Documente Academic
Documente Profesional
Documente Cultură
Securitatea sistemelor de
E-Business
- Curs 2 -
Guvernanţa
Riscul IT: analiză, tratare risc
Conformanţă
Managementul securităţii
Programul de securitate:
abordare top-down: iniţierea şi direcţia vine din partea
managementului de top
abordare bottom-up: departamentul IT încearcă să dezvolte un
program de securitate fără a avea sprijin suficient din partea
managementului
R=A*V*I
Managementul riscului
Managementul riscului:
- analiza riscului: identificare, evaluarea şi prioritizare
- tratarea riscului: eliminare, reducere, transfer, acceptare
Analiza riscului:
SLE = AV * EF
Analiza calitativă:
CRAMM (CCTA Risk Analysis and Management Method):
metodă dar şi un set de unelte utilizate pentru analiza şi
managementul riscului
Situaţii în care Situaţiile în care organizaţia dispune Termenul de efectuare a evaluării este
se aplică de resurse suficiente (timp şi bani) redus;
pentru a obţine rezultate cât mai Bugetul alocat evaluării este mic;
precise Datele avute la dispoziţie sunt puţine
Tratarea riscului:
Metodele prin care pot eliminate sau reduse riscurile sunt diferite
pentru fiecare organizaţie în parte însă acestea trebuie să ofere
beneficii maxime (existenţa cât mai multor controale) la costuri
minime
Multe conţin aspecte ce se suprapun: ex – atat PCI DSS cât și GDPR solicită
anunțarea incidentelor de securitate dar folosesc termeni diferiți în ceea ce
privește momentul raportărilor: “timely manner” or “immediately” vs. 72h