Managementul riscurilor - Securitatea Informatica

Managementul riscurilor

Pentru asigurarea functionării în parametri optimi al oricărui sistem informatic unul dintre paşii care trebuie parcurşi îl reprezintă managementul riscurilor.

Managementul riscurilor constă în identificarea riscurilor, evaluarea acestora şi luarea unor măsuri pentru a reduce expunerea la riscuri la un nivel acceptabil.

Evaluarea riscurilor reprezintă primul pas în metodologia managementului riscurilor. Rezultatul acestui proces constă în identificarea unor mecanisme ce pot fi folosite pentru a reduce sau elimina riscurile.

Pentru fiecare din riscurile identificate se poate calcula expunerea la acest risc ca fiind produsul dintre probabilitatea producerii riscului şi impactul acestuia. Pentru a determina probabilitatea producerii riscului trebuie analizate posibilele vulnerabilităti care pot conduce la producerea acestuia şi mecanismele de control a acestor vulnerabilităti. Impactul reprezintă dimensiunea daunelor cauzate, deci în general impactul este estimat prin costuri.

Evaluarea riscurilor se realizează parcurgând nouă paşi:

  1. Caracterizarea sistemului: Se anlizează componentele hardware, software, interfetele de sistem, datele şi informatiile din sistem, oamenii care au acces la sistem şi menirea sistemului pentru a ajunge la concluzii referitoare la perimetrul sistemului, functiile sistemului, punctele critice şi sensibile ale sistemului şi ale datelor din sistem.
  2. Identificarea amenintărilor: Luând în considerare istoria atacurilor asupra sistemului şi a datelor despre posibile atacuri se specifică amenintările.
  3. Identificarea vulnerabilitătilor: Analizând rapoarte anterioare de evaluare a riscurilor, observatii ale auditului, necesităti de securitate şi rezultate ale testelor de securitate se realizează o listă cu potentiale vulnerabilităti.
  4. Analiza mecanismelor de control a vulnerabilitătilor: Se realizează o listă cu mecanismele curente şi cele planificate de control a vulnerabilitătilor.
  5. Determinarea probabilitătii: Se analizează motivatia care stă la baza amenintării, cât de puternică este amenintarea, natura vulnerabilitătii şi mecanismele actuale de control a vulnerabilitătii pentru a determina o estimare a probabilitătii exploatării riscului.
  6. Analiza impactului: Se analizează impactul asupra scopului sistemului, gradul de criticalitate, punctele critice şi sensibile create în ceea ce priveşte datele din sistem pentru a determina o estimare a impactului.
  7. Determinarea riscurilor: Analizând probabilitatea exploatării amenintărilor, mărimea impactului şi caracterul adecvat al mecanismelor actuale de reducere a vulnerabilitătilor se realizează o listă cu riscurile şi nivelul fiecărui risc.
  8. Recomandarea mecanismelor de reducere a vulnerabilitătilor.
  9. Documentarea evaluării riscurilor.

Procesul de reducere a expunerii la riscuri reprezintă al doilea pas al metodologiei de management al riscurilor. Acest proces implică prioritarizarea, evaluarea şi implementarea mecanismelor corespunzătoare de reducere a expunerii la riscuri, mecanisme recomandate în cadrul procesului de evaluare a riscurilor. Eliminarea completă a expunerii la riscuri este în cele mai multe cazuri nepractic sau aproape imposibil, din aceasta cauză este de datoria managementului de a alege o abordare cât mai ieftină de implementare a unor mecanisme de reducere a expunerii la riscuri la un nivel acceptabil.

Optiuni de reducere a expunerii la riscuri:

  • asumarea riscului: este acceptată expunerea la risc
  • evitarea riscului: se elimină cauza şi/sau consecinta riscului
  • limitarea riscului: se iau măsuri de reducere a riscului
  • transferarea riscului: se încearcă compensarea pierderilor (exp: se cumpără asigurare).

Reguli referitoare la actiunile de reducere a expunerii la riscuri:

  • dacă există vulnerabilităti trebuie implementate mecanisme care să reducă probabilitatea ca aceste vulnerabiltăti să poată fi folosite pentru un atac asupra sistemului
  • dacă există vulnerabilităti care pot fi folosite pentru un atac asupra sistemului trebuie aplicate măsuri de securitate stratificate pentru a minimiza sau preveni posibilitatea producerii atacului
  • dacă costurile coordonatorului atacului sunt mai mari decât câştigurile acestuia: se iau măsuri de securitate prin care cresc costurile unui atac
  • dacă pierderile în cazul unui atac ar fi prea mari trebuie luate măsuri tehnice şi nontehnice de securitate pentru a reduce posibilitatea pierderilor

Paşii parcurşi pentru implementarea mecanismelor de reducere a riscurilor:

  1. Prioritarizarea actiunilor pe baza nivelului fiecărui risc.
  2. Evaluarea mecanismelor de reducere a expunerii la riscuri recomandate în cadrul procesului de evaluare a riscurilor.
  3. Analizarea costurilor şi beneficiilor rezultate din implementarea sau neimplementarea unor mecanisme de reducere a expunerii la riscuri .
  4. Pe baza rezultatelor de la (3) se aleg mecanismele care vor fi implementate.
  5. Desemnarea persoanelor care vor implementa mecanismele alese la (4).
  6. Realizarea unui plan de implementare (plan de actiune).
  7. Implementarea mecanismelor alese la (4).

La implementarea unor mecanisme de reducere a expunerii la risc se recomandă implementarea unor mecanisme de securitate tehnice, manageriale şi operationale sau o combinatie a acestora pentru a le maximiza eficacitatea.

Mecanisme tehnice de securitate:

  • Mecanisme suport: identificarea utilizatorilor, proceselor şi resurselor informationale, generarea, distribuirea, stocarea şi întretinerea cheilor de criptare, securitatea sistemului se integrează în securitatea sistemului de operare.
  • Mecanisme preventive: autentificarea utilizatorilor, diferite nivele de autorizatie, controlul accesului, utilizarea certificărilor digitale pentru ca expeditorul să nu poată nega că a trimis un mesaj şi destinatarul că la primit, protejarea comunicări în retea, păstrarea secretelor privitoare la tranzactii.
  • Mecanisme de detectare şi recuperare: auditul, detectarea şi oprirea intruziunilor, instalarea unui tool care analizează integritatea sistemului, posibilitatea de restabilire a stării de securitate după o breşă în securitate, detectarea şi distrugerea viruşilor.

Mecanisme manageriale de securitate:

  • Mecanisme preventive: atribuirea responsabilitătilor de securitate, dezvoltarea şi întretinerea planurilor de securitate ale sistemului, implementarea unor măsuri de securitate privind personalul (drepturi limitate, autentificare).
  • Mecanisme de detectare: efectuarea periodică de inspectie a măsurilor de securitate pentru a determina dacă mai sunt eficiente, auditul periodic al sistemului, asigurarea repetării periodice a paşilor managementului riscurilor.
  • Mecanisme de recuperare: stabilirea unei reactii în cazul unui incident.

Mecanisme operationale de securitate:

  • Mecanisme preventive: controlarea accesului la date, limitarea distributiei externe a datelor, controlarea existentei viruşilor, facilităti de securitate computerizate, plasarea într-un loc sigur a huburilor şi switchurilor, asigurarea backupului, asigurarea protectiei în caz de incendiu, controlarea umiditătii şi temperaturii şi protejarea laptopurilor, calculatoarelor şi workstationurilor, asigurarea unei surse de energie pentru urgente.
  • Mecanisme de detectare: asigurarea securitătii fizice (detectoare de mişcare, monitorizare video, alarme), asigurarea securitătii anturajului (detectoare de fum şi foc).

Implementarea măsurilor corespunzătoare reduc expunerea la riscuri prin:

  • Eliminarea unor vulnerabilităti ale sistemului.
  • Reducerea capacitătii şi motivatiei surselor de risc.
  • Reducerea mărimii impactului suferit în cazul unui atac.

Riscul rămas după implementarea măsurilor de reducere a expunerii la risc se numeşte risc rezidual. Acest risc există întotdeauna, deoarece în practică nu poate fi realizat un sistem IT care să nu fie amenintat de nici un risc.

Twitter Digg Delicious Stumbleupon Technorati Facebook


Nici un comentariu inca... Fii primul care lasa un comentariu!

Lasa un raspuns

This site is protected by Comment SPAM Wiper. This site is protected by WP-CopyRightPro