MANAGEMENTUL RISCURILOR

Riscuri ale mediului IT Hardware Software OS Software Aplicatii Date Dezastre naturale Furtul de date si aplicatii Erori umane Incompetenta manageriala

Riscuri asociate mediului IT

Identificarea riscurilor

Evaluarea riscurilor

Controlul ricurilor

Risc management - definitie

RM este procesul care permite managerilor IT sa asigure un echilibru intre costurile operationale si resursele financiare pentru masurile de protectie si atingerea obiectivelor privind protejarea datelor si sistemelor IT care sustin activitatea organizatiei.

Risc management - definitie

De ce organizatiile implementeaza managementul riscurilor IT? Minimizarea impactului negativ asupra organizatiei si nevoia unei base solide in luarea deciziilor.

Managementul riscurilor IT Factori de risc

Vulnerabilitatile sistemelor 1. ACCES 2. Numar de utilizatori 3. Solutii tehnice 1. ORGANIZATIEI 2. Sistemelor informationale 1. Fazele ciclului de viata 2. Perenitatea sistemelor 1. 2. 3. 4. Control intern Profesionalismul angajatilor Calitatea managementului Climatul de munca

Complexitate Ciclul de viata Nivelul de incredere

Calitatea documentatiilor

Managementul riscului IT
Procesul de management al riscului IT: 1.Identificarea vulnerabilitatilor 2.Identificarea amenintarilor 3.Stabilirea masurilor de limitare a riscurilor SCOPUL managementului riscurilor: reducerea riscurilor la un nivel acceptat.

Managementul riscului IT
Activitati specifice pentru fiecare categorie de risc: 1.IDENTIFICARE 2.ANALIZA 3.EVALUAREA IMPACTULUI 4.EVALUAREA VULNERABILITATILOR 5.MONITORIZARE 6.MASURI DE LIMITARE

Managementul riscului IT
ACTIUNI: 1. EVITATREA RISCURILOR (NU SE IMPLEMENTEAZA ACTIVITATI GENERATOARE DE RISC) 2. LIMITATREA RISCURILOR PRIN IMPLEMENTAREA DE CONTROALE PUTERNICE 3. TRANSFERUL RISCULUI PRIN EXTERNALIZARE (OUTSOURCING) 4. PREGATIREA MASURILOR DE LIMITARE A RISCURILOR SAU ELIMINARE

Managementul riscului IT
CONSECINTELE RISCURILOR: 1.Pierderi financiare 2.Afectarea reputatiei 3.Afectarea reputatiei tertilor 4.Pierderea oportunitatilor de afaceri 5.Reducerea performantei sistemelor IT si a organizatiei 6.Pericole pentru personal

Managementul riscului IT
Evaluarea riscurilor este o activitate n cadrul metodologiei de management al riscului. Organizatiile folosesc evaluarea riscurilor pentru a determina extinderea potentialelor amenintari si riscurile asociare cu sistemele IT. Rezultatele acestui proces ajuta la identificarea controalelor necesare pentru reducerea sau eliminarea riscului.

Evaluarea riscului
Riscul este o functie intre probabilitatea de aparitie a unei surse de amenintare datorate unei vulnerabilitati particulare si impactul asupra organizatiei a unui eveniment advers. Pentru a determina probabilitatea unui eveniment advers, trebuie analizate amenintarile sistemelor IT in conjuctie cu vulnerabilitatile potentiale si controalele implementate pentru sistemele IT.

Managementu riscului IT Atacuri externe asupra sistemelor IT

Evaluarea riscurilor 1. Securitatatea sistemului. Identificarea vulnerabilitatilor ACTIUNI 1. Arhitectura sistemului IT

2. Probabilitatea de aparitie 3. Identificarea actiunii si a tipurilor de tehnologie implicata

2. Politica de securitate 3. Managementul evenimentelor

4. Estimarea probabilitatii

4. Managementul evenimentelor

Evaluarea riscurilor - Etape metodologice

Sursa: NIST- Risk Management Guide for Information Technology Systems

Evaluarea riscurilor
Etape metodologice

Evaluarea riscurilor

Pas 1 : CARACTERIZAREA SISTEMULUI

Informatii privind sistemul: 1. Hardware 2. Software 3. Interfete (ex., conectivitatea interna si externa) 4. Date si informatii

Pas 1 : CARACTERIZAREA SISTEMULUI

5. Persoane care ntrein i folosesc sistemul informatic 6. Misiunea sistemului (ex: procesele executate in cadrul sistemului informatic) 7. Sisteme i date critice (ex: valoarea sistemului sau importanta pentru organizatie) 8. Senzitivitatea sistemului si datelor

Pas 1 : CARACTERIZAREA SISTEMULUI

Informaii suplimentare privind mediul operaional al sistemului informatic i datele acestuia includ: 1. Cerine funcionale ale sistemului informatic 2. Utilizatorii sistemului (ex: utilizatorii sistemului care ofer suport tehnic sistemului informatic; aplicaiile utilizatorilor care asigur funciile de business)

Pas 1 : CARACTERIZAREA SISTEMULUI

3. Politici de securitate a sistemului (politici organizationale, cerine generale, legislative, practici ale domeniului) 4. Arhitectura de securitate a sistemului 5. Topologia reelei (ex. Diagrama reelei) 6. Protecia informaiei stocate i disponibilitatea datelor, integritatea i confidenialitatea datelor.

Pas 1 : CARACTERIZAREA SISTEMULUI

7. Fluxul informatiei in sistemul informatic (ex:interfetele sistemului, fluxul intrrilor i ieirilor). 8. Controale tehnice folosite n sistem (ex: produse de securitate implementate in sistem pentru asigurarea identificrii i autentificrii, controlul accesului, audit, protecia informatiei, metode de criptare).

Pas 1 : CARACTERIZAREA SISTEMULUI

9. Controlul managementului in sistemul IT (ex: reguli
privind comportamentul utilizatorilor, planificarea securitii). 10. Controale operaionale folosite n sistemul informatic (ex: securitatea persoanelor, back-up, operaiuni de refacere a sistemului, mentenana sistemului, stocarea off-site, proceduri pentru crearea si anularea conturilor utilizator, controale ale segregrii funciilor utilizatorilor cum ar fi accesul utilizatorilor privilegiati vs accesul utilizatorilor standard).

Pas 1 : CARACTERIZAREA SISTEMULUI

11. Securitatea fizic a mediului sistemului IT (ex: faciliti de securitate, politicile centrului de date). 12. Securitatea mediului implementat pentru mediul sistemului IT (control al umiditii, ap, curent electric, poluare, temperatur etc).

Pas 2: IDENTIFICAREA AMENINRILOR

O ameninare este eventualitatea unei surse particulare de ameninare de a folosi cu succes o vulnerabilitate. O vulnerabilitate reprezint o slbiciune care poate accidental declana un eveniment sau poate fi exploatat intenionat. O surs de ameninare nu reprezint un risc atunci cnd nu exist o vulnerabilitate care s poat fi folosit.

Pas 2: IDENTIFICAREA AMENINRILOR

In determinarea probabilitii de apariiei a unei ameninri trebuie luate n considerare sursele ameninrii i controalele existente.

Pas 2: Surse de ameninri

Dezastre naturale: inundaii, cutremure, tornade, alunecri de teren, avalane, furtuni electrice i alte astfel de evenimente. Ameninri umane: Evenimente care sunt facilitate sau cauzate de oameni cum ar fi acte unilaterale (introduceri de date greite) sau aciuni deliberate (atacuri asupra reelelor, acces neautorizat la date confideniale).

Pas 2: Surse de ameninri

Ameninri ale mediului: cderi ale alimentrii cu energie electric pe termen lung, poluare, scurgeri de lichide.

Top 4 - amenintari interne ale securitatii informatiei

Un studiu realizat in anul 2004 de catre Mazu Networks, o companie de securitate a informatiei, si Enterprise Strategy Group, o firma de analiza din domeniul securitatii informatiei, ce are la baza raspunsurile a 229 de profesionisti IT responsabili cu securitatea informatiei in companiile unde lucreaza (cu cifre de afaceri situate intre 50 milioane USD si 5 miliarde USD) din 18 domenii de activitate a relevat faptul ca mai bine de un sfert din companiile intervievate au avut un incident de securitate din interior. Studiul a mai pus in evidenta faptul ca personalul din IT nu are o incredere prea mare in politicile de acces si in regulile firewall-urilor, doar 28% dintre ei raspunzand afirmativ.

Top 4 - amenintari interne ale securitatii informatiei

Studiul realizat de cele doua organizatii a mai scos la lumina si cele mai importante tipuri de vulnerabilitati interne ale unei companii: 1.Existenta unui cont de user activ care apartine unui fost angajat al companiei (46%); 2.Configurarea gresita a echipamentelor si aplicatiilor din retea (44%); 3.Puncte de acces wireless nesecurizate (31%); 4.Noduri de retea cu parole implicite (26%);

Raportul CERT Insider Threat Study 2005

Raportul dat publicitatii de catre organizatia Computer Emergency Readiness Team (CERT) a analizat atat aspectele comportamentale, cat si cele tehnice ale amenintarilor provenite din interiorul companiilor. Studiul efectuat a evidentiat faptul ca impactul majoritatii incidentelor interne de securitate din domeniul financiar-bancar ce au avut loc intre anii 1996-2002 s-a constituit intr-o pierdere financiara suferita de catre companiile afectate; in 30% din cazuri, pierderile financiare au depasit 500.000 USD.

Raportul CERT a sumarizat mai multe tipuri de incidente din sectorul financiar bancar:
intrusii au fost persoane autorizate cu un cont de user activ; in cele mai multe cazuri, intrusii au avut o expertiza tehnica limitata, exploatand vulnerabilitati nontehnice; in cele mai multe cazuri, intrusii au planuit atacurile, iar persoane din companie au avut cunostinta despre intentiile acestora; intrusii au executat atacurile din interiorul companiei, de la propriul loc de munca, in timpul programului;

Raportul CERT a sumarizat mai multe tipuri de incidente din sectorul financiar bancar:
cei mai multi intrusi au fost motivati de castiguri financiare, si nu de dorinta de a face rau, in mod intentionat, companiei; 23% dintre intrusi detineau o pozitie tehnica; 13% dintre intrusi au aratat un interes vadit catre cracking; 27% dintre intrusi fusesera luati in vizor de catre un superior, inainte de incident.

Hacker vs cracker
Hacker = expert in calculatoare Cracker = cel care realizeaza un acces neutorizat (spargere parole, utilizare brese de securitate etc) Haxor = cracker care utilizeaza pentru actiunile sale programe realizate de alte persoane, neavand cunostinte avansate de informatica

Ameninri umane: sursa ameninrii, motivaie, aciuni

Sursa ameninrii Hacker, cracker Motivaie Provocare Ego Rzvrtire Aciuni Hacking Social engineering Intruziuni Acces neautorizat la sisteme Computer crime ( cyber stalking=hartuire, afectarea intimitii) Acte frauduloase (interceptri) Spoofing Intruziuni n sistem Bombe Atacuri asupra sistemelor (DoS) Penetrarea sistemelor

Criminal computer

Distrugerea informaiei Dezvaluire ilegal de informaii Ctiguri bneti Modificarea neautorizat a datelor antaj Distrugere Expoatare Rzbunare

Teroriti

Ameninri umane: sursa ameninrii, motivaie, aciuni

Spionaj industrial Avantaj competiional Spionaj economic Furt de informaii Intruziuni in intimitatea persoanelor Penetrarea sistemelor Acces neautorizat antaj Folosire abuziv a calculatorului Fraud i furt Introducere i falsificare date Virusi, bombe logice. Troieni Vnzarea informiilor despre angajai Erori ale sistemului Acces neautorizat Saborarea sistemului

Persoane din interior (slab treinuii, neglijeni, neoneti)

Curiozitate Ego Inteligen Rzbunare Erori neintenionate i omisiuni (erori introducere date, erori de programare)

Pasul 3: Identificarea vulnerabilitii Vulnerabilitate/Ameninare

Vulnerabilitate Pentru fotii angajai nu au fost anulate ID-urile Sursa ameninrii Foti angajai Aciunea ameninrii Accesarea reelei companiei i accesarea datelor Folosirea telnet pe serverul respectiv Obinerea accesului neautorizat la date critice folosind vulnerabilitile identificate Sistemele anti incendiu pornite (fr a fi necesar)

Parametrizarea neadecvat Acces neautorizat (Hackeri, a firewall-ului foti angajai, teroriti) Vnztorul a identificat lacune n sistemul de securitate Sisteme anti incendiu (stropitori ap) nu exist protecie pentru echipamente Utilizatori neautorizati (hackeri, angajati nemultumiti, teroristi) Incendiu, persoane neglijente

Pas 4: Analiza controalelor

Tipuri de controale Controale preventive blocheaz ncercrile de violare a politicii de securitate i includ controale cum ar fi implementarea controlului accesului, criptarea, autentificarea. Controale detective: avertizeaz asupra violrilor sau ncercrilor de violare a politicii de securitate i includ controale cum ar fi audit trail, metode pentru detectarea intruziunilor etc.

Pas 5: Determinarea probabilitii

Rating pentru probabilitate (Ridicat, Mediu, Sczut)
Probabilitate Mare Definitia probabilitii Sursa ameninrii este bine motivat i capabil, si controalele care s previn vulnerabilitatea sunt ineficiente Sursa ameninrii este motivat i capabil dar exist controale care pot mpiedica folosirea vulnerabilitii Sursei ameninrii i lipsesc motivatia si cunotinele i controalele existente pot mpiedica n mod semnificativ folosirea vulnerabilitii

Mediu

Sczut

Pas 6: Analiza impactului

Definirea magnitudinii impactului
Impact Mare Definitie Valorificarea vulnerabilitii poate conduce la pierderi mari privind active tangibile sau resurse; poate influena semnificativ misiunea si reputatia organizatiei sau profitul; poate determina decesul sau rnirea personalului Valorificarea vulnerabilitii poate conduce la pierderi privind active tangibile sau resurse; poate influena misiunea si reputatia organizatiei sau profitul; poate determina rnirea personalului Valorificarea vulnerabilitii poate conduce la unele pierderi privind active tangibile sau resurse; poate influena notabil misiunea si reputatia organizatiei sau profitul.

Mediu

Sczut

Pas 7: Determinarea riscului Matricea riscului

Determinarea riscului se face prin ponderarea probabilitii cu impactul. Tabela de mai jos arat cum ratingul riscului poate fi determinat pe baza introducerii probabilitii si impactului. Tabelul de mai jos este de tip 3X3: probabilitatea si impactul sunt stabilite pe 3 niveluri (mare, mediu, sczut).

Pas 7: Determinarea riscului Matricea riscului

Probabilitatea stabilit pentru fiecare ameninare prezint urmtoarele nivele: 1.0 pentru Mare, 0.5 pentru Mediu, 0.1 pentru Sczut. Valoarea asignat pentru fiecare nivel al impactului este: 100 pentru Mare, 50 pentru Mediu si 10 pentru Sczut.

Pas 7: Determinarea riscului Matricea riscului

Pas 7: Descrierea nivelului riscului Scara riscului si aciuni necesare

Nevel de risc Mare Descrierea riscului si aciuni necesare Dac o observaie sau deficien este evaluat cu risc mare se impun msuri corective puternice. Sistemul va continua s lucreze dar msurile corective vor trebui luate urgent. Dac o observaie este apreciat cu risc mediu sunt necesare aciuni corective. Se va elabora un plan pentru implementarea aciunilor ntr-o perioad de timp rezonabil. Dac observaia este apreciat cu risc sczut se decide dac sunt necesare masuri corective sau se accept riscul.

Mediu

Sczut

Matrice de risc dezvoltat pe cinci niveluri

Pas 8: Recomandri privind controlul

Scopul controalelor recomandate este de a reduce nivelul de risc al sistemului IT precum si al datelor la un nivel acceptabil. Urmtorii factori trebuie luai n considerare n recomandarea controalelor i soluii alternative pentru minimizarea sau eliminarea riscurilor identificate:

Pas 8: Recomandri privind controlul

Eficacitatea opiunilor recomandate (ex: compatibilitatea sistemului) Legislaie i reglementri Politic organizaional Impact operaional Siguran i credibilitate.

Pas 9: Documentarea rezultatelor

Odat ce evaluarea riscurilor a fost realizat (sursele ameninrilor i vulnerabilitile identificate, riscurile evaluate i formulate recomandrile privind controalele), rezultatele trebuie s fie documentate ntr-un raport oficial. Un raport de evaluare a riscurilor este un raport de management care ajut managementul s ia decizii privind politica, procedurile, bugetul si sistemul operaional i schimbrile de management.