Evaluarea si managementul riscurilor de securitate - Securitatea Informatica

Evaluarea si managementul riscurilor de securitate

Asigurarea securităţii datelor din interiorul unei companii ori a unei organizaţii reprezintă o aliniere la cerinţele actuale ale dezvoltării societăţii informaţionale. Dezvoltarea fără precedent a mediului de afaceri din ultimul timp foloseşte ca suport tehnologiile Internet. Dezvoltarea acestor tehnologii într-un ritm atât de susţinut nu a putut fi prezisă de iniţiatorii ei şi aceste tehnologii nu s-ar fi dezvoltat fără suportul mediului de afaceri care le-a adoptat şi utilizat extensiv iar acestea, la rândul lor, s-au adaptat acestui mediu. Fenomenul acesta a dat naştere unor domenii complet noi cum ar fi, spre exemplu, deja cunoscutele e-aplicaţii de felul e-Government, e-Commerce, e-Business, e-Learning etc.

Acest mediu de comunicare, informare, documentare, tranzacţionare etc. care reuneşte milioane de utilizatori are însă şi punctele lui vulnerabile. Vulnerabilitatea reprezintă poate punctul cel mai nevralgic al mediului Internet. Zilnic au loc atacuri la adresa serverelor de orice tip din Internet. Şi tot zilnic se depun eforturi uriaşe şi se cheltuiesc sume mari de către companii specializate pentru acoperirea breşelor de securitate descoperite la timp sau în urma unor atacuri uneori cu consecinţe catastrofale. Marile companii producătoare de software au compartimente specializate în domeniul securităţii. Orice aplicaţie are, inerent, încorporate şi elemente de siguranţă şi securitate.

Determinarea politicii de securitate pentru o organizaţie depinde masiv de complexitatea acesteia. Politica de securitate include foarte multe ramuriCe trebuie să facă însă o firmă mică ce nu dispune de fonduri? Cum va face ea faţă unor posibile atacuri atunci când este conectată la reţeaua Internet? Este necesar şi suficient să-şi achiziţioneze software de ultimă oră?

Şi nu există numai această problemă. Trebuie să existe întotdeauna un scenariu privitor la ce va face o organizaţie în caz de dezastre naturale.

Similar trebuie stabilită o strategie pentru situaţia în care se constată pierderea masivă a datelor din cauza unor variaţii mari (şocuri) de tensiune ale reţelei locale de alimentare cu energie electrică.

O manevră greşită, comisă de un operator al organizaţiei, poate compromite conţinutul unor servere de baze de date ori fişiere cu informaţii sensibile ale unor clienţi – constituind încă o situaţie de risc extrem de tăios.

De cele mai multe ori, fără o pregătire prealabilă, în astfel cazuri se pot face foarte puţine manevre pozitive, reparatorii, după producerea dezastrului.

Previzional, mult înainte să aibă loc un incident previzibil catastrofal se pot iniţia două tipuri de activităţi care să preîntâmpine, să prevină, şi să gestioneze, la nivelul organizaţiei, scenariul unui posibil dezastru:

- analiza riscurilor la adresa securităţii (şi nu numai);

- evaluarea costurilor procedeelor de prevenire a dezastrelor şi / sau costurile pentru depăşirea dezastrului, odată produs, şi recuperarea funcţionalităţii pierdute.

Ameninţările la adresa integrităţii şi securităţii unei organizaţii se pot exercita prin mai mulţi vectori. O parte dintre aceştia, cei mai frecvenţi, sunt:

• spionii;
• organizaţiile criminale şi teroriste;
• utilizatorii răutăcioşi sau răuvoitori;
• anumite persoane din interiorul organizaţiei, care au acces la date şi procedee utilizate în sistemul de securitate al organizaţiei respective;
• persoane din afara organizaţiei dar care au acces la anumite informaţii extrem de sensibile pentru securitatea organizaţiei;
• cataclismele naturale.

Riscul poate fi definit ca o ameninţate care poate să exploateze eventualele slăbiciuni ale unui sistem ori a unei întregi organizaţii. Riscul este un eveniment care este posibil să se întâmple, fiind considerat, adesea, un eveniment aleator. Pentru a se preîntâmpina apariţia unui eveniment care să afecteze securitatea unei organizaţii ori unui sistem este necesară elaborarea unei politici de măsuri specifice. Aceste măsuri sunt determinate prin metrici asociate riscurilor. Metricile sunt acelea care introduc o ierarhizare a rsicurilor.

Riscurile şi ameninţările sunt identificate, adeseori, reciproc. Se discută despre un risc şi se subînţelege, implicit, ameninţarea care produce acel risc. Riscul este, însă, o noţiune mai abstractă decât ameninţarea prin faptul că, implicit, face referinţe la costurile punerii în fapt a respectivei ameninţări dar cuprinde în sine, intuitiv, şi cuantificarea realizării efective a ameninţării.

Dacă se consideră o mulţime de riscuri { rk | 0 < k ≤ q}, unde q este numărul maxim de riscuri, asociate unei organizaţii se poate introduce o relaţie peste această mulţime de riscuri.

Astfel, se poate aprecia că două riscuri r1 şi r2 distincte (r1 ≠ r2) pot fi ordonate, printr-o relaţie de ordine parţială, considerând relaţia dintre costurile respectivelor riscuri, adică prin pagubele produse de acestea:

r1 ≤ r2 dacă şi numai dacă C(r1) ≤ C(r2),

unde s-a notat prin C(ri) costul riscului i.

Similar se poate aprecia că un risc r1 mai frecvent, ca apariţie, poate fi mai costisitor decât un risc r2 care se produce mai rar, cu condiţia ca pagubele produse să fie pe evaluate peste un acelaşi interval de timp. Valoarea unui risc rk este, de cele mai multe ori, estimată prin produsul dintre costul său şi frecvenţa sa de apariţie:

V(rk) = C(rk)P(rk)
Aceasta valoare poate fi considerată ca fiind o bună metrică a riscului, în general.

Securitatea sistemelor informationale

Se pot enumera următoarele măsuri de securitate:

• hardware;
• software;
• procedee de operare specifice;
• controlul şi cuantificarea accesului;
• verificarea şi evaluarea fiabilităţii procedeelor;
• monitorizarea securităţii personalului;
• modalităţi de constituire a unui mediu asigurator la nivelul instituţioal al organizaţiei (clădiri, zonele de acces, modalităţi de separare a serviciilor cu risc ridicat etc)

Analiza riscului presupune un proces de identificare al principalelor riscuri de securitate, stabilirea anvergurii şi implicaţiilor riscurilor, precum şi identificarea zonelor care prezintă risc mare şi care trebuie asigurate. Analiza de risc face parte din ansamblul de măsuri care poartă denumirea generică de managementul riscului. Evaluarea riscurilor este un rezultat al unui proces de analiză a riscurilor.

Managementul riscului poate fi definit ca totalitatea metodelor de identificare, control, eliminare sau minimizare a evenimentelor care pot afecta resursele sistemului.

Acesta include:

o analiza riscurilor;
o analiza costului beneficiilor;
o determinarea celor mai potrivite mecanisme;
o evaluarea securităţii măsurilor adoptate;
o analiza securităţii în plan general.

Analiza riscului trebuie efectuată din mai multe raţiuni, şi anume:

• identificarea ierarhică a activelor organizaţiei respective şi pârghiile care asigură securitatea asupra acestora;
• constituirea unor etape succesive de eliminarea a condiţiilor care pot favoriza realizarea riscurilor atunci când contextul este complex iar o modificare a funcţionării sale nu se poate introduce decât prin politica paşilor mărunţi.
• stabileşte obligativitatea unor acţiuni şi a unor termene de realizare în vederea constituirii unor obiective care ţin de implementarea securităţii organizaţiei;
• constituirea unei perspective de ansamblu a achiziţionării de resurse şi servicii în acest sens astfel încât, să se ţină seama de efortul financiar în contextul găsirii celor mai eficiente soluţii.
• aliniază programul de control cu misiunea organizaţiei;
• oferă criterii pentru proiectarea şi evaluarea planurilor de avarie;
• îmbunătăţeşte înţelegerea generală (asupra sistemului, cum operează, etc.).

Analiza riscurilor urmăreşte să pună acest proces pe baze teoretice şi practice solide. Sunt mai multe modalităţi de abordare a riscului. Dintre acestea se disting câteva, şi anume:

o analiza cantitativă;
o analiza calitativă;
o analiza fiecărui post de lucru din organizaţie.

Analiza cantitativa a riscului de securitate

Pentru analiza calitativă a riscului se parcurg următorii paşi:

1. Identificarea şi evaluarea activelor (bunurilor organizaţiei)
2. Determinarea vulnerabilităţilor
3. Estimarea probabilităţii de producere
4. Calculul pierderilor anuale estimate
5. Analiza măsurilor de control
6. Estimarea Rentabilităţii Investiţiei (RI).

1. Identificarea si evaluarea activelor (bunurilor organizatiei)

Identificarea activelor

Presupune identificarea componentelor hardware, software, datelor cu care se operează, personalul implicat în procese, documentaţiile aferente, suporturile corespunzătoare etc.

Evaluarea activelor

Presupune să se stabilească costurile de înlocuire pentru cazuri când un anume activ este distrus. Pentru aceasta trebuie să se răspundă unor criterii care să direcţioneze evaluarea respectivelor active. Unele dintre aceste criterii sunt formulate prin chestiuni simple referitoare la costurile asociate activelor considerate.

Componentele hardware impun anumite caracteristici tipice:

• Costurile de înlocuire ale activului respectiv ţinând seama de preţurile actuale?
• Durata înlocuirii unui activ din categoria componentă hardware. Această durată include şi timpul necesar aducerii componentei în regim de funcţionare şi exploatare nominală. Durata are atât influenţă asupra costurilor cauzate prin nefuncţionare cât şi asupra costurilor legate de manoperele de instalare, punerea în funcţiune, verificarea şi testarea, aducerea în regimul nominal de utilizare etc.
• Costurile legate de manoperă şi calificarea necesară a acesteia, la care se adaugă costurile de verificare, testare, certificare etc.
• Costurile în raport cu clienţii şi beneficiarii organizaţiei pe durata efectuării refacerii potenţialului nominal de funcţionare.

Componenetele software, la randul lor, au anumite trăsături care le individualizează în cazul unor malfuncţionări. Costurile asociate acestora sunt, adesea, estimate prin timpul necesar soluţionării malfuncţionarii. În acest context costurile vor fi calculate prin costul manoperei pe durata intervenţiei:

• Timpul necesar stabilirii cauzelor malfuncţionării. Acest timp poate fi principala componentă a duratei globale a refacerii funcţionalităţii. Poate necesita manoperă cu costuri ridicate implicând eforturile, de regulă, a unei echipe.
• Durata încărcării şi testării aplicaţiei, componentei software, după găsirea şi înlăturarea cauzelor care au fost stabilite. Procesul poate fi iterativ din cauza complexităţii aplicaţiilor constituite, în majoritatea situaţiilor, din componente software licenţiate de furnizori diferiţi. Se pot întâlni situaţii în care o anumită malfuncţionare maschează o alta care ajunge vizibilă abia după înlăturarea precedentei.
• Durata restaurării, reîncărcarii, sistemelor mari de aplicaţii.

Referitor la date, la informaţiile stocate, criteriile se referă la:

• Costurile restaurării şi reinstalării.
• Durata refacerii unor date pierdute sau compromise.
• Costurile stabilirii cauzelor care au condus la pierderea integrităţii datelor ori a confidenţialităţii acestora.
• Costurile informaţiile pierdute care aparţin organizaţiei şi costurile informaţiilor pierdute care nu aparţin organizaţiei (clienţi care impun anumite costuri, uneori prohibitiv de mari).

Privitor la personalul companiei, principalele criterii se grupează în jurul acestor aspecte:

• Volumul şi calificarea personalului care va fi implicat în recuperarea funcţionalităţii organizaţiei de după un dezastru.
• Costurile implicate de instruirea suplimentară a personalului. Aceste costuri se referă atât la instruirea personalului pre-existent dezastrului cât şi la costurile instruirii personalului adăugat Cât costă instruirea unui nou personal?
• Care sunt efectele psihologice ale dezastrelor?

Estimarea valorii impactului pe o zona

Fiecare bun are, în cazul pierderii acestuia sau al funcţionării defectuoase, impact asupra a trei elemente necesare în asigurarea securităţii, şi anume:

• secretizare;
• integritate;
• disponibilitate.

Exemplul 1:

Se consideră un fişier care stochează datele personale ale unui număr de 200 de angajaţi ai unei companii. În urma unui eveniment nedorit (intenţionat, neintenţionat, accident, fenomen natural), se pierd atât datele din fişier, cât şi structura acestuia. Nu există copie de siguranţă pentru acestea. Refacerea structurii fişierului poate fi făcută de o persoană calificată, lucrând 4 ore pentru reconstrucţie (în timpul programului). Salariul tarifar este de 2,5 USD/oră.

Restaurarea datelor, repopularea fişierului, va putea fi făcută în afara orelor de program de aceeaşi persoană sau de o altă persoană. Această operaţie durează 5 (cinci) ore şi este plătită cu 3 USD/oră (lucrul în afara orelor de program). Pierderea secretului, neştiind natura dezastrului, creează pierderi estimate la 5.000 USD, aceasta fiind zona cu impactul cel mai mare în privinţa costurilor de refacere.

4(ore) x 2,5 (USD/oră) + 5(ore) x 3 (USD/oră- suplimentar) = 25 USD.

Zona impact Valoare impact (USD)
Secret 5 000
Integritate – Disponibilitate 25

Calculul valorii totale pentru fiecare activ. Se calculează valoarea totală pentru un impact folosind formula: unde Valoare(a) semnifică valoarea impactului pentru activul a iar impacti semnifică valoarea impactului în zona respectivă pentru bunul, activul a.

Există trei (n = 3) zone de impact (Secret , Integritate şi Disponibilitate).

În acest caz, Valoarea(a) = 50.000 + 0 + 25 = 50.025 USD.

2. Stabilirea vulnerabilitatilor dintr-o organizatie

Presupune stabilirea ameninţărilor la adresa activelor şi frecvenţa cu care aceste ameninţări se pot produce în respectiva organizaţie.

Posibilele ameninţări la adresa activelor
Naturale Accidente Acte intenţionate
Cutremure de pământ Dezvăluiri Dezvăluiri
Inundaţii Perturbări electrice Sabotaj al angajaţilor
Uragane Întreruperi electrice Fraudări
Alunecări de teren Incendii Furturi
Furtuni de zăpadă Scurgeri de lichide Loviri
Furtuni de nisip Erori de transmisii-telecomunicaţii Utilizări neautorizate
Tornade Erori ale operatorilor/utilizatorilor Vandalism
Tsunami Erori de cadru organizatoric Intruziuni
Descărcări electrice Erori hardware Atacuri cu bombe
Erupţii vulcanice Erori software Revolte/Insurgenţe
Tabelul 1.

Impactul acestor ameninţări asupra bunurilor depinde în mare măsură de anumiţi factori, dintre care cei mai des invocaţi sunt:

• amplasarea geografică;
• facilităţile cadrului organizatoric;
• densitatea de informaţie;
• condiţiile economice locale;
• sistemele de avertizare şi protecţie implementate;
• vizibilitate;
• accesul facil la bunuri;
• redundanţe;
• procedurile şi metodele de salvare;
• conştientizarea măsurilor de securitate şi protecţie etc.
• fulgerele, calamităţile naturale, în general.

3. Estimarea probabilitatii de producere a incidentelor

Se stabileşte probabilitatea de producere a unui incident într-un interval de timp, bine precizat. În tabelul urmator sunt prezentate, spre exemplu, frecvenţele de producere ale unor incidente:

Frecvenţa şi probabilitatea de producere a incidentelor
Frecvenţa Probabilitatea
Niciodată 0,0
O dată la 300 ani 1/300 0,00333
O dată la 200 ani 1/200 0,005
O dată la 100 ani 1/100 0,01
O dată la 50 ani 1/50 0,02
O dată la 25 ani 1/25 0,04
O dată la 5 ani 1/5 0,2
O dată la 2 ani 1/ 2 0,5
O dată pe an 1/1 1,0
De două ori pe an 2/1 2,0
O dată pe lună 12/1 12,0
O dată pe săptămână 52/1 52
O dată pe zi 365/1 365
Tabelul 2.

Folosind datele statistice se poate stabili rata de producere a unui incident. Aceste date statistice sunt evidenţiate în tabelul 2.

4. Calculul pierderilor anuale estimate

Calculul pierderilor anuale estimate pentru fiecare ameninţare

unde PAEa = Pierderi Anuale Estimate pentru ameninţarea a,

Vb = Valoarea bunului b (fiind considerate bunuri etichetate de la 0 la n),

Ea = Estimarea numărului de incidente ale ameninţării a (sunt luate în calcul ameninţări etichetate de la 0 la m).

Exemplul 2:

Bunurile considerate
Calculator (local) Imprimantă Centru cu servere
Ameninţarea Şocuri de tensiune Şocuri de tensiune Şocuri de tensiune
Costul incidentului (USD) 500 500 10.000
Frecvenţa de producere cinci (5) ori pe an cinci (5) ori pe an cinci (5) ori pe an
PAE PAE1,1 = 500×5 = 2.500 PAE2,1 = 500×5 = 2.500 PAE3,1= 10.000×5= 50.000
PAE total PAE1, 1 + PAE2, 1 + PAE3, 1=2.500 + 2.500 + 50.000 = 55.000 USD
Tabelul 3.

Calculul pierderilor anuale estimate în raport cu fiecare bun considerat

unde reprezentând Pierderile Anuale Estimate pentru bunul bi, cu notaţiile:

Vbi = Valoarea bunului b (i de la 0 la n bunuri) şi respectiv

Eaj = Estimarea numărului de incidente ale ameninţării a (j de la 0 la m ameninţări).

Exemplul 3:

Bunurile considerate
Centru servere Centru servere Centru servere
Ameninţările Şocuri de tensiune Cutremur de pământ Inundaţie
Costul incidentului (USD) 30.000 50.000 10.000
Frecvenţa de producere cinci (5) ori pe an o dată la 50 de ani o dată la 25 de ani
PAE PAE1,1 = 30000×5 = 150.000 PAE2,1 = 50000x 0,02 = 10.000 PAE3,1= 10.000x 0,04 = 4.000
PAE total PAE1,1 + PAE1,2 + PAE1,3= 150.000+10.000+4.000 = 164.000 USD
Tabelul 4.

Calculul pierderilor anuale estimate sub-totale şi totale

Se determină Pierderile Anuale Estimate însumând după categorii de ameninţări: (PAE_bj).

Se determină Pierderile Anuale Estimate însumând pe categorii de bunuri: (PAE_ai).

PAE = Total Pierderi Anuale Estimate pentru perechile bun/ameninţare.

În ambele cazuri de calculare a pierderilor totale, pe categorii de ameninţări sau pe categorii de bunuri, rezultatul trebuie să fie identic.

Se poate genera o matrice ameninţări / bunuri şi PAE-urile corespunzătoare fiecărui bun, fiecărei ameninţări şi PAE-ul global (respectiv colţul din dreapta jos).

Matricea ameninţări / bunuri
Bunul b1 Bunul b2 Bunul bn PAE_ai
Ameninţarea a1 V1 x E1 V2 x E1 Vn x E1 PAE_a1
Ameninţarea a2 V1 x E2 V2 x E2 Vn x E2 PAE_a2
Ameninţarea m V1 x Em V2 x Em Vn x Em PAE_am
PAE_bj PAE_b1 PAE_b2 PAE_bn ∑PAE
Tabelul 5

5. Determinarea principalelor masuri de prevenire si control

Dintre toate ameninţările avute în vedere, se identifică ameninţarea care produce pierderile cu cele mai mari valori anuale estimate corespunzătoare (PAE_a). Principalel măsuri de control vor viza diminuarea pierderilor cauzate de această ameninţare.

Se identifică măsurile care pot duce la reducerea vulnerabilităţii faţă de ameninţarea cea mai costisitoare. Întotdeauna se are în vedere că unele măsuri se pot aplica pentru mai multe categorii de ameninţări ori pentru mai multe categorii de bunuri.

În afara acestor măsuri specifice unei anume ameninţări se mai pot institui şi altele cu caracter mai general:

o Stocarea datelor critice în afara organizaţiei;
o Introducerea unor procedee precise şi riguros aplicate atât pentru salvările de siguranţă cât şi pentru salvările periodice de date;
o Însoţirea personalului din exterior primit în interiorul organizaţiei;
o Etichetarea şi marcarea cu culori distincte a diverselor porţiuni de documente care conţin date ce vor fi operate sau introduse în sistemele de calcul;
o Măsurile de protecţie la nivel fizic – supravegherea electronică monitorizată, paza prin personal calificat, însoţitori;
o Controlul accesului la anumite zone prin avertizări audio-vizuale, validarea accesului prin chei de acces (fizice şi software) ori ecusoane validate prin mijloace de supraveghere;
o Accesul la sistemele informaţionale să aibă loc în baza unei identificări iar activitatea la aceste sisteme să fie memorată în log-uri sau jurnale de acces.

6. Calculul Estimării Rentabilităţii Investiţiei (RI).

Pentru fiecare măsură de control aplicată se identifică:

o Vulnerabilităţile care pot fi reduse prin aplicarea acelor măsuri de control.
o Atribuirea unei rate/valori optime pentru fiecare pereche eveniment/mod de control.
o Estimarea costurilor anuale pentru implementarea măsurii de control respectiv.

Estimarea Rentabilităţii Investiţiei (RI): RI = rc*PAE_a –Cc

Unde se operează cu notaţiile:

Cc = Costul anual pentru aplicarea controlului c,
rc = indicele de eficacitate pentru controlul c,
PAE_a = Pierderile Anuale Estimate pentru ameninţarea a.

Selectarea măsurilor suplimentare de control trebuie să se ţină cont de realizarea următoarelor obiective:

valoarea Rentabilităţii Investiţiei cât mai mare;
minimizarea PAE (Pierderilor Anuale Estimate).

Valoarea factorului RI cât mai mare se va putea obţine acţionând asupra indicelui de eficacitate rc prin creşterea acestuia până la valoarea maximă (1), sau asupra costului anual pentru aplicarea controlului Cc prin micşorarea costurilor de implementare a controlului.

Metodele cantitative de calcul a riscului de securitate sunt folosite cu precădere la companiile de mărime medie şi/sau mare.

Metoda cantitativă expusă are însă anumite neajunsuri. Printre acestea se pot enumera:

• Dificultatea de a găsi un număr care să cuantifice cât mai exact frecvenţa de producere a unui eveniment.
• Dificultatea de a cuantifica anumite valori. De exemplu, sunt foarte greu de definit disponibilitatea unei informaţii şi calculul pierderilor când această caracteristică lipseşte.
• Metoda nu face distincţie între ameninţările rare, dar care produc dezastre mari ca valoare (incendiu, cutremure, tornade etc.), şi ameninţările dese care produc dezastre mici ca valoare (erori de operare), în ambele cazuri efectele financiare fiind asemănătoare.
• Alegerea numerelor folosite poate fi considerată subiectivă, muncă laborioasă care necesită timp şi consum de resurse.

Valoarea rc este 1 (unu) pentru o eficacitate de 100%.

7. Analiza calitativa a riscului de securitate

Această metodă este mai des folosită decât metoda anterioară, pretându-se la firmele de mărime mică. Metoda nu foloseşte date statistice. În schimb, se foloseşte ca dată de intrare potenţialul de pierdere.

Metoda operează cu termeni ca:

• des/înalt, mediu, rar/redus – referitor la probabilitatea de apariţie a riscurilor şi impactul acestora.
• vital, critic, important, general şi informaţional – referitor la tipul şi clasificarea informaţiilor.
• numere, 1, 2, 3.

Aceasta are ca efect imediat reducerea volumului de muncă şi a timpului consumat. Metoda are şi dezavantaje.

Printre acestea:

• greu de cuantificat (ca şi la metoda anterioară) anumiţi termeni (important – este un termen greu de definit în management).
• Numerele sunt de această dată şi mai subiective. Dacă la metoda anterioară acestea erau date statistice, acum sunt alese subiectiv.

Această metodă se poate aplica parcurgând următorii paşi:

• Stabilirea nivelului de pierderi
• Stabilirea costurile dezastrelor
• Stabilirea probabilităţii de producere a dezastrelor.
Nivelul de producere Probabilitatea de producere Descriere
A Aproape sigur Se poate produce în orice condiţii
B Probabil Se poate produce în anumite condiţii
C Moderat Se poate produce în timp
D Improbabil S-ar putea produce în timp
E Rar Se poate produce numai în condiţii excepţionale
Tabelul 6

Stabilirea consecinţelor dezastrelor

Nivelul consecinţelor Descrierea consecinţelor Exemple de consecinţe
Nesemnificative Pierderi financiare minore Nu sunt pagube materiale sau răniţi
Minore Pierderi financiare medii Pagube materiale reduse, se impune primul ajutor acordat personalului
Moderate Pierderi financiare importante Se impune tratament medical aplicat personalului. Activitatea se poate desfăşura în continuare
Majore Pierderi financiare importante Răniri grave ale personalului. Avarii importante. Capacităţile de producţie sunt diminuate
Catastrofale Pierderi financiare enorme Morţi. Pierderea totală a capacităţilor de producţie.
Tabelul 7

Un nivel redus de securitate are ca efect creşterea riscului în afaceri. Ca revers, asigurarea unui nivel ridicat de securitate poate afecta afacerile prin dirijarea fondurilor către asigurarea securităţii şi nu către destinaţia lor de drept. De aceea, trebuie găsită o cale de mijloc.

Aceste analize de risc se fac cu precădere în cadrul organizaţiilor mari şi eventual în cadrul celor medii. Organizaţiile mici nu au nici personal specializat şi nici bani pentru a plătii o astfel de evaluare. Cu toate acestea, un minimum de preocupări privind securitatea trebuie considerate.

În majoritatea cazurilor, 20% din costuri se reflectă în 80% beneficii în ceea ce priveşte minimizarea riscurilor şi asigurarea securităţii.

O securitate maximă poate fi asigurată cu costuri foarte mari. Asigurarea unei eficienţe maxime conduce, de regulă, la un nivel prohibitiv al cheltuielilor.

Este ştiut faptul că managerii de firme se lasă greu convinşi să investească în ceva care nu aduce profit direct. Iar atunci când se lasă convinşi de necesitatea disponibilizării sumelor pentru asigurarea securităţii, sumele alocate sunt sub limita celor recomandate.

În aceste condiţii, trebuie să se asigure o securitate ale cărei cheltuieli să nu depăşească o anumită limită a sumei alocate. Se poate vorbi despre o securitate impusă financiar.

Alternativele de rezolvare a acestei situaţii sunt două:

• acoperirea ameninţărilor celor mai probabile, cu păstrarea metodelor de control iniţiale;
• acoperirea tuturor ameninţărilor şi reducerea costurilor măsurilor de control.

Prima măsură va permite o securitate maximă pentru anumite ameninţări, dar va lăsa descoperită securitatea parţial sau total la alte ameninţări.

A doua măsură va impune reducerea cheltuielilor necesare asigurării controalelor pentru a putea să fie acoperite toate ameninţările posibile. Aceasta ar putea să se reflecte în modificarea şi configurarea măsurilor de control.

Nu se vor mai achiziţiona două surse neîntreruptibile, spre exemplu, APC UPS de 350VA la preţul de 95 dolari bucata pentru două calculatoare, ci se va achiziţiona o singură sursă APC UPS de 650VA la preţul de 140 de dolari bucata. Economia este de 50 de dolari (95 x 2 . 140 = 50).

În acest caz, însă, cele două calculatoare vor trebui să fie alimentate de la aceeaşi sursă neîntreruptibilă prin prelungirea cablurilor de alimentare sau prin plasarea lor în imediata vecinătate. Această a doua măsură este de preferat primei, deoarece nu lasă vulnerabilităţi neacoperite de măsuri de control.

Securitatea este o entitate greu de cuantificat. Va fi dificil de apreciat că în cadrul unei organizaţii există o securitate de un anumit nivel de performanţă. Se poate, doar, să se estimeze ca fiind de un nivel ridicat, mediu, minim sau deloc. Acestea sunt aprecieri suficient de largi ca să nu permită, cel mai frecevnt, comparaţii. Cu toate acestea, se poate face o cuantificare (cel puţin financiară) a nivelului de securitate şi, respectiv, asupra nivelului de costuri ale riscurilor.

Întotdeauna implementarea securităţii sau testarea şi îmbunătăţirea acesteia generează costuri semnificative în termeni de resurse umane şi de echipamente.

Twitter Digg Delicious Stumbleupon Technorati Facebook


Nici un comentariu inca... Fii primul care lasa un comentariu!

Lasa un raspuns

This site is protected by Comment SPAM Wiper. This site is protected by WP-CopyRightPro