TEHNOLOGII, STRUCTURI ŞI MANAGEMENTUL REŢELELOR DE CALCULATOARE

EVALUAREA ŞI MANAGEMENTUL RISCURILOR DE SECURITATE

Asigurarea securităţii datelor din interiorul unei companii ori a unei organizaţii reprezintă o
aliniere la cerinţele actuale ale dezvoltării societăţii informaţionale. Dezvoltarea fără precedent a
mediului de afaceri din ultimul timp foloseşte ca suport tehnologiile Internet. Dezvoltarea acestor
tehnologii într-un ritm atât de susţinut nu a putut fi prezisă de iniţiatorii ei şi aceste tehnologii nu
s-ar fi dezvoltat fără suportul mediului de afaceri care le-a adoptat şi utilizat extensiv iar acestea,
la rândul lor, s-au adaptat acestui mediu. Fenomenul acesta a dat naştere unor domenii complet
noi cum ar fi, spre exemplu, deja cunoscutele e-aplicaţii de felul e-Government, e-Commerce, e-
Business, e-Learning etc.

Acest mediu de comunicare, informare, documentare, tranzacţionare etc. care reuneşte milioane
de utilizatori are însă şi punctele lui vulnerabile. Vulnerabilitatea reprezintă poate punctul cel mai
nevralgic al mediului Internet. Zilnic au loc atacuri la adresa serverelor de orice tip din Internet.
Şi tot zilnic se depun eforturi uriaşe şi se cheltuiesc sume mari de către companii specializate
pentru acoperirea breşelor de securitate descoperite la timp sau în urma unor atacuri uneori cu
consecinţe catastrofale. Marile companii producătoare de software au compartimente specializate
în domeniul securităţii. Orice aplicaţie are, inerent, încorporate şi elemente de siguranţă şi
securitate.

Determinarea politicii de securitate pentru o organizaţie depinde masiv de complexitatea acesteia.

Politica de securitate include foarte multe ramuriCe trebuie să facă însă o firmă mică ce nu
dispune de fonduri? Cum va face ea faţă unor posibile atacuri atunci când este conectată la
reţeaua Internet? Este necesar şi suficient să-şi achiziţioneze software de ultimă oră?

Şi nu există numai această problemă. Trebuie să existe întotdeauna un scenariu privitor la ce va

face o organizaţie în caz de dezastre naturale.
Similar trebuie stabilită o strategie pentru situaţia în care se constată pierderea masivă a datelor
din cauza unor variaţii mari (şocuri) de tensiune ale reţelei locale de alimentare cu energie
electrică.
O manevră greşită, comisă de un operator al organizaţiei, poate compromite conţinutul unor
servere de baze de date ori fişiere cu informaţii sensibile ale unor clienţi – constituind încă o
situaţie de risc extrem de tăios.

De cele mai multe ori, fără o pregătire prealabilă, în astfel cazuri se pot face foarte puţine
manevre pozitive, reparatorii, după producerea dezastrului.
Previzional, mult înainte să aibă loc un incident previzibil catastrofal se pot iniţia două tipuri de
activităţi care să preîntâmpine, să prevină, şi să gestioneze, la nivelul organizaţiei, scenariul unui
posibil dezastru:
- analiza riscurilor la adresa securităţii (şi nu numai);
- evaluarea costurilor procedeelor de prevenire a dezastrelor şi / sau costurile pentru depăşirea
dezastrului, odată produs, şi recuperarea funcţionalităţii pierdute.

Ameninţările la adresa integrităţii şi securităţii unei organizaţii se pot exercita prin mai mulţi
vectori. O parte dintre aceştia, cei mai frecvenţi, sunt:
• spionii;
• organizaţiile criminale şi teroriste;
• utilizatorii răutăcioşi sau răuvoitori;

1
 TEHNOLOGII, STRUCTURI ŞI MANAGEMENTUL REŢELELOR DE CALCULATOARE

• anumite persoane din interiorul organizaţiei, care au acces la date şi

procedee utilizate în sistemul de securitate al organizaţiei
respective;
• persoane din afara organizaţiei dar care au acces la anumite
informaţii extrem de sensibile pentru securitatea organizaţiei;
• cataclismele naturale.

Riscul poate fi definit ca o ameninţate care poate să exploateze eventualele slăbiciuni ale unui
sistem ori a unei întregi organizaţii. Riscul este un eveniment care este posibil să se întâmple,
fiind considerat, adesea, un eveniment aleator. Pentru a se preîntâmpina apariţia unui eveniment
care să afecteze securitatea unei organizaţii ori unui sistem este necesară elaborarea unei politici
de măsuri specifice. Aceste măsuri sunt determinate prin metrici asociate riscurilor. Metricile sunt
acelea care introduc o ierarhizare a rsicurilor.

Riscurile şi ameninţările sunt identificate, adeseori, reciproc. Se discută despre un risc şi se

subînţelege, implicit, ameninţarea care produce acel risc. Riscul este, însă, o noţiune mai abstractă
decât ameninţarea prin faptul că, implicit, face referinţe la costurile punerii în fapt a respectivei
ameninţări dar cuprinde în sine, intuitiv, şi cuantificarea realizării efective a ameninţării.

Dacă se consideră o mulţime de riscuri { rk | 0 < k ≤ q}, unde q este numărul maxim de riscuri,
asociate unei organizaţii se poate introduce o relaţie peste această mulţime de riscuri.
Astfel, se poate aprecia că două riscuri r1 şi r2 distincte (r1 ≠ r2) pot fi ordonate, printr-o relaţie de
ordine parţială, considerând relaţia dintre costurile respectivelor riscuri, adică prin pagubele
produse de acestea:
r1 ≤ r2 dacă şi numai dacă C(r1) ≤ C(r2),

unde s-a notat prin C(ri) costul riscului i.

Similar se poate aprecia că un risc r1 mai frecvent, ca apariţie, poate fi mai costisitor decât un risc
r2 care se produce mai rar, cu condiţia ca pagubele produse să fie pe evaluate peste un acelaşi
interval de timp. Valoarea unui risc rk este, de cele mai multe ori, estimată prin produsul dintre
costul său şi frecvenţa sa de apariţie:
V(rk) = C(rk)P(rk)

Aceasta valoare poate fi considerată ca fiind o bună metrică a riscului, în general.

Securitatea sistemelor informaţionale

Se pot enumera următoarele măsuri de securitate:

• hardware;
• software;
• procedee de operare specifice;
• controlul şi cuantificarea accesului;
• verificarea şi evaluarea fiabilităţii procedeelor;
• monitorizarea securităţii personalului;
• modalităţi de constituire a unui mediu asigurator la nivelul instituţioal al organizaţiei
(clădiri, zonele de acces, modalităţi de separare a serviciilor cu risc ridicat etc)

Analiza riscului presupune un proces de identificare al principalelor riscuri de securitate,

stabilirea anvergurii şi implicaţiilor riscurilor, precum şi identificarea zonelor care prezintă risc

2
 TEHNOLOGII, STRUCTURI ŞI MANAGEMENTUL REŢELELOR DE CALCULATOARE

mare şi care trebuie asigurate. Analiza de risc face parte din ansamblul de măsuri care poartă
denumirea generică de managementul riscului. Evaluarea riscurilor este un rezultat al unui
proces de analiză a riscurilor.

Managementul riscului poate fi definit ca totalitatea metodelor de identificare, control, eliminare

sau minimizare a evenimentelor care pot afecta resursele sistemului.
Acesta include:
o analiza riscurilor;
o analiza costului beneficiilor;
o determinarea celor mai potrivite mecanisme;
o evaluarea securităţii măsurilor adoptate;
o analiza securităţii în plan general.

Analiza riscului trebuie efectuată din mai multe raţiuni, şi anume:

• identificarea ierarhică a activelor organizaţiei respective şi pârghiile care asigură
securitatea asupra acestora;
• constituirea unor etape succesive de eliminarea a condiţiilor care pot favoriza realizarea
riscurilor atunci când contextul este complex iar o modificare a funcţionării sale nu se
poate introduce decât prin politica paşilor mărunţi.
• stabileşte obligativitatea unor acţiuni şi a unor termene de realizare în vederea constituirii
unor obiective care ţin de implementarea securităţii organizaţiei;
• constituirea unei perspective de ansamblu a achiziţionării de resurse şi servicii în acest
sens astfel încât, să se ţină seama de efortul financiar în contextul găsirii celor mai
eficiente soluţii.
• aliniază programul de control cu misiunea organizaţiei;
• oferă criterii pentru proiectarea şi evaluarea planurilor de avarie;
• îmbunătăţeşte înţelegerea generală (asupra sistemului, cum operează, etc.).

Analiza riscurilor urmăreşte să pună acest proces pe baze teoretice şi practice solide. Sunt mai
multe modalităţi de abordare a riscului. Dintre acestea se disting câteva, şi anume:
o analiza cantitativă;
o analiza calitativă;
o analiza fiecărui post de lucru din organizaţie.

Analiza cantitativă a riscului de securitate

Pentru analiza calitativă a riscului se parcurg următorii paşi:

1. Identificarea şi evaluarea activelor (bunurilor organizaţiei)
2. Determinarea vulnerabilităţilor
3. Estimarea probabilităţii de producere
4. Calculul pierderilor anuale estimate
5. Analiza măsurilor de control
6. Estimarea Rentabilităţii Investiţiei (RI).

1. Identificarea şi evaluarea activelor (bunurilor organizaţiei)

Identificarea activelor
Presupune identificarea componentelor hardware, software, datelor cu care se operează,
personalul implicat în procese, documentaţiile aferente, suporturile corespunzătoare etc.

3
 TEHNOLOGII, STRUCTURI ŞI MANAGEMENTUL REŢELELOR DE CALCULATOARE

Evaluarea activelor
Presupune să se stabilească costurile de înlocuire pentru cazuri când un anume activ este distrus.
Pentru aceasta trebuie să se răspundă unor criterii care să direcţioneze evaluarea respectivelor
active. Unele dintre aceste criterii sunt formulate prin chestiuni simple referitoare la costurile
asociate activelor considerate.

Componentele hardware impun anumite caracteristici tipice:

• Costurile de înlocuire ale activului respectiv ţinând seama de preţurile actuale?
• Durata înlocuirii unui activ din categoria componentă hardware. Această durată include şi
timpul necesar aducerii componentei în regim de funcţionare şi exploatare nominală.
Durata are atât influenţă asupra costurilor cauzate prin nefuncţionare cât şi asupra
costurilor legate de manoperele de instalare, punerea în funcţiune, verificarea şi testarea,
aducerea în regimul nominal de utilizare etc.
• Costurile legate de manoperă şi calificarea necesară a acesteia, la care se adaugă costurile
de verificare, testare, certificare etc.
• Costurile în raport cu clienţii şi beneficiarii organizaţiei pe durata efectuării refacerii
potenţialului nominal de funcţionare.

Componenetele software, la randul lor, au anumite trăsături care le individualizează în cazul unor
malfuncţionări. Costurile asociate acestora sunt, adesea, estimate prin timpul necesar soluţionării
malfuncţionarii. În acest context costurile vor fi calculate prin costul manoperei pe durata
intervenţiei:
• Timpul necesar stabilirii cauzelor malfuncţionării. Acest timp poate fi principala
componentă a duratei globale a refacerii funcţionalităţii. Poate necesita manoperă cu
costuri ridicate implicând eforturile, de regulă, a unei echipe.
• Durata încărcării şi testării aplicaţiei, componentei software, după găsirea şi înlăturarea
cauzelor care au fost stabilite. Procesul poate fi iterativ din cauza complexităţii
aplicaţiilor constituite, în majoritatea situaţiilor, din componente software licenţiate de
furnizori diferiţi. Se pot întâlni situaţii în care o anumită malfuncţionare maschează o alta
care ajunge vizibilă abia după înlăturarea precedentei.
• Durata restaurării, reîncărcarii, sistemelor mari de aplicaţii.

Referitor la date, la informaţiile stocate, criteriile se referă la:

• Costurile restaurării şi reinstalării.
• Durata refacerii unor date pierdute sau compromise.
• Costurile stabilirii cauzelor care au condus la pierderea integrităţii datelor ori a
confidenţialităţii acestora.
• Costurile informaţiile pierdute care aparţin organizaţiei şi costurile informaţiilor pierdute
care nu aparţin organizaţiei (clienţi care impun anumite costuri, uneori prohibitiv de mari).

Privitor la personalul companiei, principalele criterii se grupează în jurul acestor aspecte:

• Volumul şi calificarea personalului care va fi implicat în recuperarea funcţionalităţii
organizaţiei de după un dezastru.
• Costurile implicate de instruirea suplimentară a personalului. Aceste costuri se referă atât
la instruirea personalului pre-existent dezastrului cât şi la costurile instruirii personalului
adăugat Cât costă instruirea unui nou personal?
• Care sunt efectele psihologice ale dezastrelor?

4
 TEHNOLOGII, STRUCTURI ŞI MANAGEMENTUL REŢELELOR DE CALCULATOARE

Estimarea valorii impactului pe o zonă

Fiecare bun are, în cazul pierderii acestuia sau al funcţionării defectuoase, impact asupra a trei
elemente necesare în asigurarea securităţii, şi anume:
• secretizare;
• integritate;
• disponibilitate.

Exemplul 1:
Se consideră un fişier care stochează datele personale ale unui număr de
200 de angajaţi ai unei companii. În urma unui eveniment nedorit
(intenţionat, neintenţionat, accident, fenomen natural), se pierd atât
datele din fişier, cât şi structura acestuia. Nu există copie de siguranţă
pentru acestea. Refacerea structurii fişierului poate fi făcută de o
persoană calificată, lucrând 4 ore pentru reconstrucţie (în timpul
programului). Salariul tarifar este de 2,5 USD/oră.

Restaurarea datelor, repopularea fişierului, va putea fi făcută în afara

orelor de program de aceeaşi persoană sau de o altă persoană. Această
operaţie durează 5 (cinci) ore şi este plătită cu 3 USD/oră (lucrul în afara
orelor de program). Pierderea secretului, neştiind natura dezastrului,
creează pierderi estimate la 5.000 USD, aceasta fiind zona cu impactul
cel mai mare în privinţa costurilor de refacere.

4(ore) x 2,5 (USD/oră) + 5(ore) x 3 (USD/oră- suplimentar) = 25 USD.

Zona impact Valoare impact (USD)

Secret 5 000
Integritate - Disponibilitate 25

Calculul valorii totale pentru fiecare activ. Se calculează valoarea totală

pentru un impact folosind formula:

n
Valoare(a) = ∑ impacti
i =1

unde Valoare(a) semnifică valoarea impactului pentru activul a iar

impacti semnifică valoarea impactului în zona respectivă pentru bunul,
activul a.
Există trei (n = 3) zone de impact (Secret , Integritate şi Disponibilitate).

În acest caz, Valoarea(a) = 50.000 + 0 + 25 = 50.025 USD.

5
 TEHNOLOGII, STRUCTURI ŞI MANAGEMENTUL REŢELELOR DE CALCULATOARE

2. Stabilirea vulnerabilităţilor dintr-o organizaţie

Presupune stabilirea ameninţărilor la adresa activelor şi frecvenţa cu care aceste ameninţări se pot
produce în respectiva organizaţie.

Posibilele ameninţări la adresa activelor

Naturale Accidente Acte intenţionate
Cutremure de pământ Dezvăluiri Dezvăluiri
Inundaţii Perturbări electrice Sabotaj al angajaţilor
Uragane Întreruperi electrice Fraudări
Alunecări de teren Incendii Furturi
Furtuni de zăpadă Scurgeri de lichide Loviri
Furtuni de nisip Erori de transmisii-telecomunicaţii Utilizări neautorizate
Tornade Erori ale operatorilor/utilizatorilor Vandalism
Tsunami Erori de cadru organizatoric Intruziuni
Descărcări electrice Erori hardware Atacuri cu bombe
Erupţii vulcanice Erori software Revolte/Insurgenţe
Tabelul 1.

Impactul acestor ameninţări asupra bunurilor depinde în mare măsură de anumiţi factori, dintre
care cei mai des invocaţi sunt:
• amplasarea geografică;
• facilităţile cadrului organizatoric;
• densitatea de informaţie;
• condiţiile economice locale;
• sistemele de avertizare şi protecţie implementate;
• vizibilitate;
• accesul facil la bunuri;
• redundanţe;
• procedurile şi metodele de salvare;
• conştientizarea măsurilor de securitate şi protecţie etc.
• fulgerele, calamităţile naturale, în general.

3. Estimarea probabilităţii de producere a incidentelor

Se stabileşte probabilitatea de producere a unui incident într-un interval de timp, bine precizat. În
tabelul urmator sunt prezentate, spre exemplu, frecvenţele de producere ale unor incidente:

6
 TEHNOLOGII, STRUCTURI ŞI MANAGEMENTUL REŢELELOR DE CALCULATOARE

Frecvenţa şi probabilitatea de producere a incidentelor

Frecvenţa Probabilitatea
Niciodată 0,0
O dată la 300 ani 1/300 0,00333
O dată la 200 ani 1/200 0,005
O dată la 100 ani 1/100 0,01
O dată la 50 ani 1/50 0,02
O dată la 25 ani 1/25 0,04
O dată la 5 ani 1/5 0,2
O dată la 2 ani 1/ 2 0,5
O dată pe an 1/1 1,0
De două ori pe an 2/1 2,0
O dată pe lună 12/1 12,0
O dată pe săptămână 52/1 52
O dată pe zi 365/1 365
Tabelul 2.

Folosind datele statistice se poate stabili rata de producere a unui incident. Aceste date statistice
sunt evidenţiate în tabelul 2.

4. Calculul pierderilor anuale estimate

Calculul pierderilor anuale estimate pentru fiecare ameninţare

unde PAEa = Pierderi Anuale Estimate pentru ameninţarea a,
Vb = Valoarea bunului b (fiind considerate bunuri etichetate de la 0 la n),
Ea = Estimarea numărului de incidente ale ameninţării a (sunt luate în calcul ameninţări
etichetate de la 0 la m).

Exemplul 2:

Bunurile considerate
Calculator Imprimantă Centru
(local) cu servere
Şocuri Şocuri Şocuri
Ameninţarea de tensiune de tensiune de tensiune

Costul
incidentului 500 500 10.000
(USD)
Frecvenţa cinci (5) cinci (5) cinci (5)
de producere ori pe an ori pe an ori pe an
PAE1,1 = PAE2,1 = PAE3,1=
PAE 500x5 = 500x5 = 10.000x5=
2.500 2.500 50.000
PAE total PAE1, 1 + PAE2, 1 + PAE3, 1=
2.500 + 2.500 + 50.000 = 55.000 USD
Tabelul 3.

7
 TEHNOLOGII, STRUCTURI ŞI MANAGEMENTUL REŢELELOR DE CALCULATOARE

Calculul pierderilor anuale estimate în raport cu fiecare bun considerat

m
unde PAE _ b = ∑ Vbi Ea j
i
j =0
reprezentând Pierderile Anuale Estimate pentru bunul bi, cu notaţiile:
Vbi = Valoarea bunului b (i de la 0 la n bunuri) şi respectiv
Eaj = Estimarea numărului de incidente ale ameninţării a (j de la 0 la m ameninţări).

Exemplul 3:

Bunurile considerate
Centru servere Centru servere Centru servere
Şocuri Cutremur
Ameninţările Inundaţie
de tensiune de pământ
Costul
incidentului 30.000 50.000 10.000
(USD)
Frecvenţa cinci (5) o dată o dată
de producere ori pe an la 50 de ani la 25 de ani
PAE1,1 = PAE2,1 = PAE3,1=
PAE 30000x5 = 50000x 0,02 = 10.000x 0,04 =
150.000 10.000 4.000
PAE total PAE1,1 + PAE1,2 + PAE1,3=
150.000+10.000+4.000 = 164.000 USD
Tabelul 4.

Calculul pierderilor anuale estimate sub-totale şi totale

Se determină Pierderile Anuale Estimate însumând după categorii de ameninţări: (PAE_bj).

Se determină Pierderile Anuale Estimate însumând pe categorii de bunuri: (PAE_ai).
PAE = Total Pierderi Anuale Estimate pentru perechile bun/ameninţare.

În ambele cazuri de calculare a pierderilor totale, pe categorii de ameninţări sau pe categorii de

bunuri, rezultatul trebuie să fie identic.
Se poate genera o matrice ameninţări / bunuri şi PAE-urile corespunzătoare fiecărui bun, fiecărei
ameninţări şi PAE-ul global (respectiv colţul din dreapta jos).

Matricea ameninţări / bunuri

Bunul Bunul … Bunul PAE_ai
b1 b2 bn
Ameninţarea V1 x E1 V2 x E1 … Vn x E1 PAE_a1
a1
Ameninţarea V1 x E2 V2 x E2 … Vn x E2 PAE_a2
a2
… … … … … …
Ameninţarea V1 x Em V2 x Em … Vn x Em PAE_am
am
PAE_bj PAE_b1 PAE_b2 … PAE_bn ∑PAE
Tabelul 5

8
 TEHNOLOGII, STRUCTURI ŞI MANAGEMENTUL REŢELELOR DE CALCULATOARE

5. Determinarea principalelor măsuri de prevenire şi control

Dintre toate ameninţările avute în vedere, se identifică ameninţarea care produce pierderile cu
cele mai mari valori anuale estimate corespunzătoare (PAE_a). Principalel măsuri de control vor
viza diminuarea pierderilor cauzate de această ameninţare.

Se identifică măsurile care pot duce la reducerea vulnerabilităţii faţă de ameninţarea cea mai
costisitoare. Întotdeauna se are în vedere că unele măsuri se pot aplica pentru mai multe categorii
de ameninţări ori pentru mai multe categorii de bunuri.
În afara acestor măsuri specifice unei anume ameninţări se mai pot institui şi altele cu caracter
mai general:
o Stocarea datelor critice în afara organizaţiei;
o Introducerea unor procedee precise şi riguros aplicate atât pentru salvările
de siguranţă cât şi pentru salvările periodice de date;
o Însoţirea personalului din exterior primit în interiorul organizaţiei;
o Etichetarea şi marcarea cu culori distincte a diverselor porţiuni de
documente care conţin date ce vor fi operate sau introduse în sistemele de
calcul;
o Măsurile de protecţie la nivel fizic – supravegherea electronică
monitorizată, paza prin personal calificat, însoţitori;
o Controlul accesului la anumite zone prin avertizări audio-vizuale, validarea
accesului prin chei de acces (fizice şi software) ori ecusoane validate prin
mijloace de supraveghere;
o Accesul la sistemele informaţionale să aibă loc în baza unei identificări iar
activitatea la aceste sisteme să fie memorată în log-uri sau jurnale de acces.

6. Calculul Estimării Rentabilităţii Investiţiei (RI).

Pentru fiecare măsură de control aplicată se identifică:

o Vulnerabilităţile care pot fi reduse prin aplicarea acelor măsuri de control.
o Atribuirea unei rate/valori optime pentru fiecare pereche eveniment/mod de
control.
o Estimarea costurilor anuale pentru implementarea măsurii de control respectiv.

Estimarea Rentabilităţii Investiţiei (RI): RI = rc*PAE_a –Cc

Unde se operează cu notaţiile:
ƒ Cc = Costul anual pentru aplicarea controlului c,
ƒ rc = indicele de eficacitate pentru controlul c,
ƒ PAE_a = Pierderile Anuale Estimate pentru ameninţarea a.

Selectarea măsurilor suplimentare de control trebuie să se ţină cont de realizarea următoarelor

obiective:
™ valoarea Rentabilităţii Investiţiei cât mai mare;
™ minimizarea PAE (Pierderilor Anuale Estimate).

Valoarea factorului RI cât mai mare se va putea obţine acţionând asupra indicelui de eficacitate rc
prin creşterea acestuia până la valoarea maximă (1), sau asupra costului anual pentru aplicarea
controlului Cc prin micşorarea costurilor de implementare a controlului.

9
 TEHNOLOGII, STRUCTURI ŞI MANAGEMENTUL REŢELELOR DE CALCULATOARE

Metodele cantitative de calcul a riscului de securitate sunt folosite cu precădere la companiile de

mărime medie şi/sau mare.

Metoda cantitativă expusă are însă anumite neajunsuri. Printre acestea se pot enumera:
• Dificultatea de a găsi un număr care să cuantifice cât mai exact frecvenţa de
producere a unui eveniment.
• Dificultatea de a cuantifica anumite valori. De exemplu, sunt foarte greu de
definit disponibilitatea unei informaţii şi calculul pierderilor când această
caracteristică lipseşte.
• Metoda nu face distincţie între ameninţările rare, dar care produc dezastre mari
ca valoare (incendiu, cutremure, tornade etc.), şi ameninţările dese care produc
dezastre mici ca valoare (erori de operare), în ambele cazuri efectele financiare
fiind asemănătoare.
• Alegerea numerelor folosite poate fi considerată subiectivă, muncă laborioasă
care necesită timp şi consum de resurse.

Valoarea rc este 1 (unu) pentru o eficacitate de 100%.

7. Analiza calitativă a riscului de securitate

Această metodă este mai des folosită decât metoda anterioară, pretându-se la firmele de mărime
mică. Metoda nu foloseşte date statistice. În schimb, se foloseşte ca dată de intrare potenţialul de
pierdere.

Metoda operează cu termeni ca:

• des/înalt, mediu, rar/redus – referitor la probabilitatea de apariţie a riscurilor şi
impactul acestora.
• vital, critic, important, general şi informaţional – referitor la tipul şi clasificarea
informaţiilor.
• numere, 1, 2, 3.

Aceasta are ca efect imediat reducerea volumului de muncă şi a timpului consumat. Metoda are şi
dezavantaje.
Printre acestea:
• greu de cuantificat (ca şi la metoda anterioară) anumiţi termeni (important –
este un termen greu de definit în management).
• Numerele sunt de această dată şi mai subiective. Dacă la metoda anterioară
acestea erau date statistice, acum sunt alese subiectiv.

Această metodă se poate aplica parcurgând următorii paşi:

• Stabilirea nivelului de pierderi

• Stabilirea costurile dezastrelor
• Stabilirea probabilităţii de producere a dezastrelor.

10
 TEHNOLOGII, STRUCTURI ŞI MANAGEMENTUL REŢELELOR DE CALCULATOARE

Nivelul de Probabilitatea de
producere producere Descriere

A Aproape sigur Se poate produce în orice condiţii

B Probabil
C Moderat
D Improbabil
E Rar
Se poate produce în anumite condiţii
Se poate produce în timp
S-ar putea produce în timp
Se poate produce numai în condiţii excepţionale
Tabelul 6

Stabilirea consecinţelor dezastrelor

Nivelul Descrierea consecinţelor Exemple de consecinţe

consecinţelor
Neseemnificative Pierderi financiare minore Nu sunt pagube materiale sau răniţi
Pagube materiale reduse, se impune
Minore Pierderi financiare medii
primul ajutor acordat personalului
Se impune tratament medical aplicat
Moderate Pierderi financiare importante personalului. Activitatea se poate
desfăşura în continuare
Răniri grave ale personalului. Avarii
Majore Pierderi financiare importante importante. Capacităţile de producţie
sunt diminuate
Morţi. Pierderea totală a capacităţilor de
Catastrofale Pierderi financiare enorme
producţie.
Tabelul 7

Un nivel redus de securitate are ca efect creşterea riscului în afaceri. Ca revers, asigurarea unui
nivel ridicat de securitate poate afecta afacerile prin dirijarea fondurilor către asigurarea securităţii
şi nu către destinaţia lor de drept. De aceea, trebuie găsită o cale de mijloc.

Aceste analize de risc se fac cu precădere în cadrul organizaţiilor mari şi eventual în cadrul celor
medii. Organizaţiile mici nu au nici personal specializat şi nici bani pentru a plătii o astfel de
evaluare. Cu toate acestea, un minimum de preocupări privind securitatea trebuie considerate.

În majoritatea cazurilor, 20% din costuri se reflectă în 80% beneficii în ceea ce priveşte
minimizarea riscurilor şi asigurarea securităţii.
O securitate maximă poate fi asigurată cu costuri foarte mari. Asigurarea unei eficienţe maxime
conduce, de regulă, la un nivel prohibitiv al cheltuielilor.

Este ştiut faptul că managerii de firme se lasă greu convinşi să investească în ceva care nu aduce
profit direct. Iar atunci când se lasă convinşi de necesitatea disponibilizării sumelor pentru
asigurarea securităţii, sumele alocate sunt sub limita celor recomandate.

În aceste condiţii, trebuie să se asigure o securitate ale cărei cheltuieli să nu depăşească o anumită
limită a sumei alocate. Se poate vorbi despre o securitate impusă financiar.

11
 TEHNOLOGII, STRUCTURI ŞI MANAGEMENTUL REŢELELOR DE CALCULATOARE

Alternativele de rezolvare a acestei situaţii sunt două:

• acoperirea ameninţărilor celor mai probabile, cu păstrarea metodelor de control iniţiale;
• acoperirea tuturor ameninţărilor şi reducerea costurilor măsurilor de control.

Prima măsură va permite o securitate maximă pentru anumite ameninţări, dar va lăsa descoperită
securitatea parţial sau total la alte ameninţări.

A doua măsură va impune reducerea cheltuielilor necesare asigurării controalelor pentru a putea
să fie acoperite toate ameninţările posibile. Aceasta ar putea să se reflecte în modificarea şi
configurarea măsurilor de control.

Nu se vor mai achiziţiona două surse neîntreruptibile, spre exemplu, APC UPS de 350VA la
preţul de 95 dolari bucata pentru două calculatoare, ci se va achiziţiona o singură sursă APC UPS
de 650VA la preţul de 140 de dolari bucata. Economia este de 50 de dolari (95 x 2 . 140 = 50).

În acest caz, însă, cele două calculatoare vor trebui să fie alimentate de la aceeaşi sursă
neîntreruptibilă prin prelungirea cablurilor de alimentare sau prin plasarea lor în imediata
vecinătate. Această a doua măsură este de preferat primei, deoarece nu lasă vulnerabilităţi
neacoperite de măsuri de control.

Securitatea este o entitate greu de cuantificat. Va fi dificil de apreciat că în cadrul unei organizaţii
există o securitate de un anumit nivel de performanţă. Se poate, doar, să se estimeze ca fiind de un
nivel ridicat, mediu, minim sau deloc. Acestea sunt aprecieri suficient de largi ca să nu permită,
cel mai frecevnt, comparaţii. Cu toate acestea, se poate face o cuantificare (cel puţin financiară) a
nivelului de securitate şi, respectiv, asupra nivelului de costuri ale riscurilor.
Întotdeauna implementarea securităţii sau testarea şi îmbunătăţirea acesteia generează costuri
semnificative în termeni de resurse umane şi de echipamente.

12