Академический Документы
Профессиональный Документы
Культура Документы
Securitate IT i managementul
riscurilor IT
Student:
Ivan Elena Mdlina
Bucureti 2015
Introducere
If you know the enemy and know yourself, you need not fear the result of a hundred battles.
If you know yourself but not the enemy, for every victory gained you will suffer a defeat. If
you know neither the enemy nor yourself, you will succumb in every battle.
(Sun Tzu The Art of War)
Securitatea informaional este asigurat atunci cnd informaiile sunt accesibile
exclusiv unui grup autorizat de utilizatori (confidenialitate), este generat, modificat sau
adugat ntr-o manier controlat, consistent i detectabil (integritate i autenticitate) i
este disponibil utilizrii ntr-o perioad de timp (disponibilitate). Este foarte important s
facem diferena ntre securitatea datelor, care se refer la protejarea datelor mpotriva
pierderii datorate unor erori tehnice sau evenimente fizice, i protecia datelor, care se refer
la protejarea datelor mpotriva folosirii, modificrii sau tergerii de ctre persoane
neautorizate.
Principiul fundamental al securitii informaiilor este de a sprijini activitatea unei
organizaii. Toate organizaiile/companiile sunt expuse riscurilor privind incertitudinea, unele
dintre ele avnd efecte negative asupra activitii acesteia. Pentru a proteja compania de
aceste efecte negative, persoanele nsrcinate cu securitatea IT trebuie s fie capabile s ajute
managementul s neleag i s evalueze aceste incertitudini. Managementul incertitudinilor
nu reprezint o sarcin uoar deoarece resursele sunt limitate iar decorul ameninrilor i al
vulnerabilitilor este n continu schimbare. Aadar, persoanele care se ocup cu securitatea
IT trebuie s aib la dispoziie un set de unelte i tehnici care s i ajute s transmit
informaiile privind un potenial impact al anumitor ameninri legate de domeniul IT, ctre
manageri i ctre departamentul de IT. Acest set de unelte i tehnici trebui s fie consistent,
repetabil, s aib un cost rezonabil i s ajute la reducerea riscurilor.
Pe msur ce organizaiile se sprijin din ce n ce mai mult pe tehnologie, ele devin
foarte vulnerabile n faa riscurilor legate de IT. Astfel, apare ca fiind vital o analiz corect
a riscurilor pentru a putea adopta cele mai bune msuri de reducere a acestora. elul principal
al unui proces de management al riscurilor ar trebui s fie protejarea organizaiei i a
capacitii acesteia de a-i desfura activitatea n cele mai bune condiii, nu doar protejarea
activelor IT. Aadar, procesul de gestionare al riscurilor nu trebuie tratat ca un proces tehnic
desfurat de experii n IT i ca o funcie esenial de management a organizaiei.
1 Mc Neil, A.J, Frey, R., Quantitative Risk Management Concept, Tehniques and
Tools, Princeton University Press, U.K., 2015, pp. 34-37
2 Sistem development life cycle (SDCL) reprezint un model conceptual utilizat
n managementul de proiecte care descrie etapele prin care trece un sistem al
informaiei. A se vedea Anexa 1.
Etapa 1 - Iniierea
Etapa 3 - Implementarea
Setrile sistemului de
securitate sunt configurate,
validate, testate i verificate
Sistemul devine functional.
De obicei, sistemul este
modificat pe parcursul
utilizrii acestuia prin
operarea asupra elementelor
hardware i software i pe
baza schimbrilor n procesele
organizaionale, a politicilor i
a procedurilor
Aceast etap poate include
eliminarea de informaii, de
elemente hardware i/sau
software. Operaiile pot
include mutarea, arhivarea,
distrugerea sau actualizarea
elementelor deja menionate.
Etapa 5 - Eliminarea
Activiti aferente
managementului de risc
Riscurile identificate sunt
utilizate pentru a sprijini
dezvoltarea cerinelor
sistemului, inclusiv a
cerinelor privind securitatea
Riscurile identificate pot fi
utilizate pentru analiza de
securitate a sistemului IT, care
va conduce la definirea
arhitecturii i a designului
sistemului
Deciziile privind riscurile
identificate trebuie adoptate
nainte de operarea sistemului
Activitile de management al
riscului sunt reactualizate
periodic sau oricnd apar
schimbri majore asupra
sistemului IT (ex. noi interfee
ale sistemului)
Activitile aferente
managementului de risc sunt
realizate pentru componente
ale sistemului care urmeaz a
fi eliminate sau nlocuite
pentru a ne asigura c
elementele de hardware i de
software sunt actualizate, c
datele reziduale sunt verificate
i c aceste procese se
desfoar ntr-un mediu sigur
i ntr-o manier sistematic
Sursa: Stoneburner, G., Goguen, A., Risk Management Guide for Information
Tehnology System, National Institute of Standards and Technology, U.S.A., 2002, pp. 1213
Sursa: Risk Management Guide for Information Tehnology Systems, NIST, iulie 2002, pp.
15-16 , disponibil la http://csrc.nist.gov/publications/nistpubs/800-30/sp800-30.pdf
Hardware
Software
Interfeele sistemului (ex. Informaii legate de conectivitatea intern i extern)
Informaii i date
Persoane autorizate s utilizeze sistemul IT
Procesele rulate de sistem
Clasificarea i managementul datelor
Importana sistemului IT pentru organizaie
Senzitivitatea datelor
Alte detalii tehnice, etc.
Informaii suplimentare referitoare la mediul operaional al sistemului informatic i al
datelor acestuia, includ fr a fi limitate la acestea, urmtoarele:
Trebuie s menionm c exist anumite metode prin intermediul crora pot fi adunate
aceste informaii i anume:
-
Motivaie
-Provocare
-Ego
-Rebeliune
Computer criminal
- Distrugerea informaiilor
- Obinerea ilegal a unor
informaii
- Ctiguri bneti
- Modificarea neautorizat a
datelor
- antaj
- Distrugere
- Exploatare
- Rzbunare
Terorist
4 A se vedea Anexa 3
Aciuni de ameninare
- Hacking
- Social engineering
- Spargerea sistemului
- Acces neautorizat
- Aciuni frauduloase
(intercepie)
- Delicte cibernetice
- Spoofing
- Terorism
- Rzboi informatic
- Atac asupra sistemului
informaional (denial of
service)
Spionaj industrial
(companii, guverne strine,
alte interese
guvernamentale)
- Avantaj competitiv
- Spionaj economic
- Curiozitate
- Ego
- Ctiguri bneti
- Erori i omisiuni
neintenionate
- Penetrarea sistemului
- Falsificarea sistemului
- Exploatare economic
- Furt informaional
- Penetrarea sistemului
- Acces neautorizat n sistem
(acces la informaii
clasificate, brevete i/sau
informaii tehnice)
- antaj
- Atac al unui angajat
- Obinerea unor informaii
brevetate
- Fraud i furt
- Intercepie
- Vnzarea unor informaii
personale
- Coduri ostile
- Sabotajul sistemului
- Acces neautorizat n sistem
Sursa: Egon, F., Corporate Information Security Governance in Swiss Private Banking,
2004, pp. 45-47, disponibil la:
http://www.isaca.ch/files/DO7_Diplomarbeiten/Diplom_CorporateInfSecGovernance_E.pdf
Liste care cuprind vulnerabiliti, cum ar fi baza de date NIST I-CAT (disponibil la:
http://icat.nist.gov)
Consultani n securitate
Consultani n vnzri
Software pentru analiza securitii.
Metodele care implic testarea sistemului pot fi folosite pentru a identifica
vulnerabilitile acestuia, n funcie de importana sistemului IT i de resursele disponibile
(ex. fondurile alocate, tehnologia disponibil, persoane cu expertiza necesar pentru a
conduce testul). Metodele de testare includ:
Scanarea automat a vulnerabilitilor - este folosit pentru a scana un grup de host-uri sau
o reea, pentru a depista serviciile cunoscute a fi vulnerabile (ex. sistemul permite
retransmiterea unor protocoale)
Evaluarea i testarea securitii (ST&E) verific dac controalele aplicate sunt conforme
cu specificaiile de securitate aprobate i dac implementeaz politica de securitate a
organizaiei sau dac ndeplinesc standardele industriale
Testarea intruziunii este folosit pentru a evalua abilitatea unui sistem informaional de a
face fa unui atac intenionat.
O list cu cerinele de securitate conine standardele de baz folosite pentru
identificarea i evaluarea sistematic a vulnerabilitilor activelor (personal, hardware,
software, informaii), procese i transferuri de informaii asociate unui anumit sistem IT, n
ariile prezentate n Tabelul 2.2.
Securitate operaional
Criterii de securitate
- Alocarea responsabilitilor
- Continuitatea suportului
- Capabilitate de rspuns n caz de incident
- Revizuire periodic a controalelor de securitate
- Verificarea personalului i investigaii de
background
- Evaluarea riscului
- Training n securitate i tehnic
- Delimitarea atribuiilor
- Autorizarea i reautorizarea sistemului
- Plan de securitate
- Controlul agenilor de contaminare a aerului
(fum, praf, chimicale)
- Controale pentru asigurarea calitii surselor de
energie electric
- Distribuia extern a datelor
- Protecia facilitilor (camera computerelor;
centrul de date; birouri)
- Controlul umiditii i al temperaturii
Securitate tehnic
Sursa: Bandyopadhyay, K., Mykytyn, P., A framework for integrated risk management in
information technology, Management Decision, Vol.37, Nr.5, 2006, pp. 437- 445,
disponibil la: http://www.emeraldinsight.com/doi/abs/10.1108/00251749910274216
Medie
Redus
Definiie
Sursa ameninrii este foarte motivat i suficient de capabil astfel nct
controalele i msurile adoptate n vederea prevenirii expunerii vulnerabilitii
sunt ineficiente.
Sursa ameninrii este motivat i capabil, dar unele controale pot mpiedica
expunerii vulnerabilitii.
Ameninarea nu este motivat sau capabil, astfel nct controalele pot mpiedica
expunerea vulnerabilitii cu succes.
Sursa: Boukouras, A., Rajabi, M., An Ordinal Game Theory Approach to the
Analysis and Selection of Partners in Public-Private Partnership Projects, Journal of
Optimization Theory and Application, 2015, pp. 15-20, disponibil la:
http://link.springer.com/article/10.1007%2Fs10957-015-0844-3
Sczut (10)
Sczut
10 x 1.0 = 0
Sczut
10 x 0.5 = 5
Sczut
10 x 0.1 = 1
Impact
Mediu (50)
Mediu
50 x 1.0 = 50
Mediu
50 x 0.5 = 25
Sczut
50 x 0.1 = 5
Ridicat (100)
Mare
100 x 1.0 = 100
Mediu
100 x 0.5 = 50
Sczut
100 x 0.1 = 10
Sursa: The risk management process, Southern Cross University, disponibil la:
http://scu.edu.au/risk_management/index.php/2
Legislaie i reglementri
Politicile organizaionale
Impactul operaional
Siguran i credibilitate
Controalele recomandate sunt rezultatul procesului de evaluare al riscului i reprezint
intrri pentru procesul de diminuare a riscului, prin care controalele de securitate
(procedurale i tehnice) sunt evaluate, prioritizate i implementate.
Pentru a determina care dintre controalele propuse sunt adecvate implementrii ntr-o
anumit organizaie, este necesar o analiz cost-beneficiu, care va justifica costurile
implementrii controalelor prin reducerea nivelului de risc. De asemenea, trebuie luate n
considerare i impactul operaional, respective fezabilitatea implementrii controalelor.
Pasul 9. Documentarea rezultatelor
Odat cu ncheierea fazei de evaluare a riscului (sursele ameninrilor i
vulnerabilitile au fost identificate, riscurile au fost evaluate i au fost formulate recomandri
privind controalele), rezultatele ar trebui documentate ntr-un raport oficial.
Un raport de evaluare al riscurilor este un raport de management care ajut
managementul n adoptarea deciziilor privind politica, procedurile, bugetul i sistemul
operaional.
a) Prioritizarea aciunilor
n baza nivelurilor de risc prezentate n raportul de evaluare a riscurilor, aciunile din
implementare sunt prioritizate. n momentul alocrii resurselor, cea mai mare
prioritate ar trebui s fie acordat elementelor cu risc ncadrat n categoria foarte mare
sau mare. Aceste vulnerabiliti vor necesita corecii imediate.
b) Evaluarea opiunilor de controale recomandate
n cadrul acestui pas, sunt analizate fezabilitatea i eficiena controalelor recomandate.
Obiectivul este de a alege cea mai adecvat opiune de control pentru minimizarea
riscului.
c) Elaborarea unei analize cost-beneficiu
Pentru a sprijini echipa de management n asumarea unei decizii i n identificarea
unor contoale eficiente din punct de vedere al costurilor, se va realiza o analiz costbeneficiu.
d) Selectarea controalelor
n baza rezultatelor analizei cost-beneficiu, managementul va determina cele mai
eficiente controale n vederea reducerii risului organizaiei. Controalele selectate vor
mbina elemente de ordin tehnic, managerial i operaional pentru a asigura o
securitate adecvat sistemului informatonal.
e) Desemnarea responsabilitilor
Este identificat personalul adecvat (propriu sau extern) care deine expertiza i
calificarea necesar pentru a implementa controalele selectate.
f) Dezvoltarea unui plan de implementare
Planul ar trebui s conin cel puin informaii referitoare la: riscuri (vulnerabiliti/
ameninri) i nivelurile de risc asociate; controalele recomandate; prioritizarea
aciunilor; controalele selectate; lista persoanelor responsabile cu implementarea
controalelor; resursele necesare implementrii; data de ncepere a implementrii
proiectului, etc).
g) Implementarea efectiv a controalelor selectate
n funcie de situaiile specifice, controalele implementate pot diminua dar nu elimin
riscul (riscul rezidual nu poate fi eliminat).
securitate. Aceste schimbri vor implica apariia unor noi riscuri, iar riscurile care au fost
eliminate anterior pot deveni din nou o preocupare. n acest sens, procesul de management al
riscului se deruleaz continuu i evolueaz.
Pentru a implementa un program de success n ceea ce privete managementul de risc,
trebuie s inem cont de anumite practici i de anumii factori cheie.
Procesul de identificare a riscurilor pentru sistemele IT ar trebui s fie implementat i
integrat n SDLC, nu pentru c aa ordon legislaia i reglementrile n vigoare ci pentru c
reprezint o bun practic i, mai presus de toate, susine obiectivele i misiunea organizaiei.
Ar trebui s existe un orar specific n privina identificrii i diminurii sau eliminrii
riscurilor ns, n acelai timp, procesul ar trebui s fie destul de flexibil pentru a permite
schimbri n sistemul IT, schimbri generate de noi tehnologii sau reglementri n domeniu.
Un program de management de risc de succes trebuie s se bazeze pe anumii factori
cheie:
a) implicarea managementului senior
b) suportul si implicarea activ a echipei de IT
c) competena echipei de evaluare i identificare a riscului - aceast echip trebuie s
aib capacitatea de a aplica metodologia specific
d) contientizarea i cooperarea membrilor comunitii, care trebuie s urmeze
procedurile i s se supun controalelor n vederea protejrii i ndeplinirii obiectivelor
organizaiei.
e) o evaluare continu a sistemului IT n vederea prevenirii anumitor riscuri.
Bibliografie
1. Bandyopadhyay, K., Mykytyn, P., A framework for integrated risk management in
information technology, Management Decision, Vol.37, Nr.5, 2006, disponibil la:
http://www.emeraldinsight.com/doi/abs/10.1108/00251749910274216
2. Boukouras, A., Rajabi, M., An Ordinal Game Theory Approach to the Analisys and
Selection of Partners in Public Private Partnership Projects, Journal of
Optimization
Theory
and
Application,
2015,
disponibil
la:
http://link.springer.com/article/10.1007%2Fs10957-015-0844-3
3. Egon, F., Corporate Information Security Governance in Swiss Private Banking,
2004,
pp.
45-47,
disponibil
la:
http://www.isaca.ch/files/DO7_Diplomarbeiten/Diplom_CorporateInfSecGovernance
_E.pdf
4. Elky, S., An Introduction to Information System Risk Management, Sans Institute
Reading Room Site, 2006, disponibil la: https://www.sans.org/readingroom/whitepapers/auditing/introduction-information-system-risk-management-1204
5. Mc Neil, A.J, Frey, R., Quantitative Risk Management Concept, Tehniques and
Tools, Princeton University Press, U.K., 2015
6. Risk Management Guide for Information Tehnology Systems, NIST, iulie 2002,
disponibil la http://csrc.nist.gov/publications/nistpubs/800-30/sp800-30.pdf
7. Scalet,
S.,
Death
to
Phishing,
CSO,
disponibil
la:
http://www.csoonline.com/article/2119357/malware-cybercrime/death-tophishing.html?page=8
8. Stylusinc, The software development life cycle (SLDC) overview, disponibil la:
http://www.stylusinc.com/BI/it-outsourcing/the-software-development-life-cycle-sdlc/
9. Stoneburner, G., Goguen, A., Risk Management Guide for Information Tehnology
System, National Institute of Standards and Technology, U.S.A., 2002,
10. The risk management process, Southern Cross University, disponibil la:
http://scu.edu.au/risk_management/index.php/2
Anexe
1. Sistem Development Life Cycle
Sursa: http://www.stylusinc.com/BI/it-outsourcing/the-software-development-life-cyclesdlc/
2. ntrebri Chestionar
Care este efectul asupra misiunii organizaiei dac sistemul sau informaiile nu sunt
fiabile?
Care este nivelul de toleran al companiei n privina nefuncionalitii sistemului?
Care sunt alternativele, n privina procesrii i a comunicrii, pe care le poate folosi
utilizatorul?
Este posibil ca o defeciune sau indisponibilitatea sistemului s cauzeze rni sau
deces?
Sursa: Boukouras, A., Rajabi, M., An Ordinal Game Theory Approach to the Analisys and
Selection of Partners in Public Private Partnership Projects, Journal of Optimization
Theory and Application, 2015, pp. 20-27
3. Sursa Ameninrilor
Sursa: Elky, S., An Introduction to Information System Risk Management, Sans Institute Reading Room Site,
2006, pp.2, disponibil la: https://www.sans.org/reading-room/whitepapers/auditing/introduction-informationsystem-risk-management-1204
4. Definirea Probabilitilor
Sursa: Boukouras, A., Rajabi, M., An Ordinal Game Theory Approach to the Analisys and
Selection of Partners in Public Private Partnership Projects, Journal of Optimization
Theory and Application, 2015, pp. 22