Evaluarea amenintarilor
Primul pas într-un program de management al riscului este evaluarea amenințărilor. O evaluare a
amenințărilor trebuie să ia în considerare întregul spectru de amenințări (naturale, criminale,
teroriste, accidentale, etc) pentru o organizatie/locatie dată. Evaluarea ar trebui să examineze
informații suplimentare din toate sursele de încredere (mass-media, statistici, experienţa, etc.)
pentru a putea evalua probabilitatea de apariție pentru fiecare pericol.
Analiza riscului
O combinație a impactului determinat de pierderi asupra afacerii și evaluarea probabilităţii ca o
vulnerabilitate să fie exploatată de un agent de ameninţare este folosită pentru a evalua riscul
potențial pentru sistem/locaţie dintr-o amenințare dată. Pe baza constatărilor din analiza de risc,
următorul pas în acest proces este de a identifica contramăsuri care vor putea reduce diferitele
nivele de risc la un nivel acceptat de organizaţie.
Modalitatea de abordare a evaluării riscului este stabilită în conformitate cu cerinţele de
securitate, mediul de afaceri, mărimea organizaţiei şi afacerilor acesteia, cât şi cu riscurile cu care
se confruntă organizaţia. In principiu, metodologia de evaluare a riscurilor va urma etapele:
Etapa I. Identificarea resurselor ce conţin informaţii de valoare
Acestea se vor grupa conform următoarelor categorii:
- Informatii în format electronic (baze de date, fişiere de date, liste, structuri ale bazelor de
date, mesaje e-mail, fişiere cu preţuri, proiecte tehnice, studii tehnice, comenzi către furnizori,
scheme şi proiecte de reţea şi /sau echipamente de reţea etc.);
- Documente tiparite (manuale de utilizare, manual şi suport pentru instruiri, ghiduri, licenţe,
certificate de proprietate, contracte, comenzi către furnizori sau de la clienţi, comunicări pe fax,
facturi, rezultate financiare, inregistrări referitoare la personalul angajat – adrese, atestări etc.);
- Software (sistemul de operare, aplicaţii, utilitare)
- Bunuri fizice (calculatoare, servere, router, switch, hub, firewall, gateway, echipamente de
comunicare, suport media magnetic, telefoane mobile, safe-uri, etc);
- Persoane (angajaţi, clienţi, furnizori etc.);
- Servicii (disponibilitate servicii de reţea, telecomunicaţii, încălzire, iluminat, alimentare cu
combustibil, alimentare cu apa, alarmare, sisteme stingerea incendiilor, generatoare electrice,
UPS etc.);
- Imagine şi reputaţie (mijloacele de livrare a produselor sau serviciilor etc.).
Etapa II. Stabilirea valorii resurselor
Se vor lua în considerare numai resursele de valoare sau cu utilitate pentru organizaţie şi
procesele interne, pentru operaţiunile şi continuitatea afacerii.
Impactul unui incident de securitate asupra activelor companiei este direct proporţional cu
valoarea resursei şi se estimează consecinţele în termeni de pierdere a confidenţialităţii,
integrităţii şi disponibilităţii resurselor asupra afacerii.
Nivelul ameninţării faţă de pierderea confidenţialităţii, integrităţii şi disponibilităţii informaţiilor,
rezultă din efectul asupra bunului.
Pentru stabilirea valorilor se analizează importanţa, criticitatea şi pericolul pe care îl reprezintă
pentru procesele organizaţiei, asupra organizaţiei în general şi asupra clientului atunci când
informaţia sau resursa îşi pierde integritatea, confidenţialitatea şi disponibilitatea.
Etapa III. Identificarea factorilor de risc
Pentru identificarea factorilor de risc se va întocmi o listă a tuturor ameninţărilor posibile (generate
de asa-numiții agenți de amenințare) iar pentru fiecare ameninţare se vor identifica şi lista
vulnerabilităţile existente.
Etapa IV. Estimarea riscului
Algoritmul de estimare a valorii riscului şi a gradului de expunere utilizat de organizatie este
urmatorul:
a) Valoarea riscului este direct proporţională cu urmatoarele valori :
- Impactul asupra afacerii al unui eveniment nedorit, și
- Probabilitatea de apariție al unui astfel de eveniment, care este compusă din doi factori:
# Nivelul ameninţării = probabilitatea ca un agent de amenințare să pună în practică o amenințare
ca act de agresiune sau perturbator asupra activelor/bunurilor companiei;
# Nivelul vulnerabilităţii = probabilitatea ca o breșă de securitate să fie exploatată de un agent de
amenințare.
b) Valoarea riscului este cuprinsă în plaja de valori de la 0 (cel mai mic) la 8 (cel mai mare), pe
trei niveluri de risc, pentru o valoare a impactului între 0 (cel mai mic) şi 4 (cel mai mare) și o
valoare a probabilității de apariție a incidentului între 0 (cea mai mică) şi 4 (cea mai mare).
În urma calculării valorii riscului, se documentează Raportul privind evaluarea riscului şi se
prezintă organizatiei client sumarul rezultatelor privind evaluarea riscului. Acest document
prezintă cele mai expuse resurse la pierderea integrităţii, confidentialităţii şi disponibilităţii
informaţiilor, ameninţările cu cel mai mare impact şi vulnerabilităţile cel mai uşor de exploatat.