Sunteți pe pagina 1din 76

Managementul securitatii

bazat pe analiza de
riscuri
Gh. Muresanu:
ghemuresanu@rdslink.ro
Obiectivele prezentarii
O prezentare a locului si rolului analizei
de riscuri in cadrul procesului de
management al securitatii unei
organizatii.
Justificarea efortului de a face o analiza
de riscuri cat mai apropiata de realitate.
Prezentarea principalelor modele de
analiza de riscuri.
O scurta comparatie intre modelele de
analiza de riscuri.
Miturile securitatii (informatiei)
principiiple practice ale managementului securitatii
Cumpara soft, echipamente - tehnologiile de securitate
rezolva toate problemele (sperie suficient ordonatorul de
credite si va aproba bugetul momentele de criza).
Este nevoie de o strategie de achizitie corelata cu
resursele si necesitatile organizatiei
Exista o politica de securitate, planuri, proceduri
operationale de securitate, ghiduri si norme, ai rezolvat
problema.
Trebuie sa fie realiste, implementate corect si urmarit
pemanent corelarea cu evenimentele din mediu de lucru -
trebuie actualizate.
Publica politica, standardele, ghidurile si normele,
lumea le citeste, le va intelege si le va aplica.
Trebuie explicate si controlata permanent aplicarea.
Urmeaza recomandarile vanzatorilor este cea mai buna
cale de a face o organizatie sigura (ei stiu, cumpara tot,
apara tot);
Achizitiile trebuie corelate cu necesitatile reale ale
organizatiei.
Costurile masurilor de securitate
Costuri (%)

100
O securitate maxim poate fi asigurat
cu costuri foarte mari.
90

80

70

60
n majoritatea cazurilor 20% din costuri se
50 reflect n 80% beneficii n ceea ce privete
minimizarea riscurilor i asigurarea securitii.

40

30

20

10

10 20 30 40 50 60 70 80 90 100

Beneficii (atenuarea riscului) %


Echilibrul costuri - securitate
100

90 Risc prejudicii % Investitii securitate %

80

70

60

50

40

30
Optim

20 Aria
10
aceptabila

10 20 30 40 50 60 70 80 90 100
Beneficii securitate ( nivel protectie)
Echilibrul costuri - securitate
Cele doua curbe sunt variabile in timp functie de
conditiile de mediu au valoare pt. o analiza calitativa.
Curba care reprezinta riscurile are relevanta cantitativa
doar pentru un anumit tip de risc.
Investitiile in securitate cuprind:
Achizitiile de echipamente si soft.
Consultanta si mentenanta.
Cheltuieli de intretinere (licente, actualizari, garantii etc.)
Costuri cu personalul de deservire.
Costuri prin restrictii in activitate care penalizeaza profitul.
Aria de decizii acceptabile depinde de resursele
disponibile pentru securitate.
Deplasarea spre dreapta fata de optim - investitie in
viitor;
Deplasarea spre stanga ramanere in urma.
Necesitatea analizei de riscuri
Este relativ usor sa evaluezi pierderile in urma
unui incident dar dificil sa justifici investitile
inainte de producerea incidentului;
Principalele probleme pe care le are
responsabilul de securitate:
Cum pot justifica bugetul pentru securitate in fata
conducerii?
Care sunt cele mai bune masuri de securitate care
pot fi obtinute cu resursele (fondurile) disponibile ?
Care este prioritatea masurilor de securitate?
Solutia pentru incadrarea in aria de acceptanta
este analiza de riscuri;
Definitii ale termenilor uzuali
Managementul riscurilor procesul permanent prin
care se mentin riscurile unei organizatii intr-o plaja
acceptabila corelat cu obiectivele si resursele
organizatiei.
Analiza de riscuri procedeul de identificare si
evaluare a factorilor care pot produce prejudicii
activitatii si a identifica masurile de reducere a lor.
Evaluarea riscurilor calculul riscurilor .
Reducerea riscurilor procesul de asociere pentru
fiecare bun a masurilor adecvate pentru a mentine
impactul in limitele acceptabile.
Evaluarea vulnerabilitatilor -
Piata analizei de riscuri
Este un proces laborios cu un grad relativ ridicat de
subiectivism atunci cand se face manual.
Exista o mare varietate de moduri de abordare a
analizei de riscuri.
Exista un numar si mai mare de tools-uri
(programe) pentru analiza de riscuri care au la baza
algoritmi complexi de calcul (simulare Monte Carlo,
tehnici de modelare Bayesiana etc.)
La nivel international (in grupuri de lucru) se incearca
integrarea si uniformizarea lor pentru a putea face
analize comparative.
Metodele manuale au avantajul ca ajuta sa se
inteleaga mecanismele interne dar necesita foarte
multa munca;
Metodele automate sunt mult mai elaborate dar
ascund legaturile intime ale fenomenelor.
Mecanismul de management al
riscurilor
Elementele pentru controlul riscurilor
Controlul capabilitatilor si motivatiei unui adversar /
atacator este deosebit de dificil, daca nu imposibil.
Bunurile (valorile) sunt fixate de misiunile organizatiei.

Bunuri

Risc
Amenintari Vulnerabi-
litati

Reducerea vulnerabilitatilor prin masuri de securitate conduce la


diminuarea riscului.
Tratarea riscurilor
Limitarea riscurilor in momentul
producerii impactului se pun in functie
masuri prin care se opreste propagarea
efectelor impactului;
Planificarea riscurilor planificarea
prioritatilor de securitate functie contextul de
mediu si monitorizarea mediului;
Transferul riscurilor transferul unor
valori, inchirierea unor valori sau servicii,
asigurare;
Tratarea riscurilor
Asumarea riscurilor nivelul riscului este
suficient de mic pentru a suporta
prejudiciile atunci cand se produce;
Diminuarea riscurilor riscurile
inacceptabile sunt reduse prin contramasuri
pana la un nivel acceptabil;
Eliminarea surselor generatoare de
amenintare (valorilor) daca prin costurile
de securitate se depaseste valoarea aparata
se renunta la ea ;
Etapele analizei de riscuri
Etapele analizei de riscuri
1. Identificarea si evaluarea valorilor.
2. Identificarea si evaluarea amenintarilor.
3. Identificarea vulnerabilitatilor si posibilitatilor de exploatare
de catre amenintari.
4. Identificarea si evaluarea riscurilor.
5. Prioritizarea masurilor de securitate.

Parcurgerea acestor etape se face iterativ pana la obtinerea


unei solutii acceptabile.
Introducerea de elemente noi in calcul (valori, amenintari,
masuri de securitate) se face in ordinea relevantei lor pana
la incadrarea in resursele alocate sau riscul acceptat.
Exista mai multe puncte de vedere in modul in care se
considera beneficiile (atenuari ale riscurilor - procente,
evaluari ale valorilor scutite de prejudicii bani, rata cu care
se recupereaza investitiile- bani/ani timp in care se
recupereaza timp,),
Identificarea bunurilor si
a impactului
Toate programele de securitate, indiferent de complexitate sau
industrie, sunt proiectate sa protejeze bunurile, in general
orice reprezinta o valoare pentru organizatie.
Valorile constau, in general, din oameni, proprietati si
informatii, reputatie (imagine), relatii.
Bunurile se gasesc in gama de la cele mai putin importante la
cele critice pentru realizarea misiunii organizatiei. Misiunea
reprezinta aspectul cel mai important pentru a fi protejata prin
programul de securitate.
Bunurile critice sunt acelea care sunt necesare organizatiei
pentru executarea misiunii si functiilor esentiale.
Determinarea corecta a ceea ce trebuie protejat reprezinta
primul pas in managementul riscului.
Identificarea bunurilor si inventarul de
securitate Clasificarea bunurilor

Oamenii angajati si clienti, impreuna cu alte persoane invitate ca


vizitatori si contractori.
Proprietatea bunurile proprietatea unei organizatii constau din
bunuri tangibile si intangibile, carora li se poate stabili o valoare, de
preferinta sub forma financiara. Bunurile tangibile sunt usor de
identificat, in timp ce bunurile intangibile sunt mai greu de
identificat si de a li se stabili o valoare. Bunurile intangibile includ
reputatia organizatiei, informatiile proprietate, experienta etc.
Informatia bunurile sub forma de informatii includ bazele de
date, codurile software, inregistrarile financiare ale companiei,
inregistrari vitale, formule, metode etc.
Identificarea bunurilor si inventarul de
securitate Clasificarea bunurilor (cont.)
Valorile critice
Identificarea valorilor critice ale unei organizatii reprezinta
primul pas in managementul riscului.

Bunuri critice pentru natiunile industrializate:


energia electrica
productia de gaze naturale si petrol
telecomunicatiile
bancile si finantele
sistemele de aprovizionare cu apa
transporturile
functionarea guvernului
serviciile de urgenta
Identificarea bunurilor si inventarul de
securitate Clasificarea bunurilor (cont.)
Bunurile critice pentru desfasurarea afacerilor
sunt acele bunuri necesare realizarii misiunii
primare a afacerii. Acestea sunt considerate
critice in baza a doua criterii fundamentale:
valoarea, definita ca atare de organizatie
consecintele pe termen scurt si lung
asupra operatiilor, provocate prin
pierderea, defectarea sau distrugerea
bunului
Identificarea bunurilor si inventarul de
securitate Clasificarea bunurilor (cont)
Bunurile au atat valoare tangibila cat si intangibila care poate fi
evaluata calitativ sau cantitativ tinand cont de urmatoarele
elemente:
1. Criticalitatea bunului pentru operatii aceasta este
functie de impactul operational asupra organizatiei prin
pierderea, defectarea sau distrugerea bunului.
2. Valoarea de inlocuire pe langa valoarea propriuzisa a
bunului, trebuie avute in vedere costurile generate de
timpul de inlocuire (timpul de nefunctioare). Pentru
anumite bunuri critice este necesar sa existe o rezerva
complet operationala (efectul de avalansa).
3. Valoarea relativa a unui bun pierderea unui bun poate
afecta si alte bunuri si trebuie considerata avand in
vedere o analiza generala a criticalitatii bunului.
Identificarea bunurilor si inventarul de
securitate Identificarea bunurilor critice
Informatiile privind bunurile pot fi obtinute din surse diverse.

Informatiile cele mai pertinente despre bunurile critice se obtin de


la persoanele care administreaza operatiile zilnice ale
organizatiei, acestea fiind:
proprietarii bunurilor (orice bun trebuie sa aiba un
proprietar/responsabil + contabilitate)
managerii proceselor operationale.

Informatiile se obtin prin desfasurarea de interviuri cuprinzatoare


care au ca scop intelegerea proceselor si procedurilor dintr-o
organizatie si identificarea bunurilor care sustin operatiile.
Identificarea bunurilor si inventarul
de securitate Alegerea tintei

Din punctul de vedere al adversarului, bunurile sunt numite tinte.


Tintele pot avea valori diferite pentru adversar fata de proprietar. In
consecinta valoarea bunului are doua niveluri:
nivel critic din punct de vedere operational
nivel al valorii in viziunea atacatorului.
In consecinta valoarea unei tinte trebuie calculata avand in vedere ambele
aspecte, bazandu-ne pe cele mai bune informatii disponibile.
Pentru adversari/atacatori diferiti, valoarea bunului poate sa difere in
functie de scopurile si perceptia acestora.
Identificarea bunurilor si inventarul de
securitate Alegerea tintei (cont.)

In functie de tipul activitatilor pentru care se face evaluarea riscului,


la evaluarea valorii unei tinte este necesar sa se aiba in vedere
urmatorii factori:
numarul de pierderi de vieti umane si de raniti

posibilitatea ca bunul sa fie atacat, stricat sau distrus

modificarea situatiei politice

intreruperea operatiilor

atentia massmedia

impactul asupra reputatiei organizatiei

impactul asupra moralului angajatilor

teama

In functie de natura afacerii, valoarea bunurilor nu este intotdeauna


evidenta. De aceea, evaluarea amenintarilor poate arata cu mai
multa claritate bunurile susceptibil de a fi atacate, stricate sau
distruse (vulnerabile, tentante).
Identificarea bunurilor si inventarul de
securitate Analiza consecintelor
Analiza consecintelor reprezinta o evaluare a efectelor asupra operatiilor
daca un bun este atacat, stricat sau distrus.
Istoria arata ca probabilitatea unei infractiuni sau act terorist, ca si a altor
amenintari, este invers proportionala cu dimensiunea consecintelor.
Planificarea continuitatii afacerii/operatiilor se bazeaza pe analiza
consecintelor. Prin estimarea probabilitatii si efectelor scoaterii
accidentale sau deliberate din uz a unui bun se pot pregati metode
alternative pentru continuarea operatiilor si refacerea capabilitatilor
initiale.
Analiza consecintelor este o etapa fundamentala in procesul de evaluare
al riscului, in functie de rezultatele acesteia putandu-se aloca proritati in
alocarea resurselor de securitate pentru protectia bunurilor critice.
Identificarea bunurilor si inventarul de
securitate Analiza consecintelor (cont.)
Consecintele pot fi incadrate in una sau mai multe dintre urmatoarele
categorii:
economice
financiare

de mediu
de sanatate si siguranta

tehnologice

operationale

de timp
Din punct de vedere calitativ, consecintele se pot incadra in unul dintre
urmatoarele niveluri:
Critic consecinte ca urmare a atacarii, defectarii sau distrugerii unui
bun, care au ca rezultat incetarea totala a operatiilor
Inalt Impact serios nedorit care poate afecta operarea normala sau
incetarea partiala a unor segmente de operare pentru o perioda lunga
de timp
Mediu impact operational moderat, care afecteaza numai partial
procesele pentru o perioada scurta de timp
Scazut impact controlabil asupra operatiilor si fara posibilitatea
perturbarii majore a misiunii/functiei
Evaluarea amenintarii

Ce mi se poate intampla ? (identif.


amenintare cine sunt dusmanii si ce pot).
Cat de rau poate fi ? (impactul amenintarii).
Cat de des apare ? (frecvanta).
Cat de sigur este raspunsul la primele 3
intrebari ? (nivelul de incredere).
Este subiectiva !
Necesita experienta.
Necesita date si cunostiinte anterioare
Evaluarea potentialului unui
atac

Necesar pentru a determina


amplitudinea contramasurilor
SECVENTA DE MANIFESTARE A
Agent
AMENITARII
Catalizator

Capacitate

Motivare

Acces

Inhibitori Amplificatori

Amenintari
Factorii care catalizeaza
amenintarea

Catalizatori

Schimbari Evenimente
tehnologice

Castiguri Probleme
comerciale de personal
Factorii care contribuie la motivatie
Motivatie

Politica Istorice Infractiuni Religioase

Castiguri Avantaje
Terorism Convingeri
personale competitive

Razbunare Financiare Cunostiinte Putere Curiozitate


Elementele constitutive ale
capacitatii
Capacitate

Tehnologie Resurse Cunostinte Software

Financiare Echipamente Metode Carti Antrenament

Facilitati Personal

Timp
Factorii de inhibitie

Inhibitori

Dificultatea Teama Senzitivitatea Costul


tehnica participarii

De a fi prins Esec Perceptia Perceptia


publica tintei
Factorii de amplificare

Amplificatori

Acces la Schimbari Presiuni Securitate


informatii tehnologice atacator precara

Experienta Nivelul de Cadrul


atacatorului cunostiinte de timp
EVALUAREA
VULNERABILITATILOR
Easter eggs www.eeggs.com glume ale
programatorilor.
Trape ascunse facilitati nepublicate ale
programelor.
Verificari ale compilatoarelor.
puncte de masura introduse de programatori in
depanarea programelor.
Vulnerabilitati hardware.
Vulnerabilitati ale ale configurarii;
Vulnerabilitati ale arhitectuii
Vulnerabilitati ale politicilor si procedurilor- (social
engineering).
Vulnerabilitati ale personalului (utilizatori,
administratori, intretinere etc.).
Reducerea riscurilor
Formularea problemei:
Ce trebuie facut ?
Care sunt costurile ?
Costurile sunt justificate ?
Rezolvarea ei:
Inventarierea masurilor de aparare si
reducerile de riscuri asociate;
Evaluarea costuri / fiecare masura de aparare;
Analiza cost beneficii;
Analiza cost - beneficiu
Vizibilitatea valorilor de agentii de
agenti de
amenintare
amenintare vulnerabilitati valori
Vizibilitatea valorilor de agentii de
amenintare
Exista un numar mare de valori ale
unei organizatii;
Fiecare valoare are multiple
vulnerabilitati;
Fiecare agent de amenintare atre
acces la mai multe vulnerabilitati;
Agentul de amenintare are mai multe
ferestre de vizibilitate asupra
valorilor.
Masurarea riscului

Probabilitate;
Bani;
Timp;
Metode calcul al riscului:
Calitativa.
Cantitativa.
Analiza cost beneficii.
Recuperarea investitiilor in
securitate;
TIPURI DE ANALIZE DE RISCURI
Analiza de riscuri calitativa
Analiza inpactului hazardului (HIA Hazard Impact Analysis) foc,
inundatii, furtuni, cutremure);
Analiza amenintarilor;
Analiza chestionarelor (orientata spre perceptii);
Analiza cantitativa
Analiza cost - beneficii.
Recuperarea investitiilor (ROI Return of Investiment).
Managementul continuitatii afacerii (BCP Business Continuity
Planing);
Analiza impactului asupra afacerii (BIA Bussines Impact
Analysis);
Managementul incidentelor majore (DCP Disaster Recovery
Planing);
Analiza pe baza de scenarii;
Evaluarea cantitativa a marimii
riscurilor
Evaluarea potentialului unui atac;
Fereastra de producere;
Evaluarea numerica al riscurilor:
Risc=(amenintare X vulnerabilitate) X impact
Risc=valoare impact X frecventa anuala;
Tipuri de evaluari cantitative:
Evaluarea riscului asupra unei valori;
Evaluarea riscului datorat unei amenintari;
Return of Investment (ROI) justificarea
investitiilor.
Avantajele aprecierii cantitative

Rezultatele sunt bazate in mare masura


pe date obiective in evaluarea
frecventelor si valorilor;
Efortul este indreptat spre definire si
identificare;
Ofera suport pentru analiza cost
beneficii;
Rezultatele sunt usor interpretate;
Dezavantaje
Este nevoie de baze de date (valori asociate cu
vulnerabilitati, frecventa si prejudicii asociate cu
incidente);
Calculul este complex;
Pentru analiza de riscuri privind informatiile in format
electronic este necesar suportul unui program de
calcul;
Necesita o munca preliminara importanta pentru
culegerea de date care initial se poate intinde pe mai
multe luni;
Este facuta de specialisti si amanuntele nu sunt
accesibile personalului;
Este dificil de adaptat rezultatele in diverse scopuri;
Analiza ROI

Este o analiza cantitativa care introduce in


ecuatie timpul lucreaza cu rate anuale si
permite comparatii cu amortismentele;
Tine cont de faptul ca valoarea unui bun se
depreciaza in timp se amortizeaza.

Compara cu deprecierea anuala:


amortisment= (cost val. salvata)/ timp de
viata
Etapele analizei ROI
Identificarea valorilor.
Calcului factorului de expunere (EF).
Evaluarea pierderii la o expunere (SLE).
SLE= VAL x EF
Rata anuala de aparitie a incidentului (ARO).
Evaluarea pierderii anuale (ALE);
ALE=SLE x ARO
Costul curent al securitatii /an (CCC).
Calcului ROSI (Return of Security Investiment).
ROSI= ALE - CCC
Analiza calitativa
Porneste de la ideea ca oricum se lucreaza cu
probabilitati nu cu date certe si oricum nu se
poate obtine o precizie mare a prognozei.
Se prefera o apreciare a amenintarii si a
impactului si incadrarea subiectiva a acestora in
cateva clase (3, 5, 10, 100);
Se lucreaza cu matrici de amenintari,
vulnerabilitati si impact.
Metoda este orientata pe analiza fenomenelor;
Matricea evaluarii riscurilor
calitative (cantitative)
Probabilitatea Impact
Ameninrii

Mic Mediu Mare


(10) (50) (100)

Mare (1,0) Mic Mediu 1 Mare


10x1,0 =1 50x1,0 =50 0 x 1,0= 100
100
0
Medie (0,5) Mic Mediu 1 Mediu
10x0,5 =5 50x0,5 =25 100x
0 0,5 = 50
0
Mic (0,1) Mic 1 Mediu 1 Mic
10x0,1 =1 50x0,1 =5 100
0 x 0,1 = 10
0
Avantaje si dezavantaje
Avantaje:
Calculul este simplu;
Nu este necesara o exprimare valorica;
Nu este necesara istoria nu trebuie o baza de
date cu incidente si prejudicii;
Este usor interpretata de personalul non tehnic;
Dezavantaje:
Este foarte subiectiva conteaza experienta
evaluatorului;
Nu poate constitui baza pt. o analiza cost beneficii;
Este nevoie de un efort suplimentar pt. exprimare
valorica in situatia justificarii unei investitii;
Exemplu de analiza de riscuri
calitativa
Identificarea valorilor
Tip de Enumerare bunuri
valoare
Personal
Activitati

Informatii

Facilitati

Bunuri
Identificarea impactului
Valori Evenimente potentiale Nivel
critice nedorite impact
Personal

Activitati

Informatii

Facilitati

Bunuri
Ratingul amenintarilor
Critic agentul de amenintare exista si are capacitate
si intentie de atac sau exista un istoric al atacurilor
similare;
Mare exista o amenintare credibila cu capacitate si
motivatie, dedusa din atacuri similare pe alte tinte
asemanatoare;
Mediu este posibila o amenintare bazata pe dorinta
unui adversar care poate avea capacitate si motivatie;
Mic nu sunt capacitati sau motivatii credibile pentru
atac, nu exista un istoric privind atacuri similare;
Foarte scazut nu exista intentii credibile nu se iau
in calcul.
Evidenta amenintarilor
Valori Evenimente Amenintari Nivel
critice potentiale nedorite Adversari am.
Personal

Activitati

Informatii

Facilitati

Bunuri
Matricea de analiza a riscurilor
Evenimente Rating Rating Rating Rating Risc
potentiale nedorite impact amen. vulner. general accept.

Personal

Activitati

Informatii

Facilitati

Bunuri
Evaluare vulnerabilitati
Valori Evenimente Vulnerabilitate Nivel
potentiale nedorite exploatabila amenint.
critice
Personal

Activitati

Informatii

Facilitati

Bunuri
Identificarea masurilor de sec.
Evenimente Nivel Vulnerabilitate Optiuni Risc
potentiale nedorite masuri rem.
risc
Personal
Activitati

Informatii

Facilitati

Bunuri
Evaluarea amenintarilor
Identificarea amenintarilor;
Identificarea i caracterizarea adversarilor;
Evaluarea intentiilor adversarilor;
Evaluarea capacitatii acestora
Caracterizarea i elementele ameninrii;
Prioritizarea ameninrilor;
Evaluarea amenintarii pentru fiecare
valoare;
Determinarea probabilitii de apariie;
Evaluarea potenialului unui atac;
Determinarea impactului;
Evaluarea intentiilor
agentilor de amenintare
Adversari Intentii (motivatie)
Necesitatea Obiective Indicatori
Criminali
Angajati
nemultumiti
Activisti
Hackeri
Concurenti
Tari straine
Teroristi
Evaluare capacitate
Adversari Capacitate

HUM SIG IMI MAS OS DATA


INT INT INT INT INT INT
1

4
Istorie
Adversari Incidente cunoscute

Suspecte Intamplate Succes

5
Matricea de amenintari
Intentii Capacitate Istorie Nivel
amenintare
Da Da Da Critic

Da Da Nu Mare

Da Nu Da sau Mediu
Nu
Nu Da sau Nu Nu Mic
Evaluarea vulnerabilitatilor
Identificarea vulnerabilitatilor asociate
valorilor sau evenimentelor nedorite;
Identificarea masurilor existente si a
gradului lor de acoperire;
Estimarea posibilitatilor de exploatare a
vulnerabilitatilor de catre agentii de
amenintare;
Estimarea posibilitatilor de inducere a
unor vulnerabilitati care sa fie exploatate
ulterior;
Identificarea si evaluarea
vulnerabilitatilor
Valoare atacabila Dificil de Masuri in Nivel
printr-o vulnerabilitate exploatat ? adancime ? vulnerabilitate

Da Da Da Mic
Da Da Da Mic

Nu Da Da Mic

Da Nu Da Mediu
Da Nu Nu Mediu
Nu Nu Da Mare
Nu Da Nu Mare

Nu Nu Nu Critic
Ratingul vulnerabilitatii
Critic vulnerabilitatea este extrem de
usor de exploatat si nu exista
contramasuri;
Mare sunt contramasuri dar exista
multiple vulnerabilitati exploatabile sau
contrmasurile pot fi depasite;
Mediu exista contramasuri dar unele
dintre ele pot fi depasite;
Mic exista contramasuri multiple dificil
de depasit
Foarte mic nu sunt informatii despre
depasirea contramasurilor.
Analiza cost beneficii
Tipuri de riscuri
Riscuri functionale;
Riscurile functionale (dec. gresite sau inf. incomplete);
Riscurile de securitate (datorate unor agresiuni naturale, erori,
actiuni intentionate);
Securitate fizica;
Dezastre;
Control acces;
Efractie;
Furturi;
Documente;
Securitate IT&C sisteme operationale si de suport
Informatii;
Software;
Echipamente si sisteme;
Comunicatii;
Dupa intervalul de timp de actiune si amploare
Riscuri strategice strategia de securitate;
Riscuri tactice politici de securitate;
Riscuri operationale proceduri operationale;
Instrumente automate de evaluare a
riscurilor
CRAMM CCTA Risk Analysis and Management
Method;
FIRM Fundamental Information Risk Management;
SARA Simple to Apply Risk Analysis;
COBRA
Bazat pe chestionare;
Modular in jurul unui motor de evaluare a riscului;
Suport pt. ISO 17799
OCTAVE Operationally Critical Threat, Asset and
Vulnerability Evaluation
Bazat pe workshop-uri;
3 etape: achizitie date, evaluare, recomandare contramasuri;
Suport pt. ISO 17799;
Recunoaste datele scoase din context si le elimina.
Organizarea analizei de riscuri
Unde se foloseste:
La justificarea proiectelor noi;
La justificarea cheltuielilor pentru intretinerea
securitatii;
Cine o foloseste:
Conducerea executiva a institutiei, pentru
fundamentarea bugetului in fata proprietarului;
Structura de securitate pentru fundamentarea
masurilor de securitate si a bugetului necesar;
Cand se face:
Periodic;
Cand resursele sunt limitate, nu acopera nevoile si
trebuiesc decise prioritatile;
La analiza unui proiect nou;
Cand se fac reduceri bugetare;
Faza de pregatire a analizei de riscuri
Cine conduce analiza de riscuri:
Echipa de analiza formata din specialisti cu experienta:
Din institutie nu este indicata utilizarea echipelor de import;
Din toate compartimentele implicate nivel decizie (tehnice,
securitate, personal, juridic, contabilitate, relatii etc.);
Conducerea operativa a echipei trebuie facuta de managerul
de proiect;
Trebuie asigurata cooperarea conducerii la cel mai inalt nivel;
Cat dureaza:
Trebuie sa se finalizeze in citeva zile deranjarea activitatii
institutiei pe durata mare compromite actiunea (boala lunga
moarte sigura);
Trebuie riguros planificata cu obiective si sarcini precise
anterior demararii;
Paradox daca se dispune de timp mai mult nu se rezolva
mai mult se iroseste timpul datorita caracterului
subiectiv al estimarilor genereaza dispute inutile -
finalitate;
Concluzii (1/2)
Analiza de riscuri este un proces dificil i laborios n
care intervin ntr-un proces complex: echipamente,
soft i oameni.
Analiza de riscuri este procesul care leag cel mai
mult sistemul de securitate de metasistemul pe care
l asist (asigur supravieuirea organizaiei);
Analiza de riscuri trebuie adaptat fiecrei etape de
via a oricrui proiect: analiz, proiectare,
implementare, mentenan, casare;
Analiza de riscuri trebuie s opereze cu mrimi
msurabile dar i cu mrimi nemsurabile. Este
necesar stabilirea unei metrici de echivalare a
acestor tipuri de mrimi;
Datele disponibile pentru mrimile msurabile sunt
de multe ori dubioase sau aproximative este
necesar verificarea acestor date;
Concluzii (2/2)
Analiza se bazeaz pe modele simplificate ale
funcionrii organizaiei (prin intermediul valorilor i a
interdependenelor dintre acestea) i a unor modele
simplificate de aciune al agenilor de ameninare;
Vulnerabilitile echipamentelor, ale softului i cele
induse de utilizatori sunt extrem de numeroase i sunt
practic inepuizabile.
Mijloacele automate de evaluare a riscurilor lucreaz
interactiv cu operatorii umani i se bazeaz pe
experiena acestora;
Nici unul dintre programele de evaluare a riscurilor nu
sunt deplin satisfctoare i nu pot substitui experiena
analistului.