managementul riscurilor it bancas
TRANSCRIPT
-
7/28/2019 Managementul Riscurilor It Bancas
1/43
MANAGEMENTUL RISCURILOR
Riscuri ale mediului IT Hardware
Software OSSoftware AplicatiiDate
Riscuri asociate mediului IT Dezastre naturale
Furtul de date si aplicatiiErori umane
Incompetenta manageriala
Evaluarea riscurilor
Identificarea riscurilor Controlul ricurilor
-
7/28/2019 Managementul Riscurilor It Bancas
2/43
Risc management - definitie
RM este procesul care permite
managerilor IT sa asigure un echilibru
intre costurile operationale si resurselefinanciare pentru masurile de protectie si
atingerea obiectivelor privind protejarea
datelor si sistemelor IT care sustinactivitatea organizatiei.
-
7/28/2019 Managementul Riscurilor It Bancas
3/43
Risc management - definitie
De ce organizaiile implementeaz
managementul riscurilor IT?
Minimizarea impactului negativ asupraorganizaiei i nevoia unei base solide n
luarea deciziilor.
-
7/28/2019 Managementul Riscurilor It Bancas
4/43
Managementul riscurilor IT
Factori de risc
Vulnerabilitatile sistemelor 1. ACCES
2. Numar de utilizatori
3. Solutii tehnice
Complexitate 1. ORGANIZATIEI
2. Sistemelor informationale
Ciclul de viata 1. Fazele ciclului de viata
2. Perenitatea sistemelor
Nivelul de incredere 1. Control intern
2. Profesionalismul angajatilor
3. Calitatea managementului
4. Climatul de munca
Calitatea documentatiilor
-
7/28/2019 Managementul Riscurilor It Bancas
5/43
Managementul riscului IT
Procesul de management al riscului IT:
1.Identificarea vulnerabilitatilor2.Identificarea amenintarilor
3.Stabilirea masurilor de limitare a riscurilor
SCOPUL managementului riscurilor: reducerea
riscurilor la un nivel acceptat.
-
7/28/2019 Managementul Riscurilor It Bancas
6/43
DEFINITII
Vulnerabilitate: un punct slabn sistemul IT
care poate afecta sistemul sau operaiile
acestuia, mai ales cnd aceast punct slab este
exploatat de o persoan ostil sau afectat
urmare a unui eveniment sau conjunctur.
Vulnerabilitile reprezint orice
caracteristici ale sistemului care l pot expunela ameninri.
-
7/28/2019 Managementul Riscurilor It Bancas
7/43
Tipuri de vulnerabiliti
Vulnerabiliti hardware i software
Vulnerabiliti ale mediului de stocare
Vulnerabiliti ale mediului de comunicaii Vulnerabiliti umane
Vulnerabiliti fizice
-
7/28/2019 Managementul Riscurilor It Bancas
8/43
DEFINIII
Ameninrilereprezint un pericol potenial lacare este expus un sistem constnd n: acces
neautorizat, alterri sau distrugerea datelor,
software-ului, resurselor harware i/sau de
comunicaie
-
7/28/2019 Managementul Riscurilor It Bancas
9/43
Ameninri ex.Dezastre naturale, evenimente
sociale si/sau politice
Incendiu sau cldurexcesivInundaiiCutremure
Furtuni
RzboiMicri sociale virulente
Erori soft i funcionri
defectuoase ale hardware-ului
Erori hardware
Cderi ale sursei de curent sau fluctuaii aletensiunii
Erori nedetectate legate de transmisia datelor
Aciuni neintenionate Accidente generate de neglijen uman,nerespectarea procedurilor, pregatire sau
supraveghere insuficientGreeli neintenionate sau eroriPierderi de date
Erori logice
Sisteme care nu rspund nevoilor organizaiei
Acte intenionateSabotajFraude
-
7/28/2019 Managementul Riscurilor It Bancas
10/43
Managementul riscului IT
Activitati specifice pentru fiecare categorie de
risc:
1.IDENTIFICARE
2.ANALIZA
3.EVALUAREA IMPACTULUI
4.EVALUAREA VULNERABILITATILOR5.MONITORIZARE
6.MASURI DE LIMITARE
-
7/28/2019 Managementul Riscurilor It Bancas
11/43
Managementul riscului IT
ACTIUNI:
1. EVITATREA RISCURILOR (NU SE IMPLEMENTEAZA ACTIVITATI
GENERATOARE DE RISC)
2. LIMITATREA RISCURILOR PRIN IMPLEMENTAREA DECONTROALE PUTERNICE
3. TRANSFERUL RISCULUI PRIN OUTSOURCING
4. PREGATIREA MASURILOR DE LIMITARE A RISCURILOR SAU
ELIMINARE
-
7/28/2019 Managementul Riscurilor It Bancas
12/43
Managementul riscului IT
CONSECINTELE RISCURILOR:
1.Pierderi financiare
2.Afectarea reputatiei3.Afectarea reputatiei tertilor
4.Pierderea oportunitatilor de afaceri
5.Reducerea performantei sistemelor IT si aorganizatiei
6.Pericole pentru personal
-
7/28/2019 Managementul Riscurilor It Bancas
13/43
Managementul riscului IT
Evaluarea riscurilor este primul proces in
metodologia de risc management.
Organizatiile folosesc evaluarea riscurilor
pentru a determina extinderea potentialeloramenintari si riscurile asociare cu sistemele IT.
Rezultatele acestui process ajuta la
identificarea controalelor necesare pentrureducerea sau eliminarea riscului.
-
7/28/2019 Managementul Riscurilor It Bancas
14/43
Evaluarea riscului
Riscul este o functie intre probabilitatea de aparitie
a unei surse de amenentare datorate unei
vulnerabilitati particulare si impactul asupra
organizatiei a unui eveniment advers. Pentru a determina probabilitatea unui eveniment
advers, trebuie analizate amenintarile sistemelor IT
in conjuctie cu vulnerabilitatile potentiale si
controalele implementate pentru sistemele IT.
-
7/28/2019 Managementul Riscurilor It Bancas
15/43
Managementu ricului IT
Atacuri externe asupra sistemelor IT
Evaluarea riscurilor ACTIUNI
1. Securitatatea sistemului Identificarea
vulnerabilitatilor
1. Arhitectura sistemului IT
2. Probabilitatea de aparitie 2. Politica de securitate
3. Identificarea actiunii si a tipurilor de
tehnologie implicata
3. Managementul evenimentelor
4. Estimarea probabilitatii 4. Managementul evenimentelor
-
7/28/2019 Managementul Riscurilor It Bancas
16/43
Evaluarea riscurilor
Etape metodologice
-
7/28/2019 Managementul Riscurilor It Bancas
17/43
Evaluarea riscurilor
Etape metodologice
-
7/28/2019 Managementul Riscurilor It Bancas
18/43
Evaluarea riscurilor
-
7/28/2019 Managementul Riscurilor It Bancas
19/43
Pas 1 : CARACTERIZAREA
SISTEMULUI
Informatii privind sistemul:
1. Hardware
2. Software3. Interfee (ex: conectivitatea interni
extern)
4. Date i informaii
-
7/28/2019 Managementul Riscurilor It Bancas
20/43
Pas 1 : CARACTERIZAREA
SISTEMULUI
5. Persoane carentrein i folosesc sistemul
informatic
6. Misiunea sistemului (ex: procesele executate
n cadrul sistemului informatic)
7. Sisteme i date critice (ex: valoarea sistemului
sau importana pentru organizaie)
8. Senzitivitatea sistemului i datelor
-
7/28/2019 Managementul Riscurilor It Bancas
21/43
Pas 1 : CARACTERIZAREA
SISTEMULUI
Informaii suplimentare privind mediul
operaional al sistemului informatic i datele
acestuia includ:
1. Cerine funcionale a sistemului informatic
2. Utilizatorii sistemului (ex: utilizatorii
sistemului care ofer suport tehnic sistemului
informatic; aplicaiile utilizatorilor care
asigur funciile de business)
-
7/28/2019 Managementul Riscurilor It Bancas
22/43
Pas 1 : CARACTERIZAREA
SISTEMULUI
3. Politici de securitate a sistemului (politici
organizationale, cerine generale, legislative,
practici ale domeniului)
4. Arhitectura de securitate a sistemului
5. Topologia reelei (ex: Diagrama reelei)
6. Protecia informaiei stocate i
disponibilitatea datelor, integritatea i
confidenialitatea datelor.
-
7/28/2019 Managementul Riscurilor It Bancas
23/43
Pas 1 : CARACTERIZAREA
SISTEMULUI
7. Fluxul informaiei n sistemul informatic
(ex:interfeele sistemului, fluxul intrrilor i
ieirilor).
8. Controale tehnice folosite n sistem (ex:
produse de securitate implementate n sistem
pentru asigurarea identificrii i autentificrii,
controlul accesului, audit, proteciainformatiei, metode de criptare).
-
7/28/2019 Managementul Riscurilor It Bancas
24/43
Pas 1 : CARACTERIZAREA SISTEMULUI
9. Controlul managementului n sistemul IT (ex: reguliprivind comportamentul utilizatorilor, planificarea
securitii).
10. Controale operaionale folosite n sistemul
informatic (ex: secuirtatea persoanelor, back-up,operaiuni de refacere a sistemului, mentenena
sistemului, stocarea off-site, proceduri pentru
crearea i anularea conturilor utilizator, controale ale
segregrii funciilor utilizatorilor cum ar fi accesulutilizatorilor privilegiati vs accesul utilizatorilor
standard).
-
7/28/2019 Managementul Riscurilor It Bancas
25/43
Pas 1 : CARACTERIZAREA
SISTEMULUI
11. Securitatea fizic a mediului sistemului IT
(ex: faciliti de securitate, politicile centrului
de date).
12. Securitatea mediului implementat pentru
mediul sistemului IT (control al umiditii, ap,
curent electric, poluare, temperatur etc).
-
7/28/2019 Managementul Riscurilor It Bancas
26/43
Pas 2: IDENTIFICAREA
AMENINRILOR O ameninare este eventualitatea unei surse
particulare de ameninare de a folosi cu
succes o vulnerabilitate.
O vulnerabilitate reprezint o slbiciune care
poate accidental declana un eveniment sau
poate fi exploatat intenionat.
O surs de ameninare nu reprezint un risc
atunci cnd nu exist o vulnerabilitate care s
poat fi folosit.
-
7/28/2019 Managementul Riscurilor It Bancas
27/43
Pas 2: IDENTIFICAREA
AMENINRILOR In determinarea probabilitii de apariiei a
unei ameninri trebuie luate n considerare
sursele ameninrii i controalele existente.
-
7/28/2019 Managementul Riscurilor It Bancas
28/43
Pas 2: Surse de ameninri
Dezastre naturale: inundaii, cutremure,
tornade, alunecri de teren, avalane, furtuni
electrice i alte astfel de evenimente.
Ameninri umane: Evenimente care suntfacilitate sau cauzate de oameni cum ar fi acte
unilaterale (introduceri de date greite) sau
aciuni deliberate (atacuri asupra reelelor,acces neautorizat la date confideniale).
-
7/28/2019 Managementul Riscurilor It Bancas
29/43
Pas 2: Surse de ameninri
Ameninri ale mediului: cderi alealimentrii cu energie electric pe termen
lung, poluare, scurgeri de lichide.
-
7/28/2019 Managementul Riscurilor It Bancas
30/43
Ameninri umane: sursa ameninrii, motivaie, aciuni
Sursa ameninrii Motivaie Aciuni
Hacker, cracker Provocare
EgoRzvrtire
Hacking
Social engineering Intruziuni
Acces neautorizat la
sisteme
Criminal computer Distrugerea informaiei
Dezvaluire ilegal deinformaii
Ctiguri bneti
Modificarea
neautorizat a datelor
Computer crime ( cyber
stalking=hartuire,afectarea intimitii)
Acte frauduloase
(interceptri)
Spoofing
Intruziuni n sistem
Teroriti antaj Distrugere
Expoatare
Rzbunare
Bombe Atacuri asupra
sistemelor (DoS)
Penetrarea sistemelor
-
7/28/2019 Managementul Riscurilor It Bancas
31/43
Ameninri umane: sursa ameninrii, motivaie, aciuni
Spionaj industrial Avantaj competiionalSpionaj economic
Furt de informaiiIntruziuni in intimitatea
persoanelorPenetrarea sistemelor
Acces neautorizat
Persoane din interior (slab
pregtii, neglijeni,
neoneti)
Curiozitate
Ego
Inteligen
Rzbunare
Erori neintenionate i
omisiuni (erori introducere
date, erori de programare)
antaj
Folosire abuziv a
calculatorului
Fraud i furt
Introducere i falsificare
date
Virusi, bombe logice.
Troieni
Vnzarea informiilor
despre angajai
Erori ale sistemului
Acces neautorizat
Saborarea sistemului
-
7/28/2019 Managementul Riscurilor It Bancas
32/43
Pasul 3: Identificarea vulnerabilitii
Vulnerabilitate/Ameninare
Vulnerabilitate Sursa ameninrii Aciunea ameninrii
Pentru fotii angajai nu au
fost anulate ID-urile
Foti angajai Accesarea reelei
companiei i accesarea
datelor
Parametrizarea neadecvat
a firewall-ului
Acces neautorizat (Hackeri,
foti angajai, teroriti)
Folosirea telnet pe serverul
respectiv
Vnztorul a identificat
lacune n sistemul de
securitate
Utilizatori neautorizati
(hackeri, angajati
nemultumiti, teroristi)
Obinerea accesului ne -
autorizat la date critice
folosind vulnerabilitile
identificate
Sisteme anti incendiu nuexist protecie pentru
echipamente
Incendiu, persoaneneglijente
Sistemele anti incendiupornite (fr a fi necesar)
-
7/28/2019 Managementul Riscurilor It Bancas
33/43
Pas 4: Analiza controalelor
Tipuri de controale
Controale preventive blocheaz ncercrile s violare a
politici de securitate i includ controale cum ar fi
implementarea controlului accesului, criptarea,autentificarea.
Controale detective: avertizeaz asupra violrilor sau
ncercrilor de violare a politicii de securitate i
includ controale cum ar fi audit trail, metode pentru
detectarea intruziunilor etc.
-
7/28/2019 Managementul Riscurilor It Bancas
34/43
Pas 5: Determinarea probabilitii
Rating pentru probabilitate (Ridicat, Mediu,Sczut)
Probabilitate Definitia probabilitii
Mare Sursa ameninrii este bine motivat i capabil,
si controale care s previn vulnerabilitatea sunt
ineficiente
Mediu Sursa ameninrii este motivat i capabil dar
exist controale care pot mpiedica folosirea
vulnerabilitiiSczut Sursei ameninrii i lipsesc motivatia si
cunotinele i controalele existente pot
mpiedica n mod semnificativ folosirea
vulnerabilitii
-
7/28/2019 Managementul Riscurilor It Bancas
35/43
Pas 6: Analiza impactului
Definirea magnitudinii impactuluiImpact Definitie
Mare Valorificarea vulnerabilitii poate conduce la pierderi
mari privind active tangibile sau resurse; poate
influena semnificativ misiunea si reputatia
organizatiei sau profitul; poate determina decesul sau
rnirea personalului
Mediu Valorificarea vulnerabilitii poate conduce la pierderi
privind active tangibile sau resurse; poate influena
misiunea si reputatia organizatiei sau profitul; poate
determina rnirea personalului
Sczut Valorificarea vulnerabilitii poate conduce la unele
pierderi privind active tangibile sau resurse; poate
influena notabil misiunea si reputatia organizatiei sau
profitul.
-
7/28/2019 Managementul Riscurilor It Bancas
36/43
Pas 7: Determinarea riscului
Matricea riscului
Determinarea riscului se face prinponderarea probabilitii cu impactul.
Tabela de mai jos arat cum ratingul
riscului poate fi determinat pe bazaintroducerii probabilitii si impactului.
Tabela de mai jos este de tip 3X3:
probabilitatea si impactul sunt stabilite
pe 3 niveluri (mare, mediu, sczut).
-
7/28/2019 Managementul Riscurilor It Bancas
37/43
Pas 7: Determinarea riscului
Matricea riscului
Probabilitatea stabilit pentru fiecare
ameninare prezint urmtoarele nivele: 1.0
pentru Mare, 0.5 pentru Mediu, 0.1 pentru
Sczut.
Valoarea asignat pentru fiecare nivel al
impactului este: 100 pentru Mare, 50 pentru
Mediu si 10 pentru Sczut.
-
7/28/2019 Managementul Riscurilor It Bancas
38/43
Pas 7: Determinarea riscului
Matricea riscului
-
7/28/2019 Managementul Riscurilor It Bancas
39/43
Pas 7: Descrierea nivelului riscului
Scara riscului si aciuni necesare
Nevel de risc Descrierea riscului si aciuni necesare
Mare Dac o observaie sau deficien este evaluat cu risc
mare se impun msuri corective puternice. Sistemul va
continua s lucreze dar msurile corective vor trebui luate
urgent.
Mediu Dac o observaie este apreciat cu risc mediu sunt
necesare aciuni corective. Se va elabora un plan pentru
implementarea aciunilor ntr-o perioad de timp
rezonabil.
Sczut Dac observaia este apreciat cu risc sczut se decide
dacsunt necesare masuri corective sau se accept riscul.
d d l
-
7/28/2019 Managementul Riscurilor It Bancas
40/43
Matrice de risc dezvoltat pe cinci
niveluri
d i i i d
-
7/28/2019 Managementul Riscurilor It Bancas
41/43
Pas 8: Recomandri privindcontrolul
Scopul controalelor recomandate este de
a reduce nivelul de risc al sistemului IT
precum si al datelor la un nivel
acceptabil. Urmtorii factori trebuie luai
n considerare n recomandarea
controalelor i soluii alternative pentruminimizarea sau eliminarea riscurilor
identificate:
d i i i d
-
7/28/2019 Managementul Riscurilor It Bancas
42/43
Pas 8: Recomandri privindcontrolul
Eficacitatea opiunilor recomandate (ex:
compatibilitatea sistemului)
Legislaie i reglementri
Politic organizaional
Impact operaional
Siguran i credibilitate.
-
7/28/2019 Managementul Riscurilor It Bancas
43/43
Pas 9: Documentarea rezultatelor
Odat ce evaluarea riscurilor a fost realizat(sursele ameninrilor i vulnerabilitile
identificate, riscurile evaluate i formulate
recomandrile privind controalele), rezultatele
trebuie s fie documentate ntr-un raport
oficial.
Un raport de evaluare a riscurilor este un
raport de management care ajut
managementul s ia decizii privind politica,
procedurile, bugetul si sistemul operaional i