Documente Academic
Documente Profesional
Documente Cultură
bazat pe analiza de
riscuri
Gh. Muresanu:
ghemuresanu@rdslink.ro
Obiectivele prezentarii
O prezentare a locului si rolului analizei
de riscuri in cadrul procesului de
management al securitatii unei
organizatii.
Justificarea efortului de a face o analiza
de riscuri cat mai apropiata de realitate.
Prezentarea principalelor modele de
analiza de riscuri.
O scurta comparatie intre modelele de
analiza de riscuri.
Miturile securitatii (informatiei)
“principiiple” practice ale managementului securitatii
Cumpara soft, echipamente - tehnologiile de securitate
rezolva toate problemele (sperie suficient ordonatorul de
credite si va aproba bugetul – momentele de criza).
• Este nevoie de o strategie de achizitie corelata cu
resursele si necesitatile organizatiei
Exista o politica de securitate, planuri, proceduri
operationale de securitate, ghiduri si norme, ai rezolvat
problema.
• Trebuie sa fie realiste, implementate corect si urmarit
pemanent corelarea cu evenimentele din mediu de lucru -
trebuie actualizate.
Publica politica, standardele, ghidurile si normele ,
lumea le citeste, le va intelege si le va aplica.
• Trebuie explicate si controlata permanent aplicarea.
Urmeaza recomandarile vanzatorilor – este cea mai
buna cale de a face o organizatie sigura (ei stiu, cumpara
tot, apara tot);
• Achizitiile trebuie corelate cu necesitatile reale ale
organizatiei.
Costurile masurilor de securitate
Costuri (%)
100
O securitate maximă poate fi asigurată
cu costuri foarte mari.
90
80
70
60
În majoritatea cazurilor 20% din costuri se
50 reflectă în 80% beneficii în ceea ce priveşte
minimizarea riscurilor şi asigurarea
securităţii.
40
30
20
10
10 20 30 40 50 60 70 80 90 100
80
70
60
50
40
30
Optim
20 Aria
10
aceptabila
10 20 30 40 50 60 70 80 90 100
Beneficii securitate –( nivel protectie)
Echilibrul costuri - securitate
Cele doua curbe sunt variabile in timp functie de
conditiile de mediu – au valoare pt. o analiza calitativa.
Curba care reprezinta riscurile are relevanta cantitativa
doar pentru un anumit tip de risc.
Investitiile in securitate cuprind:
• Achizitiile de echipamente si soft.
• Consultanta si mentenanta.
• Cheltuieli de intretinere (licente, actualizari, garantii etc.)
• Costuri cu personalul de deservire.
• Costuri prin restrictii in activitate care penalizeaza profitul.
Aria de decizii acceptabile depinde de resursele
disponibile pentru securitate.
Deplasarea spre dreapta fata de optim - investitie in
viitor;
Deplasarea spre stanga – ramanere in urma.
Necesitatea analizei de riscuri
Este relativ usor sa evaluezi pierderile in urma
unui incident dar dificil sa justifici investitile
inainte de producerea incidentului;
Principalele probleme pe care le are
responsabilul de securitate:
• Cum pot justifica bugetul pentru securitate in fata
conducerii?
• Care sunt cele mai bune masuri de securitate care
pot fi obtinute cu resursele (fondurile) disponibile ?
• Care este prioritatea masurilor de securitate?
Solutia pentru incadrarea in aria de acceptanta
este analiza de riscuri;
Definitii ale termenilor uzuali
Managementul riscurilor – procesul permanent prin
care se mentin riscurile unei organizatii intr-o plaja
acceptabila corelat cu obiectivele si resursele
organizatiei.
Analiza de riscuri – procedeul de identificare si
evaluare a factorilor care pot produce prejudicii
activitatii si a identifica masurile de reducere a lor.
Evaluarea riscurilor – calculul riscurilor .
Reducerea riscurilor – procesul de asociere pentru
fiecare bun a masurilor adecvate pentru a mentine
impactul in limitele acceptabile.
Evaluarea vulnerabilitatilor -
“Piata” analizei de riscuri
Este un proces laborios cu un grad relativ ridicat de
subiectivism atunci cand se face “manual”.
Exista o mare varietate de moduri de abordare a analizei
de riscuri.
Exista un numar si mai mare de “tools-uri” (programe)
pentru analiza de riscuri care au la baza algoritmi
complexi de calcul (simulare Monte Carlo, tehnici de
modelare Bayesiana etc.)
La nivel international (in grupuri de lucru) se incearca
integrarea si uniformizarea lor pentru a putea face
analize comparative.
Metodele “manuale” au avantajul ca ajuta sa se inteleaga
mecanismele interne dar necesita foarte multa munca;
Metodele “automate” sunt mult mai elaborate dar ascund
legaturile intime ale fenomenelor.
Mecanismul de management al
riscurilor
Elementele pentru controlul riscurilor
Controlul capabilitatilor si motivatiei unui adversar /
atacator este deosebit de dificil, daca nu imposibil.
Bunurile (valorile) sunt fixate de misiunile organizatiei.
Bunuri
Risc
Amenintari Vulnerabi-
litati
intreruperea operatiilor
atentia massmedia
teama
financiare
de mediu
de sanatate si siguranta
tehnologice
operationale
de timp
Capacitate
Motivare
Acces
Inhibitori Amplificatori
Amenintari
Factorii care catalizeaza
amenintarea
Catalizatori
Schimbari Evenimente
tehnologice
Castiguri Probleme
comerciale de personal
Factorii care contribuie la motivatie
Motivatie
Castiguri Avantaje
Terorism Convingeri
personale competitive
Facilitati Personal
Timp
Factorii de inhibitie
Inhibitori
Amplificatori
Probabilitate;
Bani;
Timp;
Metode calcul al riscului:
• Calitativa.
• Cantitativa.
Analiza cost beneficii.
Recuperarea investitiilor in securitate;
TIPURI DE ANALIZE DE RISCURI
Analiza de riscuri calitativa
• Analiza inpactului hazardului (HIA – Hazard Impact Analysis) foc,
inundatii, furtuni, cutremure);
• Analiza amenintarilor;
• Analiza chestionarelor (orientata spre perceptii);
Analiza cantitativa
Analiza cost - beneficii.
Recuperarea investitiilor (ROI Return of Investiment).
Managementul continuitatii afacerii (BCP – Business Continuity
Planing);
Analiza impactului asupra afacerii (BIA – Bussines Impact
Analysis);
Managementul incidentelor majore (DCP – Disaster Recovery
Planing);
Analiza pe baza de scenarii;
Evaluarea cantitativa a marimii
riscurilor
Evaluarea potentialului unui atac;
• Fereastra de producere;
Evaluarea numerica al riscurilor:
• Risc=(amenintare X vulnerabilitate) X impact
• Risc=valoare impact X frecventa anuala;
Tipuri de evaluari cantitative:
• Evaluarea riscului asupra unei valori;
• Evaluarea riscului datorat unei amenintari;
• Return of Investment (ROI) – justificarea
investitiilor.
Avantajele aprecierii cantitative
Informatii
Facilitati
Bunuri
Identificarea impactului
Valori Evenimente potentiale Nivel
critice nedorite impact
Personal
Activitati
Informatii
Facilitati
Bunuri
Ratingul amenintarilor
Critic – agentul de amenintare exista si are capacitate
si intentie de atac sau exista un istoric al atacurilor
similare;
Mare – exista o amenintare credibila cu capacitate si
motivatie, dedusa din atacuri similare pe alte tinte
asemanatoare;
Mediu – este posibila o amenintare bazata pe dorinta
unui adversar care poate avea capacitate si motivatie;
Mic – nu sunt capacitati sau motivatii credibile pentru
atac, nu exista un istoric privind atacuri similare;
Foarte scazut – nu exista intentii credibile – nu se iau
in calcul.
Evidenta amenintarilor
Valori Evenimente Amenintari Nivel
critice potentiale nedorite Adversari am.
Personal
Activitati
Informatii
Facilitati
Bunuri
Matricea de analiza a riscurilor
Evenimente Rating Rating Rating Rating Risc
potentiale nedorite impact amen. vulner. general accept.
Personal
Activitati
Informatii
Facilitati
Bunuri
Evaluare vulnerabilitati
Valori Evenimente Vulnerabilitate Nivel
Personal
Activitati
Informatii
Facilitati
Bunuri
Identificarea masurilor de sec.
Evenimente Nivel Vulnerabilitate Optiuni Risc
potentiale nedorite masuri rem.
risc
Personal
Activitati
Informatii
Facilitati
Bunuri
Evaluarea amenintarilor
Identificarea amenintarilor;
Identificarea şi caracterizarea adversarilor;
Evaluarea intentiilor adversarilor;
Evaluarea capacitatii acestora
Caracterizarea şi elementele ameninţării;
Prioritizarea ameninţărilor;
Evaluarea amenintarii pentru fiecare
valoare;
• Determinarea probabilităţii de apariţie;
• Evaluarea potenţialului unui atac;
• Determinarea impactului;
Evaluarea intentiilor
agentilor de amenintare
Adversari Intentii (motivatie)
Necesitatea Obiective Indicatori
Criminali
Angajati
nemultumiti
Activisti
Hackeri
Concurenti
Tari straine
Teroristi
Evaluare capacitate
Adversari Capacitate
4
Istorie
Adversari Incidente cunoscute
5
Matricea de amenintari
Intentii Capacitate Istorie Nivel
amenintare
Da Da Da Critic
Da Da Nu Mare
Da Nu Da sau Mediu
Nu
Nu Da sau Nu Nu Mic
Evaluarea vulnerabilitatilor
Identificarea vulnerabilitatilor asociate
valorilor sau evenimentelor nedorite;
Identificarea masurilor existente si a
gradului lor de acoperire;
Estimarea posibilitatilor de exploatare a
vulnerabilitatilor de catre agentii de
amenintare;
Estimarea posibilitatilor de inducere a
unor vulnerabilitati care sa fie exploatate
ulterior;
Identificarea si evaluarea
vulnerabilitatilor
Valoare atacabila Dificil de Masuri in Nivel
printr-o vulnerabilitate exploatat ? adancime ? vulnerabilitate
Da Da Da Mic
Da Da Da Mic
Nu Da Da Mic
Da Nu Da Mediu
Da Nu Nu Mediu
Nu Nu Da Mare
Nu Da Nu Mare
Nu Nu Nu Critic
Ratingul vulnerabilitatii
Critic – vulnerabilitatea este extrem de
usor de exploatat si nu exista contramasuri;
Mare – sunt contramasuri dar exista
multiple vulnerabilitati exploatabile sau
contrmasurile pot fi depasite;
Mediu – exista contramasuri dar unele
dintre ele pot fi depasite;
Mic – exista contramasuri multiple dificil de
depasit
Foarte mic – nu sunt informatii despre
depasirea contramasurilor.
Analiza cost beneficii
Tipuri de riscuri
Riscuri functionale;
• Riscurile functionale (dec. gresite sau inf. incomplete);
• Riscurile de securitate (datorate unor agresiuni naturale, erori,
actiuni intentionate);
Securitate fizica;
• Dezastre;
• Control acces;
• Efractie;
• Furturi;
• Documente;
Securitate IT&C – sisteme operationale si de suport
• Informatii;
• Software;
• Echipamente si sisteme;
• Comunicatii;
Dupa intervalul de timp de actiune si amploare
• Riscuri strategice – strategia de securitate;
• Riscuri tactice – politici de securitate;
• Riscuri operationale – proceduri operationale;
Instrumente automate de evaluare a
riscurilor
CRAMM – CCTA Risk Analysis and Management
Method;
FIRM – Fundamental Information Risk Management;
SARA – Simple to Apply Risk Analysis;
COBRA –
• Bazat pe chestionare;
• Modular in jurul unui motor de evaluare a riscului;
• Suport pt. ISO 17799
OCTAVE – Operationally Critical Threat, Asset and
Vulnerability Evaluation –
• Bazat pe workshop-uri;
• 3 etape: achizitie date, evaluare, recomandare contramasuri;
• Suport pt. ISO 17799;
• Recunoaste datele scoase din context si le elimina.
Organizarea analizei de riscuri
Unde se foloseste:
• La justificarea proiectelor noi;
• La justificarea cheltuielilor pentru intretinerea
securitatii;
Cine o foloseste:
• Conducerea executiva a institutiei, pentru
fundamentarea bugetului in fata proprietarului;
• Structura de securitate pentru fundamentarea
masurilor de securitate si a bugetului necesar;
Cand se face:
• Periodic;
• Cand resursele sunt limitate, nu acopera nevoile si
trebuiesc decise prioritatile;
• La analiza unui proiect nou;
• Cand se fac reduceri bugetare;
Faza de pregatire a analizei de riscuri
Cine conduce analiza de riscuri:
• Echipa de analiza – formata din specialisti cu experienta:
Din institutie – nu este indicata utilizarea echipelor de import;
Din toate compartimentele implicate – nivel decizie (tehnice,
securitate, personal, juridic, contabilitate, relatii etc.);
• Conducerea operativa a echipei trebuie facuta de managerul
de proiect;
• Trebuie asigurata cooperarea conducerii la cel mai inalt nivel;
Cat dureaza:
• Trebuie sa se finalizeze in citeva zile – deranjarea activitatii
institutiei pe durata mare compromite actiunea (boala lunga
moarte sigura);
• Trebuie riguros planificata cu obiective si sarcini precise
anterior demararii;
Paradox – daca se dispune de timp mai mult nu se
rezolva mai mult – se iroseste timpul datorita
caracterului subiectiv al estimarilor – genereaza
dispute inutile - finalitate;
Concluzii (1/2)
Analiza de riscuri este un proces dificil şi laborios în
care intervin într-un proces complex: echipamente,
soft şi oameni.
Analiza de riscuri este procesul care „leagă” cel mai
mult sistemul de securitate de metasistemul pe care
îl asistă (asigură supravieţuirea organizaţiei);
Analiza de riscuri trebuie adaptată fiecărei etape de
viaţă a oricărui proiect: analiză, proiectare,
implementare, mentenanţă, casare;
Analiza de riscuri trebuie să opereze cu mărimi
măsurabile dar şi cu mărimi nemăsurabile. Este
necesară stabilirea unei metrici de „echivalare” a
acestor tipuri de mărimi;
Datele disponibile pentru mărimile măsurabile sunt
de multe ori „dubioase” sau aproximative este
necesară verificarea acestor date;
Concluzii (2/2)
Analiza se bazează pe modele simplificate ale
funcţionării organizaţiei (prin intermediul valorilor şi a
interdependenţelor dintre acestea) şi a unor modele
simplificate de acţiune al agenţilor de ameninţare;
Vulnerabilităţile echipamentelor, ale softului şi cele
induse de utilizatori sunt extrem de numeroase şi sunt
practic inepuizabile.
Mijloacele automate de evaluare a riscurilor lucrează
interactiv cu operatorii umani şi se bazează pe
experienţa acestora;
Nici unul dintre programele de evaluare a riscurilor nu
sunt deplin satisfăcătoare şi nu pot substitui experienţa
„analistului”.