Analiza riscurilor - Securitatea Informatica

Analiza riscurilor

Astăzi este aproape imposibil să nu auzim sau să nu citim despre riscurile utilizării tehnologiilor informationale. Managementul de vârf este din ce în ce mai interesat de sensul notiunilor de management al riscurilor şi analiză a riscurilor, aplicate tehnologiilor informationale utilizate în cadrul organizatiilor. Acest fapt se datorează creşterii considerabile a nivelului de dependentă de tehnologiile informationale:

  • mediile de afaceri, şi nu numai, sunt tot mai mult dependente de procesele IT, respectiv eşuarea proceselor IT pot conditiona eşuarea proceselor de afaceri cu o mai mare probabilitate;
  • infrastructura informatională devine din ce în ce mai complexă, iar punctele critice apartinând domeniului IT ce ar putea influenta procesele de afaceri sunt în creştere;
  • când are loc o cădere a serviciilor IT, timpul în care acest fapt este resimtit trebuie micşorat considerabil;
  • căderile serviciilor TI sunt tot mai mult vizibile şi resimtite în afara centrului de procesare a datelor, astfel crescând numărul de persoane afectate ceşi manifestă nemultumirea.
  • securitatea în utilizarea şi administrarea sistemelor IT ocupă, de asemenea, un loc foarte important

Pe scurt, astăzi tehnologiile informationale au posibilitatea mai mult ca oricând să determine reuşita unei afaceri, după cum şi căderile IT, eşecul ei.

Putem considera risc ca fiind probabilitatea de realizarea a unei situatii nedorite, ce poate genera pierderi sau inconveniente.

Managementul şi analiza riscurilor este procesul de identificare a riscurilor şi determinare a solutiei optime de gestiune a lor.

In procesul de analiză a riscurilor trebuie pornit de la lucrurile elementare: uniformitatea infrastructurii din punct de vedere al sistemelor folosite, administrarea centralizată, mentinerea la zi a sistemelor, aplicarea unor configurări standard de securitate pe toate serverele şi statiile de lucru în functie de rolul functional al acestora, proceduri standard de utilizare şi administrare, etc.

Procesul de analiză a riscurilor se poate derula în următoarele faze:

  1. Identificarea resurselor informationale
  2. Gruparea şi ierarhizarea resurselor informationale
  3. Identificarea riscurilor
  4. Asociere riscuri la resurse
  5. Identificarea mijloacelor de protectie
  6. Evaluarea riscurilor
  7. Întocmirea recomandărilor

La faza de identificare a resurselor informationale urmează să se creeze un tablou de ansamblu al infrastructurii informationale. Resursele informationale sunt considerate aici ca fiind: datele, aplicatiile, tehnologiile, încăperile, resursele umane, etc. O informatie indispensabilă analizei de mai departe este interdependenta resurselor (ex.: ce sistem, cu ce date gestionează, ce tehnologii utilizează, unde este amplasat şi cine administrează). Rezultatul acestei faze poate fi o listă cu toate resursele informationale identificate în cadrul organizatiei.

Gruparea şi ierarhizarea resurselor informationale este necesară pentru determinarea prioritătilor de protejare a lor.

Clasificarea resurselor trebuie să tină cont de interdependentele dintre ele. Numărul de resurse în fiecare categorie este arbitrar, însă totuşi e preferabil limitarea numărului de resurse critice pentru a evita confuzia. Rezultatul acestei faze este o listă de resurse informationale prioritare din punct de vedere al nivelului de criticitate a lor.

Resurse critice – sistemele nu pot săşi continue activitate în lipsa resursei respective;

Resurse esentiale – sistemele posesoare a resursei pot săşi continue activitatea, însă pentru o perioadă determinată de timp (câteva ore sau zile), însă resursa trebuie neapărat restabilită;

Resurse normale – resursa poate fi folosită pe o perioadă îndelungată de timp, totuşi anumite aplicatii vor fi partial afectate, este nevoie să se găsească alternative.

Identificare riscurilor presupune selectarea dintr-o listă cu riscuri comune aferente tehnologiilor informationale. Riscurile care se vor considera că nu merită atentie sunt înlăturate din listă. Riscurile trebuie să fie explicit identificate în raport cu una sau mai multe resurse.

La faza de asociere a riscurilor la resurse are loc o particularizare a riscurilor pentru fiecare resursă critică în parte.

Identificare mijloacelor de protectie presupune completarea listei rezultate la etapa a patra cu descrierea mijloacelor de protectie în prezent utilizate pentru înlăturarea sau atenuarea riscului abordat.

Faza de evaluare a riscurilor este foarte importantă, iar succesul ei depinde în mare parte de competentele profesionale ale membrilor echipei, care efectuează analiza riscurilor . Pentru fiecare resursă critică, în ordinea importantei lor, se face o ierarhizare a riscurilor aferente în dependentă de impactul ce lar putea avea.

La faza de întocmire a recomandărilor se analizează informatia acumulată la fazele precedente şi se iau decizii asupra solutiilor existente (dacă există) ce ar permite atenuarea, redirectionarea sau înlăturarea riscurilor identificate.

Se poate afirma ca exista foarte multe riscuri care necesita atentie atunci cand folosim sisteme IT. O etapa foarte importanta in procesul de rezolvare a unui risc o constituie etapa de analiza a riscurilor.

Twitter Digg Delicious Stumbleupon Technorati Facebook


Nici un comentariu inca... Fii primul care lasa un comentariu!

Lasa un raspuns

This site is protected by Comment SPAM Wiper. This site is protected by WP-CopyRightPro