> Managementul riscului poate fi definit ca totalitatea metodelor de identificare, control, eliminare sau minimizare a evenimentelor care pot afecta resursele sistemului.
> Managementul riscurilor faciliteaza realizarea eficienta si eficace a obiectivelor organizatiei.
> In mod evident cunoasterea amenintarilor permite o ierarhizare a acestora in functie de eventualitatea materializarii lor, de amploarea impactului asupra obiectivelor si de costurile pe care le presupun masurile menite de a reduce sansele de aparitie sau de a limita efectele nedorite.
> Pentru a avea un sistem sigur nu e suficient sa avem tehnologia corespunzatoare. Studiile arata ca in medie 90% din bresele de securitate identificate nu sunt datorate problemelor tehnologice ci instalarii si configurarii necorespunzatoare sau datorita nerespectarii unor proceduri de utilizare si administrare a sistemului.
> Evaluarea riscurilor:
- Bunuri– reprezinta evaluarea bunurilor de valoare ale organizatiei
- Amenintare – orice eveniment care poate cauza pierderi. In cazul virusurilor, companiile se confrunta cu sute de incercari de infectare pe luna, deci amenintarea de a fi infectata este de 100%
- Vulnerabilitatea – O vulnerabilitate este o slăbiciune care poate duce la o amenințare capabilă de a compromite un bun al organizatiei.
- Vulnerabilitati hardware si software apar in fiecare zi, dar cele mai multe sunt datorate configurarilor implicite. Daca un system este vulnerabil nu inseamna ca acea vulnerabilitate poate fi exploatata.
- Costuri de expune – se refera la costurile totale tangibile si intangibile rezultate in urma unor bunuri compromise.
> Procesul de evaluare a riscurilor definit de NIST 800-30, presupune urmatorii pasi:
- Caracterizarea sistemului – Unde se incadreaza si unde poate fi folosit in cadrul organizatiei? Care sunt componentele software si hardware instalate? Cum este configurat?
- Identificarea amenintarilor – identificarea amenințărilor la adresa confidențialității, integrității și disponibilității. Extorcare de fonduri, spionaj corporativ, furtul de date, dezastre etc.
- Identificarea vulnerabilitatilor – catalogarea serviciilor si protocoalelor folosite, care sunt vulnerabile in fata unor potentiale atacuri. Componentele software si hardware pot avea potentiale vulnerabilitati.
> Analiza controalelor – Fiecare categorie de controale (administrative, tehnice sau fizice) trebuie sa abordeze cu success prevenirea, detectarea, corectarea si recuperarea pentru identificarea amenintarilor si vulnerabilitatilor;
> Determinarea probabilitatii unui eveniment – probabilitatea pentru ca un eveniment sa se intample se face printr-o abordarea calitativa si cantitativa.
> Analiza impactului unui eveniment – estimarea costurilor unui potential eveniment asupra oraganizatiei
> Determinarea riscului – in acest pas se furnizeaza o lista cu problemele de securitate prioritizate;
> Rutine recomandate – consta in sugerarea anumitor rutine pentru reducerea aparitiei incidentelor;
> Documentarea rezultatelor – prezentarea rezultatelor procesului de evaluare a riscurilor catre managementul organizatiei.
> Calculul riscului:
- Risc = Amenintare x Vulnerabilitate x Impactul de expunere
Astfel, riscul depinde de prezenta unei amenintari sau vulnerabilitati.
> Bunurile organizatiei sunt cele ce trebuie să fie protejate, și acestea pot fi o bază de date, procesul de afaceri, accesul la rețea, sau orice altceva care este o parte importantă a organizatiei.
> După ce se determina potențialele amenințări, trebuie să se clasifice în funcție de probabilitatea unui eveniment de a se intampla.
Reducerea Riscurilor:
In abordarea managementului de risc, este indicat ca o companie sa tina cont de urmatoarele considerente:
> Acceptarea riscului – Daca in urma unei amenintari, costurile pentru protejarea sistemului sunt mai mari decat recuperarea sistemului, o companie poate lua decizia de acceptare a riscului.
> Evitarea riscului – o companie poate alege sa-si dezvolte afacerea fara a o expune unui risc. Ex. O companie poate evita stocarea de date importante in propriul sistem, prin externalizarea acestor servicii catre companii specializate.
> Transferul sau distribuirea riscului – cea mai simpla metoda de transfer a riscului se face prin achizitionarea unei polite de asigurare
> Diminuarea riscului – implementarea de controale regulate si masuri de protective
> Ignorarea riscului – este cea mai periculoasa abordare prin prisma faptului ca poate aduce daune iremediabile companiei
Alt element important in abordarea managementului de risc, este timpul de expunere la incident:
> Expunere = Detectie + Reactie
Ex: In caz de incendiu, cu cat se detecteaza si reactioneaza mai repede, cu atat pagubele vor fi mai mici.
Aceasta masura de securitate pe baza de timp este o metoda relativ simpla de a determina cat de eficiente sunt masurile de protective in lumea reala.