Download presentation
Presentation is loading. Please wait.
Published byHenri Lesage Modified over 6 years ago
1
Managementul securitatii bazat pe analiza de riscuri
Gh. Muresanu:
2
Obiectivele prezentarii
O prezentare a locului si rolului analizei de riscuri in cadrul procesului de management al securitatii unei organizatii. Justificarea efortului de a face o analiza de riscuri cat mai apropiata de realitate. Prezentarea principalelor modele de analiza de riscuri. O scurta comparatie intre modelele de analiza de riscuri.
3
Miturile securitatii (informatiei) “principiiple” practice ale managementului securitatii
Cumpara soft, echipamente - tehnologiile de securitate rezolva toate problemele (sperie suficient ordonatorul de credite si va aproba bugetul – momentele de criza). Este nevoie de o strategie de achizitie corelata cu resursele si necesitatile organizatiei Exista o politica de securitate, planuri, proceduri operationale de securitate, ghiduri si norme, ai rezolvat problema. Trebuie sa fie realiste, implementate corect si urmarit pemanent corelarea cu evenimentele din mediu de lucru - trebuie actualizate. Publica politica, standardele, ghidurile si normele, lumea le citeste, le va intelege si le va aplica. Trebuie explicate si controlata permanent aplicarea. Urmeaza recomandarile vanzatorilor – este cea mai buna cale de a face o organizatie sigura (ei stiu, cumpara tot, apara tot); Achizitiile trebuie corelate cu necesitatile reale ale organizatiei.
4
Costurile masurilor de securitate
10 20 30 40 50 60 70 80 90 100 Costuri (%) În majoritatea cazurilor 20% din costuri se reflectă în 80% beneficii în ceea ce priveşte minimizarea riscurilor şi asigurarea securităţii. O securitate maximă poate fi asigurată cu costuri foarte mari. Beneficii (atenuarea riscului) %
5
Echilibrul costuri - securitate
100 Risc prejudicii % Investitii securitate % 90 80 70 60 50 40 Optim 30 20 Aria aceptabila 10 10 20 30 40 50 60 70 80 90 100 Beneficii securitate –( nivel protectie)
6
Echilibrul costuri - securitate
Cele doua curbe sunt variabile in timp functie de conditiile de mediu – au valoare pt. o analiza calitativa. Curba care reprezinta riscurile are relevanta cantitativa doar pentru un anumit tip de risc. Investitiile in securitate cuprind: Achizitiile de echipamente si soft. Consultanta si mentenanta. Cheltuieli de intretinere (licente, actualizari, garantii etc.) Costuri cu personalul de deservire. Costuri prin restrictii in activitate care penalizeaza profitul. Aria de decizii acceptabile depinde de resursele disponibile pentru securitate. Deplasarea spre dreapta fata de optim - investitie in viitor; Deplasarea spre stanga – ramanere in urma.
7
Necesitatea analizei de riscuri
Este relativ usor sa evaluezi pierderile in urma unui incident dar dificil sa justifici investitile inainte de producerea incidentului; Principalele probleme pe care le are responsabilul de securitate: Cum pot justifica bugetul pentru securitate in fata conducerii? Care sunt cele mai bune masuri de securitate care pot fi obtinute cu resursele (fondurile) disponibile ? Care este prioritatea masurilor de securitate? Solutia pentru incadrarea in aria de acceptanta este analiza de riscuri;
8
Definitii ale termenilor uzuali
Managementul riscurilor – procesul permanent prin care se mentin riscurile unei organizatii intr-o plaja acceptabila corelat cu obiectivele si resursele organizatiei. Analiza de riscuri – procedeul de identificare si evaluare a factorilor care pot produce prejudicii activitatii si a identifica masurile de reducere a lor. Evaluarea riscurilor – calculul riscurilor . Reducerea riscurilor – procesul de asociere pentru fiecare bun a masurilor adecvate pentru a mentine impactul in limitele acceptabile. Evaluarea vulnerabilitatilor -
9
“Piata” analizei de riscuri
Este un proces laborios cu un grad relativ ridicat de subiectivism atunci cand se face “manual”. Exista o mare varietate de moduri de abordare a analizei de riscuri. Exista un numar si mai mare de “tools-uri” (programe) pentru analiza de riscuri care au la baza algoritmi complexi de calcul (simulare Monte Carlo, tehnici de modelare Bayesiana etc.) La nivel international (in grupuri de lucru) se incearca integrarea si uniformizarea lor pentru a putea face analize comparative. Metodele “manuale” au avantajul ca ajuta sa se inteleaga mecanismele interne dar necesita foarte multa munca; Metodele “automate” sunt mult mai elaborate dar ascund legaturile intime ale fenomenelor.
10
Mecanismul de management al riscurilor
11
Elementele pentru controlul riscurilor
Controlul capabilitatilor si motivatiei unui adversar / atacator este deosebit de dificil, daca nu imposibil. Bunurile (valorile) sunt fixate de misiunile organizatiei. Bunuri Risc Amenintari Vulnerabi-litati Reducerea vulnerabilitatilor prin masuri de securitate conduce la diminuarea riscului.
12
Tratarea riscurilor Limitarea riscurilor – in momentul producerii impactului se pun in functie masuri prin care se opreste propagarea efectelor impactului; Planificarea riscurilor – planificarea prioritatilor de securitate functie contextul de mediu si monitorizarea mediului; Transferul riscurilor – transferul unor valori, inchirierea unor valori sau servicii, asigurare;
13
Tratarea riscurilor Asumarea riscurilor – nivelul riscului este suficient de mic pentru a suporta prejudiciile atunci cand se produce; Diminuarea riscurilor – riscurile inacceptabile sunt reduse prin contramasuri pana la un nivel acceptabil; Eliminarea surselor generatoare de amenintare (valorilor) – daca prin costurile de securitate se depaseste valoarea aparata se renunta la ea ;
14
Etapele analizei de riscuri
15
Etapele analizei de riscuri
Identificarea si evaluarea valorilor. Identificarea si evaluarea amenintarilor. Identificarea vulnerabilitatilor si posibilitatilor de exploatare de catre amenintari. Identificarea si evaluarea riscurilor. Prioritizarea masurilor de securitate. Parcurgerea acestor etape se face iterativ pana la obtinerea unei solutii acceptabile. Introducerea de elemente noi in calcul (valori, amenintari, masuri de securitate) se face in ordinea relevantei lor pana la incadrarea in resursele alocate sau riscul acceptat. Exista mai multe puncte de vedere in modul in care se considera beneficiile (atenuari ale riscurilor - procente, evaluari ale valorilor scutite de prejudicii –bani, rata cu care se recupereaza investitiile- bani/ani – timp in care se recupereaza –timp,),
16
Identificarea bunurilor si a impactului
Toate programele de securitate, indiferent de complexitate sau industrie, sunt proiectate sa protejeze bunurile, in general orice reprezinta o valoare pentru organizatie. Valorile constau, in general, din oameni, proprietati si informatii, reputatie (imagine), relatii. Bunurile se gasesc in gama de la cele mai putin importante la cele critice pentru realizarea misiunii organizatiei. Misiunea reprezinta aspectul cel mai important pentru a fi protejata prin programul de securitate. Bunurile critice sunt acelea care sunt necesare organizatiei pentru executarea misiunii si functiilor esentiale. Determinarea corecta a ceea ce trebuie protejat reprezinta primul pas in managementul riscului.
17
Identificarea bunurilor si inventarul de securitate – Clasificarea bunurilor
Oamenii – angajati si clienti, impreuna cu alte persoane invitate ca vizitatori si contractori. Proprietatea – bunurile proprietatea unei organizatii constau din bunuri tangibile si intangibile, carora li se poate stabili o valoare, de preferinta sub forma financiara. Bunurile tangibile sunt usor de identificat, in timp ce bunurile intangibile sunt mai greu de identificat si de a li se stabili o valoare. Bunurile intangibile includ reputatia organizatiei, informatiile proprietate, experienta etc. Informatia – bunurile sub forma de informatii includ bazele de date, codurile software, inregistrarile financiare ale companiei, inregistrari vitale, formule, metode etc.
18
Identificarea bunurilor si inventarul de securitate – Clasificarea bunurilor (cont.)
Valorile critice Identificarea valorilor critice ale unei organizatii reprezinta primul pas in managementul riscului. Bunuri critice pentru natiunile industrializate: energia electrica productia de gaze naturale si petrol telecomunicatiile bancile si finantele sistemele de aprovizionare cu apa transporturile functionarea guvernului serviciile de urgenta
19
Identificarea bunurilor si inventarul de securitate – Clasificarea bunurilor (cont.)
Bunurile critice pentru desfasurarea afacerilor sunt acele bunuri necesare realizarii misiunii primare a afacerii. Acestea sunt considerate critice in baza a doua criterii fundamentale: valoarea, definita ca atare de organizatie consecintele pe termen scurt si lung asupra operatiilor, provocate prin pierderea, defectarea sau distrugerea bunului
20
Identificarea bunurilor si inventarul de securitate – Clasificarea bunurilor (cont)
Bunurile au atat valoare tangibila cat si intangibila care poate fi evaluata calitativ sau cantitativ tinand cont de urmatoarele elemente: Criticalitatea bunului pentru operatii – aceasta este functie de impactul operational asupra organizatiei prin pierderea, defectarea sau distrugerea bunului. Valoarea de inlocuire – pe langa valoarea propriuzisa a bunului, trebuie avute in vedere costurile generate de timpul de inlocuire (timpul de nefunctioare). Pentru anumite bunuri critice este necesar sa existe o rezerva complet operationala (efectul de avalansa). Valoarea relativa a unui bun – pierderea unui bun poate afecta si alte bunuri si trebuie considerata avand in vedere o analiza generala a criticalitatii bunului.
21
Identificarea bunurilor si inventarul de securitate – Identificarea bunurilor critice
Informatiile privind bunurile pot fi obtinute din surse diverse. Informatiile cele mai pertinente despre bunurile critice se obtin de la persoanele care administreaza operatiile zilnice ale organizatiei, acestea fiind: “proprietarii” bunurilor (orice bun trebuie sa aiba un proprietar/responsabil + contabilitate) managerii proceselor operationale. Informatiile se obtin prin desfasurarea de interviuri cuprinzatoare care au ca scop intelegerea proceselor si procedurilor dintr-o organizatie si identificarea bunurilor care sustin operatiile.
22
Identificarea bunurilor si inventarul de securitate – Alegerea tintei
Din punctul de vedere al adversarului, bunurile sunt numite tinte. Tintele pot avea valori diferite pentru adversar fata de proprietar. In consecinta valoarea bunului are doua niveluri: nivel critic din punct de vedere operational nivel al valorii in viziunea atacatorului. In consecinta valoarea unei tinte trebuie calculata avand in vedere ambele aspecte, bazandu-ne pe cele mai bune informatii disponibile. Pentru adversari/atacatori diferiti, valoarea bunului poate sa difere in functie de scopurile si perceptia acestora.
23
Identificarea bunurilor si inventarul de securitate – Alegerea tintei (cont.)
In functie de tipul activitatilor pentru care se face evaluarea riscului, la evaluarea valorii unei tinte este necesar sa se aiba in vedere urmatorii factori: numarul de pierderi de vieti umane si de raniti posibilitatea ca bunul sa fie atacat, stricat sau distrus modificarea situatiei politice intreruperea operatiilor atentia massmedia impactul asupra reputatiei organizatiei impactul asupra moralului angajatilor teama In functie de natura afacerii, valoarea bunurilor nu este intotdeauna evidenta. De aceea, evaluarea amenintarilor poate arata cu mai multa claritate bunurile susceptibil de a fi atacate, stricate sau distruse (vulnerabile, tentante).
24
Identificarea bunurilor si inventarul de securitate – Analiza consecintelor
Analiza consecintelor reprezinta o evaluare a efectelor asupra operatiilor daca un bun este atacat, stricat sau distrus. Istoria arata ca probabilitatea unei infractiuni sau act terorist, ca si a altor amenintari, este invers proportionala cu dimensiunea consecintelor. Planificarea continuitatii afacerii/operatiilor se bazeaza pe analiza consecintelor. Prin estimarea probabilitatii si efectelor scoaterii accidentale sau deliberate din uz a unui bun se pot pregati metode alternative pentru continuarea operatiilor si refacerea capabilitatilor initiale. Analiza consecintelor este o etapa fundamentala in procesul de evaluare al riscului, in functie de rezultatele acesteia putandu-se aloca proritati in alocarea resurselor de securitate pentru protectia bunurilor critice.
25
Identificarea bunurilor si inventarul de securitate – Analiza consecintelor (cont.)
Consecintele pot fi incadrate in una sau mai multe dintre urmatoarele categorii: economice financiare de mediu de sanatate si siguranta tehnologice operationale de timp Din punct de vedere calitativ, consecintele se pot incadra in unul dintre urmatoarele niveluri: Critic – consecinte ca urmare a atacarii, defectarii sau distrugerii unui bun, care au ca rezultat incetarea totala a operatiilor Inalt – Impact serios nedorit care poate afecta operarea normala sau incetarea partiala a unor segmente de operare pentru o perioda lunga de timp Mediu – impact operational moderat, care afecteaza numai partial procesele pentru o perioada scurta de timp Scazut – impact controlabil asupra operatiilor si fara posibilitatea perturbarii majore a misiunii/functiei
26
Evaluarea amenintarii
Ce mi se poate intampla ? (identif. amenintare – cine sunt dusmanii si ce pot). Cat de rau poate fi ? (impactul amenintarii). Cat de des apare ? (frecvanta). Cat de sigur este raspunsul la primele 3 intrebari ? (nivelul de incredere). Este subiectiva ! Necesita experienta. Necesita date si cunostiinte anterioare
27
Evaluarea potentialului unui atac
Necesar pentru a determina amplitudinea contramasurilor
28
SECVENTA DE MANIFESTARE A AMENITARII
Agent Catalizator Capacitate Motivare Acces Inhibitori Amplificatori Amenintari
29
Factorii care catalizeaza amenintarea
Catalizatori Schimbari tehnologice Evenimente Castiguri comerciale Probleme de personal
30
Factorii care contribuie la motivatie
Politica Istorice Infractiuni Religioase Terorism Castiguri personale Avantaje competitive Convingeri Razbunare Financiare Cunostiinte Putere Curiozitate
31
Elementele constitutive ale capacitatii
Capacitate Tehnologie Resurse Cunostinte Software Metode Carti Antrenament Financiare Echipamente Facilitati Personal Timp
32
Factorii de inhibitie Inhibitori Dificultatea tehnica Teama
Senzitivitatea Costul participarii De a fi prins Esec Perceptia publica Perceptia tintei
33
Factorii de amplificare
Amplificatori Acces la informatii Schimbari tehnologice Presiuni atacator Securitate precara Experienta atacatorului Nivelul de cunostiinte Cadrul de timp
34
EVALUAREA VULNERABILITATILOR
Easter eggs – – “glume” ale programatorilor. Trape ascunse – facilitati nepublicate ale programelor. Verificari ale compilatoarelor. “puncte de masura” introduse de programatori in depanarea programelor. Vulnerabilitati hardware. Vulnerabilitati ale ale configurarii; Vulnerabilitati ale arhitectuii Vulnerabilitati ale politicilor si procedurilor- (social engineering). Vulnerabilitati ale personalului (utilizatori, administratori, intretinere etc.).
35
Reducerea riscurilor Formularea problemei: Rezolvarea ei:
Ce trebuie facut ? Care sunt costurile ? Costurile sunt justificate ? Rezolvarea ei: Inventarierea masurilor de aparare si reducerile de riscuri asociate; Evaluarea costuri / fiecare masura de aparare; Analiza cost – beneficii;
36
Analiza cost - beneficiu
37
Vizibilitatea valorilor de agentii de amenintare
agenti de amenintare vulnerabilitati valori
38
Vizibilitatea valorilor de agentii de amenintare
Exista un numar mare de valori ale unei organizatii; Fiecare valoare are multiple vulnerabilitati; Fiecare agent de amenintare atre acces la mai multe vulnerabilitati; Agentul de amenintare are mai multe ferestre de vizibilitate asupra valorilor.
39
Masurarea riscului Probabilitate; Bani; Timp;
Metode calcul al riscului: Calitativa. Cantitativa. Analiza cost beneficii. Recuperarea investitiilor in securitate;
40
TIPURI DE ANALIZE DE RISCURI
Analiza de riscuri calitativa Analiza inpactului hazardului (HIA – Hazard Impact Analysis) foc, inundatii, furtuni, cutremure); Analiza amenintarilor; Analiza chestionarelor (orientata spre perceptii); Analiza cantitativa Analiza cost - beneficii. Recuperarea investitiilor (ROI Return of Investiment). Managementul continuitatii afacerii (BCP – Business Continuity Planing); Analiza impactului asupra afacerii (BIA – Bussines Impact Analysis); Managementul incidentelor majore (DCP – Disaster Recovery Planing); Analiza pe baza de scenarii;
41
Evaluarea cantitativa a marimii riscurilor
Evaluarea potentialului unui atac; Fereastra de producere; Evaluarea numerica al riscurilor: Risc=(amenintare X vulnerabilitate) X impact Risc=valoare impact X frecventa anuala; Tipuri de evaluari cantitative: Evaluarea riscului asupra unei valori; Evaluarea riscului datorat unei amenintari; Return of Investment (ROI) – justificarea investitiilor.
42
Avantajele aprecierii cantitative
Rezultatele sunt bazate in mare masura pe date obiective in evaluarea frecventelor si valorilor; Efortul este indreptat spre definire si identificare; Ofera suport pentru analiza cost – beneficii; Rezultatele sunt usor interpretate;
43
Dezavantaje Este nevoie de baze de date (valori asociate cu vulnerabilitati, frecventa si prejudicii asociate cu incidente); Calculul este complex; Pentru analiza de riscuri privind informatiile in format electronic este necesar suportul unui program de calcul; Necesita o munca preliminara importanta pentru culegerea de date care initial se poate intinde pe mai multe luni; Este facuta de specialisti si “amanuntele” nu sunt accesibile personalului; Este dificil de adaptat rezultatele in diverse scopuri;
44
Analiza ROI Este o analiza cantitativa care introduce in ecuatie timpul – lucreaza cu rate anuale si permite comparatii cu amortismentele; Tine cont de faptul ca valoarea unui bun se depreciaza in timp – se amortizeaza. Compara cu deprecierea anuala: amortisment= (cost – val. salvata)/ timp de viata
45
Etapele analizei ROI Identificarea valorilor.
Calcului factorului de expunere (EF). Evaluarea pierderii la o expunere (SLE). SLE= VAL x EF Rata anuala de aparitie a incidentului (ARO). Evaluarea pierderii anuale (ALE); ALE=SLE x ARO Costul curent al securitatii /an (CCC). Calcului ROSI (Return of Security Investiment). ROSI= ALE - CCC
46
Analiza calitativa Porneste de la ideea ca oricum se lucreaza cu probabilitati nu cu date certe si oricum nu se poate obtine o precizie mare a prognozei. Se prefera o apreciare a amenintarii si a impactului si incadrarea subiectiva a acestora in cateva clase (3, 5, 10, 100); Se lucreaza cu matrici de amenintari, vulnerabilitati si impact. Metoda este orientata pe analiza fenomenelor;
47
Matricea evaluarii riscurilor calitative – (cantitative)
Probabilitatea Ameninţării Impact Mic (10) Mediu (50) Mare (100) Mare (1,0) 10x1,0 =1 50x1,0 =50 100 100 x 1,0= 100 Medie (0,5) 10x0,5 =5 50x0,5 =25 100x 0,5 = 50 Mică (0,1) 10x0,1 =1 1 50x0,1 =5 100 x 0,1 = 10
48
Avantaje si dezavantaje
Calculul este simplu; Nu este necesara o exprimare valorica; Nu este necesara “istoria” – nu trebuie o baza de date cu incidente si prejudicii; Este usor interpretata de personalul non tehnic; Dezavantaje: Este foarte subiectiva – conteaza experienta evaluatorului; Nu poate constitui baza pt. o analiza cost – beneficii; Este nevoie de un efort suplimentar pt. exprimare valorica in situatia justificarii unei investitii;
49
Exemplu de analiza de riscuri calitativa
50
Identificarea valorilor
Tip de valoare Enumerare bunuri Personal Activitati Informatii Facilitati Bunuri
51
Identificarea impactului
Valori critice Evenimente potentiale nedorite Nivel impact Personal Activitati Informatii Facilitati Bunuri
52
Ratingul amenintarilor
Critic – agentul de amenintare exista si are capacitate si intentie de atac sau exista un istoric al atacurilor similare; Mare – exista o amenintare credibila cu capacitate si motivatie, dedusa din atacuri similare pe alte tinte asemanatoare; Mediu – este posibila o amenintare bazata pe dorinta unui adversar care poate avea capacitate si motivatie; Mic – nu sunt capacitati sau motivatii credibile pentru atac, nu exista un istoric privind atacuri similare; Foarte scazut – nu exista intentii credibile – nu se iau in calcul.
53
Evidenta amenintarilor
Valori critice Evenimente potentiale nedorite Amenintari Adversari Nivel am. Personal Activitati Informatii Facilitati Bunuri
54
Matricea de analiza a riscurilor
Evenimente potentiale nedorite Rating impact amen. vulner. general Risc accept. Personal Activitati Informatii Facilitati Bunuri
55
Evaluare vulnerabilitati
Valori critice Evenimente potentiale nedorite Vulnerabilitate exploatabila Nivel amenint. Personal Activitati Informatii Facilitati Bunuri
56
Identificarea masurilor de sec.
Evenimente potentiale nedorite Nivel risc Vulnerabilitate Optiuni masuri Risc rem. Personal Activitati Informatii Facilitati Bunuri
57
Evaluarea amenintarilor
Identificarea amenintarilor; Identificarea şi caracterizarea adversarilor; Evaluarea intentiilor adversarilor; Evaluarea capacitatii acestora Caracterizarea şi elementele ameninţării; Prioritizarea ameninţărilor; Evaluarea amenintarii pentru fiecare valoare; Determinarea probabilităţii de apariţie; Evaluarea potenţialului unui atac; Determinarea impactului;
58
Evaluarea intentiilor agentilor de amenintare
Adversari Intentii (motivatie) Necesitatea Obiective Indicatori Criminali Angajati nemultumiti Activisti Hackeri Concurenti Tari straine Teroristi
59
Evaluare capacitate Capacitate 1 2 3 4 Adversari HUM INT SIG INT
IMI INT MAS OS DATA INT 1 2 3 4
60
Istorie Adversari Incidente cunoscute Suspecte Intamplate Succes 1 2 3
4 5
61
Matricea de amenintari
Intentii Capacitate Istorie Nivel amenintare Da Critic Nu Mare Da sau Nu Mediu Mic
62
Evaluarea vulnerabilitatilor
Identificarea vulnerabilitatilor asociate valorilor sau evenimentelor nedorite; Identificarea masurilor existente si a gradului lor de acoperire; Estimarea posibilitatilor de exploatare a vulnerabilitatilor de catre agentii de amenintare; Estimarea posibilitatilor de inducere a unor vulnerabilitati care sa fie exploatate ulterior;
63
Identificarea si evaluarea vulnerabilitatilor
Valoare atacabila printr-o vulnerabilitate Dificil de exploatat ? Masuri in adancime ? Nivel vulnerabilitate Da Mic Nu Mediu Mare Critic
64
Ratingul vulnerabilitatii
Critic – vulnerabilitatea este extrem de usor de exploatat si nu exista contramasuri; Mare – sunt contramasuri dar exista multiple vulnerabilitati exploatabile sau contrmasurile pot fi depasite; Mediu – exista contramasuri dar unele dintre ele pot fi depasite; Mic – exista contramasuri multiple dificil de depasit Foarte mic – nu sunt informatii despre depasirea contramasurilor.
68
Analiza cost beneficii
71
Tipuri de riscuri Dupa intervalul de timp de actiune si amploare
Riscuri functionale; Riscurile functionale (dec. gresite sau inf. incomplete); Riscurile de securitate (datorate unor agresiuni naturale, erori, actiuni intentionate); Securitate fizica; Dezastre; Control acces; Efractie; Furturi; Documente; Securitate IT&C – sisteme operationale si de suport Informatii; Software; Echipamente si sisteme; Comunicatii; Dupa intervalul de timp de actiune si amploare Riscuri strategice – strategia de securitate; Riscuri tactice – politici de securitate; Riscuri operationale – proceduri operationale;
72
Instrumente automate de evaluare a riscurilor
CRAMM – CCTA Risk Analysis and Management Method; FIRM – Fundamental Information Risk Management; SARA – Simple to Apply Risk Analysis; COBRA – Bazat pe chestionare; Modular in jurul unui motor de evaluare a riscului; Suport pt. ISO 17799 OCTAVE – Operationally Critical Threat, Asset and Vulnerability Evaluation – Bazat pe workshop-uri; 3 etape: achizitie date, evaluare, recomandare contramasuri; Suport pt. ISO 17799; Recunoaste datele scoase din context si le elimina.
73
Organizarea analizei de riscuri
Unde se foloseste: La justificarea proiectelor noi; La justificarea cheltuielilor pentru intretinerea securitatii; Cine o foloseste: Conducerea executiva a institutiei, pentru fundamentarea bugetului in fata proprietarului; Structura de securitate pentru fundamentarea masurilor de securitate si a bugetului necesar; Cand se face: Periodic; Cand resursele sunt limitate, nu acopera nevoile si trebuiesc decise prioritatile; La analiza unui proiect nou; Cand se fac reduceri bugetare;
74
Faza de pregatire a analizei de riscuri
Cine conduce analiza de riscuri: Echipa de analiza – formata din specialisti cu experienta: Din institutie – nu este indicata utilizarea echipelor de import; Din toate compartimentele implicate – nivel decizie (tehnice, securitate, personal, juridic, contabilitate, relatii etc.); Conducerea operativa a echipei trebuie facuta de managerul de proiect; Trebuie asigurata cooperarea conducerii la cel mai inalt nivel; Cat dureaza: Trebuie sa se finalizeze in citeva zile – deranjarea activitatii institutiei pe durata mare compromite actiunea (boala lunga moarte sigura); Trebuie riguros planificata cu obiective si sarcini precise anterior demararii; Paradox – daca se dispune de timp mai mult nu se rezolva mai mult – se iroseste timpul datorita caracterului subiectiv al estimarilor – genereaza dispute inutile - finalitate;
75
Concluzii (1/2) Analiza de riscuri este un proces dificil şi laborios în care intervin într-un proces complex: echipamente, soft şi oameni. Analiza de riscuri este procesul care „leagă” cel mai mult sistemul de securitate de metasistemul pe care îl asistă (asigură supravieţuirea organizaţiei); Analiza de riscuri trebuie adaptată fiecărei etape de viaţă a oricărui proiect: analiză, proiectare, implementare, mentenanţă, casare; Analiza de riscuri trebuie să opereze cu mărimi măsurabile dar şi cu mărimi nemăsurabile. Este necesară stabilirea unei metrici de „echivalare” a acestor tipuri de mărimi; Datele disponibile pentru mărimile măsurabile sunt de multe ori „dubioase” sau aproximative este necesară verificarea acestor date;
76
Concluzii (2/2) Analiza se bazează pe modele simplificate ale funcţionării organizaţiei (prin intermediul valorilor şi a interdependenţelor dintre acestea) şi a unor modele simplificate de acţiune al agenţilor de ameninţare; Vulnerabilităţile echipamentelor, ale softului şi cele induse de utilizatori sunt extrem de numeroase şi sunt practic inepuizabile. Mijloacele automate de evaluare a riscurilor lucrează interactiv cu operatorii umani şi se bazează pe experienţa acestora; Nici unul dintre programele de evaluare a riscurilor nu sunt deplin satisfăcătoare şi nu pot substitui experienţa „analistului”.
Similar presentations
© 2025 SlidePlayer.com Inc.
All rights reserved.