Documente Academic
Documente Profesional
Documente Cultură
Managementul Riscului 2021 PDF
Managementul Riscului 2021 PDF
Obiectivele cursului
➢Securitate
➢Risc
Ce este securitatea?
✓ Securitatea a reprezentat încă de la începutul omenirii o
preocupare esenţială, aşa cum reiese şi din piramida lui
Maslow (sau piramida nevoilor), unde nevoia de
securitate este plasată ca nivel de importanţă imediat
după nevoile fiziologice.
Securitatea organizațională
Securitatea informației
Securitatea
Securitatea Securitatea
Cibernetică
personalului Fizică
(IT&C)
Securitatea organizațională
Securitatea informației
Securitatea
Securitatea Securitatea
Cibernetică
personalului Fizică
(IT&C)
✓ Obiectivele de bază ale securității sunt asigurarea confidențialității (Confidentiality), integrității (Integrity) și
disponibilității (Availability) – triada CIA – pentru activele/bunurile critice (critical assets)
✓ Confidențialitatea asigură că nivelul necesar de secretizare este pus în aplicare la fiecare nod de
prelucrare a datelor sau la fiecare canal de transmisie a acestora, propunându-și să prevină
divulgarea/diseminarea neautorizată;
✓ Confidențialitatea poate fi obținută prin criptarea datelor, atât când sunt stocate (data at rest) cât și
când sunt transmise (data in transit), aplicarea unui control strict al accesului la date și informații, prin
clasificarea datelor, cât și prin instruirea personalului cu privire la procedurile adecvate de protecție a
datelor și informațiilor;
Integritatea (Integrity)
✓ Integritatea informațiilor poate fi compromisă de către persoane în mod accidental sau în mod voit;
✓ Alterarea datelor în mod accidental se poate întâmpla și din cauza disfuncționalității sistemelor
informatice;
Principiile fundamentale ale securității (3)
Disponibilitatea (Availability)
✓ Se referă la asigurarea accesului la informație atunci când este cerută și implică în principiu
disponibilitatea sistemelor informatice de a oferi informația cerută;
✓ Sistemele informatice care oferă informații/date în cadrul unor infrastructuri critice (în special la nivel
național) trebuie să asigure disponibilitatea permanentă, să prevină prin soluții tehnice întreruperile
de serviciu din cauze diverse (căderi de tensiune în rețeaua electrică, disfuncționalități hardware, etc.)
și prevenirea atacurilor de tip Denial of Service (DoS sau DDoS).
Principiile fundamentale ale securității (4)
Autenticitatea (Authenticity)
✓ Are rolul de a garanta că datele, tranzacțiile, comunicațiile sau documentele (în format electronic sau
fizic), sunt autentice. De asemenea, este important de a se valida faptul că ambele părți implicate
sunt cine pretind a fi;
Non-repudierea (Non-repudiation)
✓ Un program de securitate este un cadru alcătuit din mai multe entități: mecanisme de protecție logică,
administrativă și fizică; procese de afaceri și operaționale; politici și proceduri; oameni care lucrează
împreună pentru a oferi un nivel de protecție adecvat pentru organizație.
✓ Fiecare are un loc important în cadru, iar dacă unul lipsește sau este incomplet, întregul cadru poate fi
afectat. Un program de securitate funcționează pe principiul: „tăria unui lanț stă în cea mai slabă verigă a
sa”.
✓ Programul organizațional de securitate trebuie să funcționeze în straturi: fiecare strat oferă suport pentru
stratul de deasupra acestuia și protecție pentru stratul de dedesubt.
➢ Seria de standarde ISO/IEC 27000: Standarde internaționale elaborate de ISO (International Standard
Organisation) și IEC (International Electrotechnical Commission) privind modul de proiectare, implementare și
întreținere a unui SMSI (Sistem de Management al Securității Informației)
Zachman Framework: Modelul pentru dezvoltarea de arhitecturi de întreprindere dezvoltate de John Zachman
➢ COBIT (Control Objectives for Information and Related Technologies): Un cadru de bune practici care să permită
managementul și guvernarea IT a organizațiilor, dezvoltat de Asociația de Audit și Control a Sistemelor
Informaționale (ISACA). COBIT furnizează un set de controale privind tehnologia informației și le organizează în
jurul unui cadru logic al proceselor și factorilor de decizie IT.
➢ ITIL: Procese care permit gestionarea serviciilor IT dezvoltate de Biroul de Comerț al Regatului Unit
Ce programe de securitate cunoaștem? (2)
➢ COBIT (Control Objectives for Information and Related Technologies): Un cadru de bune practici care să permită
managementul și guvernarea IT a organizațiilor, dezvoltat de Asociația de Audit și Control a Sistemelor
Informaționale (ISACA). COBIT furnizează un set de controale privind tehnologia informației și le organizează în
jurul unui cadru logic al proceselor și factorilor de decizie IT.
➢ NIST SP 800-53: Set de controale de securitate pentru protejarea sistemelor federale din SUA dezvoltat de
Institutul Național de Standarde și Tehnologie (NIST)
➢ COSO Control intern – Cadru integrat: Set de controale interne ale întreprinderilor pentru a reduce riscul de fraudă
financiară elaborat de Comitetul Organizațiilor Sponsor ale Comisiei Treadway (COSO)
➢ ITIL: Procese care permit gestionarea serviciilor IT dezvoltate de Biroul de Comerț al Regatului Unit
➢ Six Sigma: Strategie pentru managementul afacerii care poate fi utilizată pentru a îmbunătăți procesele
➢ CMMI (Capability Maturity Model Integration): Integrarea modelului de maturitate a capacității – Dezvoltarea
organizațională pentru îmbunătățirea proceselor dezvoltată de Universitatea Carnegie Mellon
Ciclul de viață al programului de securitate
Strategie, procese, politici, proceduri
Riscul și managementul riscului
✓ Riscul în contextul securității este posibilitatea producerii de daune și a consecințelor unor asemenea
daune.
✓ Managementul riscurilor (MR) este procesul de identificare și evaluare a riscului, reducerea acestuia la un
nivel acceptabil și asigurarea că acesta rămâne la acel nivel.
✓ Nu există nici un mediu sigur 100%. Fiecare mediu are vulnerabilități și amenințări. Abilitatea cerută de
managementul riscului este de a identifica aceste amenințări și vulnerabilități, de a evalua probabilitatea
apariției acestora și de evalua daunele pe care le-ar provoca, și apoi de a efectua acțiunile potrivite pentru a
reduce nivelul general al riscului la ceea ce organizația identifică ca fiind acceptabil.
✓ Riscurile pentru o organizație vin în diferite forme. Atunci când o companie achiziționează o altă companie,
aceasta își asumă o seamă de riscuri, sperând că această mișcare va crește baza de piață, productivitatea și
rentabilitatea. Dacă o companie își mărește linia de produse, aceasta poate adăuga cheltuieli generale,
crește nevoia de personal și facilități de depozitare, necesită o finanțare mai mare pentru diferite materiale
și poate crește primele de asigurare și cheltuiala campaniilor de marketing. Riscul este că această creștere
adăugată ar putea să nu corespundă vânzărilor; astfel, profitabilitatea va fi redusă sau nu va fi realizată.
Riscul și managementul riscului (2)
✓ Când ne uităm la securitate, rețineți că o organizație trebuie să fie conștientă de mai multe tipuri de riscuri
și să le abordeze în mod corespunzător. Următoarele elemente ating principalele categorii:
➢ Interacțiunea umană: Acțiunea accidentală sau intenționată sau lipsa de acțiune care poate întrerupe
procesele
➢ Atacuri interne sau externe: Hacking, cracking, sabotaj, terorism (inclusiv cibernetic)
➢ Pierderea datelor: Pierderea intenționată sau neintenționată a informațiilor sau a altor bunuri
✓ Vulnerabilitățile pot fi de natură software, hardware, procedurale sau chiar slăbiciuni umane ce pot fi
exploatate;
Vulnerabilitate (Vulnerability)
✓ Vulnerabilitatea este o slăbiciune a sistemului care permite o acțiune neautorizată. Acestea sunt
erori care apar în diferite faze ale dezvoltării, respectiv folosirii sistemelor. Acestea pot fi clasificate in
următoarele categorii:
• Vulnerabilitate de proiectare (design vulnerability) – o eroare care apare în prima fază de viață a
unui produs, aceea de concepție, și pe care chiar o implementare ulterioară perfectă nu o va
înlătura;
Amenințare (Threat)
✓ O amenințare este orice pericol potențial care este asociat cu exploatarea unei vulnerabilități;
✓ Amenințarea constă în faptul că cineva, sau ceva, va identifica o anumită vulnerabilitate asociată
organizației (fie că e vorba de software, hardware, procedurală sau de natură umană) și o va utiliza
pentru a compromite sau a avea acces la date și informații nedestinate publicității, ori pentru a
compromite sisteme critice de afaceri;
✓ Entitatea (cineva – ex. o persoană, sau ceva – ex. un program informatic) care exploatează o
vulnerabilitate dând naștere la o amenințare este denumită agent de amenințare;
✓ Măsură de securitate care modifică riscul. Mijloacele de control pentru securitatea informaţiei includ
orice proces, politică, procedură, linie directoare, practică sau structură organizaţională, care pot fi de
natură administrativă, tehnică, de management sau juridică şi care modifică un risc de securitate a
informaţiei. Mijloacele de control nu reușesc întotdeauna să aducă efectul de modificare dorit sau
presupus. Mijlocul de controlul este de asemenea folosit ca sinonim pentru protecţie sau
contraacţiune.
☞ A elimina sau reduce o vulnerabilitate (cel mai adesea) Atenuează (reduce) riscul potențial
➢ Controalele administrative
▪ Sunt denumite în mod obișnuit "controale soft” deoarece acestea sunt orientate mai mult către
zona de management. Exemple de controale administrative sunt documentația de securitate
(politici și proceduri), managementul riscului, securitatea personalului și programele de
pregătire/training;
▪ Numite uneori și controale logice, controalele tehnice sunt programe software sau componente
hardware, cum ar fi firewall-uri, IDS/IPS, programe de criptare, mecanisme de identificare și
autentificare, etc.
➢ Controalele fizice
▪ Sunt elemente de securitate puse în aplicare pentru a proteja sediile, personalul și resursele.
Exemple de controale fizice sunt agenții de pază, încuietorile, gardurile, sisteme de iluminat, CCTV,
etc.
Managementul riscului – noțiuni (8)
✓ Aceste tipuri de controale trebuie să fie puse în aplicare pentru a implementa conceptul de “apărare în profunzime”
(defense-in-depth), care este utilizarea coordonată a controalelor de securitate multiple într-o abordare stratificată,
așa cum se arată în figura de mai jos:
✓ Atunci când proiectăm o structură de securitate este cel mai productiv de a utiliza un model preventiv
(implementare prioritară a controalelor de descurajare și preventive) și apoi a celor detective, de
recuperare și corective pentru a sprijini acest model
✓ Ceea ce nu se poate preveni ar trebui să fie detectat, și dacă se detectează ceva înseamnă că nu s-a putut
preveni/împiedeca, și prin urmare ar trebui să se ia măsuri corective pentru a asigura că va fi
prevenit/împiedicat data viitoare. Prin urmare, toate cele trei tipuri de controale ar trebui să lucreze
Managementul riscului – noțiuni (10)
Tipurile de control descrise în tabelul de mai jos (administrative, fizice și tehnice) au caracter preventiv. Acestea sunt
important de a fi înțelese atunci când se dezvoltă un program de securitate la nivel de organizație.
Controale preventive
Administrative Fizice Logice / Tehnice
- Strategie, procese, politici și - Parole, dispozitive biometrice,
proceduri carduri inteligente
- Practicile operaționale de angajare - Legitimații, carduri de acces fizic - Criptare, protocoale securizate,
- Controale anterioare angajării - Personal de pază și intervenție, sisteme de apel invers, vizualizări
- Procese controlate de terminare a câini baze de date, interfețe restrânse cu
angajării - Garduri, încuietori, sisteme de utilizatorii
- Clasificarea și etichetarea blocare - Software antimalware, liste de
informațiilor control acces, firewall-uri, sistem de
- Conștientizarea securității prevenire a intruziunilor
Managementul riscului – noțiuni (11)
Funcționalitate
PREVENTIV DETECTIV CORECTIV DESCURAJANT RECUPERATOR
Fizic
Garduri X
Încuietori X
Legitimații (carduri acces) X
Personal de pază X
Iluminare nocturnă a perimetrului X
Senzori de mișcare X
CCTV X
Facilități în afara site-ului primar X
Administrativ
TIP
Politica de securitate X
Proces de monitorizare și supervizare X
Separarea responsabilităților X
Rotația funcțiilor X
Clasificarea informației X
Proceduri de angajare X
Proceduri de investigare a
X
incidentelor
Logic / Tehnic
Controlul accesului la sisteme X
Criptare X
Managementul riscului – noțiuni (12)
Funcționalitate
PREVENTIV DETECTIV CORECTIV DESCURAJANT RECUPERATOR
Logic / Tehnic
Log-uri de audit X
Firewall X
IDS – Sisteme de detecție a
X
intruziunilor
IPS – Sisteme de prevenție a
X
intruziunilor
Antimalware / antivirus X
Imagini (copii) ale serverelor X
TIP
Smartcarduri X
Dial-up call-back (sisteme de apelare
X
inversă)
Copii de siguranță (back-up) X
Security training and awareness X
Controlul surselor pentru software X
Validarea datelor de intrare în
X
aplicații
Managementul riscului X
Managementul riscului – noțiuni (13)
✓ Eveniment = apariţie sau modificare a unui anumit set de împrejurări. Un eveniment poate fi unic sau se poate
produce de mai multe ori şi poate avea mai multe cauze. Un eveniment poate consta din ceva ce nu se întâmplă. Un
eveniment poate fi uneori menţionat ca un "incident "sau "accident".
✓ Consecinţă (sau impact) = rezultatul unui eveniment care afectează obiectivele de securitate a informației ale
organizației. Un eveniment poate conduce la o serie de consecinţe. O consecinţă poate fi certă sau incertă şi în
contextul securităţii informaţiei este de obicei negativă. Consecinţele pot fi exprimate calitativ sau cantitativ.
Consecinţele iniţiale pot declanşa reacţii în lanţ.
✓ Risc (denumit și risc inerent) = efectul incertitudinii asupra realizării obiectivelor. Un efect este o abatere, pozitivă
şi/sau negativă, de la o aşteptare. Obiectivele pot avea aspecte diferite (de exemplu, financiare, de sănătate, securitate
şi de mediu) şi se pot aplica la niveluri diferite (cum ar fi strategice, la nivel de organizaţie, de proiect, de produs şi de
proces). Riscul este adesea caracterizat prin referire la evenimente potenţiale şi la consecinţe sau impact, sau la o
combinaţie a acestora. Riscul de securitate a informaţiei este adesea exprimat ca o combinaţie între consecinţele unui
eveniment de securitate a informaţiei (sau impactul acestui eveniment) şi plauzibilitatea (sau probabilitatea) asociată
de apariţie. Incertitudinea este starea, chiar şi parţială, a deficitului de informaţii legate de înţelegerea sau cunoaşterea
unui eveniment, a consecinţelor (impactului) sau plauzibilităţii (probabilității) sale. Riscul de securitate a informaţiei
este asociat cu posibilitatea ca ameninţările să exploateze vulnerabilităţile unei resurse informaţionale sau ale unui
grup de resurse informaţionale şi, prin urmare, să provoace daune unei organizaţii.
𝑅𝑖𝑠𝑐 𝑖𝑛𝑒𝑟𝑒𝑛𝑡 = 𝑃𝑙𝑎𝑢𝑧𝑖𝑏𝑖𝑙𝑖𝑡𝑎𝑡𝑒 × 𝐼𝑚𝑝𝑎𝑐𝑡 sau 𝑅𝑖𝑠𝑐 𝑖𝑛𝑒𝑟𝑒𝑛𝑡 = 𝑃𝑟𝑜𝑏𝑎𝑏𝑖𝑙𝑖𝑡𝑎𝑡𝑒 𝑑𝑒 𝑚𝑎𝑡𝑒𝑟𝑖𝑎𝑙𝑖𝑧𝑎𝑟𝑒 × 𝐶𝑜𝑛𝑠𝑒𝑐𝑖𝑛ță
✓ Risc rezidual = riscul rămas după tratarea riscului. Riscul rezidual poate conţine un risc neidentificat. Riscul rezidual
poate fi, de asemenea, denumit "risc reţinut".
𝑅𝑖𝑠𝑐 𝑟𝑒𝑧𝑖𝑑𝑢𝑎𝑙 = 𝑅𝑖𝑠𝑐 𝑖𝑛𝑒𝑟𝑒𝑛𝑡 × 𝐸𝑓𝑖𝑐𝑎𝑐𝑖𝑡𝑎𝑡𝑒𝑎 𝑐𝑜𝑛𝑡𝑟𝑜𝑎𝑙𝑒𝑙𝑜𝑟 = 𝑃𝑙𝑎𝑢𝑧𝑖𝑏𝑖𝑙𝑖𝑡𝑎𝑡𝑒 × 𝐼𝑚𝑝𝑎𝑐𝑡 ×
𝐸𝑓𝑖𝑐𝑎𝑐𝑖𝑡𝑎𝑡𝑒𝑎 𝑐𝑜𝑛𝑡𝑟𝑜𝑎𝑙𝑒𝑙𝑜𝑟
✓ Expunere la risc = Consecinţele, ca o combinaţie de probabilitate şi impact, pe care le poate resimți o organizaţie în
raport cu obiectivele prestabilite, în cazul în care riscul se materializează.
Managementul riscului – noțiuni (15)
✓ Toleranţa la risc = “Cantitatea” de risc pe care o organizaţie este pregatită să o tolereze sau la care este dispusă să se
expună la un moment dat.
Toleranța la risc
✓ Toleranţa la risc = “Cantitatea” de risc pe care o organizaţie este pregatită să o tolereze sau la care este dispusă să se
expună la un moment dat.
Expunerea la risc sau Riscul inerent sau Nivelul de risc
Toleranța la risc
Toleranța la risc
Managementul riscului – noțiuni (17)
Managementul riscului – noțiuni (18)
✓ Evaluarea riscului = procesul global care cuprinde identificarea riscului, analiza riscului şi estimarea riscului.
Da
tedei
ntr
are
EVALUAREA RISCULUI
IDENTIFICAREA RISCULUI
ANALIZA RISCULUI
ESTIMAREA RISCULUI
Da
tedei
eși
re
Managementul riscului – noțiuni (19)
✓ Analiza riscului = procesul de înţelegere a naturii riscului şi de determinare a nivelului de risc. Analiza
riscului oferă baza pentru estimarea riscului şi pentru deciziile referitoare la tratarea riscului. Analiza
riscului include aprecierea riscului.
✓ Estimarea riscului = procesul de comparare a rezultatelor analizei riscului cu criteriile de risc pentru a
determina dacă riscul şi/sau mărimea acestuia sunt acceptabile sau tolerabile. Evaluarea riscurilor este
utilizată în luarea deciziei referitoare la tratarea riscului.
✓ Criterii de risc = termenii de referinţă faţă de care este evaluată semnificaţia unui risc. Criteriile de risc se
bazează pe obiectivele organizaţiei şi pe contextul extern şi intern. Criteriile de risc pot rezulta din
standarde, legi, politici şi alte cerinţe.
Managementul riscului – noțiuni (20)
✓ Managementul riscului = activităţi coordonate
pentru a direcționa şi a controla o organizaţie în
ceea ce priveşte riscul. Acest curs utilizează
termenul "proces" pentru a descrie managementul STABILIREA CONTEXTULUI
global al riscului. Elementele din cadrul procesului
de management al riscului sunt numite "activităţi".
Managementul riscului este un proces complex, EVALUAREA RISCULUI
continuu și flexibil de identificare, evaluare şi
MONITORIZARE ȘI REVIZUIRE
COMUNICARE ȘI CONSULTARE
contracarare a riscurilor la adresa securității IDENTIFICAREA RISCULUI
bunurilor și informațiilor, bazat pe utilizarea unor
tehnici și instrumente complexe, pentru prevenirea
pierderilor de orice natură. ANALIZA RISCULUI
✓ Parte interesată = persoană sau organizaţie care poate afecta, poate să fie afectată, sau se poate simţi afectată de o
decizie sau de o activitate. Un factor de decizie poate fi o parte interesată.
✓ Monitorizare = verificarea, supravegherea, observarea critică sau determinarea continuă a stării în scopul de a identifica
schimbarea față de nivelul de performanță solicitat sau așteptat. Monitorizarea poate fi aplicată unui cadru
organizațional de management al riscului, unui proces de management al riscului, unui risc sau unui mijloc de control.
✓ Revizuire = activitatea desfășurată pentru a determina oportunitatea, adecvarea și eficiența subiectului legată de
atingerea obiectivelor stabilite. Revizuirea se poate aplica unui cadru organizațional de management al riscului, unui
proces de management al riscului, unui risc sau unui mijloc de control.
Managementul riscului – noțiuni (22)
✓ Stabilirea contextului = definirea parametrilor interni și externi care urmează să fie luați în considerare în gestionarea
riscului, precum și determinarea domeniului de aplicare și a criteriilor de risc pentru politica referitoare la
managementul riscului.
✓ Context extern = mediul extern în care organizaţia urmăreşte să îşi atingă obiectivele. Contextul extern poate include:
• mediul cultural, social, politic, juridic, de reglementare, financiar, tehnologic, economic, natural şi concurenţial, la
nivel internaţional, naţional, regional sau local;
• factorii şi tendinţele cheie care au impact determinant asupra obiectivelor organizaţiei; şi
• relaţiile cu părţile interesate externe, percepţiile şi valorile acestora.
✓ Context intern = mediul intern în care organizaţia urmăreşte să îşi atingă obiectivele. Contextul intern poate include:
• guvernanţă, structură organizaţională, roluri şi răspunderi;
• politici, obiective, precum şi strategiile care sunt implementate pentru a le atinge;
• capacităţi referitoare la resurse şi cunoştinţe (de exemplu, capital, timp, personal, procese, sisteme şi tehnologii);
• sisteme informaţionale, fluxuri de informaţii şi procese de luare a deciziilor (atât oficiale, cât şi neoficiale);
• relaţii cu părţile interesate interne, percepţiile şi valorile acestora;
• cultura organizaţiei;
• standarde, linii directoare şi modele adoptate de organizaţie; şi
• forma şi amploarea relaţiilor contractuale.
Managementul riscului – noțiuni (23)
✓ Tratarea riscului = proces de modificare a riscului. Tratarea
riscului poate include:
• evitarea riscului prin luarea deciziei de a nu începe sau
de a nu continua activitatea care generează riscul;
• asumarea sau creşterea riscului pentru a urmări o
oportunitate;
• îndepărtarea sursei de risc;
• modificarea plauzibilităţii (sau a probabilității de
apariție);
• modificarea consecinţelor (sau impactului);
• partajarea riscului cu o altă parte sau părţi (inclusiv
contracte şi finanţare a riscului); şi
• reţinerea (sau acceptarea) riscului printr-o decizie
argumentată.
Tratările riscului cu consecinţe negative sunt denumite uneori
"atenuarea riscului", "eliminarea riscului", "prevenirea riscului" şi
"reducerea riscului". Tratarea riscului poate crea noi riscuri sau
modifica riscurile existente.
Managementul riscului – relația între noțiunile de securitate
Procesul de management al riscului – punând totul laolaltă
STABILIREA CONTEXTULUI
Context extern
Context intern
Domeniu de aplicare și limite
Definirea criteriilor de evaluare, de impact și de acceptare
EVALUAREA RISCURILOR
IDENTIFICAREA RISCURILOR
COMUNICARE & CONSULTARE
ANALIZA RISCURILOR
IDENTIFICAREA CONTROALELOR EXISTENTE
Determinarea Determinarea
probabilității de apariție consecințelor (impactul)
ESTIMAREA RISCURILOR
Compararea riscului cu criteriile de acceptare a riscurilor
Stabilirea priorităților
TRATAREA RISCURILOR
Selecția unei opțiuni de tratare a riscurilor
Pregătirea și implementarea planului de tratare a riscurilor
Analiza și evaluarea riscului rezidual