Managementul Riscului

Obiectivele cursului

Esența activității noastre ca profesioniști în domeniul securității este

înțelegerea profundă a doi termeni cheie:

➢Securitate

➢Risc
 Ce este securitatea?
✓ Securitatea a reprezentat încă de la începutul omenirii o
preocupare esenţială, aşa cum reiese şi din piramida lui
Maslow (sau piramida nevoilor), unde nevoia de
securitate este plasată ca nivel de importanţă imediat
după nevoile fiziologice.

✓ În ciuda faptului că acest concept este unul cu vechime, o

simplă căutare a definiției ne relevă faptul că nu există o
definiţie larg acceptată a „securităţii”, fiind un termen
contestat şi ambiguu.

✓ Conform DEX, termenul de securitate se definește ca:

„Faptul de a fi la adăpost de orice pericol; sentiment de
încredere și de liniște, de siguranță pe care îl dă cuiva
absența oricărui pericol. Protecție, apărare. Stare de
siguranță, de lipsă de primejdie.”

✓ Dar ce înseamnă din punctul de vedere al unei organizații

conceptul de securitate ?
 Tipurile de securitate din cadrul organizațiilor

Securitatea organizațională
Securitatea informației

Securitatea
Securitatea Securitatea
Cibernetică
personalului Fizică
(IT&C)

Ordinea importanței resurselor:

1) Resursa umană – cea mai de preț resursă organizațională, protejată prin conceptul de securitate a personalului
2) Resursa informațională – datele și informațiile organizației indiferent de formă (materială sau imaterială, tangibilă sau
intangibilă, fizică sau electronică), precum și mijloacele de stocare, transmitere și procesare ale acestora, ce trebuie
protejate prin conceptul de securitate a informației, care la rândul ei cuprinde două mari componente:
❑ Securitatea cibernetică (sau informatică, sau IT&C) – protejează datele și informațiile intangibile (în format electronic)
❑ Securitatea fizică – protejează resursele materiale (bunurile) ce sprijină procesele de business ale organizației
 Tipurile de securitate din cadrul organizațiilor
Zona de securitate
acoperită de acest curs

Securitatea organizațională
Securitatea informației

Securitatea
Securitatea Securitatea
Cibernetică
personalului Fizică
(IT&C)

Ordinea importanței resurselor:

1) Resursa umană – cea mai de preț resursă organizațională, protejată prin conceptul de securitate a personalului
2) Resursa informațională – datele și informațiile organizației indiferent de formă (materială sau imaterială, tangibilă sau
intangibilă, fizică sau electronică), precum și mijloacele de stocare, transmitere și procesare ale acestora, ce trebuie
protejate prin conceptul de securitate a informației, care la rândul ei cuprinde două mari componente:
❑ Securitatea cibernetică (sau informatică, sau IT&C) – protejează datele și informațiile intangibile (în format electronic)
❑ Securitatea fizică – protejează resursele materiale (bunurile) ce sprijină procesele de business ale organizației
 Guvernanța securității și Managementul riscului

✓ În această secțiune vor fi prezentate tehnicile și metodele ce sunt necesare organizațiilor

pentru a implementa și exercita securitatea într-o manieră globală.
✓ Fiecare organizație trebuie să dezvolte un program de Securitate la nivelul întregii entități
organizaționale, care să cuprindă tehnologii, proceduri și procese de securitate.
Managementul riscului este unul dintre cele mai importante procese de implementat în
cadrul respectivului program de securitate organizațională.
✓ Aproape fiecare organizație se luptă cu modul de a evalua riscurile cu care se confruntă și
modul de alocare a fondurilor și a resurselor în mod corespunzător pentru a trata aceste
riscuri.
✓ Multe dintre programele de securitate organizaționale implementate în prezent pot fi
considerate ca dezechilibrate/asimetrice (prea mult dezvoltate în anumite direcții și prea
 Guvernanța securității și Managementul riscului (2)
✓ Guvernanța securității furnizează managementului organizației mecanismele pentru a
evalua și gestiona corespunzător riscurile la care este supusă organizația, și pentru a
elimina sau minimiza riscurile până la un nivel acceptabil.
✓ Deși nu există o definiție universal acceptată pentru “Guvernanța securității ” în acest
moment, intenția utilizării acestei sintagme este de a garanta că activitățile specifice
asigurării securității informației sunt efectuate pentru:
☞reduce riscurile la care este supusă organizația în mod corespunzător (până la un nivel
acceptat de management);
☞investițiile în asigurarea securității informației sunt în concordanță cu obiectivele de
business, și
☞conducerea executivă are vizibilitate adecvată asupra programului de implementare a
securității informației la nivel de organizație și că poate determina eficacitatea
programului
 Principiile fundamentale ale securității

✓ Obiectivele de bază ale securității sunt asigurarea confidențialității (Confidentiality), integrității (Integrity) și
disponibilității (Availability) – triada CIA – pentru activele/bunurile critice (critical assets)

✓ Fiecare activ va necesita niveluri diferite ale acestor tipuri de protecție,

așa cum vom vedea în următoarele secțiuni ale cursului

✓ Toate controalele și mecanismele de securitate sunt implementate

pentru a proteja/garanta una sau mai multe dintre aceste principii ale
securității informației, și toate riscurile, amenințările și vulnerabilitățile
trebuie evaluate având în vedere potențiala lor capacitate de a
compromite una sau toate dintre cele 3 principii (CIA) ale securității
informației

✓ Pe lângă cele trei principii ale securității enumerate – confidențialitate,

integritate și disponibilitate – noile tendințe în domeniul securității
informației fac referire la încă două principii, și anume: autenticitatea
(Authenticity) și non-repudierea (Non-repudiation)
 Principiile fundamentale ale securității (2)
Confidențialitatea (Confidentiality)

✓ Confidențialitatea asigură că nivelul necesar de secretizare este pus în aplicare la fiecare nod de
prelucrare a datelor sau la fiecare canal de transmisie a acestora, propunându-și să prevină
divulgarea/diseminarea neautorizată;

✓ Confidențialitatea poate fi obținută prin criptarea datelor, atât când sunt stocate (data at rest) cât și
când sunt transmise (data in transit), aplicarea unui control strict al accesului la date și informații, prin
clasificarea datelor, cât și prin instruirea personalului cu privire la procedurile adecvate de protecție a
datelor și informațiilor;

Integritatea (Integrity)

✓ Are ca obiectiv asigurarea că informațiile/datele ajung la persoanele autorizate nealterate, în formă

identică cu informațiile de la sursă, iar modificările asupra datelor se fac doar de către persoane
autorizate;

✓ Integritatea informațiilor poate fi compromisă de către persoane în mod accidental sau în mod voit;

✓ Alterarea datelor în mod accidental se poate întâmpla și din cauza disfuncționalității sistemelor
informatice;
 Principiile fundamentale ale securității (3)
Disponibilitatea (Availability)

✓ Se referă la asigurarea accesului la informație atunci când este cerută și implică în principiu
disponibilitatea sistemelor informatice de a oferi informația cerută;

✓ Implică asigurarea condițiilor necesare regăsirii și folosirii cu ușurință a datelor/informațiilor solicitate,

ori de câte ori este nevoie, cu respectarea strictă a condițiilor de confidențialitate și integritate
impuse;

✓ O formă perfecționată a acest principiu este introducerea conceptului de disponibilitate ridicată /

permanentă (High Availability), fiind o necesitate absolută a traseului informație-utilizator în cazul
sistemelor critice;

✓ Sistemele informatice care oferă informații/date în cadrul unor infrastructuri critice (în special la nivel
național) trebuie să asigure disponibilitatea permanentă, să prevină prin soluții tehnice întreruperile
de serviciu din cauze diverse (căderi de tensiune în rețeaua electrică, disfuncționalități hardware, etc.)
și prevenirea atacurilor de tip Denial of Service (DoS sau DDoS).
 Principiile fundamentale ale securității (4)

Autenticitatea (Authenticity)

✓ Are rolul de a garanta că datele, tranzacțiile, comunicațiile sau documentele (în format electronic sau
fizic), sunt autentice. De asemenea, este important de a se valida faptul că ambele părți implicate
sunt cine pretind a fi;

✓ Unele sisteme de securitate a informației includ elemente de autentificare cum ar fi "semnătura

digitale", care oferă dovada că datele (mesajul) sunt autentice și au fost trimise de cineva care posedă
cheia privată corespunzătoare de semnare;

Non-repudierea (Non-repudiation)

✓ În termeni juridici non-repudierea înseamnă imposibilitatea ca persoanele angajate în schimbul de

informații să nege trimiterea, respectiv recepționarea informației. În asigurarea acestui principiu,
sistemele informatice care deservesc informația, trebuie să înregistreze schimbul de informație
(tranzacție) și starea acestei tranzacții, atât la emitent cât și la destinatar, astfel încât, prin comparare,
să poată fi cunoscut dacă informația se poate supune repudierii sau nu.
 Principiile fundamentale ale securității (5)
Securitate echilibrată
În realitate, atunci când securitatea informațiilor este adresată, este de obicei numai prin intermediul obiectivului de
păstrare secretă a informației (confidențialitate). Pericolele privind integritatea și disponibilitatea sunt de obicei ignorate și
rezolvate corespunzător numai după ce sunt compromise. Unele active au o cerință critică de confidențialitate (secrete
comerciale ale companiei), unele au cerințe critice de integritate (valori ale tranzacțiilor financiare), iar unele au cerințe
critice de disponibilitate (servere web pentru comerțul electronic). Mulți oameni înțeleg conceptele triadei CIA, dar pot să
nu aprecieze pe deplin complexitatea implementării controalelor necesare pentru a asigura toată protecția acoperită de
aceste concepte. Următoarele furnizează o listă scurtă a câtorva dintre aceste controale și modul în care acestea sunt
corelate cu componentele triadei CIA.
Confidențialitate (Confidentiality) Integritate (Integrity) Disponibilitate (Availability)
- Matrice redundantă de discuri (RAID)
- Clustering
- Hashing (integritatea datelor)
- Load balancing
- Managementul configurației
- Criptarea datelor în repaus (întregul - Conexiuni electrice și de date
(integritatea sistemului)
disc, criptarea bazei de date) redundante
- Managementul schimbării (integritatea
- Criptarea datelor în tranzit (IPSec, TLS, - Backup de software și date
procesului)
PPTP, SSH) - Disk shadowing/mirroring
- Semnarea digitală software-ului
- Controlul accesului (fizic și logic) - Facilități de colocare în afara
- Transmiterea funcțiilor de verificare a
amplasamentului
redundanței ciclice (CRC)
- Funcții „rollback”
- Configurații „failover”
 Ce este un program de securitate

✓ Un program de securitate este un cadru alcătuit din mai multe entități: mecanisme de protecție logică,
administrativă și fizică; procese de afaceri și operaționale; politici și proceduri; oameni care lucrează
împreună pentru a oferi un nivel de protecție adecvat pentru organizație.

✓ Fiecare are un loc important în cadru, iar dacă unul lipsește sau este incomplet, întregul cadru poate fi
afectat. Un program de securitate funcționează pe principiul: „tăria unui lanț stă în cea mai slabă verigă a
sa”.

✓ Programul organizațional de securitate trebuie să funcționeze în straturi: fiecare strat oferă suport pentru
stratul de deasupra acestuia și protecție pentru stratul de dedesubt.

✓ Deoarece un program de securitate este un cadru organizațional, organizațiile au libertatea de a conecta

diferite tipuri de tehnologii, metode și proceduri pentru a realiza nivelul de protecție necesar pentru mediul
lor de afaceri.
 Ce programe de securitate cunoaștem?

Programe de implementare a securității organizaționale:

➢ Seria de standarde ISO/IEC 27000: Standarde internaționale elaborate de ISO (International Standard
Organisation) și IEC (International Electrotechnical Commission) privind modul de proiectare, implementare și
întreținere a unui SMSI (Sistem de Management al Securității Informației)

Dezvoltarea arhitecturii organizaționale:

Zachman Framework: Modelul pentru dezvoltarea de arhitecturi de întreprindere dezvoltate de John Zachman

Dezvoltarea controalelor de securitate:

➢ COBIT (Control Objectives for Information and Related Technologies): Un cadru de bune practici care să permită
managementul și guvernarea IT a organizațiilor, dezvoltat de Asociația de Audit și Control a Sistemelor
Informaționale (ISACA). COBIT furnizează un set de controale privind tehnologia informației și le organizează în
jurul unui cadru logic al proceselor și factorilor de decizie IT.

Dezvoltarea managementului proceselor:

➢ ITIL: Procese care permit gestionarea serviciilor IT dezvoltate de Biroul de Comerț al Regatului Unit
 Ce programe de securitate cunoaștem? (2)

Dezvoltarea controalelor de securitate:

➢ COBIT (Control Objectives for Information and Related Technologies): Un cadru de bune practici care să permită
managementul și guvernarea IT a organizațiilor, dezvoltat de Asociația de Audit și Control a Sistemelor
Informaționale (ISACA). COBIT furnizează un set de controale privind tehnologia informației și le organizează în
jurul unui cadru logic al proceselor și factorilor de decizie IT.
➢ NIST SP 800-53: Set de controale de securitate pentru protejarea sistemelor federale din SUA dezvoltat de
Institutul Național de Standarde și Tehnologie (NIST)
➢ COSO Control intern – Cadru integrat: Set de controale interne ale întreprinderilor pentru a reduce riscul de fraudă
financiară elaborat de Comitetul Organizațiilor Sponsor ale Comisiei Treadway (COSO)

Dezvoltarea managementului proceselor:

➢ ITIL: Procese care permit gestionarea serviciilor IT dezvoltate de Biroul de Comerț al Regatului Unit
➢ Six Sigma: Strategie pentru managementul afacerii care poate fi utilizată pentru a îmbunătăți procesele
➢ CMMI (Capability Maturity Model Integration): Integrarea modelului de maturitate a capacității – Dezvoltarea
organizațională pentru îmbunătățirea proceselor dezvoltată de Universitatea Carnegie Mellon
Ciclul de viață al programului de securitate
Strategie, procese, politici, proceduri
 Riscul și managementul riscului

✓ Riscul în contextul securității este posibilitatea producerii de daune și a consecințelor unor asemenea
daune.

✓ Managementul riscurilor (MR) este procesul de identificare și evaluare a riscului, reducerea acestuia la un
nivel acceptabil și asigurarea că acesta rămâne la acel nivel.

✓ Nu există nici un mediu sigur 100%. Fiecare mediu are vulnerabilități și amenințări. Abilitatea cerută de
managementul riscului este de a identifica aceste amenințări și vulnerabilități, de a evalua probabilitatea
apariției acestora și de evalua daunele pe care le-ar provoca, și apoi de a efectua acțiunile potrivite pentru a
reduce nivelul general al riscului la ceea ce organizația identifică ca fiind acceptabil.

✓ Riscurile pentru o organizație vin în diferite forme. Atunci când o companie achiziționează o altă companie,
aceasta își asumă o seamă de riscuri, sperând că această mișcare va crește baza de piață, productivitatea și
rentabilitatea. Dacă o companie își mărește linia de produse, aceasta poate adăuga cheltuieli generale,
crește nevoia de personal și facilități de depozitare, necesită o finanțare mai mare pentru diferite materiale
și poate crește primele de asigurare și cheltuiala campaniilor de marketing. Riscul este că această creștere
adăugată ar putea să nu corespundă vânzărilor; astfel, profitabilitatea va fi redusă sau nu va fi realizată.
 Riscul și managementul riscului (2)

✓ Când ne uităm la securitate, rețineți că o organizație trebuie să fie conștientă de mai multe tipuri de riscuri
și să le abordeze în mod corespunzător. Următoarele elemente ating principalele categorii:

➢ Dezastre fizice: Foc, apă, vandalism, pierderi de alimentare și dezastre naturale

➢ Interacțiunea umană: Acțiunea accidentală sau intenționată sau lipsa de acțiune care poate întrerupe
procesele

➢ Defecțiunea echipamentelor: Defecțiunea sistemelor de calcul, a celor de suport sau a dispozitivelor

periferice

➢ Atacuri interne sau externe: Hacking, cracking, sabotaj, terorism (inclusiv cibernetic)

➢ Utilizarea necorespunzătoare a datelor: Diseminarea neautorizată de secrete comerciale, fraudă,

spionaj și furt

➢ Pierderea datelor: Pierderea intenționată sau neintenționată a informațiilor sau a altor bunuri

➢ Erori de aplicație: Erori de calcul, date de intrare nevalidate și depășiri de buffer

 Managementul riscului – noțiuni
Vulnerabilitate (Vulnerability)

✓ O vulnerabilitate reprezintă lipsa unui control (măsură) de securitate sau o slăbiciune/carență în

implementarea sau operarea unui control de securitate ce este în vigoare;

✓ Vulnerabilitățile pot fi de natură software, hardware, procedurale sau chiar slăbiciuni umane ce pot fi
exploatate;

✓ O vulnerabilitate poate fi (fără a se restrânge doar la aceste exemple):

• Un serviciu nesecurizat sau nenecesar ce rulează pe un server;

• Aplicații sau sisteme de operare neactualizate cu ultimele patch-uri de securitate;

• Un punct de acces wireless nerestricționat sau nesecurizat;

• Un port deschis pe un firewall;

• O securitate fizică relaxată care permite oricui să intre în camera serverelor;

• Gestionarea necorespunzătoare a parolelor pe servere și stații de lucru.

 Managementul riscului – noțiuni (2)

Vulnerabilitate (Vulnerability)

✓ Vulnerabilitatea este o slăbiciune a sistemului care permite o acțiune neautorizată. Acestea sunt
erori care apar în diferite faze ale dezvoltării, respectiv folosirii sistemelor. Acestea pot fi clasificate in
următoarele categorii:

• Vulnerabilitate de proiectare (design vulnerability) – o eroare care apare în prima fază de viață a
unui produs, aceea de concepție, și pe care chiar o implementare ulterioară perfectă nu o va
înlătura;

• Vulnerabilitate de implementare (implementation vulnerability) – apare la faza de punere în

practică a proiectului în cazul unei implementări deficitare sau la care securitatea nu este luată în
considerare;

• Vulnerabilitate de configurare (configuration vulnerability) – apare ca urmare a erorilor făcute

în configurarea sistemelor, cum ar fi folosirea credențialelor de acces (username și parolă)
implicite sau a drepturilor implicite de citire/scriere a fișierelor cu parole.
 Managementul riscului – noțiuni (3)

Amenințare (Threat)

✓ O amenințare este orice pericol potențial care este asociat cu exploatarea unei vulnerabilități;

✓ Amenințarea constă în faptul că cineva, sau ceva, va identifica o anumită vulnerabilitate asociată
organizației (fie că e vorba de software, hardware, procedurală sau de natură umană) și o va utiliza
pentru a compromite sau a avea acces la date și informații nedestinate publicității, ori pentru a
compromite sisteme critice de afaceri;

✓ Entitatea (cineva – ex. o persoană, sau ceva – ex. un program informatic) care exploatează o
vulnerabilitate dând naștere la o amenințare este denumită agent de amenințare;

✓ Un agent de amenințare ar putea fi un intrus care accesează rețeaua de producție a organizației

printr-un port de pe firewall nedestinat acestuia, un proces ce accesează date/informații într-un mod
care încalcă politica de securitate a organizației, o tornadă ce produce pagube materiale sediului
organizației sau un angajat care face o greșeală neintenționată ce ar putea duce la divulgarea de
informații confidențiale.
 Managementul riscului – noțiuni (4)
Risc (Risk)

✓ Riscul se definește ca fiind probabilitatea ca o amenințare să se materializeze, sau altfel spus, ca un

agent de amenințare să exploateze o vulnerabilitate ce ar conduce la un impact negativ de orice
natură asupra activității organizației, de exemplu:
• Dacă utilizatorii nu sunt educați corespunzător asupra proceselor și procedurilor organizației,
există o probabilitate mai mare (decât în cazul ideal) ca un angajat să facă o greșeală
neintenționată ce ar putea duce la compromiterea de date;
• În cazul în care într-o rețea nu este implementat un sistem de detectare a intruziunilor (IDS),
există o probabilitate mai mare (decât în cazul ideal) ca un eventual atac să treacă neobservat
până când va fi prea târziu pentru a-l împiedeca.
✓ Noțiunea de risc leagă conceptele de vulnerabilitate, amenințare și probabilitatea de exploatare (sau
probabilitatea de apariție a unui eveniment nedorit) de impactul negativ rezultat asupra organizației:

☞ Probabilitate de apariție: 𝑃𝐴 = 𝐴𝑚𝑒𝑛𝑖𝑛ț𝑎𝑟𝑒 𝑋 𝑉𝑢𝑙𝑛𝑒𝑟𝑎𝑏𝑖𝑙𝑖𝑡𝑎𝑡𝑒

☞ Risc = (Amenințare X Vulnerabilitate) X Impactul asupra afacerii

 Managementul riscului – noțiuni (5)
Control / măsură de securitate (Control, Countermeasure or Safeguard)

✓ Măsură de securitate care modifică riscul. Mijloacele de control pentru securitatea informaţiei includ
orice proces, politică, procedură, linie directoare, practică sau structură organizaţională, care pot fi de
natură administrativă, tehnică, de management sau juridică şi care modifică un risc de securitate a
informaţiei. Mijloacele de control nu reușesc întotdeauna să aducă efectul de modificare dorit sau
presupus. Mijlocul de controlul este de asemenea folosit ca sinonim pentru protecţie sau
contraacţiune.

✓ Un control (măsură de securitate) este ceva de implementat pentru:

☞ A elimina sau reduce o vulnerabilitate (cel mai adesea) Atenuează (reduce) riscul potențial

☞ A împiedica o amenințare să se manifesteze (mai rar)

☞ A reduce impactul unui eveniment nedorit asupra afacerii

✓ Un control/măsură de securitate poate fi un software de configurare, un dispozitiv hardware sau chiar

o procedură ce elimină o vulnerabilitate sau care reduce probabilitatea ca un agent amenințare să
exploateze o vulnerabilitate;
Managementul riscului – noțiuni (6)
 Managementul riscului – noțiuni (7)
✓ Controalele (măsurile de securitate) sunt puse în practică pentru a reduce riscul cu care o organizație se
confruntă, și ele sunt de trei tipuri: administrative, tehnice și fizice:

➢ Controalele administrative

▪ Sunt denumite în mod obișnuit "controale soft” deoarece acestea sunt orientate mai mult către
zona de management. Exemple de controale administrative sunt documentația de securitate
(politici și proceduri), managementul riscului, securitatea personalului și programele de
pregătire/training;

➢ Controalele tehnice (logice)

▪ Numite uneori și controale logice, controalele tehnice sunt programe software sau componente
hardware, cum ar fi firewall-uri, IDS/IPS, programe de criptare, mecanisme de identificare și
autentificare, etc.

➢ Controalele fizice

▪ Sunt elemente de securitate puse în aplicare pentru a proteja sediile, personalul și resursele.
Exemple de controale fizice sunt agenții de pază, încuietorile, gardurile, sisteme de iluminat, CCTV,
etc.
 Managementul riscului – noțiuni (8)

✓ Aceste tipuri de controale trebuie să fie puse în aplicare pentru a implementa conceptul de “apărare în profunzime”
(defense-in-depth), care este utilizarea coordonată a controalelor de securitate multiple într-o abordare stratificată,
așa cum se arată în figura de mai jos:

✓ Un sistem de apărare ce este organizat

multistratificat (apărare în profunzime pe mai
multe niveluri) reduce probabilitatea de
penetrare cu succes a sistemelor și
compromiterea datelor, deoarece un atacator ar
trebui să pătrundă în mai multe tipuri diferite de
mecanisme de protecție înainte de a dobândi
acces la activele critice.
 Managementul riscului – noțiuni (9)
✓ Cele șase funcționalități diferite ale controalelor sunt următoarele:

☞ De descurajare (Deterrent) – Destinat pentru a descuraja un potențial atacator

☞ Preventive (Preventive) – Destinat pentru a evita apariția unui incident

☞ Corective (Corrective) – Remediază efectele după ce un incident a avut loc

☞ De recuperare (Recovery) – Destinate pentru a restaura operațiunile regulate

☞ Detective (Detective) – Ajută la identificarea incidentelor sau a unui potențial intrus

☞ Compensatoare (Compensating) – Furnizează o măsură alternativă de control

✓ Atunci când proiectăm o structură de securitate este cel mai productiv de a utiliza un model preventiv
(implementare prioritară a controalelor de descurajare și preventive) și apoi a celor detective, de
recuperare și corective pentru a sprijini acest model

✓ Ceea ce nu se poate preveni ar trebui să fie detectat, și dacă se detectează ceva înseamnă că nu s-a putut
preveni/împiedeca, și prin urmare ar trebui să se ia măsuri corective pentru a asigura că va fi
prevenit/împiedicat data viitoare. Prin urmare, toate cele trei tipuri de controale ar trebui să lucreze
 Managementul riscului – noțiuni (10)

Tipurile de control descrise în tabelul de mai jos (administrative, fizice și tehnice) au caracter preventiv. Acestea sunt
important de a fi înțelese atunci când se dezvoltă un program de securitate la nivel de organizație.

Administrative
- Strategie, procese, politici și
proceduri
- Practicile operaționale de angajare
- Controale anterioare angajării
- Procese controlate de terminare a
angajării
- Clasificarea și etichetarea
informațiilor
- Conștientizarea securității
Controale preventive
Fizice
- Legitimații, carduri de acces fizic
- Personal de pază și intervenție,
câini
- Garduri, încuietori, sisteme de
blocare
Logice / Tehnice
- Parole, dispozitive biometrice,
carduri inteligente
- Criptare, protocoale securizate,
sisteme de apel invers, vizualizări
baze de date, interfețe restrânse cu
utilizatorii
- Software antimalware, liste de
control acces, firewall-uri, sistem de
prevenire a intruziunilor
 Managementul riscului – noțiuni (11)
Funcționalitate
PREVENTIV DETECTIV CORECTIV DESCURAJANT RECUPERATOR
Fizic
Garduri X
Încuietori X
Legitimații (carduri acces) X
Personal de pază X
Iluminare nocturnă a perimetrului X
Senzori de mișcare X
CCTV X
Facilități în afara site-ului primar X
Administrativ
TIP

Politica de securitate X
Proces de monitorizare și supervizare X
Separarea responsabilităților X
Rotația funcțiilor X
Clasificarea informației X
Proceduri de angajare X
Proceduri de investigare a
X
incidentelor
Logic / Tehnic
Controlul accesului la sisteme X
Criptare X
 Managementul riscului – noțiuni (12)

Funcționalitate
PREVENTIV DETECTIV CORECTIV DESCURAJANT RECUPERATOR
Logic / Tehnic
Log-uri de audit X
Firewall X
IDS – Sisteme de detecție a
X
intruziunilor
IPS – Sisteme de prevenție a
X
intruziunilor
Antimalware / antivirus X
Imagini (copii) ale serverelor X
TIP

Smartcarduri X
Dial-up call-back (sisteme de apelare
X
inversă)
Copii de siguranță (back-up) X
Security training and awareness X
Controlul surselor pentru software X
Validarea datelor de intrare în
X
aplicații
Managementul riscului X
 Managementul riscului – noțiuni (13)

✓ Eveniment = apariţie sau modificare a unui anumit set de împrejurări. Un eveniment poate fi unic sau se poate
produce de mai multe ori şi poate avea mai multe cauze. Un eveniment poate consta din ceva ce nu se întâmplă. Un
eveniment poate fi uneori menţionat ca un "incident "sau "accident".

✓ Consecinţă (sau impact) = rezultatul unui eveniment care afectează obiectivele de securitate a informației ale
organizației. Un eveniment poate conduce la o serie de consecinţe. O consecinţă poate fi certă sau incertă şi în
contextul securităţii informaţiei este de obicei negativă. Consecinţele pot fi exprimate calitativ sau cantitativ.
Consecinţele iniţiale pot declanşa reacţii în lanţ.

✓ Plauzibilitate (sau probabilitate de materializare a riscului) = posibilitatea ca ceva să se întâmple. În terminologia

managementului riscului, cuvântul "plauzibilitate" este folosit pentru a se referi la posibilitatea ca ceva să se întâmple,
indiferent dacă această posibilitate este definită, măsurată sau determinată în mod obiectiv sau subiectiv, calitativ sau
cantitativ, şi dacă este descrisă în termeni generali sau matematici (cum ar fi o probabilitate sau o frecvenţă într-o
perioadă de timp dată). Termenul în limba engleză "likelihood " (plauzibilitate) nu are un echivalent direct în unele
limbi; în schimb, echivalentul termenului "probability" (probabilitate) este adesea folosit. Cu toate acestea, în limba
engleză, "probability" (probabilitate) este adesea restrictiv interpretat ca un termen matematic. Prin urmare, în
terminologia managementului riscului, termenul "likelihood" (plauzibilitate) este folosit cu intenţia de a avea aceeaşi
interpretare largă pe care termenul "probability" (probabilitate) o are în multe alte limbi decât engleza.
 Managementul riscului – noțiuni (14)

✓ Risc (denumit și risc inerent) = efectul incertitudinii asupra realizării obiectivelor. Un efect este o abatere, pozitivă
şi/sau negativă, de la o aşteptare. Obiectivele pot avea aspecte diferite (de exemplu, financiare, de sănătate, securitate
şi de mediu) şi se pot aplica la niveluri diferite (cum ar fi strategice, la nivel de organizaţie, de proiect, de produs şi de
proces). Riscul este adesea caracterizat prin referire la evenimente potenţiale şi la consecinţe sau impact, sau la o
combinaţie a acestora. Riscul de securitate a informaţiei este adesea exprimat ca o combinaţie între consecinţele unui
eveniment de securitate a informaţiei (sau impactul acestui eveniment) şi plauzibilitatea (sau probabilitatea) asociată
de apariţie. Incertitudinea este starea, chiar şi parţială, a deficitului de informaţii legate de înţelegerea sau cunoaşterea
unui eveniment, a consecinţelor (impactului) sau plauzibilităţii (probabilității) sale. Riscul de securitate a informaţiei
este asociat cu posibilitatea ca ameninţările să exploateze vulnerabilităţile unei resurse informaţionale sau ale unui
grup de resurse informaţionale şi, prin urmare, să provoace daune unei organizaţii.
𝑅𝑖𝑠𝑐 𝑖𝑛𝑒𝑟𝑒𝑛𝑡 = 𝑃𝑙𝑎𝑢𝑧𝑖𝑏𝑖𝑙𝑖𝑡𝑎𝑡𝑒 × 𝐼𝑚𝑝𝑎𝑐𝑡 sau 𝑅𝑖𝑠𝑐 𝑖𝑛𝑒𝑟𝑒𝑛𝑡 = 𝑃𝑟𝑜𝑏𝑎𝑏𝑖𝑙𝑖𝑡𝑎𝑡𝑒 𝑑𝑒 𝑚𝑎𝑡𝑒𝑟𝑖𝑎𝑙𝑖𝑧𝑎𝑟𝑒 × 𝐶𝑜𝑛𝑠𝑒𝑐𝑖𝑛ță

✓ Risc rezidual = riscul rămas după tratarea riscului. Riscul rezidual poate conţine un risc neidentificat. Riscul rezidual
poate fi, de asemenea, denumit "risc reţinut".
𝑅𝑖𝑠𝑐 𝑟𝑒𝑧𝑖𝑑𝑢𝑎𝑙 = 𝑅𝑖𝑠𝑐 𝑖𝑛𝑒𝑟𝑒𝑛𝑡 × 𝐸𝑓𝑖𝑐𝑎𝑐𝑖𝑡𝑎𝑡𝑒𝑎 𝑐𝑜𝑛𝑡𝑟𝑜𝑎𝑙𝑒𝑙𝑜𝑟 = 𝑃𝑙𝑎𝑢𝑧𝑖𝑏𝑖𝑙𝑖𝑡𝑎𝑡𝑒 × 𝐼𝑚𝑝𝑎𝑐𝑡 ×
𝐸𝑓𝑖𝑐𝑎𝑐𝑖𝑡𝑎𝑡𝑒𝑎 𝑐𝑜𝑛𝑡𝑟𝑜𝑎𝑙𝑒𝑙𝑜𝑟

✓ Expunere la risc = Consecinţele, ca o combinaţie de probabilitate şi impact, pe care le poate resimți o organizaţie în
raport cu obiectivele prestabilite, în cazul în care riscul se materializează.
 Managementul riscului – noțiuni (15)

✓ Toleranţa la risc = “Cantitatea” de risc pe care o organizaţie este pregatită să o tolereze sau la care este dispusă să se
expună la un moment dat.

Toleranța la risc

Foarte mare Mediu Mediu Mare Mare Mare

PLAUZIBILITATE
Mare Mediu Mediu Mediu Mare Mare
Mediu Mic Mediu Mediu Mediu Mare
Mic Mic Mic Mediu Mediu Mediu
Foarte mic Mic Mic Mic Mediu Mediu
IMPACT (CONSECINȚĂ)
Toleranța la risc
Foarte mic Mic Mediu Mare Foarte mare
 Managementul riscului – noțiuni (16)

✓ Toleranţa la risc = “Cantitatea” de risc pe care o organizaţie este pregatită să o tolereze sau la care este dispusă să se
expună la un moment dat.
Expunerea la risc sau Riscul inerent sau Nivelul de risc
Toleranța la risc

Foarte mare Mediu Mediu Mare Mare Mare

PLAUZIBILITATE
Mare Mediu Mediu Mediu Mare Mare
Mediu Mic Mediu Mediu Mediu Mare
Mic Mic Mic Mediu Mediu Mediu
Foarte mic Mic Mic Mic Mediu Mediu
IMPACT (CONSECINȚĂ)
Toleranța la risc
Foarte mic Mic Mediu Mare Foarte mare

Toleranța la risc
Managementul riscului – noțiuni (17)
 Managementul riscului – noțiuni (18)

✓ Evaluarea riscului = procesul global care cuprinde identificarea riscului, analiza riscului şi estimarea riscului.
Da
tedei
ntr
are

EVALUAREA RISCULUI

IDENTIFICAREA RISCULUI

ANALIZA RISCULUI

ESTIMAREA RISCULUI

Da
tedei
eși
re
 Managementul riscului – noțiuni (19)

✓ Identificarea riscului = proces de descoperire, recunoaştere şi descriere a riscurilor. Identificarea riscurilor

implică identificarea surselor de risc, a evenimentelor, a cauzelor şi a potenţialelor consecinţe ale acestora.
Identificarea riscului poate implica date istorice, analize teoretice, opinii informate şi ale experţilor, precum
şi nevoile părţilor interesate.

✓ Analiza riscului = procesul de înţelegere a naturii riscului şi de determinare a nivelului de risc. Analiza
riscului oferă baza pentru estimarea riscului şi pentru deciziile referitoare la tratarea riscului. Analiza
riscului include aprecierea riscului.

✓ Estimarea riscului = procesul de comparare a rezultatelor analizei riscului cu criteriile de risc pentru a
determina dacă riscul şi/sau mărimea acestuia sunt acceptabile sau tolerabile. Evaluarea riscurilor este
utilizată în luarea deciziei referitoare la tratarea riscului.

✓ Criterii de risc = termenii de referinţă faţă de care este evaluată semnificaţia unui risc. Criteriile de risc se
bazează pe obiectivele organizaţiei şi pe contextul extern şi intern. Criteriile de risc pot rezulta din
standarde, legi, politici şi alte cerinţe.
 Managementul riscului – noțiuni (20)
✓ Managementul riscului = activităţi coordonate
pentru a direcționa şi a controla o organizaţie în
ceea ce priveşte riscul. Acest curs utilizează
termenul "proces" pentru a descrie managementul STABILIREA CONTEXTULUI
global al riscului. Elementele din cadrul procesului
de management al riscului sunt numite "activităţi".
Managementul riscului este un proces complex, EVALUAREA RISCULUI
continuu și flexibil de identificare, evaluare şi

MONITORIZARE ȘI REVIZUIRE
COMUNICARE ȘI CONSULTARE
contracarare a riscurilor la adresa securității IDENTIFICAREA RISCULUI
bunurilor și informațiilor, bazat pe utilizarea unor
tehnici și instrumente complexe, pentru prevenirea
pierderilor de orice natură. ANALIZA RISCULUI

✓ Proces de management al riscului = aplicarea

sistematică a politicilor, procedurilor și practicilor ESTIMAREA RISCULUI
de management la activitățile de comunicare, de
consultare, de stabilire a contextului, precum și la
identificarea, analiza, evaluarea, tratarea,
monitorizarea și revizuirea riscului. TRATAREA RISCULUI
 Managementul riscului – noțiuni (21)
✓ Comunicare şi consultare privind riscul = procese continue şi repetitive pe care o organizaţie le aplică pentru a furniza,
a partaja sau a obţine informaţii şi pentru a se angaja într-un dialog cu părţile interesate referitor la managementul
riscurilor. Informaţiile se pot referi la existenţa, natura, forma, plauzibilitatea, semnificaţia, estimarea, acceptabilitatea
şi tratarea riscurilor. Consultarea este un proces de comunicare argumentată în dublu sens între o organizaţie şi părţile
sale interesate privind o anumită problemă înainte de a lua o decizie sau de a stabili o direcţie referitor la acea
problemă. Consultarea este:
o un proces care are impact asupra unei decizii prin influenţă, mai degrabă decât prin putere; şi
o o contribuţie la luarea deciziilor, nu luarea deciziilor împreună.

✓ Parte interesată = persoană sau organizaţie care poate afecta, poate să fie afectată, sau se poate simţi afectată de o
decizie sau de o activitate. Un factor de decizie poate fi o parte interesată.

✓ Monitorizare = verificarea, supravegherea, observarea critică sau determinarea continuă a stării în scopul de a identifica
schimbarea față de nivelul de performanță solicitat sau așteptat. Monitorizarea poate fi aplicată unui cadru
organizațional de management al riscului, unui proces de management al riscului, unui risc sau unui mijloc de control.

✓ Revizuire = activitatea desfășurată pentru a determina oportunitatea, adecvarea și eficiența subiectului legată de
atingerea obiectivelor stabilite. Revizuirea se poate aplica unui cadru organizațional de management al riscului, unui
proces de management al riscului, unui risc sau unui mijloc de control.
 Managementul riscului – noțiuni (22)
✓ Stabilirea contextului = definirea parametrilor interni și externi care urmează să fie luați în considerare în gestionarea
riscului, precum și determinarea domeniului de aplicare și a criteriilor de risc pentru politica referitoare la
managementul riscului.
✓ Context extern = mediul extern în care organizaţia urmăreşte să îşi atingă obiectivele. Contextul extern poate include:
• mediul cultural, social, politic, juridic, de reglementare, financiar, tehnologic, economic, natural şi concurenţial, la
nivel internaţional, naţional, regional sau local;
• factorii şi tendinţele cheie care au impact determinant asupra obiectivelor organizaţiei; şi
• relaţiile cu părţile interesate externe, percepţiile şi valorile acestora.
✓ Context intern = mediul intern în care organizaţia urmăreşte să îşi atingă obiectivele. Contextul intern poate include:
• guvernanţă, structură organizaţională, roluri şi răspunderi;
• politici, obiective, precum şi strategiile care sunt implementate pentru a le atinge;
• capacităţi referitoare la resurse şi cunoştinţe (de exemplu, capital, timp, personal, procese, sisteme şi tehnologii);
• sisteme informaţionale, fluxuri de informaţii şi procese de luare a deciziilor (atât oficiale, cât şi neoficiale);
• relaţii cu părţile interesate interne, percepţiile şi valorile acestora;
• cultura organizaţiei;
• standarde, linii directoare şi modele adoptate de organizaţie; şi
• forma şi amploarea relaţiilor contractuale.
 Managementul riscului – noțiuni (23)
✓ Tratarea riscului = proces de modificare a riscului. Tratarea
riscului poate include:
• evitarea riscului prin luarea deciziei de a nu începe sau
de a nu continua activitatea care generează riscul;
• asumarea sau creşterea riscului pentru a urmări o
oportunitate;
• îndepărtarea sursei de risc;
• modificarea plauzibilităţii (sau a probabilității de
apariție);
• modificarea consecinţelor (sau impactului);
• partajarea riscului cu o altă parte sau părţi (inclusiv
contracte şi finanţare a riscului); şi
• reţinerea (sau acceptarea) riscului printr-o decizie
argumentată.
Tratările riscului cu consecinţe negative sunt denumite uneori
"atenuarea riscului", "eliminarea riscului", "prevenirea riscului" şi
"reducerea riscului". Tratarea riscului poate crea noi riscuri sau
modifica riscurile existente.
Managementul riscului – relația între noțiunile de securitate
 Procesul de management al riscului – punând totul laolaltă
STABILIREA CONTEXTULUI
Context extern
Context intern
Domeniu de aplicare și limite
Definirea criteriilor de evaluare, de impact și de acceptare

EVALUAREA RISCURILOR
IDENTIFICAREA RISCURILOR
COMUNICARE & CONSULTARE

MONITORIZARE & REVIZUIRE

Ce se poate întâmpla, când, unde, cum & de ce ?

ANALIZA RISCURILOR
IDENTIFICAREA CONTROALELOR EXISTENTE
Determinarea Determinarea
probabilității de apariție consecințelor (impactul)

Determinarea nivelului de risc

ESTIMAREA RISCURILOR
Compararea riscului cu criteriile de acceptare a riscurilor
Stabilirea priorităților

TRATAREA RISCURILOR
Selecția unei opțiuni de tratare a riscurilor
Pregătirea și implementarea planului de tratare a riscurilor
Analiza și evaluarea riscului rezidual