparit , stocate in sistemele
informatice si bineinteles in mintea utilizatorului prin parole, username, etc.

Ce reprezinta securitatea informatiilor?

Securitatea informatiilor poate fi descrisa de caracteristicile de prelucrare si stocare

ale informatiilor de orice tip si provenienta, avand ca scop confidentialitatea,
disponibilitatea si integritatea datelor.
Securitatea informatiilor nu este amenintats doar de acte intentionate (interceptarea
comunicatiilor, virusi sau furt), ci si de elemente precum:

 Situatii de forta majora (inundatii, incendii, cutremure sau furtuni) care pot
distruge sau limita accesul (documentele nemaifiind disponibile în timp util).

 O actualizare nereusita de software care poate perturba sau modifica datele.

 Indisponibilitatea (din cauza unei boli, unui accident etc.) a singurei

persoane care cunostea informatia.

 Divulgarea de informatii confidentiale (intentionat sau neintentionat) catre

persoane neautorizate.
 Neasigurarea securitatii informatiilor in fata unor potentiale vulnerabilitati poate
aduce la pierderi economice semnificative, lucru nedorit de nicio companie.

Vulnerabilitatile

Vulnerabilitatile in domeniul securitatii informatice pot fi impartite in mai multe

categorii: tehnice, legate de procedurile de acces ale angajatilor in sistemele IT,
organizatorice sau erori umane.

Vulnerabilitatilor sistemului determinata de:

 accesibilitatea la sistem prin aceasta intelegand accesul fizic

si accesul la retea;

o numarul de utilizatori ai sistemului;

 solutiile tehnice implementate.

Exista doua tipuri de exaluare a riscurilor:

 Calitativa prin care se stabileste tehnica de diminuare a riscului fara a

calcula efectiv costurile

Risk = Probabilitate x Pierdere

 Cantitativa prin care se calculeaza costul pentru fiecare risc si ce pierderi

poate aduce acesta.

Aşteptarea de pierdere unică (APU) = valoarea bunului ($) x factorul de expunere

(%)

Dupa calcularea asteptarii de pierdere unica putem calcula:

Aşteptarea de pierdere anuala = APU x rata anuala de aparitie

In concluzie, de indata ce au fost identificate si ierarhizate amenintarile, se va

decide ce trebuie facut pentru gestionarea acestor riscuri.

Managementul riscurilor include reducerea riscului printr-un control de securitate

cu scopul de a accepta, a transfera sau a ignora.
Minimizarea riscurilor se poate face prin audituri interne de securitate periodice si
prin asigurarea respectarii politicilor si procedurilor de securitate.

In ziua de azi, vedem din ce in ce mai multe stiri despre atacuri informatice,
adevarate razboaie cibernetice cu efecte dezastruoase.

Managementul vulnerabilităților și evaluarea riscurilor în domeniul securității

informatice reprezintă acțiuni vitale care trebuie tratate cu prioritate maximă în
orice companie împotriva "black hat hackers".

De aceea, este bine ca intr-o companie politicile de acces sa fie implementate dupa
analiza de risc, ea facand parte din metodologia conceptului de securitate si este
aplicata in toate etapele de dezvoltare a acesteia.
Analiza de risc are ca scop evaluarea vulnerabilitatilor si gasirea de solutii în fata
amenintarilor potentiale urmarind diminuarea posibilelor pierderi.
De-a lungul timpului au fost create mai multe standarde si norme de securitate,
dintre care cele mai importante in domeniul securitatii informatice sunt:

 ISO 17799 (Organizatia International pentru Standardizare)

 Health Insurance Portability and Accountability Act (HIPAA)

 Personally identifiable information (PII)

 ISO 27001

 ITIL (Information Technology Infrastructure Library)

ISO 17799

Specifica cele mai bune practici pentru managementul securitatii informatiei. Acest
standard imparte managementul securitatii informatiilor in diferite categorii, dupa
cum urmeaza:

 evaluarea riscurilor,
  politici de securitate,

 organizarea securitatii,

 protectia activelor,

 securitatea personalului,

 securitatea fizica si a mediului inconjurator,

 managementul comunicarii și functionarii,

 controlul accesului,

 sistemul de intretinere,

 continuitatea afacerii.

Health Insurance Portability and Accountability Act (HIPAA)

A fost creat în 1996 și se ocupă cu confidențialitatea datelor medicale.

Personally identifiable information (PII)

Se ocupă cu protejarea datelor personale de identitate.

ISO 27001

Conţine modelul de "plan-do-check-act" şi anume planificare definire,

implementare folosire, monitorizare evaluare şi în ultimă fază menţinerea şi
îmbunătăţirea performanţelor.
ITIL (Information Technology Infrastructure Library) este un set detaliat de
practici pentru managementul serviciilor IT (ITSM), care se concentrează pe
alinierea serviciilor IT cu nevoile de afaceri.
Riscurile care ameninta functionarea normala a unui sistem informatic
Pentru fiecare risc identificat pot fi precizate trei niveluri de risc si anume: scazut,
mediu si mare.

In urma evaluarii sistemului informatic, pot fi precizate urmatoarele riscuri:

Riscul asocial accesului fizic:

Nivel risc Descriere

Mare Resursele informationale sunt accesibile

tuturor angajatilor

Mediu Resursele informationale sunt in birouri

organizate cu acces limitat al
personalului

Scazut Resursele sunt intr-o zona cu acces strict

controlat

Riscul asociat retelei de comunicatii:

Nivel risc Descriere
Mare Sistem conectat la reteaua publica
Mediu Sistem conectat la retea private;
Comunicarea cu exteriorul cu linii
dedicate
Scazut Nicio conexiune cu mediul exterior

Riscul complexitatii organizationale

Nivel risc Descriere

Mare Erorile din sistem afecteaza

intreaga organizatie

Mediu Erorile din sistem afecteaza anumite

compartimente

Scazut Erorile din sistem afecteaza un

compartiment

Riscul asociat personalului:

Nivel risc Descriere

Mare Personalul nu a fost verificat inainte

de angajare si nici in prezent

Mediu Personalul este verificat imediat

dupa angajare

Scazut Personalul este verificat inainte de

angajare

Riscul asociat personalului de specialitate:

Nivel risc Descriere

Mare O singura persoana care se ocupa de
tot sistemul

Mediu Exista 2-3 persoane ce asigura

functionarea si intretinerea
sistemului

Scazut Exista mai mult de 3 persoane

implicate in functionarea sistemului

Riscul asociat ciclului de viata:

Nivel risc Descriere

Mare Sistem implementat de cel mult

un an si durata de viata este de cel
putin 20 ani
Sistem cu durata de viata mai mare de
Mediu 4 ani

Scazut Sistem cu durata de viataintre 1-4 ani

Risc asociat documentatiei:

Nivel risc Descriere
Mare Nu exista documentatie
Mediu Documentatia exista, dar nu reflecta
realitatea din sistem
Scazut Documentatia este actualizata si este
disponibila

La ora actuala exista produse software specializate in evaluarea riscurilor:

Risk Cu functia de simulare a riscurilor
Buddy system Asigurand desfasurarea unei analize a
securitatii si managementul riscurilor
Risk pac Sistem expert pe baza de chestionar

Pierderile cauzate de riscurile prezentate de un sistem informatic pot consta din:

 fraude produse prin intermediul sistemului

 divulgarea neautorizata a informatiilor

 furtul de echipamente si informatii

 distrugerea fizica a echipamentelor

 distrugerea unor fisiere continand date

 intreruperi ale procesarii datelor etc.

BancPost

Istoric

In procesul restructurarii Sistemului Bancar Romanesc, proces demarat in 1989, la

1 iulie 1991 a fost infiintata Societatea Comerciala BANC POST S.A., pe baza
unei hotarari a Guvernului Romaniei (H.G. nr. 448/27.06.1991). Banc Post S.A. a
fost creata impreuna cu 4 regii autonome, POSTA ROMANA, ROMTELECOM,
RADIOCOMUNICATII, INSPECTORATUL GENERAL AL
RADIOCOMUNICATIILOR, prin desprinderea lor din fosta regie de interes
national ROM POST TELECOM, fiindu-i atribuita o parte din patrimoniul
acesteia.

BANC POST S.A. se constituie ca societate comerciala pe actiuni, organizata în

conformitate cu legile in vigoare si functioneaza ca persoana juridica.
De la inceput Banc Post S.A. a primit de la Banca Nationala a Romaniei licenta
pentru operatiuni caracteristice unei banci cu profil universal. Plecand de la
principiul care guverneaza activitatea bancara curentă a Romaniei, dar si pentru a-
si ajuta si proteja clientii de la inceput, Banc Post S.A. si-a stabilit ca scop
dezvoltarea dinamica si diversificarea activitătilor sale.

In scurt timp isi formeaza o retea teritoriala impresionanta si isi castiga un loc
important pe piata bancara romaneasca. Daca în 1992 Banc Post avea 13.000 de
clienti, in prezent numarul acestora este de 2,7 milioane. Numarul de conturi
deschise la Banc Post a cunoscut de asemenea o crestere exponentiala. Daca în
primul an de activitate clientii aveau deschise circa 28.000 de conturi, aceasta cifra
a ajuns în prezent la peste 3 milioane de conturi.

Analiza SWOT

Puncte tari:

 Posesia unui sistem de securitate informatica intra-organizationala superior

sistemului C.I.A.
 O infrastructura fiabila pentru tehnologia informatiei
 Protectia proactiva contra „programelor malitioase”
 Valorificarea optima a experientei si pregatirii profesionale a specialistilor si
colaboratorilor firmei
 Utilizarea unor mijloace moderne de informare si instruire
 Banca functioneaza într-un domeniu strict reglementat si supravegheat
 Comunicarea si transferul informatiilor se realizeaza în timp real
 Banca detine o tehnologie informationala specializata
 Banca dispune de personal capabil de-a fi calificat si instruit suplimentar
 Experienta profesionala

Puncte slabe:

 Absenta cunostintelor specifice in domeniu

 Delegare insuficienta a responsabilitatilor
 Vulnerabilitatea datelor la atacurile informatice

Oportunitati:
  Dezvoltarea unor produe și programe inovatoare , alternative ale
operațiunilor bancare clasice
 Confruntarea bancilor din Romania cu anumite banci, inclusiv straine, care
au conceput, implementat si certificat un sistem de management
 Banca, prin natura si specificul activitatii lor, lucreaza in domeniul
reglementat, deci isi pot adapta normele, instructiunile si reglementarile la
cerintele standardelor ISO

Amenintari:

 Intruziunea programelor malitioase in sistemul informatic al

organizatiei/intreprinderii care este conectata la Internet
 Probleme de natura financiara

 Vulnerabilitatea sistemului informatic la eventualele atacuri cibernetice

Analiza SWOT este o metoda eficienta, utilizata in cazul planificarii strategice

pentru identificarea potentialelor, a prioritatilor si pentru crearea unei viziuni
comune de realizare a strategiei de dezvoltare. Analiza SWOT da ocazia sa se
identifice masurile oportune pentru înlaturarea/diminuarea punctelor slabe
(ierarhizarea lor ca prioritati) si elimina in mare masura surprinderea in cazul
amenintarilor.

Conform unui studiu recent al celor de la McAfee, costul global al criminalitatii

cibernetice a deposit in ultimul an 600 de miliarde de dolari, cu o crestere de 13%
a numarului vulnerabilitatilor raportate, iar costurile anuale au crescut cu 23%
ajungand la o medie de 11,7 milioane USD.

Fraudele financiare, economia subterana și platile ilegale au crescut de 1,8 ori.

Cererile de rascumarare pentru deblocarea sistemelor infestate au crescut cu 36%.
S-a ajuns la peste 4000 de atacuri zilnice.

Tehnicile utilizate de hackeri devin tot mai sofisticate, 90% dintre acestia
acoperindu-si urmele prin criptare, ceea ce face ss devină mult mai importante
masurile preventive. Aproape 81% dintre victimele atacurilor nu au implementat
mssuri de detectie a incercarilor de incalcare a securitatii datelor.

Pentru dezvoltarea sistemelor de securitate in conditii de costuri optime este

necesara analiza factorilor ce influenteaza securitatea informatica. Este necesara
dezvoltarea unui sistem de caracteristici de calitate şi realizarea corelarii sale cu
factorii de influenta ai securitatii informatice.

Solutia de implementare:

 Certificarea companiei dezvoltatoare de software in sisteme de calitate

pentru a instaura politici de dezvoltare software ce urmeaza criterii bine
definite pentru optimizarea calitatii proceselor din ciclul de dezvoltare
software
 dezvoltarea de tehnologii noi de securizare a informatiei, prin implementarea
carora sistemul de securitate este mai eficient

Cheltuielile legate de activitatea de programare şi testare a aplicaţiei

Activitate Durata Cost (pe zi) Cost total

Documentare 4 200 800
Dezvoltare 15 200 3000
software
securitate
Testare software 3 150 450
securitate
Depanare 2 200 400
software
securitate
Implementare si 4 150 600
instalare software
securitate

Efectele estimate asupra sistemului de management al firmei:

Protejarea societatii de acces neautorizat, de incidente provocate de neglijenta,

lipsa de cunoștinte sau lipsa de timp pentru actualizarea masurilor tehnice de
securitate.
Bibliografie:

https://www.wikipedia.org

https://www.iso.org

https://www.academia.edu