COMUNICAII I TEHNOLOGIA INFORMAIEI

Managemantul Riscurilor IT
Evaluarea Riscurilor IT
Adrian ILINCA

Risc Management

Risc Management este procesul care permite managerilor IT s asigure un echilibru ntre costurile operaionale i resursele financiare pentru msurile de protecie i atingerea obiectivelor privind protejarea datelor i sistemelor IT care susin activitatea organizaiei.

Managementul Riscurilor IT

Procesul de management al riscului IT: Identificarea vulnerabilitilor Identificarea ameninrilor Stabilirea msurilor de limitare a riscurilor

1. 2.

3.

SCOPUL managementului riscurilor: reducerea riscurilor la un nivel acceptat.

1. 2. 3. 4.

5.
6.

Vulnerabilitate: un punct slab n sistemul IT care poate afecta sistemul sau operaiile acestuia, mai ales cnd aceast punct slab este exploatat de o persoan ostil sau afectat urmare a unui eveniment sau conjunctur. Ameninrile reprezint un pericol potenial la care este expus un sistem constnd n: acces neautorizat, alterri sau distrugerea datelor, software-ului, resurselor harware i/sau de comunicaie. Activiti specifice pentru fiecare categorie de risc: IDENTIFICARE ANALIZA EVALUAREA IMPACTULUI EVALUAREA VULNERABILITILOR MONITORIZARE MSURI DE LIMITARE

Evaluarea Riscurilor

Evaluarea riscurilor este primul proces n metodologia de risc management. Organizaiile folosesc evaluarea riscurilor pentru a determina extinderea potenialelor ameninri i riscurile asociate cu sistemele IT. Rezultatele acestui process ajut la identificarea controalelor necesare pentru reducerea sau eliminarea riscului.
Riscul este o funcie ntre probabilitatea de apariie a unei surse de ameninare datorate unei vulnerabiliti particulare i impactul asupra organizaiei a unui eveniment advers. Pentru a determina probabilitatea unui eveniment advers, trebuie analizate ameninrile sistemelor IT n conjucie cu vulnerabilitile poteniale i controalele implementate pentru sistemele IT.

Evaluarea Riscurilor
Etape metodologice

Evaluarea Riscurilor

Evaluarea Riscurilor

Pas 1 : CARACTERIZAREA SISTEMULUI Informaii privind sistemul: 1. Hardware 2. Software 3. Interfee (ex: conectivitatea intern i extern) 4. Date i informaii 5. Persoane care ntrein i folosesc sistemul informatic 6. Misiunea sistemului (ex: procesele executate n cadrul sistemului informatic) 7. Sisteme i date critice (ex: valoarea sistemului sau importana pentru organizaie) 8. Senzitivitatea sistemului i a datelor

Informaii suplimentare privind mediul operaional al sistemului informatic i datele acestuia includ: 1. Cerine funcionale a sistemului informatic 2. Utilizatorii sistemului (ex: utilizatorii sistemului care ofer suport tehnic sistemului informatic; aplicaiile utilizatorilor care asigur funciile de business) 3. Politici de securitate a sistemului (politici organizationale, cerine generale, legislative, practici ale domeniului) 4. Arhitectura de securitate a sistemului 5. Topologia reelei (ex: Diagrama reelei) 6. Protecia informaiei stocate i disponibilitatea datelor, integritatea i confidenialitatea datelor. 7. Fluxul informaiei n sistemul informatic (ex:interfeele sistemului, fluxul intrrilor i ieirilor). 8. Controale tehnice folosite n sistem (ex: produse de securitate implementate n sistem pentru asigurarea identificrii i autentificrii, controlul accesului, audit, protecia informaiei, metode de criptare).

9. Controlul managementului n sistemul IT (ex: reguli privind comportamentul utilizatorilor, planificarea securitii). 10. Controale operaionale folosite n sistemul informatic (ex: securitatea persoanelor, back-up, operaiuni de refacere a sistemului, mentenena sistemului, stocarea off-site, proceduri pentru crearea i anularea conturilor utilizator, controale ale segregrii funciilor utilizatorilor cum ar fi accesul utilizatorilor privilegiai vs accesul utilizatorilor standard). 11. Securitatea fizic a mediului sistemului IT (ex: faciliti de securitate, politicile centrului de date). 12. Securitatea mediului implementat pentru mediul sistemului IT (control al umiditii, ap, curent electric, poluare, temperatur etc).

Pas 2: IDENTIFICAREA AMENINRILOR

O ameninare este eventualitatea unei surse particulare de ameninare de a folosi cu succes o vulnerabilitate. O vulnerabilitate reprezint o slbiciune care poate accidental declana un eveniment sau poate fi exploatat intenionat. O surs de ameninare nu reprezint un risc atunci cnd nu exist o vulnerabilitate care s poat fi folosit. n determinarea probabilitii de apariiei a unei ameninri trebuie luate n considerare sursele ameninrii i controalele existente. Surse de ameninri : - Dezastre naturale; - Ameninri umane; - Ameninri ale mediului.

Pasul 3: Identificarea vulnerabilitii Vulnerabilitate/Ameninare

Vulnerabilitate Sursa ameninrii Aciunea ameninrii
Accesarea reelei companiei i accesarea datelor Folosirea telnet pe serverul respectiv

Pentru fotii angajai nu au Foti angajai fost anulate ID-urile Parametrizarea neadecvat Acces neautorizat a firewall-ului (Hackeri, foti angajai, teroriti)

Vnztorul a identificat lacune n sistemul de securitate

Sisteme anti incendiu nu exist protecie pentru echipamente

Utilizatori neautorizati (hackeri, angajai nemultumii, teroriti)

Incendiu, persoane neglijente

Obinerea accesului ne autorizat la date critice folosind vulnerabilitile identificate

Sistemele anti incendiu pornite (fr a fi necesar)

Pas 4: Analiza controalelor

Tipuri de controale Controale preventive blocheaz ncercrile de violare a politicii de securitate i includ controale cum ar fi implementarea controlului accesului, criptarea, autentificarea. Controale detective: avertizeaz asupra violrilor sau ncercrilor de violare a politicii de securitate i includ controale cum ar fi audit trail, metode pentru detectarea intruziunilor etc.

Pas 5: Determinarea probabilitii

Rating pentru probabilitate (Ridicat, Mediu, Sczut)
Probabilitate Mare Definiia probabilitii Sursa ameninrii este bine motivat i capabil, i controale care trebuie s previn vulnerabilitatea sunt ineficiente Sursa ameninrii este motivat i capabil dar exist controale care pot mpiedica folosirea vulnerabilitii Sursei ameninrii i lipsesc motivaia i cunotinele i controalele existente pot mpiedica n mod semnificativ folosirea vulnerabilitii

Mediu

Sczut

Pas 6: Analiza impactului

Definirea magnitudinii impactului
Impact Mare Definiie Valorificarea vulnerabilitii poate conduce la pierderi mari privind active tangibile sau resurse; poate influena semnificativ misiunea i reputaia organizaiei sau profitul; poate determina decesul sau rnirea personalului Valorificarea vulnerabilitii poate conduce la pierderi privind active tangibile sau resurse; poate influena misiunea i reputaia organizatiei sau profitul; poate determina rnirea personalului Valorificarea vulnerabilitii poate conduce la unele pierderi privind active tangibile sau resurse; poate influena notabil misiunea i reputaia organizaiei sau profitul.

Mediu

Sczut

Pas 7: Determinarea riscului Matricea riscului

Determinarea riscului se face prin ponderarea probabilitii cu impactul. Tabela de mai jos arat cum ratingul riscului poate fi determinat pe baza introducerii probabilitii i impactului. Tabela de mai jos este de tip 3X3: probabilitatea i impactul sunt stabilite pe 3 niveluri (mare, mediu, sczut). Probabilitatea stabilit pentru fiecare ameninare prezint urmtoarele nivele: 1.0 pentru Mare, 0.5 pentru Mediu, 0.1 pentru Sczut. Valoarea asignat pentru fiecare nivel al impactului este: 100

pentru Mare, 50 pentru Mediu i 10 pentru Sczut.

Pas 7: Determinarea riscului Matricea riscului

Pas 8: Recomandri privind controlul

Scopul controalelor recomandate este de a reduce nivelul de risc al sistemului IT precum si al datelor la un nivel acceptabil. Urmtorii factori trebuie luai n considerare n recomandarea controalelor i soluii alternative pentru minimizarea sau eliminarea riscurilor identificate: Eficacitatea opiunilor recomandate (ex: compatibilitatea sistemului) Legislaie i reglementri Politic organizaional Siguran i credibilitate.

Pas 9: Documentarea rezultatelor

Odat ce evaluarea riscurilor a fost realizat (sursele ameninrilor i vulnerabilitile identificate, riscurile evaluate i formulate recomandrile privind controalele), rezultatele trebuie s fie documentate ntr-un raport oficial. Un raport de evaluare a riscurilor este un raport de management care ajut managementul s ia decizii privind politica, procedurile, bugetul i sistemul operaional i schimbrile de management.