1. Managementul securitatii bazat pe analiza de riscuri
Gh. Muresanu:

2. Obiectivele prezentarii
O prezentare a locului si rolului analizei de riscuri in cadrul procesului de management al securitatii unei organizatii.
Justificarea efortului de a face o analiza de riscuri cat mai apropiata de realitate.
Prezentarea principalelor modele de analiza de riscuri.
O scurta comparatie intre modelele de analiza de riscuri.

3. Miturile securitatii (informatiei) “principiiple” practice ale managementului securitatii
Cumpara soft, echipamente - tehnologiile de securitate rezolva toate problemele (sperie suficient ordonatorul de credite si va aproba bugetul – momentele de criza).
Este nevoie de o strategie de achizitie corelata cu resursele si necesitatile organizatiei
Exista o politica de securitate, planuri, proceduri operationale de securitate, ghiduri si norme, ai rezolvat problema.
Trebuie sa fie realiste, implementate corect si urmarit pemanent corelarea cu evenimentele din mediu de lucru - trebuie actualizate.
Publica politica, standardele, ghidurile si normele, lumea le citeste, le va intelege si le va aplica.
Trebuie explicate si controlata permanent aplicarea.
Urmeaza recomandarile vanzatorilor – este cea mai buna cale de a face o organizatie sigura (ei stiu, cumpara tot, apara tot);
Achizitiile trebuie corelate cu necesitatile reale ale organizatiei.

4. Costurile masurilor de securitate10 20 30 40 50 60 70 80 90
100
Costuri (%)
În majoritatea cazurilor 20% din costuri se reflectă în 80% beneficii în ceea ce priveşte minimizarea riscurilor şi asigurarea securităţii.
O securitate maximă poate fi asigurată cu costuri foarte mari.
Beneficii (atenuarea riscului) %

5. Echilibrul costuri - securitate
100
Risc prejudicii %
Investitii securitate % 90 80 70 60 50 40
Optim 30 20
Aria
aceptabila 10 10 20 30 40 50 60 70 80 90
100
Beneficii securitate –( nivel protectie)

6. Echilibrul costuri - securitate
Cele doua curbe sunt variabile in timp functie de conditiile de mediu – au valoare pt. o analiza calitativa.
Curba care reprezinta riscurile are relevanta cantitativa doar pentru un anumit tip de risc.
Investitiile in securitate cuprind:
Achizitiile de echipamente si soft.
Consultanta si mentenanta.
Cheltuieli de intretinere (licente, actualizari, garantii etc.)
Costuri cu personalul de deservire.
Costuri prin restrictii in activitate care penalizeaza profitul.
Aria de decizii acceptabile depinde de resursele disponibile pentru securitate.
Deplasarea spre dreapta fata de optim - investitie in viitor;
Deplasarea spre stanga – ramanere in urma.

7. Necesitatea analizei de riscuri
Este relativ usor sa evaluezi pierderile in urma unui incident dar dificil sa justifici investitile inainte de producerea incidentului;
Principalele probleme pe care le are responsabilul de securitate:
Cum pot justifica bugetul pentru securitate in fata conducerii?
Care sunt cele mai bune masuri de securitate care pot fi obtinute cu resursele (fondurile) disponibile ?
Care este prioritatea masurilor de securitate?
Solutia pentru incadrarea in aria de acceptanta este analiza de riscuri;

8. Definitii ale termenilor uzuali
Managementul riscurilor – procesul permanent prin care se mentin riscurile unei organizatii intr-o plaja acceptabila corelat cu obiectivele si resursele organizatiei.
Analiza de riscuri – procedeul de identificare si evaluare a factorilor care pot produce prejudicii activitatii si a identifica masurile de reducere a lor.
Evaluarea riscurilor – calculul riscurilor .
Reducerea riscurilor – procesul de asociere pentru fiecare bun a masurilor adecvate pentru a mentine impactul in limitele acceptabile.
Evaluarea vulnerabilitatilor -

9. “Piata” analizei de riscuri
Este un proces laborios cu un grad relativ ridicat de subiectivism atunci cand se face “manual”.
Exista o mare varietate de moduri de abordare a analizei de riscuri.
Exista un numar si mai mare de “tools-uri” (programe) pentru analiza de riscuri care au la baza algoritmi complexi de calcul (simulare Monte Carlo, tehnici de modelare Bayesiana etc.)
La nivel international (in grupuri de lucru) se incearca integrarea si uniformizarea lor pentru a putea face analize comparative.
Metodele “manuale” au avantajul ca ajuta sa se inteleaga mecanismele interne dar necesita foarte multa munca;
Metodele “automate” sunt mult mai elaborate dar ascund legaturile intime ale fenomenelor.

10. Mecanismul de management al riscurilor

11. Elementele pentru controlul riscurilor
Controlul capabilitatilor si motivatiei unui adversar / atacator este deosebit de dificil, daca nu imposibil.
Bunurile (valorile) sunt fixate de misiunile organizatiei.
Bunuri
Risc
Amenintari
Vulnerabi-litati
Reducerea vulnerabilitatilor prin masuri de securitate conduce la diminuarea riscului.

12. Tratarea riscurilor
Limitarea riscurilor – in momentul producerii impactului se pun in functie masuri prin care se opreste propagarea efectelor impactului;
Planificarea riscurilor – planificarea prioritatilor de securitate functie contextul de mediu si monitorizarea mediului;
Transferul riscurilor – transferul unor valori, inchirierea unor valori sau servicii, asigurare;

13. Tratarea riscurilor
Asumarea riscurilor – nivelul riscului este suficient de mic pentru a suporta prejudiciile atunci cand se produce;
Diminuarea riscurilor – riscurile inacceptabile sunt reduse prin contramasuri pana la un nivel acceptabil;
Eliminarea surselor generatoare de amenintare (valorilor) – daca prin costurile de securitate se depaseste valoarea aparata se renunta la ea ;

14. Etapele analizei de riscuri

15. Etapele analizei de riscuri
Identificarea si evaluarea valorilor.
Identificarea si evaluarea amenintarilor.
Identificarea vulnerabilitatilor si posibilitatilor de exploatare de catre amenintari.
Identificarea si evaluarea riscurilor.
Prioritizarea masurilor de securitate.
Parcurgerea acestor etape se face iterativ pana la obtinerea unei solutii acceptabile.
Introducerea de elemente noi in calcul (valori, amenintari, masuri de securitate) se face in ordinea relevantei lor pana la incadrarea in resursele alocate sau riscul acceptat.
Exista mai multe puncte de vedere in modul in care se considera beneficiile (atenuari ale riscurilor - procente, evaluari ale valorilor scutite de prejudicii –bani, rata cu care se recupereaza investitiile- bani/ani – timp in care se recupereaza –timp,),

16. Identificarea bunurilor si a impactului
Toate programele de securitate, indiferent de complexitate sau industrie, sunt proiectate sa protejeze bunurile, in general orice reprezinta o valoare pentru organizatie.
Valorile constau, in general, din oameni, proprietati si informatii, reputatie (imagine), relatii.
Bunurile se gasesc in gama de la cele mai putin importante la cele critice pentru realizarea misiunii organizatiei. Misiunea reprezinta aspectul cel mai important pentru a fi protejata prin programul de securitate.
Bunurile critice sunt acelea care sunt necesare organizatiei pentru executarea misiunii si functiilor esentiale.
Determinarea corecta a ceea ce trebuie protejat reprezinta primul pas in managementul riscului.

17. Identificarea bunurilor si inventarul de securitate – Clasificarea bunurilor
Oamenii – angajati si clienti, impreuna cu alte persoane invitate ca vizitatori si contractori.
Proprietatea – bunurile proprietatea unei organizatii constau din bunuri tangibile si intangibile, carora li se poate stabili o valoare, de preferinta sub forma financiara. Bunurile tangibile sunt usor de identificat, in timp ce bunurile intangibile sunt mai greu de identificat si de a li se stabili o valoare. Bunurile intangibile includ reputatia organizatiei, informatiile proprietate, experienta etc.
Informatia – bunurile sub forma de informatii includ bazele de date, codurile software, inregistrarile financiare ale companiei, inregistrari vitale, formule, metode etc.

18. Identificarea bunurilor si inventarul de securitate – Clasificarea bunurilor (cont.)
Valorile critice
Identificarea valorilor critice ale unei organizatii reprezinta primul pas in managementul riscului.
Bunuri critice pentru natiunile industrializate:
energia electrica
productia de gaze naturale si petrol
telecomunicatiile
bancile si finantele
sistemele de aprovizionare cu apa
transporturile
functionarea guvernului
serviciile de urgenta

19. Identificarea bunurilor si inventarul de securitate – Clasificarea bunurilor (cont.)
Bunurile critice pentru desfasurarea afacerilor sunt acele bunuri necesare realizarii misiunii primare a afacerii. Acestea sunt considerate critice in baza a doua criterii fundamentale:
valoarea, definita ca atare de organizatie
consecintele pe termen scurt si lung asupra operatiilor, provocate prin pierderea, defectarea sau distrugerea bunului

20. Identificarea bunurilor si inventarul de securitate – Clasificarea bunurilor (cont)
Bunurile au atat valoare tangibila cat si intangibila care poate fi evaluata calitativ sau cantitativ tinand cont de urmatoarele elemente:
Criticalitatea bunului pentru operatii – aceasta este functie de impactul operational asupra organizatiei prin pierderea, defectarea sau distrugerea bunului.
Valoarea de inlocuire – pe langa valoarea propriuzisa a bunului, trebuie avute in vedere costurile generate de timpul de inlocuire (timpul de nefunctioare). Pentru anumite bunuri critice este necesar sa existe o rezerva complet operationala (efectul de avalansa).
Valoarea relativa a unui bun – pierderea unui bun poate afecta si alte bunuri si trebuie considerata avand in vedere o analiza generala a criticalitatii bunului.

21. Identificarea bunurilor si inventarul de securitate – Identificarea bunurilor critice
Informatiile privind bunurile pot fi obtinute din surse diverse.
Informatiile cele mai pertinente despre bunurile critice se obtin de la persoanele care administreaza operatiile zilnice ale organizatiei, acestea fiind:
“proprietarii” bunurilor (orice bun trebuie sa aiba un proprietar/responsabil + contabilitate)
managerii proceselor operationale.
Informatiile se obtin prin desfasurarea de interviuri cuprinzatoare care au ca scop intelegerea proceselor si procedurilor dintr-o organizatie si identificarea bunurilor care sustin operatiile.

22. Identificarea bunurilor si inventarul de securitate – Alegerea tintei
Din punctul de vedere al adversarului, bunurile sunt numite tinte.
Tintele pot avea valori diferite pentru adversar fata de proprietar. In consecinta valoarea bunului are doua niveluri:
nivel critic din punct de vedere operational
nivel al valorii in viziunea atacatorului.
In consecinta valoarea unei tinte trebuie calculata avand in vedere ambele aspecte, bazandu-ne pe cele mai bune informatii disponibile.
Pentru adversari/atacatori diferiti, valoarea bunului poate sa difere in functie de scopurile si perceptia acestora.

23. Identificarea bunurilor si inventarul de securitate – Alegerea tintei (cont.)
In functie de tipul activitatilor pentru care se face evaluarea riscului, la evaluarea valorii unei tinte este necesar sa se aiba in vedere urmatorii factori:
numarul de pierderi de vieti umane si de raniti
posibilitatea ca bunul sa fie atacat, stricat sau distrus
modificarea situatiei politice
intreruperea operatiilor
atentia massmedia
impactul asupra reputatiei organizatiei
impactul asupra moralului angajatilor
teama
In functie de natura afacerii, valoarea bunurilor nu este intotdeauna
evidenta. De aceea, evaluarea amenintarilor poate arata cu mai multa claritate bunurile susceptibil de a fi atacate, stricate sau distruse (vulnerabile, tentante).

24. Identificarea bunurilor si inventarul de securitate – Analiza consecintelor
Analiza consecintelor reprezinta o evaluare a efectelor asupra operatiilor daca un bun este atacat, stricat sau distrus.
Istoria arata ca probabilitatea unei infractiuni sau act terorist, ca si a altor amenintari, este invers proportionala cu dimensiunea consecintelor.
Planificarea continuitatii afacerii/operatiilor se bazeaza pe analiza consecintelor. Prin estimarea probabilitatii si efectelor scoaterii accidentale sau deliberate din uz a unui bun se pot pregati metode alternative pentru continuarea operatiilor si refacerea capabilitatilor initiale.
Analiza consecintelor este o etapa fundamentala in procesul de evaluare al riscului, in functie de rezultatele acesteia putandu-se aloca proritati in alocarea resurselor de securitate pentru protectia bunurilor critice.

25. Identificarea bunurilor si inventarul de securitate – Analiza consecintelor (cont.)
Consecintele pot fi incadrate in una sau mai multe dintre urmatoarele categorii:
economice
financiare
de mediu
de sanatate si siguranta
tehnologice
operationale
de timp
Din punct de vedere calitativ, consecintele se pot incadra in unul dintre
urmatoarele niveluri:
Critic – consecinte ca urmare a atacarii, defectarii sau distrugerii unui bun, care au ca rezultat incetarea totala a operatiilor
Inalt – Impact serios nedorit care poate afecta operarea normala sau incetarea partiala a unor segmente de operare pentru o perioda lunga de timp
Mediu – impact operational moderat, care afecteaza numai partial procesele pentru o perioada scurta de timp
Scazut – impact controlabil asupra operatiilor si fara posibilitatea perturbarii majore a misiunii/functiei

26. Evaluarea amenintarii
Ce mi se poate intampla ? (identif. amenintare – cine sunt dusmanii si ce pot).
Cat de rau poate fi ? (impactul amenintarii).
Cat de des apare ? (frecvanta).
Cat de sigur este raspunsul la primele 3 intrebari ? (nivelul de incredere).
Este subiectiva !
Necesita experienta.
Necesita date si cunostiinte anterioare

27. Evaluarea potentialului unui atac
Necesar pentru a determina amplitudinea contramasurilor

28. SECVENTA DE MANIFESTARE A AMENITARII
Agent
Catalizator
Capacitate
Motivare
Acces
Inhibitori
Amplificatori
Amenintari

29. Factorii care catalizeaza amenintarea
Catalizatori
Schimbari
tehnologice
Evenimente
Castiguri
comerciale
Probleme
de personal

30. Factorii care contribuie la motivatie
Politica
Istorice
Infractiuni
Religioase
Terorism
Castiguri
personale
Avantaje
competitive
Convingeri
Razbunare
Financiare
Cunostiinte
Putere
Curiozitate

31. Elementele constitutive ale capacitatii
Capacitate
Tehnologie
Resurse
Cunostinte
Software
Metode
Carti
Antrenament
Financiare
Echipamente
Facilitati
Personal
Timp

32. Factorii de inhibitie Inhibitori Dificultatea tehnica Teama
Senzitivitatea
Costul
participarii
De a fi prins
Esec
Perceptia
publica
Perceptia
tintei

33. Factorii de amplificare
Amplificatori
Acces la
informatii
Schimbari
tehnologice
Presiuni
atacator
Securitate
precara
Experienta
atacatorului
Nivelul de
cunostiinte
Cadrul
de timp

34. EVALUAREA VULNERABILITATILOR
Easter eggs – – “glume” ale programatorilor.
Trape ascunse – facilitati nepublicate ale programelor.
Verificari ale compilatoarelor.
“puncte de masura” introduse de programatori in depanarea programelor.
Vulnerabilitati hardware.
Vulnerabilitati ale ale configurarii;
Vulnerabilitati ale arhitectuii
Vulnerabilitati ale politicilor si procedurilor- (social engineering).
Vulnerabilitati ale personalului (utilizatori, administratori, intretinere etc.).

35. Reducerea riscurilor Formularea problemei: Rezolvarea ei:
Ce trebuie facut ?
Care sunt costurile ?
Costurile sunt justificate ?
Rezolvarea ei:
Inventarierea masurilor de aparare si reducerile de riscuri asociate;
Evaluarea costuri / fiecare masura de aparare;
Analiza cost – beneficii;

36. Analiza cost - beneficiu

37. Vizibilitatea valorilor de agentii de amenintare
agenti de
amenintare vulnerabilitati valori

38. Vizibilitatea valorilor de agentii de amenintare
Exista un numar mare de valori ale unei organizatii;
Fiecare valoare are multiple vulnerabilitati;
Fiecare agent de amenintare atre acces la mai multe vulnerabilitati;
Agentul de amenintare are mai multe ferestre de vizibilitate asupra valorilor.

39. Masurarea riscului Probabilitate; Bani; Timp;
Metode calcul al riscului:
Calitativa.
Cantitativa.
Analiza cost beneficii.
Recuperarea investitiilor in securitate;

40. TIPURI DE ANALIZE DE RISCURI
Analiza de riscuri calitativa
Analiza inpactului hazardului (HIA – Hazard Impact Analysis) foc, inundatii, furtuni, cutremure);
Analiza amenintarilor;
Analiza chestionarelor (orientata spre perceptii);
Analiza cantitativa
Analiza cost - beneficii.
Recuperarea investitiilor (ROI Return of Investiment).
Managementul continuitatii afacerii (BCP – Business Continuity Planing);
Analiza impactului asupra afacerii (BIA – Bussines Impact Analysis);
Managementul incidentelor majore (DCP – Disaster Recovery Planing);
Analiza pe baza de scenarii;

41. Evaluarea cantitativa a marimii riscurilor
Evaluarea potentialului unui atac;
Fereastra de producere;
Evaluarea numerica al riscurilor:
Risc=(amenintare X vulnerabilitate) X impact
Risc=valoare impact X frecventa anuala;
Tipuri de evaluari cantitative:
Evaluarea riscului asupra unei valori;
Evaluarea riscului datorat unei amenintari;
Return of Investment (ROI) – justificarea investitiilor.

42. Avantajele aprecierii cantitative
Rezultatele sunt bazate in mare masura pe date obiective in evaluarea frecventelor si valorilor;
Efortul este indreptat spre definire si identificare;
Ofera suport pentru analiza cost – beneficii;
Rezultatele sunt usor interpretate;

43. Dezavantaje
Este nevoie de baze de date (valori asociate cu vulnerabilitati, frecventa si prejudicii asociate cu incidente);
Calculul este complex;
Pentru analiza de riscuri privind informatiile in format electronic este necesar suportul unui program de calcul;
Necesita o munca preliminara importanta pentru culegerea de date care initial se poate intinde pe mai multe luni;
Este facuta de specialisti si “amanuntele” nu sunt accesibile personalului;
Este dificil de adaptat rezultatele in diverse scopuri;

44. Analiza ROI
Este o analiza cantitativa care introduce in ecuatie timpul – lucreaza cu rate anuale si permite comparatii cu amortismentele;
Tine cont de faptul ca valoarea unui bun se depreciaza in timp – se amortizeaza.
Compara cu deprecierea anuala:
amortisment= (cost – val. salvata)/ timp de viata

45. Etapele analizei ROI Identificarea valorilor.
Calcului factorului de expunere (EF).
Evaluarea pierderii la o expunere (SLE).
SLE= VAL x EF
Rata anuala de aparitie a incidentului (ARO).
Evaluarea pierderii anuale (ALE);
ALE=SLE x ARO
Costul curent al securitatii /an (CCC).
Calcului ROSI (Return of Security Investiment).
ROSI= ALE - CCC

46. Analiza calitativa
Porneste de la ideea ca oricum se lucreaza cu probabilitati nu cu date certe si oricum nu se poate obtine o precizie mare a prognozei.
Se prefera o apreciare a amenintarii si a impactului si incadrarea subiectiva a acestora in cateva clase (3, 5, 10, 100);
Se lucreaza cu matrici de amenintari, vulnerabilitati si impact.
Metoda este orientata pe analiza fenomenelor;

47. Matricea evaluarii riscurilor calitative – (cantitative)
Probabilitatea
Ameninţării
Impact
Mic
(10)
Mediu
(50)
Mare
(100)
Mare (1,0)
10x1,0 =1
50x1,0 =50
100
100 x 1,0= 100
Medie (0,5)
10x0,5 =5
50x0,5 =25
100x 0,5 = 50
Mică (0,1)
10x0,1 =1 1
50x0,1 =5
100 x 0,1 = 10

48. Avantaje si dezavantaje
Calculul este simplu;
Nu este necesara o exprimare valorica;
Nu este necesara “istoria” – nu trebuie o baza de date cu incidente si prejudicii;
Este usor interpretata de personalul non tehnic;
Dezavantaje:
Este foarte subiectiva – conteaza experienta evaluatorului;
Nu poate constitui baza pt. o analiza cost – beneficii;
Este nevoie de un efort suplimentar pt. exprimare valorica in situatia justificarii unei investitii;

49. Exemplu de analiza de riscuri calitativa

50. Identificarea valorilor
Tip de
valoare
Enumerare bunuri
Personal
Activitati
Informatii
Facilitati
Bunuri

51. Identificarea impactului
Valori critice
Evenimente potentiale nedorite
Nivel impact
Personal
Activitati
Informatii
Facilitati
Bunuri

52. Ratingul amenintarilor
Critic – agentul de amenintare exista si are capacitate si intentie de atac sau exista un istoric al atacurilor similare;
Mare – exista o amenintare credibila cu capacitate si motivatie, dedusa din atacuri similare pe alte tinte asemanatoare;
Mediu – este posibila o amenintare bazata pe dorinta unui adversar care poate avea capacitate si motivatie;
Mic – nu sunt capacitati sau motivatii credibile pentru atac, nu exista un istoric privind atacuri similare;
Foarte scazut – nu exista intentii credibile – nu se iau in calcul.

53. Evidenta amenintarilor
Valori critice
Evenimente potentiale nedorite
Amenintari
Adversari
Nivel
am.
Personal
Activitati
Informatii
Facilitati
Bunuri

54. Matricea de analiza a riscurilor
Evenimente potentiale nedorite
Rating
impact
amen.
vulner.
general
Risc
accept.
Personal
Activitati
Informatii
Facilitati
Bunuri

55. Evaluare vulnerabilitati
Valori critice
Evenimente potentiale nedorite
Vulnerabilitate
exploatabila
Nivel
amenint.
Personal
Activitati
Informatii
Facilitati
Bunuri

56. Identificarea masurilor de sec.
Evenimente potentiale nedorite
Nivel
risc
Vulnerabilitate
Optiuni
masuri
Risc
rem.
Personal
Activitati
Informatii
Facilitati
Bunuri

57. Evaluarea amenintarilor
Identificarea amenintarilor;
Identificarea şi caracterizarea adversarilor;
Evaluarea intentiilor adversarilor;
Evaluarea capacitatii acestora
Caracterizarea şi elementele ameninţării;
Prioritizarea ameninţărilor;
Evaluarea amenintarii pentru fiecare valoare;
Determinarea probabilităţii de apariţie;
Evaluarea potenţialului unui atac;
Determinarea impactului;

58. Evaluarea intentiilor agentilor de amenintare
Adversari
Intentii (motivatie)
Necesitatea
Obiective
Indicatori
Criminali
Angajati nemultumiti
Activisti
Hackeri
Concurenti
Tari straine
Teroristi

59. Evaluare capacitate Capacitate 1 2 3 4 Adversari HUM INT SIG INT
IMI INT
MAS OS
DATA INT 1 2 3 4

60. Istorie Adversari Incidente cunoscute Suspecte Intamplate Succes 1 2 34 5

61. Matricea de amenintari
Intentii
Capacitate
Istorie
Nivel amenintare Da
Critic Nu
Mare
Da sau Nu
Mediu
Mic

62. Evaluarea vulnerabilitatilor
Identificarea vulnerabilitatilor asociate valorilor sau evenimentelor nedorite;
Identificarea masurilor existente si a gradului lor de acoperire;
Estimarea posibilitatilor de exploatare a vulnerabilitatilor de catre agentii de amenintare;
Estimarea posibilitatilor de inducere a unor vulnerabilitati care sa fie exploatate ulterior;

63. Identificarea si evaluarea vulnerabilitatilor
Valoare atacabila printr-o vulnerabilitate
Dificil de exploatat ?
Masuri in adancime ?
Nivel vulnerabilitate Da
Mic Nu
Mediu
Mare
Critic

64. Ratingul vulnerabilitatii
Critic – vulnerabilitatea este extrem de usor de exploatat si nu exista contramasuri;
Mare – sunt contramasuri dar exista multiple vulnerabilitati exploatabile sau contrmasurile pot fi depasite;
Mediu – exista contramasuri dar unele dintre ele pot fi depasite;
Mic – exista contramasuri multiple dificil de depasit
Foarte mic – nu sunt informatii despre depasirea contramasurilor.

68. Analiza cost beneficii

71. Tipuri de riscuri Dupa intervalul de timp de actiune si amploare
Riscuri functionale;
Riscurile functionale (dec. gresite sau inf. incomplete);
Riscurile de securitate (datorate unor agresiuni naturale, erori, actiuni intentionate);
Securitate fizica;
Dezastre;
Control acces;
Efractie;
Furturi;
Documente;
Securitate IT&C – sisteme operationale si de suport
Informatii;
Software;
Echipamente si sisteme;
Comunicatii;
Dupa intervalul de timp de actiune si amploare
Riscuri strategice – strategia de securitate;
Riscuri tactice – politici de securitate;
Riscuri operationale – proceduri operationale;

72. Instrumente automate de evaluare a riscurilor
CRAMM – CCTA Risk Analysis and Management Method;
FIRM – Fundamental Information Risk Management;
SARA – Simple to Apply Risk Analysis;
COBRA –
Bazat pe chestionare;
Modular in jurul unui motor de evaluare a riscului;
Suport pt. ISO 17799
OCTAVE – Operationally Critical Threat, Asset and Vulnerability Evaluation –
Bazat pe workshop-uri;
3 etape: achizitie date, evaluare, recomandare contramasuri;
Suport pt. ISO 17799;
Recunoaste datele scoase din context si le elimina.

73. Organizarea analizei de riscuri
Unde se foloseste:
La justificarea proiectelor noi;
La justificarea cheltuielilor pentru intretinerea securitatii;
Cine o foloseste:
Conducerea executiva a institutiei, pentru fundamentarea bugetului in fata proprietarului;
Structura de securitate pentru fundamentarea masurilor de securitate si a bugetului necesar;
Cand se face:
Periodic;
Cand resursele sunt limitate, nu acopera nevoile si trebuiesc decise prioritatile;
La analiza unui proiect nou;
Cand se fac reduceri bugetare;

74. Faza de pregatire a analizei de riscuri
Cine conduce analiza de riscuri:
Echipa de analiza – formata din specialisti cu experienta:
Din institutie – nu este indicata utilizarea echipelor de import;
Din toate compartimentele implicate – nivel decizie (tehnice, securitate, personal, juridic, contabilitate, relatii etc.);
Conducerea operativa a echipei trebuie facuta de managerul de proiect;
Trebuie asigurata cooperarea conducerii la cel mai inalt nivel;
Cat dureaza:
Trebuie sa se finalizeze in citeva zile – deranjarea activitatii institutiei pe durata mare compromite actiunea (boala lunga moarte sigura);
Trebuie riguros planificata cu obiective si sarcini precise anterior demararii;
Paradox – daca se dispune de timp mai mult nu se rezolva mai mult – se iroseste timpul datorita caracterului subiectiv al estimarilor – genereaza dispute inutile - finalitate;

75. Concluzii (1/2)
Analiza de riscuri este un proces dificil şi laborios în care intervin într-un proces complex: echipamente, soft şi oameni.
Analiza de riscuri este procesul care „leagă” cel mai mult sistemul de securitate de metasistemul pe care îl asistă (asigură supravieţuirea organizaţiei);
Analiza de riscuri trebuie adaptată fiecărei etape de viaţă a oricărui proiect: analiză, proiectare, implementare, mentenanţă, casare;
Analiza de riscuri trebuie să opereze cu mărimi măsurabile dar şi cu mărimi nemăsurabile. Este necesară stabilirea unei metrici de „echivalare” a acestor tipuri de mărimi;
Datele disponibile pentru mărimile măsurabile sunt de multe ori „dubioase” sau aproximative este necesară verificarea acestor date;

76. Concluzii (2/2)
Analiza se bazează pe modele simplificate ale funcţionării organizaţiei (prin intermediul valorilor şi a interdependenţelor dintre acestea) şi a unor modele simplificate de acţiune al agenţilor de ameninţare;
Vulnerabilităţile echipamentelor, ale softului şi cele induse de utilizatori sunt extrem de numeroase şi sunt practic inepuizabile.
Mijloacele automate de evaluare a riscurilor lucrează interactiv cu operatorii umani şi se bazează pe experienţa acestora;
Nici unul dintre programele de evaluare a riscurilor nu sunt deplin satisfăcătoare şi nu pot substitui experienţa „analistului”.