1.24k likes | 3.2k Views
Identificarea riscurilor. Evaluarea riscurilor . Controlul ricurilor. MANAGEMENTUL RISCURILOR. Risc management - definitie.
E N D
Identificarea riscurilor Evaluarea riscurilor Controlul ricurilor MANAGEMENTUL RISCURILOR
Risc management - definitie • RM este procesul care permite managerilor IT sa asigure un echilibru intre costurile operationale si resursele financiare pentru masurile de protectie si atingerea obiectivelor privind protejarea datelor si sistemelor IT care sustin activitatea organizatiei.
Risc management - definitie • De ce organizaţiile implementeazămanagementul riscurilor IT? Minimizarea impactului negativ asupra organizaţiei şi nevoia unei base solide în luarea deciziilor.
Managementul riscului IT • Procesul de management al riscului IT: • Identificarea vulnerabilitatilor • Identificarea amenintarilor • Stabilirea masurilor de limitare a riscurilor SCOPUL managementului riscurilor: reducerea riscurilor la un nivel acceptat.
DEFINITII • Vulnerabilitate: un punct slab în sistemul IT care poate afecta sistemul sau operaţiile acestuia, mai ales când aceast punct slab este exploatat de o persoană ostilă sau afectat urmare a unui eveniment sau conjunctură. Vulnerabilităţile reprezintă orice caracteristici ale sistemului care îl pot expune la ameninţări.
Tipuri de vulnerabilităţi • Vulnerabilităţi hardware şi software • Vulnerabilităţi ale mediului de stocare • Vulnerabilităţi ale mediului de comunicaţii • Vulnerabilităţi umane • Vulnerabilităţi fizice
DEFINIŢII • Ameninţările reprezintă un pericol potenţial la care este expus un sistem constând în: acces neautorizat, alterări sau distrugerea datelor, software-ului, resurselor harware şi/sau de comunicaţie
Managementul riscului IT • Activitati specifice pentru fiecare categorie de risc: • IDENTIFICARE • ANALIZA • EVALUAREA IMPACTULUI • EVALUAREA VULNERABILITATILOR • MONITORIZARE • MASURI DE LIMITARE
Managementul riscului IT • ACTIUNI: • EVITATREA RISCURILOR (NU SE IMPLEMENTEAZA ACTIVITATI GENERATOARE DE RISC) • LIMITATREA RISCURILOR PRIN IMPLEMENTAREA DE CONTROALE PUTERNICE • TRANSFERUL RISCULUI PRIN OUTSOURCING • PREGATIREA MASURILOR DE LIMITARE A RISCURILOR SAU ELIMINARE
Managementul riscului IT • CONSECINTELE RISCURILOR: • Pierderi financiare • Afectarea reputatiei • Afectarea reputatiei tertilor • Pierderea oportunitatilor de afaceri • Reducerea performantei sistemelor IT si a organizatiei • Pericole pentru personal
Managementul riscului IT • Evaluarea riscurilor este primul proces in metodologia de risc management. Organizatiile folosesc evaluarea riscurilor pentru a determina extinderea potentialelor amenintari si riscurile asociare cu sistemele IT. Rezultatele acestui process ajuta la identificarea controalelor necesare pentru reducerea sau eliminarea riscului.
Evaluarea riscului • Riscul este o functie intre probabilitatea de aparitie a unei surse de amenentare datorate unei vulnerabilitati particulare si impactul asupra organizatiei a unui eveniment advers. • Pentru a determina probabilitatea unui eveniment advers, trebuie analizate amenintarile sistemelor IT in conjuctie cu vulnerabilitatile potentiale si controalele implementate pentru sistemele IT.
Pas 1 : CARACTERIZAREA SISTEMULUI Informatiiprivindsistemul: • Hardware • Software • Interfeţe (ex:conectivitatea internăşi externă) • Date şiinformaţii
Pas 1 : CARACTERIZAREA SISTEMULUI 5. Persoane care întreţin şi folosesc sistemul informatic 6. Misiunea sistemului (ex:procesele executate în cadrul sistemului informatic) 7. Sisteme şi date critice (ex:valoarea sistemului sau importanţa pentru organizaţie) 8. Senzitivitatea sistemului şi datelor
Pas 1 : CARACTERIZAREA SISTEMULUI • Informaţii suplimentare privind mediul operaţional al sistemului informatic şi datele acestuia includ: • Cerinţe funcţionale a sistemului informatic • Utilizatorii sistemului (ex:utilizatorii sistemului care oferă suport tehnic sistemului informatic; aplicaţiile utilizatorilor care asigură funcţiile de business)
Pas 1 : CARACTERIZAREA SISTEMULUI 3. Politici de securitate a sistemului (politici organizationale, cerinţe generale, legislative, practici ale domeniului) 4. Arhitectura de securitate a sistemului 5. Topologia reţelei (ex: Diagrama reţelei) 6. Protecţia informaţiei stocate şi disponibilitatea datelor, integritatea şi confidenţialitatea datelor.
Pas 1 : CARACTERIZAREA SISTEMULUI 7. Fluxul informaţiei în sistemul informatic (ex:interfeţele sistemului, fluxul intrărilor şi ieşirilor). 8. Controale tehnice folosite în sistem (ex: produse de securitate implementate în sistem pentru asigurarea identificării şi autentificării, controlul accesului, audit, protecţia informatiei, metode de criptare).
Pas 1 : CARACTERIZAREA SISTEMULUI 9. Controlul managementului în sistemul IT (ex: reguli privind comportamentul utilizatorilor, planificarea securităţii). 10. Controale operaţionale folosite în sistemul informatic (ex: secuirtatea persoanelor, back-up, operaţiuni de refacere a sistemului, mentenenţa sistemului, stocarea off-site, proceduri pentru crearea şi anularea conturilor utilizator, controale ale segregării funcţiilor utilizatorilor cum ar fi accesul utilizatorilor privilegiati vs accesul utilizatorilor standard).
Pas 1 : CARACTERIZAREA SISTEMULUI 11. Securitatea fizică a mediului sistemului IT (ex: facilităţi de securitate, politicile centrului de date). 12. Securitatea mediului implementată pentru mediul sistemului IT (control al umidităţii, apă, curent electric, poluare, temperatură etc).
Pas 2:IDENTIFICAREA AMENINŢĂRILOR • O ameninţare este eventualitatea unei surse particulare de ameninţare de a folosi cu succes o vulnerabilitate. • O vulnerabilitate reprezintă o slăbiciune care poate accidental declanşa un eveniment sau poate fi exploatată intenţionat. • O sursă de ameninţare nu reprezintă un risc atunci când nu există o vulnerabilitate care să poată fi folosită.
Pas 2:IDENTIFICAREA AMENINŢĂRILOR • In determinarea probabilităţii de apariţiei a unei ameninţări trebuie luate în considerare sursele ameninţării şi controalele existente.
Pas 2: Surse de ameninţări • Dezastre naturale: inundaţii, cutremure, tornade, alunecări de teren, avalanşe, furtuni electrice şi alte astfel de evenimente. • Ameninţări umane: Evenimente care sunt facilitate sau cauzate de oameni cum ar fi acte unilaterale (introduceri de date greşite) sau acţiuni deliberate (atacuri asupra reţelelor, acces neautorizat la date confidenţiale).
Pas 2: Surse de ameninţări • Ameninţări ale mediului: căderi ale alimentării cu energie electrică pe termen lung, poluare, scurgeri de lichide.
Pasul 3: Identificarea vulnerabilităţiiVulnerabilitate/Ameninţare
Pas 4: Analiza controalelor • Tipuri de controale Controale preventive blochează încercările să violare a politici de securitate şi includ controale cum ar fi implementarea controlului accesului, criptarea, autentificarea. Controale detective: avertizează asupra violărilor sau încercărilor de violare a politicii de securitate şi includ controale cum ar fi audit trail, metode pentru detectarea intruziunilor etc.
Pas 5: Determinarea probabilităţii Rating pentru probabilitate (Ridicat, Mediu, Scăzut)
Pas 6: Analiza impactului Definirea magnitudinii impactului
Pas 7: Determinarea risculuiMatricea riscului • Determinarea riscului se face prin ponderarea probabilităţii cu impactul. Tabela de mai jos arată cum ratingul riscului poate fi determinat pe baza introducerii probabilităţii si impactului. Tabela de mai jos este de tip 3X3: probabilitatea si impactul sunt stabilite pe 3 niveluri (mare, mediu, scăzut).
Pas 7: Determinarea risculuiMatricea riscului • Probabilitatea stabilită pentru fiecare ameninţare prezintă următoarele nivele: 1.0 pentru Mare, 0.5 pentru Mediu, 0.1 pentru Scăzut. • Valoarea asignată pentru fiecare nivel al impactului este: 100 pentru Mare, 50 pentru Mediu si 10 pentru Scăzut.
Pas 7: Descrierea nivelului risculuiScara riscului si acţiuni necesare
Pas 8: Recomandări privind controlul • Scopul controalelor recomandate este de a reduce nivelul de risc al sistemului IT precum si al datelor la un nivel acceptabil. Următorii factori trebuie luaţi în considerare în recomandarea controalelor şi soluţii alternative pentru minimizarea sau eliminarea riscurilor identificate:
Pas 8: Recomandări privind controlul • Eficacitatea opţiunilor recomandate (ex: compatibilitatea sistemului) • Legislaţie şi reglementări • Politică organizaţională • Impact operaţional • Siguranţă şi credibilitate.
Pas 9: Documentarea rezultatelor • Odată ce evaluarea riscurilor a fost realizată (sursele ameninţărilor şi vulnerabilităţile identificate, riscurile evaluate şi formulate recomandările privind controalele), rezultatele trebuie să fie documentate într-un raport oficial. • Un raport de evaluare a riscurilor este un raport de management care ajută managementul să ia decizii privind politica, procedurile, bugetul si sistemul operaţional şi schimbările de management.