ANALIZA PE POST A RISCULUI DE SECURITATE


Managementul securităţii informaţiei implică fiecare persoană care interacţionează cu informaţia, în general, poate fi orice persoană care atinge tastatura sau mouse-ul. Fiecare persoană are capacitatea de a sabota securitatea informaţiei prin ignoranţă sau prin intenţii maliţioase. Pregătirea fiecărei persoane în domeniul securităţii informaţiei are un rol foarte important și poate fi comparată ca importanță cu pregătirea întregii organizaţii în ceea ce priveşte măsurile de prevenire a incendiilor. De aceea analiza pe post a riscului de securitate va contribui la ridicarea gradului de securitate a întregii organizații și va contribui la conștientizarea de către personal a riscurilor de securitate a informației și de pericolul acestora asupra postului său de lucru.Această metodă analizează riscurile pornind de la postul de lucru şi de la caracteristicile acestuia. Se analizează:
• condiţiile de lucru;
• accesul şi nivelurile de acces;
• pregătirea profesională pentru postul respectiv;
• particularităţile postului;
• bunurile cu care personalul/postul respectiv are tangenţă şi acţiunea asupra acestora.
Datorită tratării la nivel de personal, metoda admite un oarecare grad de subiectivism din partea personalului dar acesta poate fi influențat de conducerea organizației prin felul în care va motiva angajații să efectueze această sarcină. Metoda implică parcurgerea următorilor paşi:
1. Identificarea bunurilor şi a ameninţărilor la adresa acestora;
2. Estimarea probabilităţii şi a impactului asupra vulnerabilităţii;
3. Evidenţierea punctelor vulnerabile;
4. Identificarea controalelor.

Identificarea bunurilor şi a ameninţărilor la adresa acestora se face prin construirea unei tabele in care se indica toate bunurile organizației iar în dreptul fiecărui bun se indică amenințările la care acest bun riscă să fie supus. Identificarea bunurilor presupune identificarea componentelor hardware, software, datele cu care se operează, personalul implicat în procese, documentațiile aferente, suporturi, etc. Exemplu de amenințare pentru componentele hardware ca bun al organizației ar fi incendiul.
Estimarea probabilităţii şi a impactului asupra vulnerabilităţii se face mult mai simplu folosind matricea din tabelul următor (tabelul 1).

Tabelul 1. Matricea de estimare a probabilității și a impactului asupra vulnerabilității.

Tabel 1 Folosind tabelul, pentru fiecare bun sau post de lucru, localizăm gradul de expunere şi probabilitatea de producere a unui eveniment. La o primă vedere, se observă că nu se mai lucrează cu date statistice tipic metodelor de analiză a riscurilor. Se completează următorul tabel (tabelul 2).

Tabelul 2. Gradul de expunere şi probabilitatea de producere.

Tabel 2

Pentru fiecare bun sau post de lucru analizat se identifică cea mai mare valoare din tabel (gradul de expunere şi probabilitate, în acest caz se observă că cel mai mare impact îl au căderile de tensiune) şi se stabilesc controalele.
Toate metodele de analiză a riscurilor au însă neajunsuri, în principiu, acestea sunt:
• valorile folosite sunt imprecise;
• frecvenţa pierderilor estimate este imprecisă;
• calcule bazate pe analize şi teorii statistice şi probabilistice;
• datele trebuie actualizate anual.
Un nivel redus de securitate are ca efect creşterea riscului în afaceri. Ca revers, asigurarea unui nivel ridicat de securitate poate afecta afacerile prin balansarea fondurilor către asigurarea securităţii şi nu către destinaţia lor de drept. De aceea, trebuie găsită o cale de mijloc.

Din analizele făcute în acest domeniu rezultă că alocarea a 20% din costuri pentru securitate se reflectă în 80% beneficii în ceea ce priveşte minimizarea riscurilor şi asigurarea securităţii. Pentru a se asigura o eficienţă maximă cheltuielile sunt prohibitive (figura 1).

Fig 1Figura 1. Raportul cost – beneficii in asigurarea calității.

Aceste analize de risc se fac cu precădere în cadrul firmelor mari şi eventual în cadrul firmelor medii. Firmele mici nu au nici personal specializat şi nici bani pentru a plătii o astfel de evaluare. Cu toate acestea, un minimum de măsuri de securitate trebuie luate. Este ştiut faptul că managerii de firme se lasă greu convinşi să investească în ceva care nu aduce profit direct. Iar atunci când se lasă convinşi de necesitatea disponibilizării sumelor pentru asigurarea securităţii, sumele alocate sunt sub limita celor impuse, în aceste condiţii, trebuie să se asigure o securitate ale cărei cheltuieli să nu depăşească o limită de sumă alocată.
Se poate vorbi despre o securitate impusă financiar. Alternativele de rezolvare a acestei situaţii sunt două:
• acoperirea ameninţărilor cele mai probabile, cu păstrarea controalelor iniţiale;
• acoperirea tuturor ameninţărilor şi reducerea costurilor controalelor.
Prima măsură va permite o securitate maximă pentru anumite ameninţări, dar va lăsa descoperite parţial sau total alte ameninţări. A doua măsură va impune reducerea cheltuielilor necesare asigurării controalelor pentru a putea să fie acoperite toate ameninţările posibile. Aceasta ar putea să se reflecte în modificarea şi configurarea măsurilor de control. Ca exemplu, nu se vor mai achiziţiona două surse neîntreruptibile APC UPS de 350VA la preţul de 95 euro bucata pentru două calculatoare, ci se va achiziţiona o singură sursă APC UPS de 650VA la preţul de 140 de euro bucata. Economia este de 50 de euro (95 x 2 -140 = 50). în acest caz însă, cele două calculatoare vor trebui să fie alimentate de la aceeaşi sursă neîntreruptibilă prin prelungirea cablurilor de alimentare sau prin plasarea lor aproape.
Securitatea este greu de cuantificat. Nu o să se poată spune niciodată în cadrul firmei că am o securitate de o anumită notă. Pot doar să o estimez ca fiind de un nivel ridicat, mediu, minim sau deloc. Cu toate acestea, se poate face o cuantificare (cel puţin financiară) a nivelului de securitate, întotdeauna implementarea securităţii sau testarea şi îmbunătăţirea acesteia generează costuri de echipamente şi umane.

Semnatura mea

Advertisements

Leave a Reply

Fill in your details below or click an icon to log in:

WordPress.com Logo

You are commenting using your WordPress.com account. Log Out / Change )

Twitter picture

You are commenting using your Twitter account. Log Out / Change )

Facebook photo

You are commenting using your Facebook account. Log Out / Change )

Google+ photo

You are commenting using your Google+ account. Log Out / Change )

Connecting to %s

%d bloggers like this: