Masterat E- Business

Securitatea sistemelor de
E-Business
- Curs 2 -

Lector. Dr. Ana-Maria Ghiran

anamaria.ghiran@econ.ubbcluj.ro
Cuprins

 Practici de management a securităţii: Integrare guvernanţă, risc,

conformanţă 

 Guvernanţa
 Riscul IT: analiză, tratare risc
 Conformanţă
 Managementul securităţii
 Programul de securitate:
 abordare top-down: iniţierea şi direcţia vine din partea
managementului de top
 abordare bottom-up: departamentul IT încearcă să dezvolte un
program de securitate fără a avea sprijin suficient din partea
managementului

 Abordarea top-down e mai eficientă ->

 implicare mai bună a managementului: obţinerea unui echilibru
între adoptarea măsurilor de securitate şi permiterea unui nivel
de funcţionalitate al organizaţiei încât productivitatea să nu fie
afectată
 asigură o abordare ce integrează conceptele de guvernanţă,
managementul riscului şi conformanţă (GRC-Governance, Risc,
Compliance), pentru evitarea unor situaţii conflictuale, acoperirea
unor lipsuri sau eliminarea aspectelor ce se suprapun
 Guvernanţa
 Companiile urmăresc aplicarea unor principii care în general pe
termen lung se dovedesc viabile şi productive. Acestea
alcătuiesc Guvernanţa/Guvernarea Corporativă (modul în
care o organizaţie este condusă în scopul protejării intereselor
tuturor părților implicate - stakeholders)

 2005 –Institutul de Guvernanță Corporativă

 Guvernanţa IT – componentă a Guvernanţei Corporative

 = structurile organizaţionale şi de conducere precum şi
procesele care asigură ca elementele IT din întreprindere
corespund şi susţin obiectivele şi strategia firmei (conform IT
Governance Institute)
Guvernanţa IT

Principiile după care se ghidează Guvernanţa IT urmăresc 5

domenii de interes:
 1. Aliniere strategică - alinierea strategiilor IT cu
obiectivele de ansamblu ale organizaţiei
 2. Adăugare de valoare - realizarea beneficiilor aşteptate,
optimizarea cheltuielilor
 3. Managementul riscurilor - eliminarea sau reducerea
riscurilor asociate cu resursele IT
 4. Managementul resurselor IT - utilizarea responsabillă a
resurselor IT
 5. Măsurarea performanţei - monitorizarea serviciilor IT,
urmărirea realizării celor 4 funcţii anterior amintite
 Managementul riscului
 Riscul = posibilitatea producerii unui eveniment nedorit care va
avea un impact asupra realizării obiectivelor organizaţiei
 există şi abordări în care riscul poate avea valori pozitive fiind
văzut sub forma unor oportunităţi
 diverse forme ale riscului nu neapărat legate de IT

 Pentru riscul IT, apariţia unui eveniment (nedorit) este determinat 

de exploatarea unei vulnerabilităţi de către o ameninţare, iar
impactul se referă la confidenţialitatea, integritatea sau
disponibilitatea unei resurse IT (fie sistem sau informaţie)

 R=A*V*I
Managementul riscului

 Managementul riscului:
 - analiza riscului: identificare, evaluarea şi prioritizare
 - tratarea riscului: eliminare, reducere, transfer, acceptare

Pentru eliminare/micşorarea riscurilor componentă flexibilă a

riscului asupra căreia am putea avea influenţă şi am putea
opera este legată de vulnerabilităţi (ameninţările sunt funcţie a
mediului extern iar impactul dat de valoarea financiară sau
nefinanciară de asemenea nu poate fi stabilit).
Managementul riscului

 Analiza riscului:

 cantitativă: atribuie valori reale şi semnificative pentru toate

elementele din procesul de analiză a riscului

 calitativă: se parcurg mai multe scenarii, se ierarhizează

nivelul ameninţărilor şi eficienţa diverselor măsuri de
protecţie

 avantaje şi dezavantaje pentru fiecare: depinde de situaţie

care abordare este mai potrivită
 Managementul riscului
Analiza cantitativă:

1. identificarea şi estimarea valorii bunurilor

2. Se calculează SLE (single loss expectancy) şi ALE
(Annual Loss Expectancy)
SLE reprezintă valoarea pierderilor suferite de un bun al unei
organizaţii la apariţia unui eveniment nedorit.
ALE reprezintă pierderile asociate unui risc, pe o perioadă de un an
de zile.

 Rata Apariţiei - Annualized Rate of Occurence (ARO): preluări statistice

 Managementul riscului
Valoarea pierdută din bun în cazul producerii unui incident în funcţie de cât a fost
expus incidentului: Pierderea Potenţială  Estimată  - Single Loss Expectancy.

 SLE = AV * EF

 AV este valoarea bunului (asset value) – unităţi monetare

 EF este factorul de expunere (exposure factor) şi reprezintă pierderea produsă

asupra bunului de către incident

 ALE = ARO * SLE

 ALE este pierderea potenţială anuală (annual loss expectancy);

 ARO este rata anuală de apariţie a unui incident (annual rate of occurrence);
Managementul riscului

Pentru a putea fi calculat acest parametru va trebui să existe

un istoric al tuturor incidentelor şi al impactului acestora. În
lipsa acestuia, ALE se poate calcula pe baza unor cazuri
similare ale altor organizaţii.

Costul C al cheltuilelor de securitate anuale trebuie să fie mai

mic decât pierderile anuale pentru a se justifica realizarea
investiţiilor în securitate

ALE total >= C

 Managementul riscului
Aceasta ecuaţie înlocuiește modul tradiţional de evaluare a
eficienţei unei investiţii – bazat pe parametrul beneficiul investiţiei
(Return of investment), deoarece în acest domeniu parametrul
este inadecvat, din mai multe motive (Schneier, 2008 - The
Psychology of Security):

 - Securitatea nu este o investiţie care aduce profit;

 - Securitatea este o cheltuială, care în anumite condiţii poate produce
o economisire a banilor;
 - Securitatea urmăreşte prevenirea pierderilor şi nu creşterea
veniturilor
Managementul riscului

Analiza calitativă:
 CRAMM (CCTA Risk Analysis and Management Method):
metodă dar şi un set de unelte utilizate pentru analiza şi
managementul riscului

 Aplicarea metodei CRAMM se face în 3 etape:

1. Identificarea şi evaluarea elementelor;
2. Evaluarea ameninţărilor şi vulnerabilităţilor;
3. Selectarea şi recomandarea de contramăsuri;

 Tehnici aplicate în analiza calitativă: brainstorming, metoda

Delphi, chestionare, sondaje, interviuri
Caracteristici Analiza cantitativă Analiza calitativă

Scop Managementul riscului

Determinarea valorii precise a
Stabilirea nivelului de risc
riscului

Variabile de ARO: rata anuală de apariţie a unui Nivelul pierderilor;

risc incident / unei ameninţări; Costul incidentului;
SLE: expectanţa unitară a pierderii; Probabilitatea de apariţie a
AV: valoarea bunului; incidentului;
EF: factorul de expunere Impactul incidentului.

Situaţii în care Situaţiile în care organizaţia dispune Termenul de efectuare a evaluării este
se aplică de resurse suficiente (timp şi bani) redus;
pentru a obţine rezultate cât mai Bugetul alocat evaluării este mic;
precise Datele avute la dispoziţie sunt puţine

Mijloace Calcule matematice bazate pe metrici Interviuri şi chestionare aplicate

utilizate de securitate personalului organizaţiei (sau unui
eşantion) care este implicat în
securitatea informatică
 Managementul riscului
Tratarea riscului:
 -> presupune selectarea unei metode adecvate prin care să
poată fi eliminat sau măcar controlat efectul negativ pe care
impactul fiecărui risc în parte îl are asupra organizaţiei

În general planurile de management al riscurilor au următoarele

obiective pentru controlul acestora:
1. eliminarea riscurilor negative
2. reducerea riscurilor la un nivel acceptabil în cazul în care nu au
putut fi eliminate
3. transferarea riscurilor prin asigurare sau delegând
responsabilitatea către o altă organizaţie.
Managementul riscului

Tratarea riscului:
Metodele prin care pot eliminate sau reduse riscurile sunt diferite
pentru fiecare organizaţie în parte însă acestea trebuie să ofere
beneficii maxime (existenţa cât mai multor controale) la costuri
minime

Prima abordare în tratarea riscurilor presupune găsirea unor soluţii

pentru micşorarea acestora până la eliminarea completă a acestora:
cele trei componente ale riscului – ameninţări, vulnerabilităţi, impact

Costul controalele sau contramăsurile ce vor fi adoptate nu trebuie

să depăşească valoarea pierderilor realizate în cazul producerii
incidentului
Managementul riscului

 Există şi  abordări în care nu se doreşte implementarea

cuprinzătoare a controalelor pentru preîntâmpinarea
riscurilor, ceea ce se urmăreşte fiind recuperarea cât mai
rapidă în cazul producerii acestora.
 Astfel sunt planurile de continuitate a afacerii şi recuperare
după dezastre – BCDR Business Continuity and Disaster
Recovery
Conformanţa

Supravegherea (implicarea) guvernamentală crescută

din ultimii ani a determinat noi reglementări care
afectează toate organizaţiile

Conformanţa: se referă la asigurarea că procesele de

afaceri, operaţiile şi practicile sunt în concordanţă cu un
set de norme.

Managementul conformanţei: toate mecanismele ce

ajută organizaţia să nu încalce orice reglementare
 Conformanţa
O organizaţie la un moment dat poate să intre sub incidenţa multiplelor
reglementări:
1. raportări financiare
2. cerinţe calitative precum ISO 9000
3. PCI DSS Payment Card Industry Data Security Standard pentru organizaţiile
ce procesează date personale
4. GDPR – General Data Protection Regulation

 Multe conţin aspecte ce se suprapun: ex – atat PCI DSS cât și GDPR solicită
anunțarea incidentelor de securitate dar folosesc termeni diferiți în ceea ce
privește momentul raportărilor: “timely manner” or “immediately” vs. 72h

 Eforturile organizaţiilor de a realiza conformanţa cu diverse standarde sunt

din ce în ce mai complexe, costisitoare şi solicitante
 Conformanţa

 Non - conformanţa – consecinţe legale, competitive, asupra cotei

de piaţă dar şi efecte asupra reputaţiei organizaţiei, beneficiilor şi
profiturilor realizate

 Cele mai multe reglementări în vederea realizării conformanţei

solicită organizaţiilor să deţină procese de afaceri care pot fi:
- documentate, măsurate
- deţin controale care pot preveni erorile şi fraudele

 Cerinţele de conformanţă pot fi mai bine îndeplinite prin

automatizarea proceselor manuale ineficiente
Conformanţa

 Cerinţele de conformanţă pot ajuta managerii IT să

integreze mult mai bine soluţii tehnice în cadrul organizaţiei
– angajaţii IT lucrând mai mult cu managerii afacerii
beneficiază de vizibilitate crescută, o mai bună comunicare,
implicare crescută

 Exerciţiu: Aflaţi care este directiva la nivelul Uniunii

Europene care se referă la protecţia datelor.
 b) dar în România?
Măsuri legislative

 Decizia nr 512/2013 privind stabilirea măsurilor minime de

securitate ce trebuie luate de către furnizorii de rețele
publice de comunicații electronice sau servicii de
comunicații electronice destinate publicului și raportarea
incidentelor cu impact semnificativ asupra furnizării
rețelelor și serviciilor de comunicații electronice
 Legea 154/2012 privind regimul infrastructurii rețelelor de
comunicații electronice
 Legea 506/2004 privind prelucrarea datelor cu caracter
personal și protecția vieții private în sectorul comunicațiilor
electronice