Analiza riscului intr-un mediu informatizat

 Analiza riscului într-un mediu informatizat

Elementele prezentate în paragraful anterior conduc la ideea că mediul informatizat generează noi riscuri şi orice organizaţie, în vederea asigurării unei protecţii eficiente a informaţiilor, este necesar să dezvolte un proces complex de studiu şi analiză a riscurilor.

Realitatea practică impune abordarea riscului informatic prin prisma a 3 factori: ameninţările privite ca evenimente sau activităţi (în general, din exteriorul sistemului auditat) care pot să afecteze vulnerabilităţile existente în orice sistem cauzând astfel impactul, apreciat a fi o pierdere sau o consecinţă pe termen scurt, mediu sau lung suportată de organizaţie.

Riscul la nivelul unei organizaţii nu poate fi eliminat, el va exista întotdeaua, managmentul societăţii fiind responsabil de reducerea lui la un nivel acceptabil. În acest sens, figura 3.1 17517s1819r pune în corespondenţă diferite elemente ce necesită a fi luate în calcul pentru reducerea riscului.

Figura nr.3.1  Componentele riscului IT[1]

 În acest context, riscul informatic se poate caracteriza prin următoarele elemente :

Ø     Ameninţările şi vulnerabilităţile proceselor sau/şi activelor

Ø     Impactul asupra activelor bazat pe vulnerabilităţi şi ameninţări

Ø     Frecvenţa de apariţie a ameninţărilor.

Odată identificate, riscurile trebuie evaluate în funcţie de gravitatea efectelor pe care le produc.

În general, riscurile asociate unui sistem informaţional, pe care orice auditor trebuie să le analizeze şi evalueze (tehnica frecvent utilizată în acest caz este chestionarul), în vederea aprecierii sistemului în sine, vizează:

Ø     Riscul securităţii fizice ce va fi evaluat în funcţie de informaţiile culese, cu privire la: existenţa sistemelor de pază, detecţie şi alarmă a incendiilor, sistemelor de protecţie împotriva căderilor de tensiune, protecţia echipamentelor împotriva furturilor, protecţia împotriva catastrofelor naturale (inundaţii, cutremure..), protecţia fizică a suporţilor de memorare, păstrarea copiilor de siguranţă într-o altă locaţie decât cea în care îşi desfăşoară activitatea organizaţia.

Model de chestionar utilizat pentru aprecierea riscului securităţii fizice

Nr. crt.	Intrebări	Da	Nu	Comentarii
	PREVENIREA INCIDENTELOR, INUNDAŢIILOR ŞI CĂDERILOR DE TENSIUNE
1.	Mediul în care se desfăşoară activitatea de p. a. d. este protejat în mod corespunzător împotriva incendiilor : - există sisteme de detecţie şi de alarmă împotriva incendiilor? ; - exista sisteme de stingere automată a incendiilor? ; - locul de depozitare a suporţilor de memorare este rezistent la foc? ; - există stingătoare de incendii ?; - a fost instruit personalul privind situatiile in care trebuie sa alerteze echipa de prevenire a incidentelor?
2	Rapoartele privind aparitia incidentelor sunt furnizate managementului?
3	Echipamentele sînt protejate împotriva inundaţiilor?
4	Există sisteme de protecţie împotriva căderilor de tensiune ?
5.	Sistemele şi dotarea tehnică sunt securizate impotriva furturilor?
	FACTORI FIZICI ŞI DE DOTARE
6	Este controlat accesul fizic în departamentele IT?
7	Există un loc de protejare a suporţilor de memorare aflat în afara sediu­lui firmei ?
8	Exista proceduri privind modul de stocare a informatiilor confidentiale?
9.	Documentaţiile programelor, sistemului sînt depozitate la loc sigur cu restricţionarea accesului persoanelor neautorizate ?
10.	Copiile de siguranţă ale documentaţiilor se află la loc sigur ?
11.	Serverele se află într-o încăpere separată ?
12.	Echipamentele de comunicaţie sînt protejate în mod corespunzător ?
	CONTROLUL ACTIVITĂŢILOR DE DUPĂ PROGRAMUL DE LUCRU
13	Există un nivel mai ridicat de control după terminarea programului?
14	Sunt securizate calculatoarele după terminarea programului de lucru?
15	Sunt securizate cheile şi cardurile de acces?
16	Sunt monitorizate echipele de curăţenie şi mentenanţă?
17	Exista un jurnal pentru identificarea persoanelor care au avut acces la sistemul informatic în afara orelor de program?

Ø     Riscul de comunicaţie poate lua valenţe diferite, în funcţie de disponibilitatea sistemului la reţeaua publică, situaţie în care auditorul e necesar să analizeze măsurile de securitate adoptate: existenţa unui firewall, modul de configurare a acestuia, analiza modului de transmitere a datelor prin reţeaua publică (utilizarea tehnicilor de criptare, existenţa unei reţele virtuale private - VPN). Acest risc se poate manifesta şi la nivelul unei reţele locale, atunci când configurarea acesteia lasă de dorit şi prin “ascultarea” liniilor de comunicaţie, traficul acesteia poate fi compromis. Confidenţialitatea informaţiilor nu vizează doar memorarea acestora pe staţiile de lucru sau servere, ci şi liniile de comunicaţie.

Ø     Riscul privind integritatea datelor şi tranzacţiilor vizează toate riscurile asociate cu autorizarea, completitudinea şi acurateţea acestora.

Ø     Riscul de acces se referă la riscul asociat accesului inadecvat la sistem, date sau informaţii. Implicaţiile acestui risc sunt majore, el vizând confidenţialitatea informaţiilor, integritatea datelor sau bazelor de date şi disponibilitatea acestora. În acest sens, acţiunile auditorului presupun o analiză a managementului parolelor la nivelul organizaţiei (altfel spus atribuirea şi schimbarea parolelor de acces fac obiectul unei aprobări formale?), o investigare a încercărilor de accesare neautorizată a sistemului (există o jurnalizare a acestora ?), o analiză a protecţiei staţiilor de lucru (sunt acestea dotate cu soft care să blocheze accesul la reţea, atunci când utilizatorul nu se află la staţia sa ?).

Ø     Riscul privind protecţia antivirus ce impune o analiză a existenţei programelor antivirus în entitate, utilizarea lor la nivel de server şi staţii de lucru, upgrade-ul acestor programe (manual sau automat). Lupta cu viruşii este esenţială, dar nu uşor de realizat. În ciuda numărului mare de programe antivirus existente este necesară o analiză a caracteristicilor programului privind: scanarea în timp real a sistemului sau monitorizarea continuă a acestuia, scanarea mesajelor e-mail, scanarea manuală.

Ø     Riscul legat de documentaţia sistemului informatic. Documentaţia generală a unui sistem informatic vizează pe de o parte documentaţia sistemului de operare sau reţelei şi, pe de altă parte, documentaţia aplicaţiilor instalate. Această documentaţie poate fi diferită pentru administratori, utilizatori şi operatori astfel încât să ajute la instalarea, operarea, administrarea şi utilizarea produsului. Riscurile asociate documentaţiei se pot referi la faptul că, aceasta nu reflectă realitatea în ceea ce priveşte sistemul, nu este inteligibilă, este accesibilă persoanelor neautorizate, nu este actualizată.

Ø     Riscul de personal poate fi analizat prin prisma următoarelor criterii:

§                    Structura organizaţională la nivelul departamentului IT ce va avea în vedere modul în care sunt distribuite sarcinile şi responsabilităţile în cadrul acestuia. Alocarea unui număr prea mare de responsabilităţi la nivelul unei singure persoane sau unui grup de persoane este semnul unei organizări interne defectuoase.

§                    Practica de selecţie a angajaţilor. La baza unui mediu de control adecvat stau competenţa şi integritatea personalului, ceea ce implică din partea auditorilor o analiză a politicilor şi procedurilor organizaţiei privind angajarea, specializarea, evaluarea performanţelor şi promovarea angajaţilor.

Ø     Riscul de infrastructură se concretizează în faptul că organizaţia nu deţine o infrastructură efectivă a tehnologiei informaţiei (hardware, retele, software, oameni şi procese) pentru a susţine nevoile acesteia.

Ø      Riscul de management al situaţiilor neprevăzute (risc de disponibilitate) este riscul asociat pericolelor naturale, dezastrelor, căderilor de sistem care pot conduce la pierderi definitive ale datelor, aplicaţiilor, în absenţa unor proceduri de monitorizare a activităţii, a planurilor de refacere în caz de dezastre.

3.3 Managementul riscurilor IT

Literatura de specialitate defineşte managementul riscului ca fiind „procesul de identificare a vulnerabilităţilor şi ameninţărilor din cadrul unei organizaţii, precum şi de elaborare a unor măsuri de minimizare a impactului acestora asupra resurselor informaţionale”. Demersul metodologic al acestui proces[2] include următoarele etape:

1.      Caracterizarea sistemului informaţional.

2.      Identificarea ameninţărilor.

3.      Identificarea vulnerabilităţilor.

4.      Analiza controalelor existente la nivelul sistemului informatic.

5.      Determinarea probabilităţii de realizare a ameninţărilor.

6.      Analiza impactului.

7.      Determinarea riscului.

8.      Recomandări asupra unor controale adecvate.

9.      Documentarea rezultatelor.

1.                  Etapa 1- Caracterizarea sistemului. La nivelul acesteie etape, auditorul va desfăşura în primul rând o activitate de colectare a informaţiilor despre sistemul informaţional, informaţii care vor viza echipamentele hardware, software, interfeţele sistemului, utilizatorii sistemului informatic, datele şi aplicaţiile importante, senzitivitatea datelor şi sistemului în vederea aprecierii nivelului de protecţie ce este necesar a fi realizat pentru asigurarea integrităţii, confidenţialităţii şi disponibilităţii datelor. Cele mai utilizate tehnici de investigare pentru colectarea acestor informaţii sunt: chestionarele, interviurile, documentaţia sistemului, utilizarea unor instrumente de scanare automată a sistemului informatic (SATAN este doar un exemplu de astfel de instrument ce permite detectarea vulnerabilităţilor unei reţele de calculatoare).  Rezultatele acestei etape vor furniza o imagine a mediului informatizat, a limitelor sistemului informatic analizat.

Etapa 2 – Identificarea ameninţărilor.

Ameninţările sunt acele evenimente sau activităţi, în general externe unui sistem, care pot afecta la un moment dat punctele slabe ale acestuia, cauzând pierderi semnificative. În general o ameninţare este o forţă potenţială care poate degrada confidenţialitatea şi integritatea sistemului, generând adeseori întreruperi de servicii ale acestuia. Un element esenţial în cadrul acestei etape îl reprezintă determinarea probabilităţii de realizare a acestei ameninţări, element ce trebuie analizat în funcţie de:

-         sursa ameninţării.

§        naturală (cutremure, foc, tornade, etc)

§        umană (atacuri într-o reţea, acces neautorizat la date confidenţiale)

§        de mediu (căderi de tensiune pe termen lung, poluare, umiditate)

-         vulnerabilitatea potenţială

-         controalele existente.

Cu titlu exemplificativ, tabelul 3.1 relevă diferite surse de ameninţări umane cu acţiunile generatoare:

Sursa ameninţării	Acţiunea ameninţărilor
Hackeri, crackeri	Intruziuni în sistem, atacuri de tip „hacking”, acces neautorizat la sistem
Criminalitate informatică	Acte frauduloase, acţiuni de tip spoofing, intruziuni ale sistemului.
Terorism	Penetrarea sistemului, interferarea sistemului în mod distructiv.
Spionaj industrial	Penetrarea sistemului, acces neautorizat, captarea datelor dintr-o linie de comunicaţie neprotejată.
Atacuri ale angajaţior	Fraude şi erori, coruperea datelor, introducerea unor date false, acces neautorizat la sistem, introducerea viruşilor, caii troieni, etc.

Tabelul 3.1 – Surse de ameninţări umane la nivelul unui sistem informaţional

Etapa 3 – Identificarea vulnerabilităţilor. Scopul acestei etape este de a dezvolta o listă a vulnerabilităţilor sistemului (lipsuri sau slăbiciuni) care pot fi exploatate de surse de ameninţare potenţiale. În acest context este necesară o analiză a vulnerabilităţilor – ameninţărilor pereche exemplificată, într-o manieră limitată,  în cadrul tabelului 3.2.

Vulnerabilitate	Sursa ameninţării	Acţiunea ameninţării
Identificatorul (ID) angajaţilor concediaţi nu este eliminat din sistem	Salariaţi concediaţi	Conectare la reaţeaua organizaţiei şi accesează datele acesteia.
Firewall-ul companiei permite un acces la sistem prin serviciul Telnet	Utilizatori neautorizaţi (hackeri, terorişti, angajaţi concediaţi)	Utizarea serviciului Telnet, permite accesul la fişierele din sistem.
Unul din partenerii societăţii a identificat slăbiciuni în proiectarea securităţii sistemului, sistemul în sine furnizându-i diferite metode de remediere a acestora (este şi exeplul sistemului de operare Windows – Internet Explorer, care în momentul detectării unor slăbiciuni în proiectarea securităţii sistemului face disponibile pentru utilizatori „patch-uri” pentru remedierea slăbiciunilor date).	Utilizatori neautorizaţi	Obţinerea accesului neautorizat la fişierele sensibile ale sistemului, bazat pe vulnerabilităţi cunoscute.
Centrul de prelucrare automată a datelor foloseşte pentru stingerea incendiilor „împrăştietoare” de apă (încastrate în tavan) fapt ce poate afecta în mod negativ echipamentele hardware.	Foc, persoane neglijente	Declanşarea automată a stingătoarelor de incendii.

 Tabelul 3.2 – Exemple de ameninţări – vulnerabilităţi pereche

Etapa 4 – Analiza controalelor. În vederea minimizării sau eliminării riscurilor fiecare organizaţie dispune implementarea unor metode de control tehnice sau nontehnice ce pot viza:

-         mecanisme de control al accesului,

-         mecanisme de identificare şi autentificare,

-         metode de criptare a datelor

-         software de detectare a intruziunilor

-         politici de securitate

-         proceduri operaţionale şi de personal.

Etapa 5 – Determinarea probabilităţii de realizare a ameninţărilor. Pentru determinarea unei rate de probabilitate generală, care indică probabilitatea ca o vulnerabilitate potenţială să fie exercitată în modelul de ameninţări asociate, este necesar ca auditorul să analizeze următorii factori:

Ø     capacitatea şi motivaţia sursei de ameninţare

Ø     natura vulnerabilităţii

Ø     existenţa şi eficienţa controalelor curente.

Acest element poate fi apreciat prin calificativele „Înalt”, „Mediu” şi „Scăzut”, în următoarele condiţii:

„Înalt” – sursa ameninţării este foarte motivată şi suficient de capabilă, iar controalele de prevenire a acestor vulnerabilităţi sunt ineficiente.

„Mediu” – sursa ameninţării este foarte motivată şi suficient de capabilă, dar controalele existente pot împiedica declanşarea vulnerabilităţii.

„Scăzut” – sursa ameninţării este lipsită de motivaţie, sau controalele există pentru a preveni sau cel puţin a împiedica semnificativ vulnerabilitatea de a se manifesta.

Etapa 6 – Analiza impactului. Impactul financiar este definit ca estimarea valorică a pierderilor entităţii ca urmare a exploatării slăbiciunilor sistemului de către ameninţări. Acest impact poate avea două componente: un impact pe termen scurt şi un impact pe termen lung.

În esenţă, impactul este specific fiecărei organizaţii, depinde de activele acesteia, de tipul organizaţiei, de măsurile de prevenire existente, descrie efectul ameninţării şi se poate manifesta ca o pierdere financiară directă, ca o consecinţă asupra reputaţiei entităţii sau ca o sancţiune temporară, cu o ulterioară consecinţă financiară (figura 3.3).

Figura nr.3.3 Relaţia dintre vulnerabilităţi, ameninţări, impact şi măsuri de prevenire

 

Impactul poate fi exprimat şi el prin calificativele „Înalt”, „Mediu” şi „Scăzut”.

Etapa 7 – Determinarea riscului.

Modelele de risc, fie ele cantitative sau calitative, reprezintă instrumente deosebit de utile auditorilor IT pentru identificarea diferitelor tipuri de risc, oferind în acelaşi timp informaţii pentru a le determina şi controla.

Literatura de specialitate abordează două modele de analiză a valorii riscului: modelul cantitativ şi modelul calitativ ; acestea pornesc de la premisa că orice organizaţie se poate aştepta la apariţia unor pierderi cauzate de ineficienţa unui sistem informatic, iar acest risc al pierderilor, rezultă din impactul pe care îl au ameninţările asupra resurselor organizaţiei.

Determinarea riscului pentru fiecare pereche vulnerabilitate – ameninţare particulară poate fi exprimat ca o funcţie ce depinde de:

§        probabilitatea de realizare a unei ameninţări,

§        mărimea impactului,

§        măsurile de control existente pentru reducerea sau eliminarea riscului.

În acest sens poate fi dezvoltată o matrice a nivelului de risc (conform tabelului 3.3) – derivată din multiplicarea probabilităţii de realizare a ameninţării şi impactul acesteia.Spre exemplu, dacă :

-         probabilitatea asociată pentru fiecare nivel de realizare a ameninţării este :

1 -  Înalt

2 – Mediu

3 – Scazut

- valoarea asociată pentru fiecare nivel de impact :

100 – Înalt

50 – Mediu

10 – Scăzut.

Probabilitatea ameninţării	Impact
	Scăzut (10)	Mediu (50)	Înalt (100)
Înalt (1)	Scăzut (10)	Mediu (50)	Înalt (100)
Mediu (0.5)	Scăzut (5)	Mediu (25)	Mediu (50)
Scăzut (0.1)	Scăzut (1)	Scăzut (5)	Scăzut (10)

Tabelul 3.3 - Matricea nivelului de risc

Specialistul Alan Oliphant propune un model calitativ de determinare a nivelului de risc, conform căruia sunt luaţi în calcul 4 factori de bază în aprecierea valorii riscului: impactul financiar, vulnerabilitatea, complexitatea şi încrederea (model reprezentat în figura 3.2[3]).

Figura nr. 3.2 Evaluarea riscurilor

În acest caz, valoarea riscului va fi exprimată prin calificativele “Foarte Scăzut , «Scăzut, Mediu, Înalt, Foarte Înalt” şi nu în valori absolute ; formula de determinare a valorii riscului este următoarea :

VR= VF * [( Cv*Wv )+( Cc*Wc )+( Ct*Wt )]

unde:

VR - valoarea de risc

VF - impactul financiar asupra organizaţiei; acesta reprezintă un cost potenţial al organizaţiei în eventualitatea apariţiei unei erori, căderi de sistem, fraude sau alte evenimente negative. Valoarea materială va fi dată de valoarea financiară sau valoarea activelor. Impactul asupra organizaţiei poate fi sporit prin intermediul unui multiplicator non financiar:

[(Cv*Wv)+(Cc*Wc)+(Ci*Wi)]

Acest model de calcul poate fi privit ca un punct culminant al analizei factorilor de risc: vulnerabilitate, complexitate şi încredere.

Cv - vulnerabilitatea, se referă pe de o parte la modul în care utilizatorii autorizaţi au acces în sistem şi pe de altă parte la accesibilitatea sistemului şi a activelor organizaţiei de către utilizatori neautorizaţi. Accesibilitatea unui sistem informaţional se poate evalua în funcţie de restricţiile fizice implementate în cadrul organizaţiei şi de modalităţile de acces prin intermediul reţelei de comunicaţie.

Cc - complexitatea - are în vedere riscul asociat tehnologiei informaţionale în sine, numărul utilizatorilor din cadrul compartimentelor sau în termeni mai generici complexitatea organizaţională.

Ci - încrederea, reflectă comportamentul uman din organizaţie şi vizează două aspecte: integritatea personalului şi gradul de implicare al managerilor.

Wv, Wc, Wi - reprezintă factori de greutate (importantă) care pot fi aplicaţi la discreţia auditorului, în funcţie de condiţiile specifice. Iniţial, aceşti factori pot fi stabiliţi la o valoare de 0.33 în vederea determinarii unui multiplicator mediu general al riscului ; această valoare nu este fixă şi atunci când se consideră că unul dintre elemente are un impact mai mare decât celelalte, se pot folosi valori diferite.

            Valoarea de risc calculată va fi transpusă într-un „tabel de traducere”, indicându-se nivelul de risc; în proiectarea acestui tabel, auditorii au în vedere următoarele reguli: valoarea cea mai scăzută de risc = 0 şi valoarea cea mai ridicată se apreciază ca fiind valoarea totală (financiară) a organizaţiei multiplicată cu 3.

Etapa 8. - Recomandări asupra unor controale adecvate.

Scopul acestei etape se rezumă la recomandările auditorului asupra controalelor necesare a fi implementate pentru reducerea nivelului de risc la un nivel acceptabil. În mod implicit, auditorul va determina nivelul riscului rezidual definit ca acel nivel de risc ce rămâne după analiza şi evaluarea tuturor măsurilor de combatere a riscurilor. Riscul rezidual ia forma unei concluzii la care s-a ajuns în urma unui proces de analiza a lui şi trebuie să conţină:

§        semnalarea punctelor slabe, nevralgice ale sistemului asociate cu ameninţările corespunzătoare şi probabilitatea lor de a avea loc;

§        toate măsurile (recomandările) ce se impun a fi aplicate dacă riscul rezidual nu se încadrează la un nivel acceptabil.

Figura nr.3.5 Reprezentarea riscului rezidual[4]

Etapa 9. - Documentarea rezultatelor este ultima etapă a acestui proces ce se materializează sub forma unui raport scris ce va include identificarea vulnerabilităţilor, ameninţărilor sursă, evaluarea riscurilor şi recomandările de controale adecvate.