managementul riscurilor it bancas

7/28/2019 Managementul Riscurilor It Bancas

1/43

MANAGEMENTUL RISCURILOR

Riscuri ale mediului IT Hardware

Software OSSoftware AplicatiiDate

Riscuri asociate mediului IT Dezastre naturale

Furtul de date si aplicatiiErori umane

Incompetenta manageriala

Evaluarea riscurilor

Identificarea riscurilor Controlul ricurilor


2/43

Risc management - definitie

RM este procesul care permite

managerilor IT sa asigure un echilibru

intre costurile operationale si resurselefinanciare pentru masurile de protectie si

atingerea obiectivelor privind protejarea

datelor si sistemelor IT care sustinactivitatea organizatiei.


3/43

Risc management - definitie

De ce organizaiile implementeaz

managementul riscurilor IT?

Minimizarea impactului negativ asupraorganizaiei i nevoia unei base solide n

luarea deciziilor.


4/43

Managementul riscurilor IT

Factori de risc

Vulnerabilitatile sistemelor 1. ACCES

2. Numar de utilizatori

3. Solutii tehnice

Complexitate 1. ORGANIZATIEI

2. Sistemelor informationale

Ciclul de viata 1. Fazele ciclului de viata

2. Perenitatea sistemelor

Nivelul de incredere 1. Control intern

2. Profesionalismul angajatilor

3. Calitatea managementului

4. Climatul de munca

Calitatea documentatiilor


5/43

Managementul riscului IT

Procesul de management al riscului IT:

1.Identificarea vulnerabilitatilor2.Identificarea amenintarilor

3.Stabilirea masurilor de limitare a riscurilor

SCOPUL managementului riscurilor: reducerea

riscurilor la un nivel acceptat.


6/43

DEFINITII

Vulnerabilitate: un punct slabn sistemul IT

care poate afecta sistemul sau operaiile

acestuia, mai ales cnd aceast punct slab este

exploatat de o persoan ostil sau afectat

urmare a unui eveniment sau conjunctur.

Vulnerabilitile reprezint orice

caracteristici ale sistemului care l pot expunela ameninri.


7/43

Tipuri de vulnerabiliti

Vulnerabiliti hardware i software

Vulnerabiliti ale mediului de stocare

Vulnerabiliti ale mediului de comunicaii Vulnerabiliti umane

Vulnerabiliti fizice


8/43

DEFINIII

Ameninrilereprezint un pericol potenial lacare este expus un sistem constnd n: acces

neautorizat, alterri sau distrugerea datelor,

software-ului, resurselor harware i/sau de

comunicaie


9/43

Ameninri ex.Dezastre naturale, evenimente

sociale si/sau politice

Incendiu sau cldurexcesivInundaiiCutremure

Furtuni

RzboiMicri sociale virulente

Erori soft i funcionri

defectuoase ale hardware-ului

Erori hardware

Cderi ale sursei de curent sau fluctuaii aletensiunii

Erori nedetectate legate de transmisia datelor

Aciuni neintenionate Accidente generate de neglijen uman,nerespectarea procedurilor, pregatire sau

supraveghere insuficientGreeli neintenionate sau eroriPierderi de date

Erori logice

Sisteme care nu rspund nevoilor organizaiei

Acte intenionateSabotajFraude


10/43


Activitati specifice pentru fiecare categorie de

risc:

1.IDENTIFICARE

2.ANALIZA

3.EVALUAREA IMPACTULUI

4.EVALUAREA VULNERABILITATILOR5.MONITORIZARE

6.MASURI DE LIMITARE


11/43


ACTIUNI:

1. EVITATREA RISCURILOR (NU SE IMPLEMENTEAZA ACTIVITATI

GENERATOARE DE RISC)

2. LIMITATREA RISCURILOR PRIN IMPLEMENTAREA DECONTROALE PUTERNICE

3. TRANSFERUL RISCULUI PRIN OUTSOURCING

4. PREGATIREA MASURILOR DE LIMITARE A RISCURILOR SAU

ELIMINARE


12/43


CONSECINTELE RISCURILOR:

1.Pierderi financiare

2.Afectarea reputatiei3.Afectarea reputatiei tertilor

4.Pierderea oportunitatilor de afaceri

5.Reducerea performantei sistemelor IT si aorganizatiei

6.Pericole pentru personal


13/43


Evaluarea riscurilor este primul proces in

metodologia de risc management.

Organizatiile folosesc evaluarea riscurilor

pentru a determina extinderea potentialeloramenintari si riscurile asociare cu sistemele IT.

Rezultatele acestui process ajuta la

identificarea controalelor necesare pentrureducerea sau eliminarea riscului.


14/43

Evaluarea riscului

Riscul este o functie intre probabilitatea de aparitie

a unei surse de amenentare datorate unei

vulnerabilitati particulare si impactul asupra

organizatiei a unui eveniment advers. Pentru a determina probabilitatea unui eveniment

advers, trebuie analizate amenintarile sistemelor IT

in conjuctie cu vulnerabilitatile potentiale si

controalele implementate pentru sistemele IT.


15/43

Managementu ricului IT

Atacuri externe asupra sistemelor IT

Evaluarea riscurilor ACTIUNI

1. Securitatatea sistemului Identificarea

vulnerabilitatilor

1. Arhitectura sistemului IT

2. Probabilitatea de aparitie 2. Politica de securitate

3. Identificarea actiunii si a tipurilor de

tehnologie implicata

3. Managementul evenimentelor

4. Estimarea probabilitatii 4. Managementul evenimentelor


16/43


Etape metodologice


17/43


Etape metodologice


18/43



19/43

Pas 1 : CARACTERIZAREA

SISTEMULUI

Informatii privind sistemul:

1. Hardware

2. Software3. Interfee (ex: conectivitatea interni

extern)

4. Date i informaii


20/43


SISTEMULUI

5. Persoane carentrein i folosesc sistemul

informatic

6. Misiunea sistemului (ex: procesele executate

n cadrul sistemului informatic)

7. Sisteme i date critice (ex: valoarea sistemului

sau importana pentru organizaie)

8. Senzitivitatea sistemului i datelor


21/43


SISTEMULUI

Informaii suplimentare privind mediul

operaional al sistemului informatic i datele

acestuia includ:

1. Cerine funcionale a sistemului informatic

2. Utilizatorii sistemului (ex: utilizatorii

sistemului care ofer suport tehnic sistemului

informatic; aplicaiile utilizatorilor care

asigur funciile de business)


22/43


SISTEMULUI

3. Politici de securitate a sistemului (politici

organizationale, cerine generale, legislative,

practici ale domeniului)

4. Arhitectura de securitate a sistemului

5. Topologia reelei (ex: Diagrama reelei)

6. Protecia informaiei stocate i

disponibilitatea datelor, integritatea i

confidenialitatea datelor.


23/43


SISTEMULUI

7. Fluxul informaiei n sistemul informatic

(ex:interfeele sistemului, fluxul intrrilor i

ieirilor).

8. Controale tehnice folosite n sistem (ex:

produse de securitate implementate n sistem

pentru asigurarea identificrii i autentificrii,

controlul accesului, audit, proteciainformatiei, metode de criptare).


24/43

Pas 1 : CARACTERIZAREA SISTEMULUI

9. Controlul managementului n sistemul IT (ex: reguliprivind comportamentul utilizatorilor, planificarea

securitii).

10. Controale operaionale folosite n sistemul

informatic (ex: secuirtatea persoanelor, back-up,operaiuni de refacere a sistemului, mentenena

sistemului, stocarea off-site, proceduri pentru

crearea i anularea conturilor utilizator, controale ale

segregrii funciilor utilizatorilor cum ar fi accesulutilizatorilor privilegiati vs accesul utilizatorilor

standard).


25/43


SISTEMULUI

11. Securitatea fizic a mediului sistemului IT

(ex: faciliti de securitate, politicile centrului

de date).

12. Securitatea mediului implementat pentru

mediul sistemului IT (control al umiditii, ap,

curent electric, poluare, temperatur etc).


26/43

Pas 2: IDENTIFICAREA

AMENINRILOR O ameninare este eventualitatea unei surse

particulare de ameninare de a folosi cu

succes o vulnerabilitate.

O vulnerabilitate reprezint o slbiciune care

poate accidental declana un eveniment sau

poate fi exploatat intenionat.

O surs de ameninare nu reprezint un risc

atunci cnd nu exist o vulnerabilitate care s

poat fi folosit.


27/43

Pas 2: IDENTIFICAREA

AMENINRILOR In determinarea probabilitii de apariiei a

unei ameninri trebuie luate n considerare

sursele ameninrii i controalele existente.


28/43

Pas 2: Surse de ameninri

Dezastre naturale: inundaii, cutremure,

tornade, alunecri de teren, avalane, furtuni

electrice i alte astfel de evenimente.

Ameninri umane: Evenimente care suntfacilitate sau cauzate de oameni cum ar fi acte

unilaterale (introduceri de date greite) sau

aciuni deliberate (atacuri asupra reelelor,acces neautorizat la date confideniale).


29/43

Pas 2: Surse de ameninri

Ameninri ale mediului: cderi alealimentrii cu energie electric pe termen

lung, poluare, scurgeri de lichide.


30/43

Ameninri umane: sursa ameninrii, motivaie, aciuni

Sursa ameninrii Motivaie Aciuni

Hacker, cracker Provocare

EgoRzvrtire

Hacking

Social engineering Intruziuni

Acces neautorizat la

sisteme

Criminal computer Distrugerea informaiei

Dezvaluire ilegal deinformaii

Ctiguri bneti

Modificarea

neautorizat a datelor

Computer crime ( cyber

stalking=hartuire,afectarea intimitii)

Acte frauduloase

(interceptri)

Spoofing

Intruziuni n sistem

Teroriti antaj Distrugere

Expoatare

Rzbunare

Bombe Atacuri asupra

sistemelor (DoS)

Penetrarea sistemelor


31/43

Ameninri umane: sursa ameninrii, motivaie, aciuni

Spionaj industrial Avantaj competiionalSpionaj economic

Furt de informaiiIntruziuni in intimitatea

persoanelorPenetrarea sistemelor

Acces neautorizat

Persoane din interior (slab

pregtii, neglijeni,

neoneti)

Curiozitate

Ego

Inteligen

Rzbunare

Erori neintenionate i

omisiuni (erori introducere

date, erori de programare)

antaj

Folosire abuziv a

calculatorului

Fraud i furt

Introducere i falsificare

date

Virusi, bombe logice.

Troieni

Vnzarea informiilor

despre angajai

Erori ale sistemului

Acces neautorizat

Saborarea sistemului


32/43

Pasul 3: Identificarea vulnerabilitii

Vulnerabilitate/Ameninare

Vulnerabilitate Sursa ameninrii Aciunea ameninrii

Pentru fotii angajai nu au

fost anulate ID-urile

Foti angajai Accesarea reelei

companiei i accesarea

datelor

Parametrizarea neadecvat

a firewall-ului

Acces neautorizat (Hackeri,

foti angajai, teroriti)

Folosirea telnet pe serverul

respectiv

Vnztorul a identificat

lacune n sistemul de

securitate

Utilizatori neautorizati

(hackeri, angajati

nemultumiti, teroristi)

Obinerea accesului ne -

autorizat la date critice

folosind vulnerabilitile

identificate

Sisteme anti incendiu nuexist protecie pentru

echipamente

Incendiu, persoaneneglijente

Sistemele anti incendiupornite (fr a fi necesar)


33/43

Pas 4: Analiza controalelor

Tipuri de controale

Controale preventive blocheaz ncercrile s violare a

politici de securitate i includ controale cum ar fi

implementarea controlului accesului, criptarea,autentificarea.

Controale detective: avertizeaz asupra violrilor sau

ncercrilor de violare a politicii de securitate i

includ controale cum ar fi audit trail, metode pentru

detectarea intruziunilor etc.


34/43

Pas 5: Determinarea probabilitii

Rating pentru probabilitate (Ridicat, Mediu,Sczut)

Probabilitate Definitia probabilitii

Mare Sursa ameninrii este bine motivat i capabil,

si controale care s previn vulnerabilitatea sunt

ineficiente

Mediu Sursa ameninrii este motivat i capabil dar

exist controale care pot mpiedica folosirea

vulnerabilitiiSczut Sursei ameninrii i lipsesc motivatia si

cunotinele i controalele existente pot

mpiedica n mod semnificativ folosirea

vulnerabilitii


35/43

Pas 6: Analiza impactului

Definirea magnitudinii impactuluiImpact Definitie

Mare Valorificarea vulnerabilitii poate conduce la pierderi

mari privind active tangibile sau resurse; poate

influena semnificativ misiunea si reputatia

organizatiei sau profitul; poate determina decesul sau

rnirea personalului

Mediu Valorificarea vulnerabilitii poate conduce la pierderi

privind active tangibile sau resurse; poate influena

misiunea si reputatia organizatiei sau profitul; poate

determina rnirea personalului

Sczut Valorificarea vulnerabilitii poate conduce la unele

pierderi privind active tangibile sau resurse; poate

influena notabil misiunea si reputatia organizatiei sau

profitul.


36/43

Pas 7: Determinarea riscului

Matricea riscului

Determinarea riscului se face prinponderarea probabilitii cu impactul.

Tabela de mai jos arat cum ratingul

riscului poate fi determinat pe bazaintroducerii probabilitii si impactului.

Tabela de mai jos este de tip 3X3:

probabilitatea si impactul sunt stabilite

pe 3 niveluri (mare, mediu, sczut).


37/43


Matricea riscului

Probabilitatea stabilit pentru fiecare

ameninare prezint urmtoarele nivele: 1.0

pentru Mare, 0.5 pentru Mediu, 0.1 pentru

Sczut.

Valoarea asignat pentru fiecare nivel al

impactului este: 100 pentru Mare, 50 pentru

Mediu si 10 pentru Sczut.


38/43


Matricea riscului


39/43

Pas 7: Descrierea nivelului riscului

Scara riscului si aciuni necesare

Nevel de risc Descrierea riscului si aciuni necesare

Mare Dac o observaie sau deficien este evaluat cu risc

mare se impun msuri corective puternice. Sistemul va

continua s lucreze dar msurile corective vor trebui luate

urgent.

Mediu Dac o observaie este apreciat cu risc mediu sunt

necesare aciuni corective. Se va elabora un plan pentru

implementarea aciunilor ntr-o perioad de timp

rezonabil.

Sczut Dac observaia este apreciat cu risc sczut se decide

dacsunt necesare masuri corective sau se accept riscul.

d d l


40/43

Matrice de risc dezvoltat pe cinci

niveluri

d i i i d


41/43

Pas 8: Recomandri privindcontrolul

Scopul controalelor recomandate este de

a reduce nivelul de risc al sistemului IT

precum si al datelor la un nivel

acceptabil. Urmtorii factori trebuie luai

n considerare n recomandarea

controalelor i soluii alternative pentruminimizarea sau eliminarea riscurilor

identificate:

d i i i d


42/43

Pas 8: Recomandri privindcontrolul

Eficacitatea opiunilor recomandate (ex:

compatibilitatea sistemului)

Legislaie i reglementri

Politic organizaional

Impact operaional

Siguran i credibilitate.


43/43

Pas 9: Documentarea rezultatelor

Odat ce evaluarea riscurilor a fost realizat(sursele ameninrilor i vulnerabilitile

identificate, riscurile evaluate i formulate

recomandrile privind controalele), rezultatele

trebuie s fie documentate ntr-un raport

oficial.

Un raport de evaluare a riscurilor este un

raport de management care ajut

managementul s ia decizii privind politica,

procedurile, bugetul si sistemul operaional i

managementul riscurilor it bancas

Documents