Analiza de risc a securității informației

Asigurarea securităţii datelor din interiorul unei companii ori a unei organizaţii reprezintă - aliniere la cerinţele actuale ale dezvoltării societăţii informaţionale.

Şi nu există numai această problemă. Trebuie să existe întotdeauna un scenariu privitor la ce va face - organizaţie în caz de dezastre naturale.

Similar trebuie stabilită - strategie pentru situaţia în care se constată pierderea masivă a datelor din cauza unor variaţii mari (şocuri) de tensiune ale reţelei locale de alimentare cu energie electrică.

- manevră greşită, comisă de un operator al organizaţiei, poate compromite conţinutul unor servere de baze de date ori fişiere cu informaţii sensibile ale unor clienţi – constituind încă - situaţie de risc extrem de tăios.

De cele mai multe ori, fără - pregătire prealabilă, în astfel cazuri se pot face foarte puţine manevre pozitive, reparatorii, după producerea dezastrului.

Previzional, mult înainte să aibă loc un incident previzibil catastrofal se pot iniţia două tipuri de activităţi care să preîntâmpine, să prevină, şi să gestioneze, la nivelul organizaţiei, scenariul unui posibil dezastru:

- analiza riscurilor la adresa securităţii (şi nu numai);

- evaluarea costurilor procedeelor de prevenire a dezastrelor şi / sau costurile pentru depăşirea dezastrului, odată produs, şi recuperarea funcţionalităţii pierdute.

Ameninţările la adresa integrităţii şi securităţii unei organizaţii se pot exercita prin mai mulţi factori - parte dintre aceştia, cei mai frecvenţi, sunt:

- spionii;

- organizaţiile criminale şi teroriste;

- utilizatorii răutăcioşi sau răuvoitori;

- anumite persoane din interiorul organizaţiei, care au acces la date şi procedee utilizate în sistemul de securitate al organizaţiei respective;

- persoane din afara organizaţiei dar care au acces la anumite informaţii extrem de sensibile pentru securitatea organizaţiei;

- cataclismele naturale.

Riscul poate fi definit ca - ameninţate care poate să exploateze eventualele slăbiciuni ale unui sistem ori a unei întregi organizaţii. Riscul este un eveniment care este posibil să se întâmple, fiind considerat, adesea, un eveniment aleator. Pentru a se preîntâmpina apariţia unui eveniment care să afecteze securitatea unei organizaţii ori unui sistem este necesară elaborarea unei politici de măsuri specifice. Aceste măsuri sunt determinate prin metrici asociate riscurilor. Metricile sunt acelea care introduc - ierarhizare a rsicurilor.

Riscurile şi ameninţările sunt identificate, adeseori, reciproc. Se discută despre un risc şi se subînţelege, implicit, ameninţarea care produce acel risc. Riscul este, însă, - noţiune mai abstractă decât ameninţarea prin faptul că, implicit, face referinţe la costurile punerii în fapt a respectivei ameninţări dar cuprinde în sine, intuitiv, şi cuantificarea realizării efective a ameninţării.

Dacă se consideră - mulţime de riscuri { rk | 0 < k ≤ q}, unde q este numărul maxim de riscuri, asociate unei organizaţii se poate introduce - relaţie peste această mulţime de riscuri.

Astfel, se poate aprecia că două riscuri r1 şi r2 distincte (r1 ≠ r2) pot fi ordonate, printr-- relaţie de ordine parţială, considerând relaţia dintre costurile respectivelor riscuri, adică prin pagubele produse de acestea:

r1 ≤ r2 dacă şi numai dacă C(r1) ≤ C(r2),

unde s-a notat prin C(ri) costul riscului i.

Analiza riscului presupune un proces de identificare al principalelor riscuri de securitate, stabilirea anvergurii şi implicaţiilor riscurilor, precum şi identificarea zonelor care prezintă risc mare şi care trebuie asigurate. Analiza de risc face parte din ansamblul de măsuri care poartă denumirea generică de managementul riscului. Evaluarea riscurilor este un rezultat al unui proces de analiză a riscurilor.

Managementul riscului poate fi definit ca totalitatea metodelor de identificare, control, eliminare sau minimizare a evenimentelor care pot afecta resursele sistemului.

Acesta include:

- analiza riscurilor;

- analiza costului beneficiilor;

- determinarea celor mai potrivite mecanisme;

- evaluarea securităţii măsurilor adoptate;

- analiza securităţii în plan general.

Analiza riscului trebuie efectuată din mai multe raţiuni, şi anume:

- identificarea ierarhică a activelor organizaţiei respective şi pârghiile care asigură securitatea asupra acestora;

- constituirea unor etape succesive de eliminarea a condiţiilor care pot favoriza realizarea riscurilor atunci când contextul este complex iar - modificare a funcţionării sale nu se poate introduce decât prin politica paşilor mărunţi.

- stabileşte obligativitatea unor acţiuni şi a unor termene de realizare în vederea constituirii unor obiective care ţin de implementarea securităţii organizaţiei;

- constituirea unei perspective de ansamblu a achiziţionării de resurse şi servicii în acest sens astfel încât, să se ţină seama de efortul financiar în contextul găsirii celor mai eficiente soluţii.

- aliniază programul de control cu misiunea organizaţiei;

- oferă criterii pentru proiectarea şi evaluarea planurilor de avarie;

- îmbunătăţeşte înţelegerea generală (asupra sistemului, cum operează, etc.).

Analiza riscurilor urmăreşte să pună acest proces pe baze teoretice şi practice solide. Sunt mai multe modalităţi de abordare a riscului. Dintre acestea se disting câteva, şi anume: