Post on 18-Jan-2016
description
Proiect cofinanţat din Fondul Social European prin
Programul Operaţional Sectorial Dezvoltarea Resurselor Umane 2007-2013.
Investeşte în oameni!
Întreprinzător în Mileniul Trei
INTRODUCERE IN
MANAGEMENTUL RISCULUI
Vă sprijinim să deveniţi întreprinzător în mileniul trei!
Proiect cofinanţat din Fondul Social European prin
Programul Operaţional Sectorial Dezvoltarea Resurselor Umane 2007-2013.
Investeşte în oameni!
Întreprinzător în Mileniul Trei,spaţiul virtual al întreprinzătorilor care au ales să se
conecteze la mediul de afaceri european!
Cultură antreprenorială, competenţă managerialătehnologia informaţiei în afaceri!
Proiect cofinanţat din Fondul Social European prin
Programul Operaţional Sectorial Dezvoltarea Resurselor Umane 2007-2013.
Investeşte în oameni!
Conceptul de management al riscului
“Pericol eventual, mai mult sau mai puţin previzibil”
Noul dicţionar explicativ al Limbii Române, Editura Litera Internaţional, 2002
“Posibilitate de a ajunge într-o primejdie, de a avea de înfruntat un
necaz sau de suportat o pagubă”
Dicţionar explicativ al Limbii Române, Academia Română, Institutul de Lingvistică
"Iorgu Iordan", Editura Univers Enciclopedic, 1998
Proiect cofinanţat din Fondul Social European prin
Programul Operaţional Sectorial Dezvoltarea Resurselor Umane 2007-2013.
Investeşte în oameni!
“Incertitudinea …care afecteaza posibilitatea atingerii obiectivelor”
British Standards Institute (BSI), standardul
6079-3/2000
“Un eveniment sau o conditie incerta care, daca apare, are un efect
pozitiv sau negativ asupra obiectivelor proiectului. Riscul proiectului
include atat amenintarile asupra obiectivelor cat si oportunitatile de a
imbunatati aceste obiective.”
Project Management Institute (PMI), PMBoK
(editia 2000 republicata in 2004)
Conceptul de management al riscului
Proiect cofinanţat din Fondul Social European prin
Programul Operaţional Sectorial Dezvoltarea Resurselor Umane 2007-2013.
Investeşte în oameni!
“Masura a neconcordantei dintre diferite rezultate posibile, mai mult
sau mai putin favorabile sau nefavorabile intr-o actiune viitoare”.
Dictionarul Enciclopedic Managerial, Editura Academica de
Management
Institutul pentru Managementul Riscului utilizeaza definitia din
ISO/IEC Guide 73: “Combinatia dintre probabilitatea de aparitie a unui
eveniment si consecintele acestuia”
Conceptul de management al riscului
Proiect cofinanţat din Fondul Social European prin
Programul Operaţional Sectorial Dezvoltarea Resurselor Umane 2007-2013.
Investeşte în oameni!
Din punct de vedere economic
Stare in care exista probabilitatea aparitiei unei variatii adverse in
raport cu un obiectiv definit de o organizatie
(legat de modificarile produse la nivelul veniturilor, costurilor, sau
volumului de productie).
Din punct de vedere financiar
Relatie intre o entitate (individ, organizatie) si un activ ce poate fi
pierdut sau poate fi deteriorat.
Conceptul de management al riscului
Proiect cofinanţat din Fondul Social European prin
Programul Operaţional Sectorial Dezvoltarea Resurselor Umane 2007-2013.
Investeşte în oameni!
Din punct de vedere al domeniului asigurarilor
Produsul dintre o pierdere posibila si probabilitatea de aparitie a
acesteia, produs cunoscut ca “expunere la risc”.
Din punct de vedere al managementului de proiectProbabilitate a aparitiei unui eveniment si impactul acestui eveniment asupra obiectivelor unui proiect.
Conceptul de management al riscului
Proiect cofinanţat din Fondul Social European prin
Programul Operaţional Sectorial Dezvoltarea Resurselor Umane 2007-2013.
Investeşte în oameni!
Din punct de vedere al stiintelor mediului
Posibilitatea aparitiei de efecte negative asupra componentelor mediului,
ca urmare a unor agenti daunatori sau a unor fenomene naturale cu
efecte dezastruoase.
Din punct de vedere al sanatatii si securitatii umane
Probabilitatea de modificare a starii de sanatate a indivizilor ca urmare a
expunerii la unul sau mai multi factori de risc externi, interni sau de mod
de viata.
Nadia Ciocoiu, “Managementul riscului, teorii, practici, metodologii”
Conceptul de management al riscului
Proiect cofinanţat din Fondul Social European prin
Programul Operaţional Sectorial Dezvoltarea Resurselor Umane 2007-2013.
Investeşte în oameni!
Din punct de vedere informational
Raportarea la o stare in care principalele proprietati ale informatiei ar
putea sa fie afectate: confidentialitate, integritate, disponibilitate. Pot fi
de asemenea implicate si alte proprietati ale informatiei: autenticitate,
responsabilitate, non-repudiere, fiabilitate. Informatia trebuie privita in
totalitatea ei, independent de suportul pe care circula.
Managementul riscului - activitati coordonate pentru directionarea si controlul organizatiei cu privire la riscuri(conform ISO/IEC 73)
Conceptul de risc informational
Proiect cofinanţat din Fondul Social European prin
Programul Operaţional Sectorial Dezvoltarea Resurselor Umane 2007-2013.
Investeşte în oameni!
Dezvoltarea Risk Management (RM) ca disciplina incepe dupa 1900:
-1900 Uraganul Galveston, schimba abordarea asupra previziunilor
meteo
-1920 British Petroleum infiinteaza Tanker Inshurance Company
-1921 primele publicatii, “Risc, Uncertainty and Profit”, Frank Knight si
“A Treatise on Probability”, Maynard Keyes
-Diverse publicatii, nu foarte numeroase, in special in zona
investitionala, financiara, asigurari
-1950 se consacra termenul de Management al Riscului si incep sa se
infiinteze functii de MR in organizatii
Istoric
Proiect cofinanţat din Fondul Social European prin
Programul Operaţional Sectorial Dezvoltarea Resurselor Umane 2007-2013.
Investeşte în oameni!
-1962 apare prima publicatie care incurajeaza opinia publica sa ia in
considerare degradarea mediului “The silent spring”, Rachel Carson
-1970 infiintarea “Agentiei de Protectie a Mediului” in SUA
-1973 Asociatia de la Geneva incepe sa acorde stimulente intelectuale
pentru promovarea Managementului Riscului
-1975 se infiinteaza “Risk & Insurance Management Society” -
(RIMS)
-1980 in Washington se infiinteaza “Societatea de Analiza a
Riscului” - SRA, acumuleaza pana in anul 1999 2200 membri
http://www.sra.org/
Istoric
Proiect cofinanţat din Fondul Social European prin
Programul Operaţional Sectorial Dezvoltarea Resurselor Umane 2007-2013.
Investeşte în oameni!
-1986 se infiinteaza la Londra “Institutul de Management al
Riscului” – IRM orientat catre sustinere si formare, lanseaza un
program educational intensiv (http://www.theirm.org)
-1995 apare primul “Risk Management Standard” revizuit ulterior, in
1999
-1996 se infiinteaza “The Global Association of Risk
Professionals” – GARP, cu orientare catre zona financiar-bancara,
desfasoara activitati aproape exclusiv prin Internet, devine pana in
2002 cea mai mare asociatie (cu 5000 contribuabili si 17000 membri
asociati) (http://www.garp.com)
Nadia Ciocoiu, “Managementul riscului, teorii, practici, metodologii”
Istoric
Proiect cofinanţat din Fondul Social European prin
Programul Operaţional Sectorial Dezvoltarea Resurselor Umane 2007-2013.
Investeşte în oameni!
ISO 31000:2009, Risk management - Guidelines on principles and
implementation of risk management
BS 6079-3:2000, Guide to the Management of Business Related
Project Risk
SR EN/ISO CEI 27001:2005, Tehnologia informatiei - Tehnici de
securitate -Sisteme de management al securitatii informatiei. Cerinte
SR EN/ISO CEI 27002:2007, Tehnologia informatiei - Tehnici de
securitate - Cod de buna practica pentru managementul securitatii
informatiei
ISO/IEC 27005:2008, Information technology - Security techniques -
Information security risk management (inlocuieste 13335-2,3,4)
Istoric
Proiect cofinanţat din Fondul Social European prin
Programul Operaţional Sectorial Dezvoltarea Resurselor Umane 2007-2013.
Investeşte în oameni!
ISO/IEC Guide 73:2002, Risk management – Vocabulary – Guidelines
for use in standards (www.iso.ch)
ISO/IEC 18044:2004, Information technology - Security Techniques -
Information Security Incident Management.
- ISO/IEC 18028:2006, Information technology - Security techniques -
IT network security
- ISO/IEC 15408-1: 2005, Information technology - Security techniques
- Evaluation criteria for IT security (criterii comune)
Standarde si documente de referinta
Proiect cofinanţat din Fondul Social European prin
Programul Operaţional Sectorial Dezvoltarea Resurselor Umane 2007-2013.
Investeşte în oameni!
-CobIT, Control Objectives for Information and Related
Technology, elaborat de ISACA (Information System Audit and Control
Asociation (www.isaca.org). Colectie de bune practici in domeniul IT.
- ITIL, IT Infrastructure Library, OGC - Office of Government
Commerce, echivalent cu ISO/ IEC 20000:2005 Information
technology - Service management (www.iso.ch), de asemenea o
colectie de bune practici orientat insa inspre gestionarea SLA.
- ITBPM, IT Baseline Protection Manual elaborat de Federal Office
for Security in Information Technology (FSI), Germania
(http://bsi.bund.de)
Standarde si documente de referinta
Proiect cofinanţat din Fondul Social European prin
Programul Operaţional Sectorial Dezvoltarea Resurselor Umane 2007-2013.
Investeşte în oameni!
Determinarea riscului - procesul combinat de analiza si evaluare a
riscului (ISO/IEC 73)
Analiza riscului - utilizarea sistematica a informatiilor pentru
identificarea surselor si estimarea riscului (ISO/IEC 73)
Estimarea riscului – exprimare a duratei, intensitatii, dimensiunii si
capacitatii de a genera consecinte, aferente unui factor de risc
identificat, intr-o maniera cuantificata sau baneasca (Business
Dictionary)
Definitii
Proiect cofinanţat din Fondul Social European prin
Programul Operaţional Sectorial Dezvoltarea Resurselor Umane 2007-2013.
Investeşte în oameni!
Evaluarea riscului - procesul de comparare a riscului estimat cu criteriile
de risc pentru determinarea semnificatiei riscului (ISO/IEC 73
Tratarea riscului - procesul de selectie si implementare a masurilor
pentru reducerea riscului (ISO/IEC 73)
Amenințare - cauza potentiala a unui incident nedorit care poate produce
daune unui sistem sau unei organizații (ISO/IEC 13335-1)
Vulnerabilitate - slabiciune a unei resurse sau grup de resurse care
poate fi exploatata de una sau mai multe amenintari (ISO/IEC 13335-1)
Definitii
Proiect cofinanţat din Fondul Social European prin
Programul Operaţional Sectorial Dezvoltarea Resurselor Umane 2007-2013.
Investeşte în oameni!
Impact - daunele cauzate de un incident
Bun (Asset) - valoare pentru organizatie, activitatea organizatiei si
continuitatea acesteia (ISO/IEC 13335-1)
Masura de control - practica, procedura sau mecanism care reduce
riscurile de securitate (ISO/IEC 13335-1)
Risc rezidual – riscul care ramane dupa tratarea riscului (ISO/IEC 73)
Managementul riscului - activitati coordonate pentru indrumarea si
controlul unei organizatii luand in considerare riscurile (ISO/IEC 73)
Definitii
Proiect cofinanţat din Fondul Social European prin
Programul Operaţional Sectorial Dezvoltarea Resurselor Umane 2007-2013.
Investeşte în oameni!
Riscul informational se raporteaza la
informatie si la capacitatea acesteia de a fi
mentinuta in conditii de securitate.
Atat riscul cat si securitatea informatiei se
raporteaza la proprietatile informatiei:
confidentialitate, integritate, disponibilitate,
responsabilitate, autenticitate, non-
repudiere, fiabilitate.
Sisteme de management al securitatii informatiei - SMSI
Proiect cofinanţat din Fondul Social European prin
Programul Operaţional Sectorial Dezvoltarea Resurselor Umane 2007-2013.
Investeşte în oameni!
SMSI este parte a intregului sistem de management care are in centru
o abordare a riscului afacerii folosita pentru a stabili, implementa,
functiona, monitoriza, revizui, mentine si imbunatati securitatea
informatiei.
Stabilirea unui SMSI intr-o organizatie are in centrul tuturor
demersurilor realizarea proceselor adecvate de management al
riscului informational in vederea asigurarii securitatii informatiei.
Sisteme de management al securitatii informatiei - SMSI
Prelucrare dupa ENISA, European Network for Information Security
RISK MANAGEMENT
RISK ASSESSMENT
RISC ANALYSIS
RISK EVALUATION
RISC TREATMENT
DEFINITION OF ISMS POLICY
SCOPE DEFINITION
SELECTION OF CONTROLS
DECLARATION OF
APPLICABILITY
Assets, threats,
vulnerabilities,
impacts
Risc management
strategy
Additional controls
Policy
Scope of the ISMS
List of assessedrisks
Identifiedweaknesses of assets
Risc treatment plans
Strength ofcontrols andimplementation
Sisteme de management al securitatii informatiei - SMSI
Proiect cofinanţat din Fondul Social European prin
Programul Operaţional Sectorial Dezvoltarea Resurselor Umane 2007-2013.
Investeşte în oameni!
MASURI DE
CONTROL
VULNERABILITATIAMENINTARI
BUNURI
IMPACT
RISC
CERINTE DE
PROTECTIE
auimpun
protejeaza de cresc
indica
scad
cresc
cresc expun
exploateaza
Sisteme de management al securitatii informatiei - SMSI
Proiect cofinanţat din Fondul Social European prin
Programul Operaţional Sectorial Dezvoltarea Resurselor Umane 2007-2013.
Investeşte în oameni!
- Confera incredere actionarilor si in general tuturor stakeholderilor
- Stimulează informarea continua cu privire la noutatile aparute
- Stimuleaza asigurarea conformitatii cu reglementarile aplicabile
- Ajuta la focalizarea activitatilor de audit
- Promoveaza imbunatatirea continua
- Imbunatateste procesul de gestionare si prevenire a incidentelor
Sisteme de management al securitatii informatiei - SMSI
PLAN
- identificarea riscului
- cuantificarea riscului in raport cu
- impactul materializarii sale asupra afacerii
- probabilitatea de aparitie
- identificarea masurilor necesare pentru a aduce
riscul in limite acceptabile
ACT- imbunatatirea masurilor de tratare a riscurilor tinand cont de schimbarile de situatie din contextul organizational- imbunatatirea continua a procesului in ansamblu
DO- implementarea masurilor de tratare a riscurilor- instruirea conducerii si a personalului in general cu privire la riscurile identificate si masurile stabilite
CHECK- monitorizarea si reevaluarea rezultatelor masurilor aplicate, a eficacitatii si eficientei procesului
Sisteme de management al securitatii informatiei - SMSI
Proiect cofinanţat din Fondul Social European prin
Programul Operaţional Sectorial Dezvoltarea Resurselor Umane 2007-2013.
Investeşte în oameni!
Impactul pe care o amenintare il creeaza prin exploatarea unei
vulnerabilitati ar trebui analizat din perspectiva obiectivelor securitatii
informatiei: integritate, disponibilitate, confidentialitate.
Mare pierderi materiale cu costuri foarte mari; pierderi foarte
importante de imagine, reputatie, etc; pierderi foarte importante la nivel
de securitate si sanatate in munca
Mediu pierderi materiale cu costuri semnificative; pierderi
semnificative de imagine, reputatie, etc; pierderi la nivel de securitate
si sanatate in munca
Scazut pierderi materiale neimportante; oarecare atingere de imagine,
reputatie, etc;
Analiza riscului informational
Proiect cofinanţat din Fondul Social European prin
Programul Operaţional Sectorial Dezvoltarea Resurselor Umane 2007-2013.
Investeşte în oameni!
Analiza riscului informational
RISK ASSESSMENT
RISK ANALISYS
RISK IDENTIFICATION
RISK ESTIMATION
RISK EVALUATION
Assessment
satisfactory?
Likelihood determination
Impact analysis
Magnitude of impact
definition
Prelucrare dupa ISO CEI 27005: 2008
Proiect cofinanţat din Fondul Social European prin
Programul Operaţional Sectorial Dezvoltarea Resurselor Umane 2007-2013.
Investeşte în oameni!
Exemplu estimare: abordare detaliata consecinte-impact- probabilitate, masurare calitativa
Proiect cofinanţat din Fondul Social European prin
Programul Operaţional Sectorial Dezvoltarea Resurselor Umane 2007-2013.
Investeşte în oameni!
Exemplu estimare : abordare detaliata valoare bunuri-vulnerabilitate-probabilitate, masurare
calitativa
Proiect cofinanţat din Fondul Social European prin
Programul Operaţional Sectorial Dezvoltarea Resurselor Umane 2007-2013.
Investeşte în oameni!
Cei 4T - “Terminate, Tolerate, Treat, Transfer”
TRANSFER TERMINARE
TOLERARE TRATARE
Impact
Mare
Mic
Mica Mare
Probabilitate de aparitie
Tratarea riscului informational
Proiect cofinanţat din Fondul Social European prin
Programul Operaţional Sectorial Dezvoltarea Resurselor Umane 2007-2013.
Investeşte în oameni!
Pentru fiecare dintre riscurile determinate este necesara o
decizie de tratare. Optiuni posibile:
- Evitarea riscurilor prin interzicerea actiunilor care ar putea cauza
aparitia riscurilor (Terminare)
- Acceptarea constienta si obiectiva a riscului conform politicii si
criteriilor de acceptare a riscurilor stabilite de organizatie (Tolerare)
- Aplicarea masurilor adecvate de securitate pentru reducerea riscului
(Tratare)
- Transferul riscurilor catre terte parti, e.g. asiguratori sau furnizori de
servicii (Transfer)
Tratarea riscului informational
Proiect cofinanţat din Fondul Social European prin
Programul Operaţional Sectorial Dezvoltarea Resurselor Umane 2007-2013.
Investeşte în oameni!
Tratarea riscului informational
Impact
Probabilitate de apariție
Tratare
Terminare
Tolerare
Transfer
<1% 1-5% 5-10% 10-20% 20-30% 30-70% 70%
Proiect cofinanţat din Fondul Social European prin
Programul Operaţional Sectorial Dezvoltarea Resurselor Umane 2007-2013.
Investeşte în oameni!
Pentru riscurile pentru care s-a luat decizia de tratare trebuie
luate masuri de reducere a riscurilor la un nivel acceptabil.
Controalele pot fi selectate din acest standard sau din alte seturi de
controale, pot fi proiectate noi controale pentru a îndeplini nevoile
specifice organizatiei
Trebuie recunoscute controalele care nu pot fi aplicate la fiecare
sistem sau mediu de informatii si care nu sunt utilizabile pentru toate
organizatiile
Tratarea riscului informational
Proiect cofinanţat din Fondul Social European prin
Programul Operaţional Sectorial Dezvoltarea Resurselor Umane 2007-2013.
Investeşte în oameni!
Tratarea riscului informational
Masurile care se stabilesc pentru tratarea riscurilor depind de
urmatorii factori:
- Riscul identificat (tratat, asociat, rezidual)
- Cerinţele legale, reglementate, contractuale, alte constrangeri de
natura legala
- Nivelul de securitate stabilit
- Costurile stabilite ca fiind acceptabile
- Cerintele clienţilor
- Usurinta implementarii
- Intretinerea controalelor selectate
Tratarea riscului informational
Proiect cofinanţat din Fondul Social European prin
Programul Operaţional Sectorial Dezvoltarea Resurselor Umane 2007-2013.
Investeşte în oameni!
Acceptarea riscului informational
Organizatia trebuie sa-si defineasca nivelul propriu de acceptare a
riscului.
Premise
- Nu este o abordare realista luarea in considerare a tuturor riscurilor
existente în organizatie.
- Nici un sistem informatic nu poate fi 100% sigur.
- Resursele alocate pentru tratarea riscului sunt limitate.
Dacă riscul este peste acest nivel acceptat, trebuie sa se implementeze
măsuri de securitate.
Proiect cofinanţat din Fondul Social European prin
Programul Operaţional Sectorial Dezvoltarea Resurselor Umane 2007-2013.
Investeşte în oameni!
Acceptarea riscului informational
Daca riscul este sub acest nivel, organizaţia trebuie să accepte
existenţa riscului.
Reguli
Acceptarea nivelului riscului trebuie sa fie asumat de managementul de
top.
Riscul rezidual trebuie sa fie inregistrat in raportul de evaluare a riscurilor
si trebuie sa fie asumat de managementul de varf.
Proiect cofinanţat din Fondul Social European prin
Programul Operaţional Sectorial Dezvoltarea Resurselor Umane 2007-2013.
Investeşte în oameni!
Acceptarea riscului informational
Daca riscul este sub acest nivel, organizaţia trebuie să accepte
existenţa riscului.
Reguli
- Acceptarea nivelului riscului trebuie sa fie asumat de managementul de
top.
- Riscul rezidual trebuie sa fie inregistrat in raportul de evaluare a
riscurilor si trebuie sa fie asumat de managementul de varf.