Analiza Riscului in Sisteme Securizate 2007
-
Upload
carolinagab -
Category
Documents
-
view
733 -
download
4
Transcript of Analiza Riscului in Sisteme Securizate 2007
Facultatea de Cibernetică, Statistică şi Informatică Economică
ANALIZA RISCULUI ÎN SISTEMELE SECURIZATE
Academia de Studii EconomiceBucureşti
Conf. univ. dr. Burtescu R. Emil
Întrebare …….
Aveţi afişat ceva asemănător afişat deasupra prizei de curent ?Este acesta vizibil şi uşor de citit?
În firma Dumneavoastră se fac regulat operaţii pentru salvări de siguranţă (backup) a datelor?
Există în firma Dvs. Dispozitive de control a variaţiilor de tensiune?Cât timp poate “rezista” firma fără tensiune electrică (din exterior)?
Există în firma Dvs. calculatoare “backup” (parc rece)?În cât timp pot fi puse în funcţiune?
Care sunt efectele asupra activităţii (afacerilor) firmei?
În cazul în care un server important este inoperabil, în cât timp poate fi repus în funcţiune?
Care sunt efectele asupra activităţii (afacerilor) firmei?
Se face o evaluare “de detaliu” şi se stabileşte
profilul pentru un nou angajat?
În caz de găsire a vinovatului, în cazul unui atac, este firma Dvs. pregătită să dovedească acest lucru
şi să-l acţioneze în justiţie pe vinovat?
Poate firma Dvs. să prevină, să detecteze şi să răspundă unui atac (din afara firmei sau din interior)?
Alte întrebări …….
Asigurarea securităţii
în cadrul unei organizaţii înseamnă
(în foarte multe cazuri) g
estionarea haosului
Termeni şi definiţii
Bun/active – Orice are valoare într-o organizatie. Se includ clădirile, componente hardware şi software, date, personal, planuri şi documentaţii etc.
Risc – Ameninţate care poate să exploateze eventualele slăbiciuni ale sistemului. Combinatia intre probabilitatea unui eveniment si consecintele sale (ISO Guide 73).
Ameninţare – Cauză potenţială a unui impact nedorit asupra unui sistem sau a unei organizaţii (ISO 13335-1). Un eveniment nedorit (intenţionat sau accidental) care poate produce daune bunurilor organizatiei.
Vulnerabilitate – O slăbiciune în ceea ce priveşte procedurile de sistem, arhitectura sistemului, implementarea acestuia, controlul intern, precum şi alte cauze care pot fi exploatate pentru a trece de sistemele de securitate şi a avea acces neautorizat la informaţii. Orice slăbiciune, proces administrativ, act sau expunere care face ca o informaţie despre un bun să fie susceptibilă de a fi exploatată de o ameninţare.
Impact – Pierderea generală aşteptată a afacerii când o ameninţare exploatează o vulnerabilitate împotriva unui bun.Exploit – Un mijloc de utilizare a vulnerabilităţii pentru a cauza o disfuncţionalitate a activităţilor organizaţiei sau o disfuncţionalitate a serviciilor de securitate a informaţiei din cadrul organizaţiei.
Expunere – O acţiune de ameninţare prin care informaţia senzitivă este eliberata direct unei entitati neautorizate (RFC2828).
Integritate – Proprietatea prin care data nu a fost alterată sau distrusă într-o manieră neautorizată (ISO 7498-2).
Accesibilitate (disponibilitate) – Proprietatea unui sistem de a asigura că este accesibil şi disponibil pentru folosire la cererea unui utilizator sau proces autorizat din sistem.
Confidelitate – Proprietatea prin care informaţia nu este facută disponibilă sau dezvăluită către persoane, entităţi sau procese neautorizate(ISO 7498-2).
Termeni şi definiţii (continuare)
Dată senzitivă – Orice dată care nu poate fi făcută publică.
Control – Un mijloc organizaţional, procedural sau tehnologic de conducere a riscului; un sinonim pentru garanţie sau masură de prevenire a riscului.
Reducere (a riscului) – Ansamblu de măsuri şi acţiuni planificate care se iau la nivel de organizaţie pentru atenuarea sau eliminarea unui risc.
Soluţie de reducere – Implementarea unui control control organizational, procedural sau tehnologic menit să care va ajuta la managementulul riscului de securitate.
Aparare in adancime – Soluţie de asigurare a securităţii pe multiple niveluri menită pentru a proteja împotriva eşecului unei singure componente de siguranţă.
Reputatia – Opinii pe care oamenii o au despre o organizaţie. Valoare dificil de calculat.
Evaluarea riscurilor – Procesul complex prin care riscurile sunt identificate şi impactul acestor riscuri este determinat.
Managementul riscurilor – Procesul de determinare a unui nivel acceptabil de risc, evaluarea nivelului curent de risc, urmărea paşilor pentru reducerea riscului la un nivel acceptabil şi menţinerea acelui nivel de risc.
Analiza calitativă – Abordare a analizei de risc în care se atribuie valori relative bunurilor, riscurilor, controalelor şi impacturilor.
Analiză cantitativă – Abordare a analizei de risc în care se atribuie valori numerice obiective (reale) bunurilor, riscurilor, controalelor şi impacturilor.
Pierderea anuala estimată (PAE) – Sumă totală de bani pe care o organizatie o va pierde într-un an dacă nu va lua măsuri pentru pentru micşorarea sau eliminarea riscului.
Rata anuală de producere/de apariţie (a unui eveniment) – Valoare care cuantifică de câte ori se poate produce un anumit eveniment pe parcursul unui an.
Analiza cost–beneficiu – Estimare şi o comparaţie a valorii relative şi a costului asociate cu fiecare control propus. Criteriu de eficienţă folosit pentru alegerea controlului ce va fi implementat.
Rentabilitatea Investiţiei (profitul din investitia în securitate) – Suma totală de bani pe care o organizatie se aşteaptă sa o salveze (economiseasca) într-un an prin implementarea măsurilor de securitate.
Termeni şi definiţii (continuare)
Pierderea anuala estimată pe fiecare bun (PAEb) – Sumă totală de bani, aferentă unui bun, pe care o organizatie o va pierde într-un an dacă nu va lua măsuri pentru pentru micşorarea sau eliminarea riscului care afectează acel bun.
Pierderea anuala estimată pe fiecare ameninţare (PAEa) – Sumă totală de bani, creată de o ameninţare, pe care o organizatie o va pierde într-un an dacă nu va lua măsuri pentru pentru micşorarea sau eliminarea unui risc care afectează bunurile.
Nevoia de securitate
1970
Piratare linii telefonice (phreaking/boxing)
Conexiuni dial-up ilegale
Acces (Internet) neautorizat
1980
1990
Etape în furtul electronic de informaţie
Momente de referinţă care evidenţiază nevoia de securitate
2 noiembrie 1988
Giant Worm
Un vierme (virus – după unii), lansat în Internet, infectează un număr de 60.000 de calculatoare de pe întreg teritoriul Statelor Unite. Acesta se împrăştia cu repeziciune de la calculatoarele din Cambridge, Massachusetts şi Berkeley, California, la calculatoarele din Princeton, apoi la NASA Ames Research Center din Silicon Valley, California, la Universitatea din Pittsburgh, la Los Alamos National Laboratory şi la alte universităţi, baze militare şi institute de cercetare.
Costurile necesare stopării viermelui şi testării sistemelor infectate au fost estimate între 1.000.000 şi 100.000.000 dolari. Vinovat - Robert T. Morris - student la Universitatea Cornell.
11 septembrie 2001
Atacurile asupra World Trade Center (WTC) şi asupra Pentagonului
Atacurile cauzează pagube de peste 100 miliarde de dolari.
Datorită existenţei unor planuri de măsuri în caz de dezastre, comunicaţiile sunt refăcute rapid, iar unele firme reuşesc să revină online in 48 de ore de la atac.
După aceste atacuri, atât Statele Unite cât şi alte state, îşi revizuiesc politica de securitate.
1. Cliff Stoll, angajat la Lawrence Berkeley Laboratory, pe parcursul anului 1988, a atacat un număr de 450 de calculatoare din Germania de Vest, reuşind să penetreze 30 dintre ele. Acuzat iniţial de acces neautorizat, după ce s-a constatat că a vândut secrete KGB-ului, acuzaţia a fost schimbată în spionaj. 2. În anul 1990, un student australian, autointitulat Phoenix, a fost învinuit că a cauzat oprirea pentru 24 de ore a calculatoarelor de la NASA în Norfolk, Virginia. De asemenea, a alterat informaţiile de la Lawrence Livemore National Laboratory din California.3. În anul 1988, la mai multe agenţii de transport aerian se descoperă că cineva a reuşit să penetreze sistemul şi să tipărească rezervări ilegale de bilete de avion. Pentru prima dată s‑a pus problema dacă nu cumva organizaţiile teroriste au făcut acest lucru pentru a avea acces la listele de pasageri. Întrebarea a fost repusă apoi când membri ai familiei regale din Kuweit au fost luaţi ostatici la bordul unui avion. Aceeaşi întrebare a fost pusă şi după atentatele de la 11 septembrie 2001 .4. În luna aprilie 1986, un intruder, cunoscut sub numele de Captain Midnight, reuşeşte să mărească neautorizat puterea de transmisie a unui canal HBO transmiţând propriul mesaj către milioane de telespectatori. Această acţiune a adus în actualitate posibila folosire în scopuri teroriste a acestor acţiuni.5. Evenimentul consemnat sub denumirea de „Constitution Loss“ se poate constitui ca fiind cea mai gravă eroare umană şi de implementare a securităţii. În anul 1991, înainte de votul final al Constituţiei din Columbia, un utilizator care trebuia să facă ultimele modificări la versiunea online face o greşeală care are ca efect pierderea datelor. Neexistând o copie de siguranţă (backup), datele au fost refăcute, după o muncă laborioasă, folosind ciornele membrilor comitetului de redactare a noii Constituţii columbiene.6. În ianuarie 1988, la Universitatea Ebraică din Ierusalim se descoperă că sute de calculatoare sunt infectate cu un virus. Acesta se activa la fiecare zi de 13 a lunii, şi care era şi vineri, încetinea procesul de prelucrare şi ştergea datele pe data de 13 mai. Virusul a mai fost denumit şi Columbus Day sau Datacrime.7. Un puşti de 14 ani din Kansas reuşeşte în anul 1989, folosind un calculator Apple, să penetreze sistemul de poziţionare a sateliţilor aparţinând Air Force, să vorbească internaţional neautorizat şi să acceseze fişiere confidenţiale. 8. Virus Flamblé poate fi inclus într-o categorie aparte de viruşi. El acţionează şi asupra echipamentului hardware prin creşterea frecvenţei de scanare orizontală a fasciculului de electroni al monitorului peste limitele suportate admise. Ca efect, monitorul ia foc. Acest virus a afectat în anul 1988 o companie de consultanţă din San Jose, California.
Momente de referinţă care evidenţiază nevoia de securitate (continuare)
9. În anul 1988, un cercetător care lucra pentru o comisie care investiga afacerile cu Iranul descoperă pe un calculator utilizat de Oliver North date secrete sustrase referitoare la NSC. Acestea fuseseră transferate şi apoi şterse de pe un calculator, considerat sigur, care aparţinea Casei Albe.
10. Un manager al unei firme a reuşit în anul 1984, manipulând un calculator, să transfere fonduri de 25.000.000 dolari încercând să păcălească auditul.
11. În luna martie 1999, virusul Melissa reuşeşte să blocheze serviciile de poştă electronică din întreaga lume. Pagubele se estimează la 80 milioane dolari. Vinovatul este găsit în persoana lui David Smith, programator, care dăduse numele virusului după cel al unei dansatoare topless. Condamnat fiind, acesta execută mai mulţi ani de detenţie în închisorile statale şi federale din Statele Unite.
12. Love Letter Worm reuşeşte să infecteze, într-o singură zi din anul 2000, 45 de milioane de calculatoare.
13. În luna februarie 2000, activitatea multor site-uri de e-commerce, printre care Yahoo!, E-Bay şi E-Trade, a fost afectată de un nou atac de tip DoS, denumit Distributed Denial of Service (DDoS). Atacul se folosea de tehnologia client-server pentru a concentra atacul asupra anumitor puncte. Vinovatul a fost găsit, după luni de căutări, în persoana unui tânăr hacker.
14. În luna octombrie a aceluiaşi an, firma Microsoft a raportat că un hacker a reuşit să aibă acces la o porţiune din reţeaua LAN proprie.
15. Pagina de web a Departamentului de Stat al Statelor Unite a fost atacată în luna octombrie 2002 şi umplută cu obscenităţi. Din această cauză, funcţionarea acesteia a trebuit să fie întreruptă.
16. După atacul din insula Bali din luna octombrie 2002, când Australia a impus presiuni asupra grupurilor teroriste din Indonezia, presupuse responsabile de atac, peste 200 de site-uri australiene au fost atacate de hackeri din Indonezia.
17. Însăşi structura Internet a fost atacată în luna octombrie 2002. 13 servere de root au fost afectare de DDoS şi o mulţime de utilizatori s-au văzut în imposibilitatea de a efectua conexiuni.
18. O conferinţă împotriva furtului de informaţii din calculatoare a fost sabotată în luna mai 2003. Hackerii au reuşit să sustragă aproximativ 1000 de nume şi adrese de e-mail ale persoanelor participante la acea conferinţă.
Momente de referinţă care evidenţiază nevoia de securitate (continuare)
Pierderi datorate atacurilor în cadrul organizaţiilor
Pierderi anuale pe tipuri de abuzuri
4.503.000
115.753.000
6.015.000
70.827.000
49.979.000
11.766.500
50.099.000
18.370.500
15.134.000
13.055.000
346.000
406.300
10.186.400
701.500
70.195.900
27.382.340
6.830.500
11.767.200
65.643.300
5.148.500
2.754.400
705.000
76.000
Mil 20 Mil 40 Mil 60 Mil 80 Mil 100 Mil 120 Mil 140 Mil
Acces intern neautorizat
Fraude financiare
Fraude telefonice
Furt de informaţie
Viruşi informatici
Furturi laptop-uri
Abuzuri din interior
Refuz al serviciului (DoS)
Sabotaje angajaţi
Penetrare sisteme
Ascultare trafic
Ascultare telefoane
Valoare pierderi ($)
2003
2002
Pierderi anuale pe tipuri de abuzuri în anii 2002 şi 2003
!
26,460,000
13,468,400
11,460,000
10,601,055
7,670,500
6,734,500
4,278,205
3,997,500
2,747,000
958,100
901,500
871,000
55,053,900
0 10,000,000 20,000,000 30,000,000 40,000,000 50,000,000 60,000,000
Viruşi informatici
Refuz al serviciului (DoS)
Altele
Furt de proprietate
Abuzuri reţea (intern)
Fraude financiare
Furt laptop-uri
Acces neautorizat
Fraudare telecomunicaţii
Abuz asupra aplicaţiilor web publice
Blocare site-uri web
Penetrare sisteme
Sabotaje
Pierderi datorate atacurilor în cadrul organizaţiilor (continuare)
Pierderi anuale în anul 2004 (valori)
10.601.055
4.278.205
3.997.500
55.053.900
13.468.400
2.754.400
5.148.500
871.000
901.500
26.460.000
6.734.500
11.460.000
7.670.500
70.195.900
65.643.300
783.003
27.382.340
6.830.500
10.186.400
701.500
406.300
11.767.200
0 10.000.000 20.000.000 30.000.000 40.000.000 50.000.000 60.000.000 70.000.000 80.000.000
Abuzuri reţea (intern)
Acces neautorizat
Fraudaretelecomunicaţii
Fraude financiare
Furt de proprietate
Furt laptopuri
Penetrare sisteme
Refuz al serviciului(DoS)
Sabotaje
Viruşi
Altele
2003
2004
Pierderi anuale pe tipuri de abuzuri în anii 2003 şi 2004
Pierderi datorate atacurilor în cadrul organizaţiilor (continuare)
!
31.233.100
30.933.000
7.310.725
6.856.450
4.107.300
2.565.000
2.227.500
841.400
544.700
340.000
242.000
115.000
42.787.767
0 5.000.000 10.000.000 15.000.000 20.000.000 25.000.000 30.000.000 35.000.000 40.000.000 45.000.000
Viruşi informatici
Acces neautorizat
Furt de proprietate intelectuală
DoS (Refuz al serviciului)
Abuzuri interne ale reţelei
Furturi laptopuri
Fraude financiare
Abuzarea aplicaţiilor web publice
Penetrare sisteme
Abuzuri retele wireless
Sabotaje
Fraude telecomunicaţii
Deteriorare siteuri
Pierderi datorate atacurilor în cadrul organizaţiilor (continuare 2005)
Pierderi anuale în anul 2005 (valori)
Total pierderi raportate în anul 2005: 130.104.5425 USD
Sursa: Computer Security Institute, CSI/FBI 2005 Computer Crime and Security Survey 639 respondenţi
24%
24%
6%
5%
3%
2%
2%
1%33%
Viruşi informatici Acces neautorizat Furt de proprietate intelectuală
DoS (Refuz al serviciului) Abuzuri interne ale reţelei Furturi laptopuri
Fraude financiare Abuzarea aplicaţiilor web publice Penetrare sisteme
Abuzuri retele wireless Sabotaje Fraude telecomunicaţii
Deteriorare siteuri
Pierderi datorate atacurilor în cadrul organizaţiilor (continuare - 2005)
Pierderi anuale în anul 2005 (procente)
42.787.767
31.233.100
30.933.000
2.227.500
841.400
544.700
340.000
242.000
115.000
55.053.900
10.601.055
11.460.000
26.064.050
10.601.055
6.734.500
7.670.500
901.500
10.159.250
871.000
3.997.500
958.100
2.565.000
4.107.300
6.856.450
7.310.725
2.747.000
0 10.000.000 20.000.000 30.000.000 40.000.000 50.000.000 60.000.000
Viruşi informatici
Acces neautorizat
Furt de proprietate intelectuală
DoS (Refuz al serviciului)
Abuzuri interne ale reţelei
Furturi laptopuri
Fraude financiare
Abuzarea aplicaţiilor web publice
Penetrare sisteme
Abuzuri retele wireless
Sabotaje
Fraude telecomunicaţii
Deteriorare siteuri
2004
2005
Pierderi datorate atacurilor în cadrul organizaţiilor (continuare)
Pierderi anuale pe tipuri de abuzuri în anii 2004 şi 2005
!
15.691.460
10.617.000
6.642.660
6.034.000
2.922.010
2.556.900
1.848.810
1.262.410
923.700
758.000
647.510
469.010
291.510
269.500
260.000
162.500
161.210
90.100
885.000
0 2.000.000 4.000.000 6.000.000 8.000.000 10.000.000 12.000.000 14.000.000 16.000.000 18.000.000
Contaminare cu virusi
Acces neautorizat
Furturi de dipozitive mobile
Furt de proprietate intelectuala
Refuz al serviciului (DoS)
Fraude financiare
Abuzuri interne (Network or e-mail)
Fraude telecomunicatii
Bots (zombi) intre organizatii
Penetrare sisteme din afara
Phising
Abuzuri wireless
Abuzare IM
Abuzare aplicatii web
Sabotare date si retele
Deterioarare siste-uri
Password sniffing
Exploit-uri pe serverul DNS
Altele
Pierderi datorate atacurilor în cadrul organizaţiilor (2006)
Pierderi anuale în anul 2006 (valori)Total pierderi raportate în anul 2006: 52.494.290 USD
Sursa: Computer Security Institute, CSI/FBI 2006 Computer Crime and Security Survey 313 respondenţi
30%
20%13%
11%
6%
5%
4%
2%2%
1%1%1%1%1%0%0%0%0%2%
Contaminare cu virusi
Acces neautorizat
Furturi de dipozitive mobile
Furt de proprietate intelectuala
Refuz al serviciului (DoS)
Fraude financiare
Abuzuri interne (Network or e-mail)
Fraude telecomunicatii
Bots (zombi) intre organizatii
Penetrare sisteme din afara
Phising
Abuzuri wireless
Abuzare IM
Abuzare aplicatii web
Sabotare date si retele
Deterioarare siste-uri
Password sniffing
Exploit-uri pe serverul DNS
Altele
Pierderi datorate atacurilor în cadrul organizaţiilor (continuare - 2005)
Pierderi anuale în anul 2006 (procente)
1999 2000 2001 2002 2003 2004 2005
Viruşi informatici
Furturi laptop-uri
Acces neautorizat
Refuz al serviciului (DoS)
Penetrare sisteme
Furt de proprietate intelectuală
Fraudare telecomunicaţii
Fraude financiare
Sabotaje
Abuzarea reţelelor wireless
Abuzare web servere publice
Deteriorare site-uri
Abuzuri interne ale reţelei
20
40
60
80
100
Sursa: Computer Security Institute, CSI/FBI 2006 Computer Crime and Security Survey
Tipuri de atacuri sau abuzuri raportate
2006
Principalele surse de atac
Surse de atac
81
26
44
21
7776
31
49
25
81
75
26
38
26
82
77
25
40
28
82
0
10
20
30
40
50
60
70
80
90
Angajati Companiistrăine
Competitori Guverne străine Hackeri(independenţi)
Pro
cen
taj răsp
un
su
ri
2000
2001
2002
2003
Sursa: Computer Security Institute, CSI/FBI 2003 Computer Crime and Security Survey2003: 488 răspunsuri/92%2002: 414 răspunsuri/82%2001: 484 răspunsuri/91%2000: 583 răspunsuri/90%
! !
Tehnologii de securitate folosite
Tehnologii de securitate folosite
92
50
62
50
78
8
36
39
100
54
90
90
53
64
61
95
9
42
39
98
48
92
82
50
58
60
89
10
38
35
90
44
84
92
58
69
73
98
11
49
40
99
47
91
0 20 40 60 80 100 120
Control acces
Criptare acces
Criptare fişiere
Detectarea intruziunilor
Firewall
Identificare biometrică
Identificare digitală
PCMCIA
Programe antivirus
Reutilizare parole
Securitate fizică
Procentaj răspunsuri
2003
2002
2001
2000
Sursa: Computer Security Institute, CSI/FBI 2003 Computer Crime and Security Survey2003: 525 răspunsuri/99%2002: 500 răspunsuri/99%2001: 530 răspunsuri/99%2000: 629 răspunsuri/97%
97%
96%
72%
70%
68%
52%
46%
42%
35%
35%
15%
0% 20% 40% 60% 80% 100% 120%
Firewall-uri
Programe anti-virus
Detectoare de intruziune
Liste control acces
Criptare transmisii de date
Reutilizare conturi şi parole
Criptare fişiere
Smart card/one-time password
PKI
Sisteme de prevenire intruziuni
Identificare biometrica
Tehnologii de securitate folosite (anul 2005)
Sursa: Computer Security Institute, CSI/FBI 2005 Computer Crime and Security Survey 687 respondenţi
98%
97%
79%
71%
69%
63%
48%
46%
43%
41%
39%
38%
38%
36%
32%
31%
20%
4%
0% 20% 40% 60% 80% 100% 120%
Firewall
Anti-virus software
Anti-spyware
Server-based access control list
Intrusion detection system
Encryption for data in transit
Encryption for data in storage
Reusable account/login password
Intrusion prevention system
Log management software
Application-level firewall
Smart-card/one-time password token
Forensic tools
Public Key Infrastructure
Specialized wireless security client software
Endpoint security client software
Biometrics
Other
Tehnologii de securitate folosite (anul 2006)
Sursa: Computer Security Institute, CSI/FBI 2005 Computer Crime and Security Survey 616 respondenţi
S E C U R I T A T E
SecretizareInterzicerea accesului neautorizat al persoanelor la informaţia care nu le este destinată.
AcurateţeDatele stocate în calculator să nu poată fi alterate sau să nu poată fi modificate decât de persoane autorizate.
Datele stocate în calculator să poată să fie accesate de persoanele autorizate
Confirmă autenticitatea unui mesaj electronic
Ce urmărim să obţinem prin managementul riscului şi/sau analiza de risc?
Ce poate să facă firma ?
Definirea cerinţelor pentru îmbunătăţirea securităţii
3
Stabilirea personalului responsabil cu asigurarea securităţii
1 -Definirea şi obţinerea acordului pentru un tabel de securitate-Evaluarea politicilor de securitate existente-Creare de politici de securitate-Implementare politici de securitate-Supraveghere procese
Stabilirea etapelor principale pentru asigurarea securităţii
2 -Analiza riscurilor-Clasificarea datelor şi a documentelor-Stabilirea drepturilor de acces-Definirea politicii de securitate-Planificarea., designul şi implementarea tehnică a măsurilor de securitate
Informarea personalului despremăsurile adoptate
4-Conştientizare (program)-Comunicare executivă (program)
Auditul şi monitorizarea securităţii
-Control şi evaluare hardware-Control şi evaluare software-Monitorizarea intruziunilor şi scanarea vulnerabilităţilor-Răspunsul la intruziuni
5
Pe ce se poate baza firma ?
FIRMA
Oameni-pregătire-responsabilităţi-cultură-organizare
Procese-politici-proceduri-standarde
Tehnologii-infrastructură-aplicaţii
•Analiza riscului
•Determinarea necesităţilor
•Implemantare politici
•Implementare controale
•Asistare
•Conştientizare
•Monitorizare
•EvaluarePunct de convergenţă
Ciclul de management al riscului (variantă)
Ciclul de management al riscului (variantă)
Sursa http://www.noweco.com/
La http://www.noweco.com/downe.htm se găsesc materiale suplimentare referitoare la managementul riscului (Trial software, broşuri, prezentări)
Ciclul de management al riscului ((variantă) Microsoft)
Evaluarea
riscurilor
Coordonarea procesuluidecizional
Implementare
controale
Măsurarea eficacităţii programului
1
23
4
Ciclul de management al riscului (Microsoft)
Evaluarea riscului – Identificarea şi clasificarea riscurilor care pot să afecteze afacerea.
Coordonarea procesului decizional– Identificarea şi evaluarea măsurilor şi a soluţiilor de control ţinând cont de raportul cost-beneficii.
Implementarea controalelor – Implementarea şi rularea de măsuri de control menite să reducă sau să elimine riscurile.
Măsurarea eficacităţii programului – Analiza eficacităţii măsurilor de control adoptate şi verificarea dacă controalele aplicate asigură gradul de protecţie stabilit.
Nivelul de efort (Microsoft)
Culegere date
Analiză sumară a riscului
Analiză detaliată
a riscului
Procesul decizional
Implementare controale
Rulare controale
Faze ale procesului
Nivel efort Curba de efort
Nivel Status Descriere
0 Inexistent Firma nu are politica de securitate documentată.
1 Ad-hoc Firma este conştientă de risc. Eforturile de management al riscului sunt făcute în grabă şi haotic. Politicile şi procesele nu sunt bine documentate. Proiectele de management al riscului sunt necoordonate şi haotice, iar rezultatele nu pot fi măsurate şi evaluate.
2 Repetabil Firma are cunoştinţe despre managementul riscului. Procesul de management al riscului este repetabil dar imatur. Procesele de management al riscului nu sunt suficient documentate, dar firma lucrează in acest sens. Nu există o instruire formală sau o comunicare în ce priveşte managementul de risc, responsabilitatea fiind lăsată la latitudinea angajatului.
3 Definit Firma adoptă o decizie formală de implementare a managementului de risc. Sunt definite clar obiectivele şi modalităţile de măsurare a rezultatelor. Angajaţii sunt instruiţi formal la un nivel de bază.
4 Controlat Managementul riscului este bine înţeles în toate compartimentele şi nivelurile firmei. Există proceduri bine definite de control şi reducere a riscului. Eficacitatea poate fi măsurată. Personalul este instruit. Resursele alocate sunt suficiente. Beneficiile sunt vizibile. Echipa de management al riscului lucrează pentru a îmbunătăţi permanent procesele şi instrumentele pe care le utilizează. O mare parte din procesele de evaluare a riscului, de identificare a controalelor, de analiză costuri-beneficii sunt neautomatizare (manuale).
5 Optimizat Procesul de management al riscului este bine înţeles şi automatizat prin instrumente specifice dezvoltate în cadrul firmei sau achiziţionate de la firme specializate în domeniu. Sunt identificate sursele de risc şi sunt luate măsuri de limitare a efectelor acestora. Angajaţii sunt instruiţi diferenţial. Se lucrează la optimizare procese.
Nivelurile de management al riscului de securitate (Microsoft)
1. Politicile de asigurare a securităţii informaţiei sunt clare, concise, bine documentate şi complete.
0…5
2. Toate posturile care au responsabilităţi privind securitatea informaţiei au clare şi bine inţelese rolurile si responsabilităţile lor.
0…5
3. Politicile şi procedurile de securizare a accesului colaboratorilor la datele firmei sunt bine documentate.
0…5
4. Există un inventar al componentelor IT, hardware şi software exact şi actualizat, precum şi cu dislocarea acestora. 0…5
5. Sistemele de control existente sunt adecvate şi funcţionează la parametri pentru a proteja datele firmei împotriva accesării neautorizate din interior sau din afară.
0…5
6. Politicile şi practicile de asigurare a securităţii datelor sunt cunoscute de către utilizatori, iar aceştia sunt periodic instruiţi şi informaţi despre noutăţi.
0…5
7. Accesul fizic la reţeaua de computere şi la alte componente IT este restricţionat prin utilizarea unor sisteme eficiente de control.
0…5
8. Sistemele de calcul sunt dotate în conformitate cu standardele de securitate în domeniu, având instrumente automatizate pentru asigurarea securităţii datelor.
0…5
Pu
nct
aj
Întrebări
10. A fost creată o echipă care să reacţioneze şi să răspundă în cazul unor incidente. Această echipă a dezvoltat procese eficiente şi a creat documentaţia necesară pentru aceasta, în scopul de a putea rezolva incidentele legate de securitate. Sunt analizate toate aceste incidente până la descoperirea cauzei principale şi la rezolvarea oricăror probleme.
0…5
11. Firma dispune de un program antivirus complet, care include straturi multiple de protecţie, instruire a utilizatorului şi procese eficiente de răspuns la atacurile viruşilor.
0…5
12. Procesele de actualizare a utilizatorului sunt bine documentate şi cel putin parţial automatizate astfel încat noii angajaţi, furnizori sau parteneri sa aibă garantat un nivel potrivit de acces la sistemele de informaţii ale organizaţiei într-un timp scurt. Aceste procese ar trebui de asemenea să realizeze într-un interval de timp potrivit devalidarea şi ştergerea conturilor utilizatorului, a conturilor de care nu mai este nevoie.
0…5
13. Accesul la computere şi la reţea e controlat prin autentificare şi autorizare, liste de control restrictive asupra accesului la date, şi monitorizări preventive pentru încălcarea politicii firmei.
0…5
9. Este creat un sistem de management automat al actualizărilor programelor din cadrul organizaţiei capabil să furnizeze automat upgrade-urile software de la majoritatea furnizorilor către către marea majoritate a computerelor din organizaţie.
0…5
16. S-au lansat programe (şi acestea sunt eficiente) pentru a se asigura că toţi angajaţii îsi îndeplinesc sarcinile într-o manieră conformă cu prevederile legale.
0…5
17. Se folosesc în mod regulat recenziile şi auditurile (examinările oficiale) pentru a verifica conformitatea cu practicile standard pentru a obtine beneficii de securitate.
0…5
15. Fluenţa afacerii (a activităţii) şi programele ce asigură această conformitate sunt definite clar, bine documentate, şi testate periodic prin simulări si repetări.
0…5
14. Celor care se ocupă cu dezvoltarea aplicaţiilor le este oferită o pregătire periodică şi ei sunt conştienţi de standardele de securitate pentru crearea de software dar şi de testarea calităţii.
0…5
0 ... 85Punctaj final
Punctaj obţinut
Firma este pregătită pentru introducerea şi folosirea proceselor Microsoft de management al analizei riscului de securitate.
51 ... 85
Firma mai are de parcurs câteva etape necesare controlului de risc şi introduceriigraduate de noi procese de control.34 ... 50
Firma din această categorie trebuie să inceapă mai întâi să-şi creeze un nucleu al uneiechipe de management al analizei riscului. Aceasta îşi va concentra mai întâi eforturile,
pe o perioadă de câteva luni, pentru unul dintre compartimente. După ce se demonstreazăviabilitatea măsurilor aplicate de reducere a riscului, se vor extinde măsurile la
următoarele două-trei compartimente.
0 ... 33
Stadiu
Dacă situaţia o impune - risc iminent - atunci firm
a poate ignora recomandarile
pentru a putea să-şi impună rapid măsurile de securitate.
NISTNational Institute of Standatds and Technology
Security Self-Assessment Guide for Information Technology Systems
Alte întrebări care vor defini nivelul de securitate al organizaţiei Dvs., şi vă vor ghida în acţiunile ulterioare sunt disponibile la:
http://csrc.nist.gov/ Security Guideline 800 series
http://csrc.nist.gov/ publications/nistpub/index.html fişierul Mapping-of-800-53v1.doc
Reguli şi responsabilităţi pe parcursul procesului de Management al riscului de securitate (Microsoft)
Titlu Responsabilitate
Director executiv Gestionează toate activităţile care prezintă un risc asupra afacerii – dezvoltare, alocare de fonduri, autorizare şi sprijin pentru echipa de management al riscului. Responsabilitate asigurată de seful secdurităţii sau seful securităţii informaţiilor. Ultimul nivel la care se defineşte un risc acceptabil pentru afacere.
Proprietarul afacerii -Este responsabil pentru bunurile materiale (tangibile) şi nemateriale (intangibile) ale afacerii (firmei).-Responsabil pentru stabilirea bunurilor prioritare ale afacerii şi pentru definirea nivelului de impact asupra acestora.-Definirea nivelului acceptabil de risc.
Grupul de securitate a informaţiei -Deţine procesul mai amplu de control al riscului.
-Evaluarea fazelor de analiza riscului şi prioritizarea riscului pentru afacere.
-Echipa este alcătuită minimal din asistent pentru evaluarea riscului si secretar.
Grupul IT Responsabil cu arhitectura, ingineria şi operaţiile.
Titlu Responsabilitate
Echipa de management al riscului de securitate -Responsabilă pentru conducerea programului de control al riscului.-Responsabilă pentru faza de evaluare a riscului.-Stabileşte riscurile prioritare.
Asistent pentru evaluarea riscului -Conduce discuţiile de colectare a datelor.
-Poate conduce intregul proces de management al riscului.
Secretar Înregistrează informaţii detaliate din timpul discuţiilor de colectare a datelor.
Echipa de reducere riscuri Responsabilă pentru implementarea şi menţinerea soluţiilor de control pentru aducerea riscului la un nivel acceptabil.
Comitetul de conducere în securitate Este format din membri ai echipei de control al riscului, reprezentanţi ai grupului IT şi acţionari ai afacerii. Directorul executiv este seful comitetului. Este responsabil cu selectarea strategiilor de reducere a riscului şi definirea unui risc acceptabil pentru firma.
Acţionarii Defineşte participanţii direcţi sau indirecţi la procesul de management al riscului. Poate include şi grupuri sau persoane din afara IT.
Reguli şi responsabilităţi pe parcursul procesului de Management al riscului de securitate (Microsoft)
continuare
Alegerea soluţiei de control adecvate
Grupul IT
Grupul de Securitate
Clasifică riscurile
ProprietarStabileşte ce este
important
Determinarea unuirisc acceptabil
Evaluare riscuri Definirea cerinţelor de securitate
Măsurarea soluţiilor de securitate
Proiectare şi implementare
soluţii de securitate
Exploatare şi sprijinpentru soluţii
Reguli şi responsabilităţi pe parcursul procesului de Management al riscului de securitate (Microsoft)
schematic
Evaluarea
riscurilor
Coordonarea procesuluidecizional
Implementare
controale
Măsurarea eficacităţii programului
1
23
4
•Stabilire plan de culegere date - Discutarea de soluţii pentru eficacitate culegere date
•Culegerea datelor – Culegerea, gruparea şi analiza datelor
•Prioritizarea/ierarhizare riscuri – Stabilirea de soluţii pentru clasificarea şi cuantificarea riscurilor
•Definirea cerinţelor funcţionale – Definirea cerinţelor funcţionale pentru reducerea riscului
•Selectarea soluţiilor de control posibile – Rezumatul de soluţii posibile care să reducă riscul
•Revizuirea soluţiilor – Evaluarea soluţiilor de control comparativ cu cerinţele impuse
•Estimarea diminuării riscului – Estimarea de reducere a expunerii sau a probabilităţii de risc
•Estimarea costurilor soluţiilor – Evaluarea costurilor directe şi indirecte de atenuare a riscurilor
•Selectarea strategiei de reducere a costurilor – Analiză completă cost-beneficii pentru determinarea solutiei optime dpv cost.
•Căutarea unei abordari integrate – Corelarea între oameni, procese şi tehnologii pentru atenuarea riscului
•Organizarea soluţiilor de control – Organizarea soluţiilor de reducere a riscurilor peste activităţile firmei
•Dezvoltarea unei diagrame de evoluţie a nivelului de riscc – Înţelegerea nivelului de risc şi evoluţiile acestuia
•Măsurarea eficacităţii programului – Evaluarea periodică a programului de management al riscului pentru îmbunătăţirea periodică a acestuia
Reevaluarea continuă a măsurilor de control adoptate, a schimbării statutului bunurilor si a riscului.
Managementul riscului şi Analiza riscului
Managementul riscului Analiza riscului
Obiective Gestionează riscul, în sensul reducerii acestuia, până la un nivel acceptabil pentru nevoile firmei.
Identifică şi clasifică riscurile în cadrul firmei
Tip de proces Proces permanent pe toate fazele Funcţionează intr-o singură fază, atunci cand este nevoie de evaluare a riscului.
Comparaţii
Evaluarea
riscurilor
Coordonarea procesuluidecizional
Implementare
controale
Măsurarea eficacităţii programului
1
23
4
1. Planificarea• alinierea• scopul• aceptarea
2. Facilitarea culegerii datelor• determinarea bunurilor firmei• identificarea ameninţărilor• identificarea vulnerabilităţilor• estimarea expunerilor• estimarea probabilităţii de producere• sumar
3. Prioritizarea riscurilor• coordonarea unei prioritizări sumare a nivelului de risc• rezumat al prioritizării nivelului de risc• analiză împreună cu proprietarul• analiză de detaliu a prioritizării nivelului de risc• detalierea prioritizării nivelului de risc
Evaluarea riscurilor
1
Motivele pentru care se face analiză de risc ?
Identificarea bunurilor firmei
Identificarea măsurilor de control pentru securizarea bunurilor firmei
Avertizează conducerea firmei asupra termenelor care pot produce riscuri
Avertizează asupra necesităţii de a adopta măsuri de control
Ghidează în alocarea de resurse
Aliniază programul de control la misiunea firmei
Oferă criterii pentru proiectarea şi evaluarea planurilor de avarie
Oferă criterii pentru proiectarea şi evaluarea planurilor de recuperare
Modalităţi de abordare a Analizei riscului
Analiza cantitativă
Lucrează cu date statistice în domeniu
Analiza calitativă
Lucrează cu date mai puţin complexe
Analiza vulnerabilităţii /analiza pe post
Pune pe prim plan angajatul şi condiţiile specifice de lucru
Riscul poate fi definit ca o ameninţate care poate să exploateze eventualele slăbiciuni ale sistemului.
Analiza de risc presupune un proces de identificare a riscurilor de securitate, determinarea amplitudinii riscurilor, precum şi identificarea zonelor cu risc mare şi care trebuie securizate. Analiza de risc face parte din
ansamblul de măsuri care poarta denumirea de managementul riscului. Evaluarea riscurilor este un rezultat al unui proces de analiză a riscurilor.
Managementul riscului poate fi definit ca totalitatea metodelor de identificare, control, eliminare sau minimizare a evenimentelor care pot afecta resursele sistemului.
Acesta include: analiza riscurilor; analiza costului beneficiilor; selecţia mecanismelor; evaluarea securităţii măsurilor adoptate; analiza securităţii în general.
Riscul
Riscul este un eveniment care aşteaptă să se întâmple.
BunuriCe dorim să protejăm?
AmeninţareDe ce ne este frică?
VulnerabilitateCum se poate produce
ameninţarea?
AtenuareCare este nivelul actual
de atenuare?
ImpactCare este impactul asupra afacerilor?
ProbabilitateCare este probabilitatea ca ameninţarea
să se manifeste?
Definirea stării de risc
Definirea stării de risc (Microsoft)
Nivelul de risc = Rata de impact x Rata de probabilitate
unde
Rata de impact = Clasa de impact x Factorul de expunere
Categorii de risc 1/2
O categorisire a riscurilor se poate face ţinând cont de sursele de risc. O primă categorisire poate fi:
1. Raporturile şi legaturile legale şi comerciale2. Circumstanţele economice3. Circumstanţe politice4. Probleme tehnice şi tehnologice5. Activităţile generale de management şi control6. Activităţi individuale7. Comportament uman8. Evenimente naturale
Standardele în domeniu oferă următoarea categorisire a riscurilor:
1. Managementul bunurilor2. Managementul schimbării3. Înţelegerii4. Mediu5. Financiar6. Management general7. Responsabilităţi8. Personal9. Servicii şi producţie10. Tehnologie
Nr. Categorie Exemple/Descriere
1 Boli Afectează oamenii, animalele şi plantele.
2 Economic Fluctuaţii valutare, fluctuaţii dobânzi, cote de piaţă.
3 Mediu Zgomote, poluare, contaminare.
4 Financiar Riscuri contractuale, insuficienţă fonduri, fraude, amenzi.
5 Uman Revolte, lovituri, sabotaje, erori.
6 Dezastre naturale Condiţii climatice, cutremure de pământ, furtuni, erupţii vulcanice etc
7 Măsuri de siguranţă Măsuri de siguranţă inadecvate, management defectuos al siguranţei.
8 Productivitate Eroare de design, controale de calitate sub standarde, testare inadecvată.
9 Profesional Instruire defectuoasă şi insuficientă, neglijenţă, erori de design.
10 Distrugeri de proprietate Incendii, inundaţii, cutremure de pământ, contaminări, erori umane.
11 Publice Relaţiile cu publicul.
12 Securitate Atacuri, intruziuni, furturi, vandalizări.
13 Tehnologice Tehnologii noi (netestate), tehnologii invechite, tehologii dependente.
Standardele în domeniu oferă următoarea categorisire a riscurilor:
Categorii de risc 2/2
Evenimente !!!!!!
Categorii de risc Rezumat
Evenimente naturale
Mediul de afaceri Atacuri
Procese
Oameni
Tehnologii
Firma
Vulnerabilitate – ameninţare
Vulnerabilitatea poate fi definită ca o slăbiciune în ceea ce priveşte procedurile de sistem, arhitectura sistemului, implementarea acestuia, controlul intern, precum şi alte cauze care pot fi exploatate pentru a trece de sistemele de securitate şi a avea acces neautorizat la informaţii.
După factorii care determină vulnerabilitatea:• fizice;• naturale;• hardware;• software;• medii de stocare;• radiaţii;• comunicaţii;• umane.
Ameninţările la adresa securităţii se pot clasifica în trei categorii:
• naturale şi fizice;• accidentale;• intenţionate.
Ameninţările intenţionate sunt şi cele mai frecvente. Aceste ameninţări pot fi categorisite în:• interne;• externe.
Ameninţările interne vin din partea propriilor angajaţi.
Ameninţările externe vin din partea mai multor categorii, şi anume:
• agenţii de spionaj străine;• terorişti şi organizaţii teroriste;• organizaţii criminale;• raiders;• hackeri şi crackeri.
Tip ameninţare Exemplu Tip ameninţare Exemplu
Catastofală Incendiu Accident Tensiune nestandard
Inundaţie Defect hardware
Cutremur de pământ Deconectări mecanice
Alunecare de teren Defect dispozitive control
Avalanşă Accident de construcţie
Furtună/uragan Acte neintenţionate
Angajat/colaborator neinformat
Atac terorist Angajat/colaborator neinstruit
Revolte/răscoale Angajat/colaborator neglijent
Explozie (industrială)
Ameninţare
(tipuri şi exemple) 1/2
Tip ameninţare Exemplu
Acte intenţionate
Hacker, cracker
Spionaj (partener de afaceri, concurenţă)
Spionaj (guverne străine)
Criminal PC
Social engineering
Angajat nemulţumit
Fost angajat nemulţumit
Terorist
Angajat şantajabil
Pseudo-angajat
Ameninţare
(tipuri şi exemple) 2/2
Tip vulnerabilitate Vulnerabilitate
Fizică Încăperi neîncuiate/neasigurate
Ferestre neîncuiate/neasigurate
Defecte de proiectare clădiri
Defecte de construcţie clădiri
Sisteme antiincendiu insuficiente
Materiale inflamabile depozitate inadecvat
Vulnerabilitate
(tipuri şi exemple) 1/7
Tip vulnerabilitate
Vulnerabilitate
Naturală Construcţie în zone inundabile
Construcţie în zone improprii
Construcţie în zone cu periocol de avalanşă
Construcţie în zone cu teren instabil
Vulnerabilitate
(tipuri şi exemple) 2/7
Tip vulnerabilitate
Vulnerabilitate
Hardware Configurare defectuoasă sau improprie
Sistem de calcul neasigurat fizic
Lipsă patch-uri
Echipamente învechite
Protocoale inadecvate
Vulnerabilitate
(tipuri şi exemple) 3/7
Tip vulnerabilitate
Vulnerabilitate
Software Software antivirus neactualizat
Software firewall neactualizat
Lipsă patch-uri/fix-uri.
Aplicaţii neprofesionale
Aplicaţii scrise cu back doors
Configurare software improprie
Vulnerabilitate
(tipuri şi exemple) 4/7
Tip vulnerabilitate
Vulnerabilitate
Medii stocare Casete de stocare cu defecte
Medii de stocare improprii
Medii de stocare vulnerabile
Vulnerabilitate
(tipuri şi exemple) 5/7
Tip vulnerabilitate
Vulnerabilitate
Comunicaţii Interferenţe radio
Interferenţe electrice
Comunicaţii necriptate
Protocoale necriptate în reţea
Conexiuni între mai multe reţele
Protocoale active fără utilizare
Nefiltrarea comunicaţiilor intre subreţele
Vulnerabilitate
(tipuri şi exemple) 6/7
Tip vulnerabilitate
Vulnerabilitate
Umane Neraportare atacuri
Răspuns slab la atacuri
Lipsa planuri de recuperare în caz de dezastre
Testare insuficientă proceduri
Vulnerabilitate
(tipuri şi exemple) 7/7
Fizic
Modelul de “apărare în adâncime” (Microsoft)
Reţea
Host/Gazdă
Aplicaţii
Date
Culegerea datelor
Împărţirea pe grupuriFiecare grup are atribuţii specifice
Discuţii fără nivel nu interogatoriiDiscuţiile care se poartă şi întrebările care se pun nu trebuiesc să fie agasante şi interogatorii.
Implicarea proprietaruluiAcesta ştie cel mai bine care sunt bunurilor din organizaţie, ce valoare au şi ce impact au evenimentele nedorite asupra acestora.
Comunicarea între departamenteImplicarea şi comunicarea cu departamentele IT este esenţială.
Responsabilitate şi conştientizareResponsabilitatea în procesul de culegere a datelor (şi ulterior), precum şi conştientizarea importanţei fiecărei faze se vor reflecta în datele finale.
Culegerea datelor (Microsoft)
Identificarea bunurilor pentru care grupul tau este responsabil cu dezvoltarea, managementul, intre ţinere şi mentenanţă.
Denumire bun Clasificare bun (d.p.v. al impactului) ( Î, M, R )
DB server Î
… …
LAN printer M
Pentru fiecare bun se va completa următorul tabel:
Nivelul
(din modelul de apărare în adâncime)
De ce ne temem?
(Ameninţare)
Cum se va întâmpla?
(Vulnerabilităţi)
Nivel de expunere
(Î, M, R)
Descriere controale curente
Probabilitate
(Î, M, R)
Controale potenţiale
Fizic
Reţea
Host/Gazdă
Aplicaţii
Date
Culegerea datelor (Microsoft)
Bun Expunere
Data identificată
Denumire bun/
Descriere
Clasa bunului
Nivelul de aplicabilitate
Descriere ameninţare
Descriere vulnerabilitate
Rata de expunere
(Î, M, R)
Rata de impact
(Î, M, R)
Date Date clienţi M Host Acces neautorizat
Furt sau ghicire parolă
L M
Date Date clienţi M Host Alterare Viruşi. Configurare improprie
Î M
… … … … … … … …
Informaţii colectate pe parcursul procesului de culegere date .
Abordarea socială a riscului
Angajator
Angajaţi
InterogatoriiDiscuţii
Grupul de securitate
Modalităţi de abordare a Analizei riscului
Analiza cantitativă
Lucrează cu date statistice în domeniu
Analiza calitativă
Lucrează cu date mai puţin complexe
Analiza vulnerabilităţii /analiza pe post
Pune pe prim plan angajatul şi condiţiile specifice de lucru
Această metodă este mai des folosită decât metoda calitativă, pretându-se la firmele de mărime mică.
Metoda nu foloseşte date statistice. În schimb, se foloseşte ca dată de intrare potenţialul de pierdere.
Metoda operează cu termeni ca:
des/înalt, mediu, rar/redus – referitor la probabilitatea de apariţie a riscurilor şi impactul acestora. vital, critic, important, general şi informaţional – referitor la tipul şi clasificarea informaţiilor. numere, 1, 2, 3.
Aceasta are ca efect imediat reducerea volumului de muncă şi a timpului consumat.
Metoda are şi dezavantaje. Printre acestea:
greu de cuantificat (ca şi la metoda anterioară) anumiţi termeni (important – este un termen greu de definit în management).
numerele sunt de această dată şi mai subiective. Dacă la metoda anterioară ele erau date statistice, acum sunt alese subiectiv.
Analiza riscului de securitate
Analiza calitativă a riscului de securitate
3. Prioritizarea riscurilor• coordonarea unei prioritizări sumare a nivelului de risc• rezumat al prioritizării nivelului de risc• analiză împreună cu proprietarul• analiză de detaliu a prioritizării nivelului de risc• detalierea prioritizării nivelului de risc
Pentru coordonarea unei prioritizări sumare a nivelului de risc se parcurg următorii paşi:
1. Determinarea valorii impactului pentru bunuri
2. Estimarea probabilităţii de producere a unui eveniment
3. Stabilirea unei liste sumare a nivelului de risc prin combinarea impactului şi a probabilităţii de producere pentru fiecare bun
Analiza calitativă
Coordonarea unei prioritizări sumare a nivelului de risc
Analiză împreună cu proprietarul
Analiză de detaliu a prioritizării nivelului de risc
Rezumat al prioritizării nivelului de risc
Detalierea prioritizării nivelului de risc
-Determinarea valorii impactului-Estimarea probabilităţii de impact din lista sumară de nivele-Completarea listei sumare a nivelului de risc prin combinarea impactului şi a probabilităţii de producere
-Determinarea impactului şi a expunerii-Identificarea metodelor de control curente-Determinarea probabilităţii de impact-Determinarea în detaliu a nivelului de risc
Analiza ca
litativ
ă
Pierderi (USD)* Punctaj Clasa/nivel de impact Valoarea Clasei/nivelului de impact (V)
<1.000 1 R
21.001 – 10.000 2 R
10.001 – 50.000 3 R
50.001 – 100.000 4 R
100.001 – 500.000 5 M
5500.001 – 1.000.000 6 M
1.000.001 – 5.000.000 7 M
5.000.001 – 10.000.000 8 I
1010.000.001 – 50.000.000 9 I
>50.000.000 10 I
Clasa de impact: R – Redus. M – Mediu, I - Înalt
Valoarea pierderilor poate fi diferită în funcţie de mărimea firmei.Un nivel de pierderi mare pentru o firmă mică poate fi un nivel mic pentru o firmă mare.Se impune o stabilire a nivelului maxim şi minim al pierderilor pentru fiecare tip de firmă şi apoi stabilireascărilor de punctaj aferente.
*
Stabilirea nivelului de pierderi şi a Clasei/nivelului de impactAnaliza calitativă
Tipuri de firme după mărime
Tip firmă
Număr servere
Venit anual (USD) Număr angajaţi
Alte caracteristici
Mare >1.000 >1 mld. >2.000 - mai multe site-uri;- management special
Medie >100 >100 ml. >500 - câteva site-uri
Mică <100 <100 ml. <100 -
Analiza calitativă
Clasa de impact şi factorul de expunere
Înaltă
Medie
Redusă
Clasa de impact
Redus Mediu Înalt
Factor de expunere
Redusă
Redusă
Redusă
Medie
Medie
Medie
Înaltă
Înaltă Înaltă
Rata de impact
1. Determinarea valorii impactului pentru bunuriAnaliza calitativă
2. Estimarea probabilităţii de producere a unui eveniment
Probabilitatea de producere
(rata de probabilitate)
Descriere
Înaltă Sigur. Se produce o dată sau de mai multe ori pe an
Medie Probabil. Eveniment care se poate produce cel putin o dată sau de două sau trei ori pe an
Redusă Improbabil. Eveniment care nu se poate produce în următorii trei ani
Analiza calitativă
Impact şi probabilitate
Înaltă
Medie
Redusă
Ratade impact
Redusă Medie Înaltă
Probabilitate de producere
Redus
Redus
Redus
Mediu
Mediu
Mediu
Înalt
Înalt Înalt
Nivel de risc
3. Stabilirea unei liste sumare a nivelului de risc prin combinarea impactului şi a probabilităţii de producere pentru fiecare bun
Analiza c
alitativ
ă
3. Prioritizarea riscurilor• coordonarea unei prioritizări sumare a nivelului de risc• rezumat al prioritizării nivelului de risc• analiză împreună cu proprietarul• analiză de detaliu a prioritizării nivelului de risc
Pentru detalierea nivelului de risc se parcurg următorii paşi:
1. Determinarea valorii impactului şi a expunerii pentru bunuri
2. Identificarea controalelor curente
3. Determinarea probabilităţii de impact
4. Determinarea detaliată a nivelului de risc
Analiza calitativă
1. Determinarea expunerii şi a valorii impactului pentru bunuri
Rata expunere
Consecinţe Descriere
1 Insignifiante Pierderi financiare minore. Nu sunt pagube materiale sau răniţi.
2 Minore Pierderi financiare medii. Pagube materiale reduse, se impune primul ajutor acordat personalului.
3 Moderate Pierderi financiare importante. Se impune tratament medical aplicat personalului. Activitatea se poate desfăşura în continuare.
4 Majore Pierderi financiare importante. Răniri grave ale personalului. Avarii importante. Capacităţile de producţie sunt diminuate.
5 Catastrofale Pierderi financiare enorme. Morţi. Pierderea totală a capacităţilor de producţie.
Determinarea expunerii
Analiza calitativă
Determinarea impactului
Determinarea valorii impactului se face prin înmulţirea între Valoarea clasei de impact (V) şi Factorul de expunere (FE) corespunzătoare
Clasa de impact Valoarea clasei de impact
(V)
Impact Î(nalt) 10
Impact M(ediu) 5
Impact R(edus) 2
Rata de expunere Factorul de expunere
(FE)
5 100%
4 80%
3 60%
2 40%
1 20%
x
Plaja de valori a ratei de impact
Nivel
7- 10 Înalt
4 - 6 Mediu
0 - 3 Redus
Rata de impact
Plajele de valori sunt cuprinse între 0 şi 10
Analiza calitativă
2. Identificarea controalelor curente
Analiza calitativă
Inventarierea controalelor curente (fizice).
Inventarierea controalelor curente.
Stabilire eficienţei ecestora (eventual).
Identificare controale “inactive”.
3. Determinarea probabilităţii de impact
-Presupune determinarea existenţei unei anumite vulnerabilităţi şi posibilitatea exploatării acesteia.-Presupune determinarea probabilităţii unei anumite vulnerabilităţi de a fi diminuată prin folosirea controalelor .
Nivelul de vulnerabilitate depinde in principal de câteva atribute:
1. Numărul de atacatori.
Vulnerabilitatea va creşte dacă numărul persoanelor care produc un atac este în creştere.Vulnerabilitatea va creşte dacă nivelul de pregătire al atacatorilor este ridicat.
2. Atac local sau atac la distanţă.
Vulnerabilitatea va creşte dacă anumite goluri de securitate pot fi exploatate de la distanţă.
3. Cunoştinţe
Vulnerabilitatea va creşte dacă un anume tip de atac este cunoscut şi documentat.
4. Automatizarea
Vulnerabilitatea va creşte dacă un anume tip de atac poate fi automatizat în aşa fel incât să găsească singur şi să exploateze golurile de securitate.
Analiza calitativă
3. Determinarea probabilităţii de impact (continuare)
Nivel vulnerabilitate
Condiţii Nota
Înaltă -Număr mare de atacatori - “script-kiddie”/hobbyist-Atac la distanţă-Privilegii de “anonymous”-Modalităţi de exploatare foarte bine cunoscute si documentate-Automatizare
5
– dacă cel putin una din condiţii este indeplinită
Medie -Număr mediu de atacatori - expert-specialist
-Atac local
-Necesită drepturi de acces-Metode de atac nedocumentate-Neautomatizare
3
– dacă cel putin una din condiţii este indeplinită
Redusa -Număr redus de atacatori – cunoştinte arhitectură internă-Atac local-Necesită privilegii de Administrator-Metode de atac nedocumentate-Neautomatizare
1
– dacă cel putin una din condiţii este indeplinită
Analiza calitativă
3. Determinarea probabilităţii de impact (continuare)
Întrebări Note
0 - Da, 1 - Nu
Sunt definite responsabilităţile şi sunt efectiv aplicate?
Sunt atenţionările comunicate şi urmărite executările acestora?
Procesele şi procedurile sunt bine definite şi învăţate?
Tehnologia existentă sau controalele existente reduc ameninţarea?
Practicile curente de audit sunt suficiente pentru detectarea abuzurilor sau controlul deficienţelor?
∑
Analiza calitativă
3. Determinarea probabilităţii de impact (continuare) - Exemplu
Întrebări referitoare la eficacitatea controalelor Note
0 - Da, 1 - Nu
Sunt definite responsabilităţile şi sunt efectiv aplicate? 0
Sunt atenţionările comunicate şi urmărite executările acestora? 0
Procesele şi procedurile sunt bine definite şi învăţate? 0
Tehnologia existentă sau controalele existente reduc ameninţarea? 1
Practicile curente de audit sunt suficiente pentru detectarea abuzurilor sau controlul deficienţelor? 1
∑ 2
Reţea (LAN) şi remote host
Nivel de vulnerabilitate 5
Rata totală de probabilitate pentru LAN şi host remote = 7
Analiza calitativă
4. Determinarea detaliată a nivelului de risc
Nivelul de risc = Rata de impact * Rata de probabilitate
Rata de impact
x
Rata de probabilitate Rezultat (produs) Nivelul de risc
10 – 7 Înaltă 10 – 7 41 – 100 Înalt
6 – 4 Medie 6 – 4 20 – 40 Mediu
3 – 0 Redusă 3 – 0 0 – 19 Redus
Impact Înalt 10 0 10 20 30 40 50 60 70 80 90 100
9 0 9 18 27 36 45 56 63 72 81 90
8 0 8 16 24 32 40 48 56 64 72 80
7 0 7 14 21 28 35 42 49 56 63 70
6 0 6 12 18 24 30 36 42 48 54 60
Mediu 5 0 5 10 15 20 25 30 35 40 45 50
4 0 4 8 12 16 20 24 28 32 36 40
3 0 3 6 9 12 15 18 21 24 27 30
2 0 2 4 6 8 10 12 14 16 18 20
Redus 1 0 1 2 3 4 5 6 7 8 9 10
0 1 2 3 4 5 6 7 8 9 10
Redus Mediu Înalt
Probabilitate
Analiza calitativă
Stabilim probabilitatea de producere a dezastrelor
Nivel de producere Probabilitate producere
Descriere
A Aproape sigur Se poate produce în orice condiţii
B Probabil Se poate produce în anumite condiţii
C Moderat Se poate produce în timp
D Improbabil S-ar putea produce în timp
E Rar Se poate produce numai în condiţii excepţionale
Analiza calitativăAnaliza calitativă a riscului de securitate (variantă simplificată)
Nivel consecinţe
Descriere / consecinţe
Exemple consecinţe
1 Insignifiante Pierderi financiare minore. Nu sunt pagube materiale sau răniţi.
2 Minore Pierderi financiare medii. Pagube materiale reduse, se impune primul ajutor acordat personalului.
3 Moderate Pierderi financiare importante. Se impune tratament medical aplicat personalului. Activitatea se poate desfăşura în continuare.
4 Majore Pierderi financiare importante. Răniri grave ale personalului. Avarii importante. Capacităţile de producţie sunt diminuate.
5 Catastrofale Pierderi financiare enorme. Morţi. Pierderea totală a capacităţilor de producţie.
Stabilim consecinţele dezastrelor
Analiza calitativăAnaliza calitativă a riscului de securitate (variantă simplificată)
Analiza calitativă a riscului de securitate (variantă simplificată)
E - Risc Extrem. Se impun acţiuni imediate pentru minimizarea acestuia. Se impune o detaliere asupra bunurilor şi a planurilor de management pentru minimizarea riscurilor. Trebuie impuse strategii pentru aceasta.
I - Risc Înalt. Trebuie luate imediat în calcul de către manager. Se vor identifica strategiile de management în acest caz. Ca şi anterior, trebuie minimizate riscurile.
M - Risc moderat. Trebuie luate în calcul de către manager. R - Risc Redus. Acţiuni specificate în procedurile de rutină. Tabelele folosite în analiza calitativă a riscului trebuie particularizate pe activităţile şi locurile specifice.
Stabilim matricea analizei calitative a riscului
Consecinţe
Probabilitate de producere
Insignifiante Minore Moderate Majore Catastrofale
1 2 3 4 5
A (aproape sigur) I I E E E
B (probabil) M I I E E
C (moderat) R M I E E
D (improbabil) R R M I E
E (rar) R R M I I
Analiza calitativă
Modalităţi de abordare a Analizei riscului
Analiza cantitativă
Lucrează cu date statistice în domeniu
Analiza calitativă
Lucrează cu date mai puţin complexe
Analiza vulnerabilităţii /analiza pe post
Pune pe prim plan angajatul şi condiţiile specifice de lucru
Pentru analiza calitativă a riscului se parcurg următorii paşi:
Analiza riscului de securitate
Analiza cantitativă a riscului de securitate
1. Identificarea şi evaluarea activelor (bunurilor firmei)
2. Determinarea vulnerabilităţilor
3. Estimarea probabilităţii de producere
4. Calcularea pierderilor anuale estimate
5. Analiza măsurilor de control
6. Calcularea Rentabilităţii Investiţiei (RI).
Analiza cantitativă
Presupune identificarea componentelor hardware, software, datele cu care se operează, personalul implicat în procese, documentaţiile aferente, suporturi etc.
Date Financiare Administrative Documentaţii
Logistice/manageriale Software
Planificări Hardware
Statistice Fişiere
Operaţionale Programe
Personal System
Fizice Clădiri Operaţionale
Birouri Programe
Sisteme auxiliare Ghiduri de operare
Sisteme de alimentare cu electricitate Documente de audit
Sisteme de alimentare cu apă Sisteme de alimentare cu gaze Proceduri
Sisteme de iluminat Planuri de avarie
Sisteme de aer condiţionat Planuri de securitate
Sisteme de siguranţa datelor Proceduri de I/E
Unităţi de stocare/backup Măsuri de control
Surse auxiliare de tensiune/surse Comunicaţii Linii de comunicaţie
Proceduri de comunicaţie
Switch/hub/multiplexoare
Modemuri
Cabluri
Terminale
Antene
1. a. Identificarea bunurilor
Analiza
cantit
ativă
Atunci când evaluăm bunurile este de preferat să se folosească o scală a valorii bunurilor.
Numărul Valoarea în USD
0 <1
1 110
2 11 100
………. ………….
6 100.001 1.000.000
7 1.000.00110.000.000
8 >10.000.000
1. b. Evaluarea bunurilor Analiza cantitativă
Determinarea valorii impactului pentru bunuri
Caz 1 Caz 2
Costuri de înlocuire Costuri de recuperare
Referitor la componentele hardware trebuie puse următoarele întrebări:- Care este costul de înlocuire a bunului la preţurile actuale?- Cât timp durează până se înlocuieşte bunul/componenta distrusă?- Dacă operaţia/operaţiile pot fi făcute manual, de câţi oameni este nevoie? De cât timp suplimentar este nevoie pentru remediere?- Care sunt pierderile în relaţiile cu clienţii în condiţii de nefuncţionalitate?
Pentru componenta software trebuie puse următoarele întrebări:- Cât timp îi va lua programatorului să găsească problema în caz de disfuncţionalitate a programelor?- Cât timp îi va lua pentru încărcarea şi testarea programului depanat?- Cât timp îi va lua pentru repunerea sistemului de operare în caz de dezastre?
Pentru date:- Pot fi acestea refăcute sau repuse?- Cât timp se pierde pentru refacerea acestora în caz de pierdere?- Dezastrul produs este din cauza unei acţiuni voite, sau sunt cauze întâmplătoare?- Informaţiile pierdute au caracter special (militare, secrete de serviciu, confidenţiale)?
Presupune să se stabilească costurile de înlocuire pentru cazuri când un anume bun este distrus. Pentru aceasta trebuie să ne punem întrebări care să ne ajute să evaluăm aceste bunuri. Unele dintre aceste întrebări ar putea să fie cele din rândurile următoare.
1. b. Evaluarea bunurilor
Pentru personal:- De câţi oameni este nevoie să lucreze pentru recuperare dezastre?- Cât costă instruirea unui nou personal?- Care sunt efectele psihologice ale dezastrelor?
Analiza cantitativă
?
Exemplu:Se consideră un fişier care stochează datele personale ale unui număr de 200 de angajaţi ai firmei. În urma unui
eveniment nedorit (intenţionat, neintenţionat, accident, fenomen natural), se pierd atât datele din fişier, cât şi structura acestuia. Nu există copie de siguranţă pentru acestea. Refacerea structurii fişierului poate fi făcută de o persoană calificată, lucrând 4 ore pentru reconstrucţie (în timpul programului). Salariul tarifar este de 2,5 USD/oră. Repunerea datelor, repopularea fişierului, va putea fi făcută în afara orelor de program de aceeaşi persoană sau de către o altă persoană. Această operaţie durează 5 (cinci) ore şi este plătită cu 3 USD/oră (lucrul în afara orelor de program).
Pierderea secretului, neştiind natura dezastrului, creează pierderi estimate la 5.000 USD, aceasta fiind zona cu impactul cel mai mare în privinţa costurilor de refacere.
4(ore) x 2,5 (USD/oră) + 5(ore) x 3 (USD/oră – suplimentar) = 25 USD.
În acest caz, Valoarea b = 5.000 + 0 + 25 = 5.025 USD.
Estimarea valorii impactului pe o zonăFiecare bun are, în cazul pierderii acestuia sau al funcţionării defectuoase, impact asupra a trei elemente necesare în asigurarea securităţii, şi anume: secretizare;� integritate;� disponibilitate.�
Zona impact Valoare impact (USD)
Secret 5.000
Integritate -
Disponibilitate 10 + 15 = 25
Calculul valorii totale pentru fiecare bunCalculăm valoarea totală pentru un impact folosind formula:
unde Valoare b = valoarea impactului pentru bunul b; Impact i = valoarea impactului în zona respectivă pentru bunul b.Avem trei (i = 3) zone de impact (Secret, Integritate şi Disponibilitate).
Impact Valoare i1
b
n
i
Analiza
cantit
ativă
Presupune stabilirea ameninţărilor la adresa bunurilor şi frecvenţa cu care aceste ameninţări se pot produce.Posibilele ameninţări la adresa bunurilor firmei sunt exemplificate mai jos.
Naturale Cutremure de pământ Acte intenţionate Dezvăluiri
Inundaţii Sabotaj al angajaţilor
Uragane Fraudări
Alunecări de teren Furturi
Furtuni de zăpadă Loviri
Furtuni de nisip Utilizări neautorizate
Tornade Vandalism
Tsunami Intruziuni
Descărcări electrice Atacuri cu bombe
Erupţii vulcanice Revolte/răscoale
Accidente Dezvăluiri Perturbări electrice
Întreruperi electrice
Incendii
Scurgeri de lichide
Erori de transmisii-telecomunicaţii
Erori ale operatorilor/utilizatorilor
Erori de cadru organizatoric
Erori hardware
Erori software
2. Determinarea vulnerabilităţilorAnaliza cantitativă
Se stabileşte probabilitatea de producere a unui incident într-un interval de timp. În tabelul următor avem exemplificate frecvenţele de producere a incidentelor:
Frecvenţa de producere a incidentelor
Frecvenţa Valoarea
Niciodată 0,0
O dată la 300 ani 1/300 0,00333
O dată la 200 ani 1/200 0,005
O dată la 100 ani 1/100 0,01
O dată la 50 ani 1/50 0,02
O dată la 25 ani 1/25 0,04
O dată la 5 ani 1/5 0,2
O dată la 2 ani 1/ 2 0,5
O dată pe an 1/1 1,0
De două ori pe an 2/1 2,0
O dată pe lună 12/1 12,0
O dată pe săptămână 52/1 52
O dată pe zi 365/1 365
3. Estimarea probabilităţii de producereAnaliza cantitativă
AmeninţăriRata
de producere
Naturale Cutremure de pământ 0,005 - 0,2
Inundaţii 0,01- 0,5
Uragane 0, 05 - 0,5
Alunecări de teren 0 - 0,1
Furtuni de zăpadă 0,07 - 50
Furtuni de nisip 0,01 - 0,5
Tornado 0 - 10
Tsunami 0,00001 - 2
Descărcări electrice 0 - 0,125
Erupţii vulcanice 0 - 0,01
Accidente Dezvăluiri 0,2 - 5
Perturbări electrice 0, 1 - 30
Întreruperi electrice 0,1 -10
Incendii 0,1 - 10
Scurgeri de lichide 0,02 - 3
Erori de transmisii/telecomunicaţii 0,5 - 100
Erori ale operatorilor/utilizatorilor 10 - 200
Erori hardware 10 - 200
Erori software 1 - 200
Acte intenţionate Dezvăluiri 0,2 - 5
Sabotaj al angajaţilor 0,1 - 5
Fraudări 0,09 - 0,5
Furturi 0,015 - 1
Loviri 0,1 - 5
Utilizări neautorizate 0,009 - 5
Vandalism 0,008 - 1,0
Intruziuni -
Atacuri cu bombe 0, 01 - 100
Revolte/răscoale 0 - 0,29
Analiza cantitativă
Bun = Calculator (local) Bun = Imprimantă Bun = Centru servere
Ameninţare = Şocuri de tensiune Ameninţare = Şocuri de tensiune Ameninţare = Şocuri de tensiune
Cost incident = 500 Cost incident = 500 Cost incident = 10.000
Frecvenţa de producere este de cinci (5) ori pe an.
Frecvenţa de producere este de cinci (5) ori pe an.
Frecvenţa de producere este de cinci (5) ori pe an.
PAE1, 1 = 500x5 = 2.500 PAE2, 1 = 500x5 = 2.500 PAE3, 1 = 10.000x5 = 50.000
PAE = PAE1, 1 + PAE2, 1 + PAE3, 1
PAE = 2.500 + 2.500 + 50.000 = 55.000 USD
Calcularea pierderilor anuale estimate pe fiecare ameninţare
unde PAE a = Pierderi Anuale Estimate pentru ameninţarea a, Vb = Valoarea bunului b (0 la n bunuri),
Ea = Estimarea numărului de incidente ale ameninţării a (0 la m ameninţări).
4. Calcularea pierderilor anuale estimateAnaliza cantitativă
Calcularea pierderilor anuale estimate pe fiecare bun
unde PAE b = Pierderi Anuale Estimate pentru bunul b, V b = Valoarea bunului b (0 la n bunuri), Ea = Estimarea numărului de incidente ale
ameninţării a (0 la m ameninţări).
Bun = Centru servere Bun = Centru servere Bun = Centru servere
Ameninţare = Şocuri de tensiune Ameninţare = Cutremur de pământ Ameninţare = Inundaţie
Cost incident = 30.000 Cost incident = 50.000 Cost incident = 10.000
Frecvenţa de producere este de cinci (5) ori pe an.
Frecvenţa de producere este o dată la 50 de ani.
Frecvenţa de producere este de o dată la 25 de ani.
PAE1, 1 = 30.000x5 = 150.000 PAE1, 2 = 50.000x0,02 = 10.000 PAE1, 3 = 10.000x0,04 = 4.000
PAE = PAE1, 1 + PAE2, 1 + PAE3, 1
PAE = 2.500 + 2.500 + 50.000 = 55.000 USD
4. Calcularea pierderilor anuale estimateAnaliza cantitativă
Se determină Pierderile Anuale Estimate (PAE) însumând pe categorii de ameninţări:
unde PAE a = Pierderi Anuale Estimate pentru ameninţarea a, Vb = Valoarea bunului b (0 la n bunuri), Ea = Estimarea numărului de incidente ale ameninţării a (0 la m ameninţări).
Se determină Pierderile Anuale Estimate (PAE) însumând pe categorii de bunuri:
unde PAE b = Pierderi Anuale Estimate pentru bunul b, Vb = Valoarea bunului b (0 la n bunuri), Ea = Estimarea numărului de incidente ale ameninţării a (0 la m ameninţări).
Calcularea pierderilor anuale estimate totaleAnaliza cantitativă
Calcularea pierderilor anuale estimate totale
PAE = Total Pierderi Anuale Estimate pentru perechile bun/ameninţare. În ambele cazuri de calculare a pierderilor totale, pe categorii de ameninţări sau pe categorii de bunuri, rezultatul trebuie să fie identic.
Se poate obţine matricea ameninţare/bunuri:
Bunul 1 Bunul 2 ……… Bunul n
Ameninţare 1 (V1 x E1) + (V2 x E1) + ……… + (Vn x E1) PAE a, 1
Ameninţare 2 (V1 x E2) + (V2 x E2) + ……… + (Vn x E2) PAE a, 2
.
.
.
.
.
.
.
.
.
……… ...
.
.
.
Ameninţare m (V1 x E m) + (V2 x E m) + ……… + (Vn x E m) PAE a, m
PAE b, 1 PAE b, 2 ……… PAE b, n
PAESumă
Sumă
Analiza cantitativă
Se va identifica ameninţarea care produce cele mai mari valori ale pierderilor anuale estimate corespunzător acesteia (PAE a).
Se vor identifica măsurile care pot duce la reducerea vulnerabilităţii.
Ameninţări Metode de controlNaturale Cutremure de pământ Senzori, amplasament
Inundaţii Senzori, amplasamentUragane AmplasamentAlunecări de teren AmplasamentFurtuni de zăpadă AmplasamentFurtuni de nisip AmplasamentTornade AmplasamentTsunami AmplasamentDescărcări electrice Eclatoare, amplasamentErupţii vulcanice Amplasament
Accidente Dezvăluiri CriptarePerturbări electrice Stabilizatoare tensiuneÎntreruperi electrice Surse neîntreruptibileIncendii Sisteme avertizare/stingereScurgeri de lichide Senzori, carcase protecţie Erori de telecomunicaţii Linii dedicate de transmisieErori ale operatorilor/utilizatorilor Instruire personal
Erori hardware Testare echipament de marcăErori software Testare software
Acte intenţionate Dezvăluiri Criptare dateSabotaj al angajaţilor Criptare dateFraudări Jurnale de acces (control log)Furturi Jurnale de acces (control log)Loviri Limitare acces fizicUtilizări neautorizate Parole, criptareVandalism Limitare acces fizicAtacuri cu bombe Limitare acces fizicRevolte/răscoale Limitare acces fizicIntruziuni Control acces/criptare date
5. Analiza măsurilor de controlAnaliza cantitativă
Pentru fiecare măsură de control aplicată se identifică: Vulnerabilităţile care pot fi reduse prin aplicarea acelor măsuri de control. Atribuirea unei rate/valori optime pentru fiecare pereche eveniment/mod de control. Estimarea costurilor anuale pentru implementarea măsurii de control respectiv. Calcularea Rentabilităţii Investiţiei (RI).
unde Cc = Costul anual pentru aplicarea controlului c, rc = indicele de
eficacitate pentru controlul c, PAEa = Pierderile Anuale Estimate pentru
ameninţarea a.
La selectarea măsurilor suplimentare de control trebuie să se ţină cont de realizarea următoarelor obiective:
valoare a Rentabilităţii Investiţiei cât mai mare; minimizare a PAE (Pierderi Anuale Estimate).
Valoarea lui RI cât mai mare se va putea obţine acţionând asupra indicelui de eficacitate r c prin
creşterea acestuia până la valoarea maximă (1), sau asupra costului anual pentru aplicarea controlului C c
prin micşorarea costurilor de implementare a controlului.
5. Calcularea Rentabilităţii Investiţiei (RI).Analiza cantitativă
Exemplu:
/131,49
2.200
108.500
(2.200)
00)(0,7x155.0RI
PAE = PAE1, 1 + PAE2, 1 + PAE3, 1
PAE = 2.500 + 2.500 + 150.000 = 155.000 USD
Ameninţare = Şocuri de tensiune
Control = Stabilizator de tensiune (100 USD/buc.)
Cc = 22 x 100 = 2.200 (22 buc.)
rc = 0, 7 (se acoperă doar 70% din pierderi)
Analiza cantitativă
Metoda cantitativă de calcul al riscului de securitate este folosită cu precădere la firmele de mărime
medie şi/sau mare.
Metoda cantitativă expusă are însă anumite neajunsuri. Printre acestea se pot enumera:
Dificultatea de a găsi un număr care să cuantifice cât mai exact frecvenţa de producere a unui
eveniment.
Dificultatea de a cuantifica anumite valori. De exemplu, sunt foarte greu de definit disponibilitatea
unei informaţii şi calculul pierderilor când această caracteristică lipseşte.
Metoda nu face distincţie între ameninţările rare, dar care produc dezastre mari ca valoare (incendiu,
cutremure, tornade etc.), şi ameninţările dese care produc dezastre mici ca valoare (erori de operare),
în ambele cazuri efectele financiare fiind asemănătoare.
Alegerea numerelor folosite poate fi considerată subiectivă, muncă laborioasă care necesită timp şi
consum de resurse.
Analiza riscului de securitate
Comparaţii intre analiza cantitativă şi analiza calitativă a riscului de securitate
Analiza Cantitativă Analiza Calitativă
Beneficii Avantaje
Riscurile sunt prioritizate datorită impactului financiar; bunurile sunt prioritizate datorită valorii financiare a acestora.
Rezultatele ajută la managementul riscului prin investiţiile în securitate.
Valorile rezultatelor capătă valori “tangibile” (valori financiare, procente etc).
Acurateţea tinde să crească in timp datorită faptului ca firma îşi crează o bază de date cu istoricul evenimentelor, in acelaşi timp firma câştigând experienţă.
Permite o mai bună şi mai clară ierarhizare a valorii riscului.
Permite, datorită valorilor folosite, ajungerea mai rapidă la un consens.
Nu este necesară cuantificarea frecvenţei ameninţărilor.
Nu este necesară determinarea valorii financiare a bunurilor.
Comparaţii intre analiza cantitativă şi analiza calitativă a riscului de securitate
Analiza Cantitativă Analiza Calitativă
Dezavantaje
Valoarea impactului pe fiecare risc este bazată pe părerile subiective ale celor care fac analiza.
Procesele prin care se ajunge la rezultate credibile sunt mari consumatoare de timp.
Calculele sunt foarte complexe şi necesită timp îndelungat.
Rezultatele au valoare monetară şi sunt greu de interpretat de către personalul non-tehnic.
Nu face o diferenţiere suficientă între riscuri importante.
Este dificil de justificat o investiţie în măsuri/controale de securitate atunci când nu se bazează pe o analiză cost-beneficii.
Rezultatele sunt subiective. Acestea sunt dependente de calitatea şi componenţa echipei de analiză a riscului.
Procesele necesită personal cu experienţă care nu poate fi pregatit uşor.
Evaluarea
riscurilor
Coordonarea procesuluidecizional
Implementare
controale
Măsurarea eficacităţii programului
2
34
1
Coordonarea procesului decizional
Definirea cerinţelor funcţionale
Revizuirea soluţiilor de control propuse în conformitate cu cerinţelefuncţionale
Identificarea soluţiilor de control
Estimarea gradului de reducere a riscului
Estimarea costului pentru fiecare soluţie
Selectarea strategiei de atenuare a riscului
2
Comitetul de coordonare a securităţii
Grupul de control/ atenuare
Echipa de Management al riscului de
securitate
Definirea cerinţelor funcţionale
Revizuireasoluţiilor propuseîn conformitate
cu cerinţele
Selectarea soluţieide atenuare a riscului
Estimarea graduluide reducere a riscului
Estimarea costului pentru fiecare soluţie
Identificarea soluţiilorde control
Fazele de coordonare a procesului decizional (Microsoft)
Participanţi în faza de Coordonare a procesului decizional
Participant Responsabilităţi
Operatorii afacerii Identifică procedurile de control disponibile pentru controlul riscului.
Proprietarul afacerii Analizează raportul cost-beneficii pentru riscuri.
Grupul financiar Asistă la analiza cost-beneficii. Defineşte alocarea de resurse.
Biroul de resurse umane (BRU) Identifică cerinţele de instruire a personalului în funcţie de soluţiile adoptate.
IT - arhitectură Identifică şi evaluează soluţiile posibile de control.
IT - inginerie Determină costul soluţiilor de control şi modul de implementare al acestora.
IT - executanţi Implementarea efectivă a soluţiilor de control.
Auditor intern Identifică gradul de conformitate cu cerinţele şi face evaluări asupra eficienţei controlului.
Jurist Identifică legalitatea controalelor în funcţie de politica firmei şi de aspectele contractuale.
Relaţiile publice (PR) Estimează valorile de impact asupra pieţei create de soluţiile control adoptate.
Comitetul de coordonare a securităţii Selectează soluţiile de control pe baza recomandărilor echipei de management al riscului.
Echipa de management al riscului Defineşte cerinţele funcţionale pentru controlul fiecărei categorii de risc. Comunică acţionarilor stadiul proiectelor de aplicare a controalelor şi personalul afectat de acestea.
Informaţii necesare în faza de Coordonare a procesului decizional
Informaţia ce trebuie culeasă Descriere
Decizia asupra modului de rezolvare a fiecărui risc.
La ce nivel să se facă controlul pentru fiecare risc major.
Trebuie aceptate toate riscurile majore.
Se pot evita anumite riscuri majore.
Cerinţe funcţionale Declaraţii în care să fie descrise elementele necesare atenuării riscului.
Soluţii potenţiale de control Liste cu elementele de control posibile, identificate de echipa de management a securităţii riscului, care pot fi eficiente în atenuarea fiecărui risc.
Gradul de reducere a riscului pentru fiecare soluţie de control
Evaluarea fiecărei soluţii de control propuse pentru a determina cât de mult reduce nivelul de risc pentru bunuri.
Costul estimal pentru fiecare soluţie de control
Totalitatea costurilor asociate cu achiziţionarea, implementarea, susţinerea şi măsurarea eficacităţii pentru fiecare control propus.
Lista soluţiilor de control ce urmează a fi implementate
Alegerea se face pe baza unei analize cost-beneficii.
În faza de Coordonare a procesului decizional, pentru alegerea controalelor menite să reducă riscurile trebuiesc puse câteva întrebări :
Ce perioadă de timp va fi efectiv controlul propus?
Câte ore/om an vor fi necesare pentru monitorizarea şi menţinerea controlului propus?
Ce inconveniente va crea controlul propus utilizatorilor?
Cât de mult timp este nevoie pentru instruire în vederea implementării, monitorizării şi menţinerii controlului?
Costul controlului este rezonabil în raport cu valoarea bunului?
Definirea cerinţelor funcţionale
Definirea unor cerinţe funcţionale necesare asigurării securităţii reprezintă de fapt declaraţii/expuneri privind descrierea controalelor necesare pentru atenuarea riscului.
Controalele trebuiesc exprimate mai degraba ca o cerinţă funcţională şi mai putin ca o stare funcţională .
Cerinţele funcţionale trebuiesc definite pentru fiecare din riscuri .
Cerinţele funcţionale definesc CE presupunem că trebuie făcut pentru identificarea şi reducerea riscului
dar nu specifică şi CUM riscul poate fi atenuat sau să indice controalele specifice.CUM poate fi atenuat riscul prin identificarea soluţiilor de control revine ca sarcina Grupui de control/atenuare a riscului.
Identificarea soluţiilor de control
Identificarea măsurilor de control presupune ca echipa care are aceasta sracină să aibă experienţă în domeniu.Dacă personalul propriu nu este specializat în acest scop atunci se poate apela la specialişti sau consultanţi din afara firmei (externalizare servicii – outsourcing). Aceştia pot să preia toate sarcinile sau să asigure asistenţă în domeniu.
Metode/Abordări în Identificarea soluţiilor de control
Informal Brainstorming Clasificarea şi organizarea controalelor
Informal Brainstorming
CoordonatorEchipa de evaluare a riscului
? … ? Răspuns(= Control propus)
Echipa de evaluare a riscului
= Control propus(= UPS)
Secretar
Întrebări:
-Care sunt etapele pe care firma trebuie să le parcurgă pentru a preîntâmpina declanşarea unui risc sau pentru controlul acestuia? -R. Implementarea autentificării multi-factor pentru reducerea riscului de compromitere a parolelor.
-Ce poate face firma, atunci când s-a declanşat evenimentul, pentru recuperare (disaster recovery)?-R. Backup, backup, backup.-R. Echipe şi proceduri de acţiune în caz de dezastre.-R. Sisteme auxiliare.-Ce măsuri poate lua firma pentru detectarea unui risc?-R. Sisteme de supraveghere video-R. Sisteme de detectare intruziuni la nivel de host şi de workstation.
-Cum poate firma să verifice că un control este plasat unde trebuie, că acesta funcţionează şi poate fi monitorizat?-R. Expert în domeniu.
-Cum poate firma să declare corectă eficacitatea unui control adoptat?-R. Specializare şi instruire periodică personal intern sau colaborare firmă (persoană) specializată.
-Se mai pot lua şi alte măsuri pentru controlul riscurilor?-R. Asigurări (în cazul obiectelor de inventar)
Clasificarea şi organizarea controalelorMetoda clasifică posibilele controale în trei categorii:organizaţional, operaţional şi tehnologic.
Fiecare categorie este împărţită în trei subcategorii cu următoarele roluri: prevenire, detecţie şi răspuns (management).
Tip control Descriere Subcategorii
Organizaţional
Proceduri şi procese care stabilesc modul de acţiune al personalului în cazul unor evenimente.
Prevenire
Detecţie
Răspuns (management)
Operaţional
(Procese)
Definesc modurile de manevrare a datelor, a componentelor software şi hardware de către personal.
Se includ şi elementele de protecţie generale si specifice.
Prevenire
Detecţie
Tehnologic
Se includ elemente de infrastructură, srhitectură, inginerie, hardware, software şi firmware.
Include toate componentele tehnologice folosite pentru construirea unui sistem informatic al firmei
Prevenire
Detecţie
Răspuns (management)
Tip control: Subcategoria:
Organizaţional Preventiv
•Roluri şi responsabilităţi clare. Definirea şi documentarea clară a acestora vor face ca managerii şi angajaţii să înţeleagă responsabilităţile pe fiecare post în parte.
•Separarea datoriilor şi mai puţine privilegii. Aceasta va asigura faptul că fiecărui post de lucru îi sunt permise doar operaţiile care sa-i asigure desfaşurarea doar a sarcinilor de serviciu.
•Planuri şi proceduri de securitate bine documentate. Acestea sunt dezvoltate pentru a explica cum au fost implementate sustemele de control şi cum trebuie acestea menţinute.
•Instruire şi campanii de informare. Instruirea este necesară pentru ca personalul sa fie la zi cu tehnologia iar campaniile de informare sunt necesare pentru avizarea personalului asupa schimbarilor care au fost făcute.
•Sisteme şi procese de activare/dezactivare utilizatori. Acestea sunt necesare ca atunci când un nou personal este angajat acesta să devină cât mai repede productiv, iar cel care nu mai lucrează în firmă să-şi piardă imediat drepturile. Aceleaşi principii trebuiesc stipulate şi la transferurile de personal între diferite compartimente. Trebuie luată în considerare şi schimbarea clasificării pentru un post sau departament.
•Stabilirea proceselor pentru acordarea accsului partenerilor de afaceri. Se includ aici toţi partenerii de afaceri: furnizorii, clienţii, distribuitorii, subcontractanţii etc. Principiile sunt similare cu cele enumerate anterior.
Clasificarea şi organizarea controalelor
Tip control: Subcategoria:
Organizaţional Detecţie
•Programe continue de control a riscului, pentru evaluarea şi controlul riscului în compartimentele cheie ale firmei.
•Recenzii recurente ale sistemelor de control pentru a verifica eficienţa lor.
•Auditul periodic al sistemelor pentru a ne asigura că sistemele de control nu au fost compromise sau prost configurate.
•Referinţe şi investigarea trecutului candidaţilor la angajare pe posturi care necesita acces la nivele ridicate de securitate.
•Stabilirea unui sistem de “rotaţie” a muncii. Aceasta va permite descoperirea unor activităţi necinstite în rândul echipelor de IT în rândul angajaţilor care au acces la date senzitive.
Clasificarea şi organizarea controalelor
Tip control: Subcategoria:
Organizaţional Răspuns (management)
•Planuri de răspuns la incidente. Aceste planuri vor include măsuri rapide de reacţie pentru recuperare în caz de violare a securităţii şi minimizarea impactului pentru prevenirea răspândirii la alte sisteme. Planurile de răspuns la incidente mai trebuie să permită şi culegerea de dovezi care să permită ulterior adicerea în justiţie a vinovatului.
• Plan de continuare a afacerii. Cuprinde planuri menite să menţină firma în funcţiune, totală sau parţială, în cazul unor evenimente catastrofice care afectează marea parte a infrastructurii IT.
Clasificarea şi organizarea controalelor
Tip control: Subcategoria:
Operaţional Preventiv
•Protecţia sistemelor de calcul prin mijloace fizice. Se includ aici perimetre de protecţie, încăperi separatoare, încuietori şi lacăte electronice, identificări biometrice etc.
•Protecţia fizică pentru sistemele end-user (workstation). Se includ aici sisteme de blocare a computerelor şi sistemelor mobile de calcul în caz de furt, criptarea fişierelor stocate pe dispozitivele mobile.
•Asigurarea energiei electrice în caz de nevoie. Acestea vor asigura energia electrică necesară funcţionării calculatoarelor atunci când sursa primară de energie este indisponibilă. De asemene, vor asigură că aplicaţiile şi sistemele de operare care rulează pe sistem vor fi inchise în condiţii normale evitând în acest fel pierderea de date.
•Sisteme anti-incendiu. Cuprind sistemele de avertizare automată a incendiilor, a stingerii acestora, precum şi extinctoarele.
•Sisteme de control a temperaturii şi umidităţii. Aceste sisteme sunt menite să asigure funcţionarea sistemelor de calcul în parametrii indicaţi de producator, extinzând durata de funcţionare a acestora.
•Proceduri de acces la datele stocate pe suporturi externe. Acestea vor facilita doar accesul personalului autorizat la aceste date.
•Sisteme de salvare de siguranţă (backup). Acestea vor permite restaurarea imediată a datelor pierdute. În anumite cazuri se impune ca salvările de siguranţă să fie păstrate în afara firmei pentru a putea să fie folosite în caz de dezastre majore.
Clasificarea şi organizarea controalelor
Tip control: Subcategoria:
Operaţional Detecţie
•Securitate fizică. Sisteme care vor proteja firma de persoane care vor să pătrundă în incinta acesteia. Se includ aici senzori, alarme, camere de supraveghere, senzori de perimetru şi de mişcare etc.
•Securitatea faţă de mediu. Sisteme care vor proteja firma de ameninţările care vin din partea mediului ambiant. Se includ aici detectoare de fum şi de foc, detectoare de inundaţii, detectoare de suprasarcini atmosferice, paratrasnete, eclatoare etc.
Clasificarea şi organizarea controalelor
Tip control: Subcategoria:
Tehnologic Preventiv
•Autentificare/Identificare. Procesul de validare a elementelor de identificare ale unei persoane, computer, proces sau dispozitiv. Autentificarea presupune ca unul din elementele care a solicitat autentificarea să fie cel care pretinde că este. Formele de autentificare sunt: combinaţiile username şi parolă, Kerberos, token-uri, biometrică, certificate.
•Autorizare. Procesul de acordare a accesului la anumite informaţii, servicii sau funcţii a unei persoane, computer sau dispozitiv. După obţinerea autentificării se obţine autorizarea.
•Access (Control access). Procesul de limitare a accesului la anumite informaţii, proces bazat pe identitatea utilizatorului şi pe apartenenţa la anumite grupuri.
•Nerepudiere. Este o tehnică folosită pentru a se asigura de faptul că o persoană care a efectuat o acţiune pe un computer nu poate nega efectuarea acelei operatii.
•Protejarea comunicaţiilor. Pentru protejarea comunicaţiilor la nivel de reţele se foloseşte criptarea pentru a se asigura integritatea şi confidenţialitatea datelor transmise.
Clasificarea şi organizarea controalelor
Mecanisme de control al accesului
Controlul accesului şi detectarea intruziunii
Control accesIdentificare Autentificare Autorizare
Tip control: Subcategoria:
Tehnologic Detecţie
•Sisteme de audit. Aceste sisteme fac posibilă monitorizarea şi urmărirea evoluţiei unui sistem pentru a se vedea dacă funcţionează în parametri configuraţi. Sistemele de audit reprezintă un instrument de de bază pentru detectarea, înţelegerea şi recuperarea în caz de evenimente.
•Programe antivirus. Programele antivirus sunt construite să detecteze şi să răspundă la o serie de programe maliţioase (virusi, viermi, cai troieni). Răspunsul constă în blocarea accesului uitilizatorului la fisierele infectate, curăţarea fisirelor şi a sistemelor infectate, precum şi informarea utilizatorului despre componentele infectate.
•Instrumente de menţinere a integrităţii sistemului. Aceste instrumente fac ca personalul IT responsabil cu securitatea să determine unde s-a făcut o modificare neautorizată în sistem. (Ex. File Chechsum).
Clasificarea şi organizarea controalelor
Tip control: Subcategoria:
Tehnologic Răspuns (Management)
•Unelete de administrare a securităţii. Aceste instrumente sunt incluse în sistemele de operare, programe şi dispozitive menite să asigure securitatea pe un anume segment.
•Criptografia. Crearea, stocarea şi distribuirea cheilor criptografice în condiţii de siguranţă au dat naştere la tehnologii cum ar fi Virtual Private Network (VPN), autentificarea în condiţii de siguranţă a utilizatorului, precum şi criptarea datelor pe diferite suporturi de memorie.
•Identificarea. Permite facilitatea de a identifica in mod unic o anumita entitate. Cu ajutorul acestei facilităţi se pot crea altele suplimentare cum ar fi:contabilizarea, discretionary access control, role-based access control, şi mandatorz access control.
•Protecţii inerente în sistem. Acestea sunt facilităţi implementate în sisteme şi care asigură protecţia informaţiei supuse procesării sau care este stocată în acel sistem. Printre acestea se pot aminti: reutilizarea obiectelor, folosirea yonei de memorie NX (Non-Execute) şi separarea proceselor.
Clasificarea şi organizarea controalelor
Revizuirea soluţiilor propuse în conformitate cu cerinţele
Echipa de Management al riscului de securitate trebuie să aprobe soluţiile de control propuse ţinând cont de definirea cerinţelor funcţionale .
Estimarea gradului de reducere a riscului
Întrebări care trebuiesc puse:
Controlul propus previne un atac specific sau previne o categorie specifcă de atacuri?
Controlul propus reduce şi/sau minimizează riscul pentru o clasă de atacuri?
Controlul propus este capabil să recunoască un atac/exploit atunci când acesta este în curs de desfăşurare?
Daca controlul propus recunoaşte un atac/exploit în curs de desfăşurare, este el capabil să reziste şi să urmărească atacul ?
Controlul propus poate ajuta la recuperarea bunurilor (datelor) după încetarea unui atac ?
Controlul propus poate ajuta la recuperarea bunurilor (datelor) după încetarea unui atac ?
Controlul propus mai oferă şi alte beneficii?
Care este valoarea controlului propus relativ la valoarea bunului?
Estimarea costului pentru fiecare soluţie
Costuri de achiziţie
Costuri de implementare
Costuri de ulterioare
Costuri de comunicare
Costuri de instruire pentru personalul IT
Costuri de instruire pentru utilizatori
Costuri de productivitate
Costuri pentru auditare şi verificare
Cuprind costuri software, hardware sau servicii necesare achiziţionării unui control. Cuprind costuri necesare dezvoltării şi actualizării celor existente.
Cuprinde
Cuprind costuri necesare echipelor proprii sau consultanţilor pentru instalarea şi configurarea controalelor propuse.
Sunt costuri dificil de estimat. Se includ aici costurile asociate cu noile controale pe o anumită perioadă de timp. Sunt costuri de management, monitorizare şi intreţinere. Uneori sunt costuri 24/7 (24/7/365).
Cuprind costurile necesare comunicării personalului despre noile politici şi proceduri de asigurare a securităţii implementate în firmă.
Cuprind costurile necesare instruirii personalului IT în vederea implementării, gestionării, monitorizării şi întreţinerii noilor controale.
Cuprind costurile necesare instruirii personalului în vederea incorporării în procedurile uzuale a noilor controale.
Cuprind de fapt pierderile (iniţiale) de productivitate pană când folosirea noilor controale devine rutină. In multe cazuri aceste pierderi se datorează lipsei de comunicare şi instruire a personalului
Cuprind costuri pe care firma le va suporta periodic pentru auditarea şi verificarea regulată e eficacităţii controalelor adoptate. În unele cazuri aceste costuri merg către firme specializate.
Selectarea soluţiei de reducere a riscului
În această etapă se va compara nivelul de risc atins după adoptarea noilor controale cu costurile soluţiiei de control.
Atât riscurile (nivelul de risc) cât şi costurile soluţiilor adoptate conţin valori subiective care fac o dificilă cuantificare financiară.
Se urmăreşte protejarea următoarelor elemente: memoria; fişierele sau datele care sunt stocate pe un suport auxiliar; programul executabil din memorie; structură de directoare/foldere; un dispozitiv electronic; structură de date; sistemul de operare; instrucţiuni; parole; sistemul de protecţie însuşi.
Trebuie făcută însă o delimitare între termeni cum ar fi: politica, standard şi îndrumar. Un standard este format dintr-un set de cerinţe de sistem sau procedurale care trebuie cunoscute
şi implementate. Un standard va descrie, de exemplu, cum se poate spori securitatea unui server Windows Server 2003 care va fi plasat într-o zonă neprotejată.
Îndrumarul reprezintă un set de sugestii de sistem sau procedurale specifice necesare pentru o implementare practică cât mai bună. Acestea nu sunt obligatorii de ştiut dar sunt imperios recomandate.
Politici şi modele de securitate
Politica de securitate este formată dintr-un set de măsuri, acceptate de către conducere, care prevede reguli clare, dar flexibile pentru a determina operaţiile şi tehnologiile standard necesare asigurării securităţii.
O politică de securitate reprezintă un document care punctează cerinţele principale sau regulile care trebuie cunoscute şi aplicate pentru asigurarea securităţii.O politică de securitate va captura cerinţele de securitate dintr-o firma şi va descrie paşii care trebuie parcurşi pentru asigurarea securităţii.
Evaluarea
riscurilor
Coordonarea procesuluidecizional
Implementare
controale
Măsurarea eficacităţii programului
3
41
2
Implementare controale
Căutarea unei abordări integratoare
Organizarea soluţiilor de control
3
Participanţi în faza de Implementare controale
Participant Responsabilităţi
Inginerii IT Determină modul de implementare a soluţiilor de control
Proiectanţi arhitectura IT Definesc modul de implementare a soluţiilor de control astfel încât să fie în concordanţă cu sistemele de calcul existente
Operatori IT Implementează soluţiile tehnice de control
Personal însărcinat cu securitatea informaţiei Ajută în rezolvarea problemelor apărute în fazele de testare şi dezvoltare
Personal financiar Se asigură că nivelul cheltuielilor cu implementarea este la nivelul stabilit
Evaluarea
riscurilor
Coordonarea procesuluidecizional
Implementare
controale
Măsurarea eficacităţii programului
4
12
3
Măsurarea eficacităţii programului
4
1. Dezvoltarea diagramei de evoluţie riscului de securitate
2. Măsurarea eficacităţii controalelor
3. Reevaluarea (evaluarea continuă) a măsurilor de control, a schimbărilor survenite asupra bunurilor şi asupra riscurilor
Participanţi în faza de Măsurare a eficacităţii programului
Participant Responsabilităţi
Personal însărcinat cu securitatea informaţiei Crează un raport sumar pentru Comitetul de Coordonare a Securităţii referitor la eficacitatea măsurilor de control adoptate şi asupra schimbărilor survenite în nivelul de risc. Suplimentar, va crea şi menţine o diagramă a evoluţiei nivelului de risc.
Auditorul intern Validează eficacitatea soluţiilor de control implementate.
Inginerii IT Comunică schimbările iminente echipei de management al riscului de securitate.
Proiectanţi arhitectura IT Comunică schinbările planificate echipei de management al riscului de securitate.
Operatori IT Comunică detaliile referitoare la evenimentele de securitate echipei de management al riscului de securitate.
Ianu
arie
Feb
ruar
ie
Mar
tie
Apr
ilie
Mai
Iuni
e
Iuli
e
Aug
ust
Sep
tem
brie
Oct
ombr
ie
Noi
embr
ie
Dec
embr
ie
Reţea
Host
Aplicaţii
Date
Fizic
!
!
!
!
Legendă:
Risc ridicat
Risc mediu
Risc scăzutDiagrama evoluţiei riscului
Data warehouse
Data Mining
Verificare/revizuire contramăsuri, revizuire politici şi actualizare
6
Reparare stricăciuni5
Determinare cauze4
Evaluare pagube3
Limitarea daunelor2
Protejarea vieţilor1
Aceasta trebuie să reprezinte prima prioritate.
În anumite situaţii, sistemele de calcul, au un rol important în protejarea vieţii oamenilor. Funcţionarea lor defectuoasa, sau nefuncţionarea, pot să ducă la pierderi de vieţi omeneşti.Trebuie avută foarte mare grijă de sistemele de calcul care au incidenţă directă asupra vieţii oamenilor.
Presupune luarea de măsuri în vederea limitării urmărilor unui atac sau eveniment.În multe situaţii trebuie decis rapid între “prezenţa” pe piaţă cu un server infectat care poate ulterior să creeze alte pagube mai mari decât simpla oprire a acestuia în vederea eliminării infecţiei.În cazul unui atac trebuie monitorizate acţiunile atacatorului şi limitarea daunelor provocate de acesta.Pîstrarea evidenţelor în vederea unei acţiuni ulterioare de tragere la raspundere a vinovatului.Limitarea daunelor provocate de evenimente fizice.
După ce limitarea daunelor a fost realizată se impune o evaluare a pagubelor.Evaluarea pagubelor va oferi o măsură a succesului atacului, precum şi a virulenţei acestuia. În cazul dezastrelor naturale se va oferi o măsură a intensităţii acestora prin prisma valorii pagubelor create.Determinarea cauzelor vizează cu precădere stabilirea sursei dezastrelor. Un dezastru poate fi provocat de un accident sau poate fi un act voit. Tratarea se face diferit.Dezastrele provocate de fenomene naturale sau accidente sunt uşor de determinat.Dificultăţi apar la determinarea cauzelor atunci când acestea sunt provocate de un atac al unei persoane răuvoitoare (cracker, hacher).Revizuirea tuturor configuraţiilor este absolut necesară.
Este imperios necesar ca repararea stricăciunilor să fie făcută cât mai rapid pentru ca firma să-şi reia activitatea şi să fie prezentă pe piaţă. Planurile şi procedurile la nivel de firmă trebuie să cuprindă şi strategii de restaurare. Echipele specializate în acest scop trebuie să scorde şi asistenţă şi îndrumare. In unele cazuri repararea stricăciunilor trebuie făcută cu foarte mare atenţie (ex. reinfectare cu viruşi de la alt sistem). Se stabileşte ce etape şi acţiuni au avut succes şi care nu au avut succes din etapele anterioare. Se stabilesc greselile de abordare şi de acţiune. Se vor modifica procesele, acolo unde este cazul, pentru ca pe viitor acestea sa confere o eficienţă sporită.Se fac imbunătăţiri şi aduceri la zi (actualizări). Se (re)consultă publicaţiile/news în domeniu.
Modul de răspuns la incidente (Microsoft)
Modalităţi de abordare a Analizei riscului
Analiza cantitativă
Lucrează cu date statistice în domeniu
Analiza calitativă
Lucrează cu date mai puţin complexe
Analiza vulnerabilităţii /analiza pe post
Pune pe prim plan angajatul şi condiţiile specifice de lucru
Această metodă analizează riscurile pornind de la postul de lucru şi de la caracteristicile acestuia.
Se analizează:
Analiza riscului de securitate
Analiza vulnerabilităţii /analiza pe post
Condiţiile de lucru specifice fiecărei grupe de posturi.
Gradul de pregătire profesională al ocupantului postului respectiv.
Nivelul de acces pentru postul respectiv
Particularităţile specifice fiecărui post din grupa de posturi.
Bunurile/grupa de bunuri cu care postul/persoana are contact.
Metoda urmăreşte analiza vulnerabilităţilor dintr-un departament punand pe prim plan elementul uman ca factor determinant al vulnerabilităţii.
Analiza vulnerabilităţii /
analiza pe post
1. Identificarea bunurilor şi a ameninţărilor la adresa acestora.
2. Estimarea probabilităţii şi a impactului asupra vulnerabilităţii.
3. Evidenţierea punctelor vulnerabile.
4. Identificarea metodelor de control.
Metoda implică parcurgerea următorilor paşi:
Analiza vulnerabilităţii /
analiza pe post
Probabilitate Expunere
Redusă Medie Înaltă
Redusă 1 3 6
Medie 2 5 8
Înaltă 4 7 9
Postul de lucru/bunul
Ameninţare Nivel de risc
Cădere de tensiune 9
Socuri/perturbări de tensiune 8
Erori personal 7
..... .
..... .
..... .
..... .
Utilizare neautorizată 2
Inundaţii 1
Analiza vulnerabilităţii /
analiza pe post
Impactul componentelor sistemului informatic asupra securitătii
Analiza vulner
abilităţii
/
analiza pe p
ost
Surse de atac
81
26
44
21
7776
31
49
25
81
75
26
38
26
82
77
25
40
28
82
0
10
20
30
40
50
60
70
80
90
Angajati Companiistrăine
Competitori Guverne străine Hackeri(independenţi)
Pro
cen
taj răsp
un
su
ri
2000
2001
2002
2003
Sursa: Computer Security Institute, CSI/FBI 2003 Computer Crime and Security Survey2003: 488 răspunsuri/92%2002: 414 răspunsuri/82%2001: 484 răspunsuri/91%2000: 583 răspunsuri/90%
Tip firmăPregătire / cunoştinţe angajaţi
Acţiuni asupra securităţii datelor
Pierderi cauzate
Voite Nevoite Mari Mici
Mare Înaltă X X
Medie Înaltă X X
Medie X X X X
Scăzută X X X
Mică Medii X X X X
Scăzute X X X
Impactul asupra securităţii datelor şi pierderilor cauzate de pregătirea angajatului
Analiza
vuln
erab
ilităţ
ii /
anali
za pe p
ost
Atacuri de tip “social engineering”
Angajat firmă
Telefon
IM/IRC
Aplicaţii de tip păcăleală (hoax)
Analiza vulnerabilităţii /
analiza pe post
O altă categorie de acţiuni, care au ca efect pierderi de productivitate, o reprezintă mesajele de poştă electronică nesolicitate, aşa-numitele spam‑uri. Conform Yankee Group (www.yankeegroup.com), mesajele spam creează anual pierderi de productivitate cifrate la 4 miliarde USD.În anul 2003 (feb.) 42% din e-mail-uri erau spam-uri.În anul 2004 (feb.) 62% din e-mail-uri erau spam-uri.
? Ce se poate face în acest caz?
Un studiu efectuat în anul 1999 de către Net-Partners Internet Solutions arăta că, la nivelul Statelor Unite, angajatorii au avut pierderi de productivitate cifrate la 500.000.000 USD din cauză că aproximativ 13.500.000 de angajaţi au citit sau descărcat la serviciu raportul Starr. Raportul Starr cuprinde date referitoare la scandalul în care au fost implicaţi preşedintele Statelor Unite Bill Clinton şi angajata de la Casa Albă Monica Lewinsky.
? Cum pot fi eliminate acest tip de pierderi?
Analiza vulnerabilităţii /
analiza pe post
Angajat/partener
Analiza vulnerabilităţii /
analiza pe postPregătire profesională
Pregătire IT
Conduită
Referinţe
Particularizare post de lucru
Detaliere particularizare post de lucru
Bunuri generale cu care are contact
Bunuri specifice cu care are contact
CuantificarePrelucrare(+/- 0…5/0…10)
....
Ridicat
Mediu
Scăzut
Culegere date
Nivel de risc
Calitate software
Analiza riscului la nivelul reţelei
M. Kaeo, Designing Network Security, Cisco Press, Indianapolis, Indiana 46290 USA, 1999.
Alte modalităţi
Valori Explicaţie
Rata de producere
1 Puţin probabil
2 Probabil
3 Foarte probabil
Valori Explicaţie
Volumul pierderilor 1 Pierderi reduse
2 Pierderi moderate
3 Pierderi critice
Rata de producere
Volumul pierderilor
Valoare risc Explicaţie
1 1 1 Risc scăzut
1 2 2 Risc scăzut
1 3 3 Risc mediu
2 1 2 Risc scăzut
2 2 4 Risc mediu
2 3 6 Risc ridicat
3 1 3 Risc scăzut
3 2 6 Risc ridicat
3 3 9 Risc ridicat
Valori Explicaţie
Nivelul de risc
1, 2 Risc scăzut
3, 4 Risc mediu
6, 9 Risc ridicat
Analiza riscului la nivelul reţelei (continuare) Alte modalităţi
LAN Disponibilitate
[D]
Integritate
[I]
Confidenţialitate
[C]
Importanţa reţelei
[IR]
Prevenirea incidentelor
[PI]
Prevenirea deteriorării
[PD]
Riscul relativ
[RR]
Administrativ 2 3 1 6 0,1 0,3 3,78
Tehnic 2 3 2 12 0,5 0,5 3,00
Financiar 2 3 3 18 0,3 0,3 8,82
IR = D * I * C
RR = IR * [ (1 – PI) * (1- PD) ] PI
PD
Foarte redus 0,1
Redus 0,3
Moderat 0,5
Ridicat 0,7
Foarte ridicat 0,9
RR Administrativ = 6 * [ (1 - 0,1) * ( 1 - 0,3 ) ] = 6 * 0,9 * 0,7 = 3,78
RR Tehnic = 12 * [ (1 - 0,5) * ( 1 - 0,5 ) ] = 12 * 0,5 * 0,5 = 3,00
RR Financiar = 18 * [ (1 - 0,3) * ( 1 - 0,3 ) ] = 18 * 0,7 * 0,7 = 8,82
Costuri
Riscuri
0
? Care este nivelul acceptabil al riscului?
Cât investesc în securitate???
?
?
??
?
Întrebări referitoare la investiţiile în securitate
10 20 30 40 50 60 70 80 90 100
10
20
30
40
50
60
70
80
90
100
Costuri (%)
În majoritatea cazurilor 20% din costuri se reflectă în 80% beneficii în ceea ce priveşte
minimizarea riscurilor şi asigurarea securităţii.
O securitate maximă poate fi asigurată cu costuri foarte mari.
Beneficii (atenuarea riscului) %
Raportul cost – beneficii în asigurarea securităţii
Cât investesc în securitate?
Aceste analize de risc se fac cu precădere în cadrul firmelor mari şi eventual în cadrul firmelor medii. Firmele mici nu au nici personal specializat şi nici bani pentru a plătii o astfel de evaluare. Cu toate acestea, un minimum de măsuri de securitate trebuie luate. Este ştiut faptul că managerii de firme se lasă greu convinşi să investească în ceva care nu aduce profit direct. Iar atunci când se lasă convinşi de necesitatea disponibilizării sumelor pentru asigurarea securităţii, sumele alocate sunt sub limita celor impuse. În aceste condiţii, trebuie să se asigure o securitate ale cărei cheltuieli să nu depăşească o limită de sumă alocată. Se poate vorbi despre o securitate impusă financiar. Alternativele de rezolvare a acestei situaţii sunt două:
acoperirea ameninţărilor cele mai probabile, cu păstrarea metodelor de control iniţiale; acoperirea tuturor ameninţărilor şi reducerea costurilor măsurilor de control.
Prima măsură va permite o securitate maximă pentru anumite ameninţări, dar va lăsa descoperite parţial sau total alte ameninţări.
A doua măsură va impune reducerea cheltuielilor necesare asigurării controalelor pentru a putea să fie acoperite toate ameninţările posibile. Aceasta ar putea să se reflecte în modificarea şi configurarea măsurilor de control. Ca exemplu, nu se vor mai achiziţiona două surse neîntreruptibile APC UPS de 350VA la preţul de 95 dolari bucata pentru două calculatoare, ci se va achiziţiona o singură sursă APC UPS de 650VA la preţul de 140 de dolari bucata. Economia este de 50 de dolari (95 x 2 – 140 = 50). În acest caz însă, cele două calculatoare vor trebui să fie alimentate de la aceeaşi sursă neîntreruptibilă prin prelungirea cablurilor de alimentare sau prin plasarea lor aproape.
Această a doua măsură este de preferat primei, deoarece nu lasă vulnerabilităţi neacoperite de măsuri de control.
Securitate impusă (financiar)
Analiza a riscului de securitate
Suma calculată (Sc) Suma alocată (Sa)
Sc>SaNUDA
Acoperirea ameninţărilor cele mai probabile, cu
păstrarea metodelor de control iniţiale a.i. Cc <= Sa.
Acoperirea tuturor ameninţărilor şi reducerea
costurilor măsurilor de control a.i. Cc <= Sa.
Implementare
Securitate impusă (financiar)
Securitatea este greu de cuantificat. Nu o să se poată spune niciodată în cadrul firmei că am o securitate de o anumită notă. Pot doar să o estimez ca fiind de un nivel ridicat, mediu, minim sau deloc. Cu toate acestea, putem să facem o cuantificare (cel puţin financiară) a nivelului de securitate. Întotdeauna implementarea securităţii sau testarea şi îmbunătăţirea acesteia generează costuri de echipamente şi umane. Indicele care-l propun ca să cuantifice securitatea în cadrul firmei se va referi la echipamente şi în special la tehnica de calcul. Propun ca acest indice să poarte denumirea de ISf (indice de securitate – financiar) şi să poată să fie calculat cu ajutorul formulei:
unde: Ce - costul echipamentului de tehnică de calcul,Pi – ponderea controlului,
Cci – costul controalelor pentru echipamentul de tehnică de calcul aplicate.
Indice de securitate (financiar)
Securitatea este greu de cuantificat. ISf (indice de securitate – financiar) îşi propune să elimine (parţial) acest neajuns
unde: Ce - costul echipamentului de tehnică de calcul, P i – ponderea controlului, Cci – costul controalelor
pentru echipamentul de tehnică de calcul aplicate.
ISf = 0 Investiţie zero în securitate
0 < ISf < 1 Investiţie în securitate
ISf >= 1 nu am evaluat bine riscurile şi/sau am exagerat cu măsurile de control;
echipamentul (calculatorul) nu este de calitate şi are nevoie de echipamente suplimentare;
valoarea reactualizată a echipamentului este scăzută în comparaţie cu costul controalelor.
Indice de securitate (financiar)
Staţie 1
Ce = 1.000 USD
1
UPS
Cc = 140 USD
P = 1/2 = 0,5
Dispozitiv criptare disc
Cc = 500 USD
P = 1
2
Staţie 1
ISf =[(1.000 + 0,5 x 140 + 1 x 500) / 1.000] - 1 =0,57
Indice de securitate (financiar) (exemplu)
Sursa: Computer Security Institute, CSI/FBI 2006 Computer Crime and Security Survey
Indicatori economici de rentabilitate
ROI – Return on Investment, Rentabilitatea InvestiţieiNPV – Net Present Value, Valoarea Actuală NetăIRR – Internal Rate of Return, Rata Internă de Rentabilitate
55
2825
38
18 19
42
1921
0
10
20
30
40
50
60
ROI NPV IRR
2004
2005
2006
%
Indicatori economici de rentabilitate
ROIReturn on Investment
NPVNet Present Value
IRRInternal Rate of Return
Rentabilitatea Investiţiei (RI)
% 100 x Costuri
net BeneficiulRI
Beneficul net = Beneficiu - Costuri
Valoarea Actuală Netă (VAN)
Rata Internă de Rentabilitate (RIR)
a
1atr)(1
aan Venituri CiVAN
n21 RIR) 1(
nan Venituri...
RIR) (1
2an Venituri
RIR)(1
1an Venituri Ci0VAN
Se calculează “r” din ecuaţia VAN, considerând VAN = 0. r = RIR
r - RataCosturile iniţiale Ci au valori iniţiale negative
Investiţia este rentabilă dacă VAN > 0
Indicatori economici de rentabilitate
Exemplu
Se achiziţionează o sursă neîntreruptibilă (UPS) in valoare de 1.000 USD. Se consideră că aceasta are o garanţie de buna funcţionare de 3 ani. Dupa această perioadă, sursa este scoasă din uz.Să se calculeze RI, VAN şi RIR.
Costurile iniţiale = 1.000 USDVenit anul 1 = 1.500 USDVenit anul 2 = 2.000 USDVenit anul 3 = 3.000 USD. Valorile sunt crescătoare datorită creşterii volumului de activitate a firmei .
6,5/1 100%x 1.000
1.000– 3.000) 2.000 (1.500 RI
4,3/1 100% x 000.1
000.1)1,01(
000.3
)1,01(
000.2
0,1) (1
1.500
RI321
4,3 000.1)1,01(
000.3
)1,01(
000.2
0,1) (1
1.500 VAN
321
VAN > 0 → Investiţia este rentabilă
... RIR 0 000.1)RIR1(
000.3
)RIR1(
000.2
RIR) (1
1.500 VAN
321
Indicatori economici de rentabilitate
Exemplu
0
VAN
5 10 15 20 25 30 35 40
r /RIR
20,7 %
Investiţie rentabilă Investiţie nerentabilă
+
-
Un posibil “vinovat” de securitatea firmei !!!
Proprietar afacere
Analiza de risc
Definire politici Aprobare fonduri
t0 tn
Timpul…..
Timpul nu poate fi stocat
Timpul nu poate fi cumpărat
Timpul nu poate fi tranzacţionat
Timpul nu poate fi vândut
Timpul nu poate fi decât folosit.
Un alt posibil “vinovat” de securitatea firmei !!!
Reducerea riscurilor
Pentru a putea să reduc sau să elimin riscurile trebuie ca firma să fie capabilă de următoarele operaţii:
Prevenirea (selectarea corectă a produselor, actualizarea produselor şi adaptarea acestora la schimbările care se impun).
Detecţia (filtrarea şi analiza informaţiei, analizarea alertelor, corelarea cu nevoile firmei).
Răspunsul (luarea măsurilor care se impun, comunicarea, pregătirea constantă).
Oameni-pregătire...continuă, la zi...-responsabilităţi... aduse la cunoştinţă şi asumate ...-cultură... în domeniu ...-organizare... eficientă...
Procese-Politici... clare, actualizate, viabile...-proceduri... testate...-standarde... actualizate...
Tehnologii-infrastructură... adecvată, sigură...-aplicaţii... sigure, adecvate, testate, auditate...
Reducerea riscurilor
PrevenireaPrevenirea unor evenimente care pot afecta securitatea firmei.
ReducereaReducerea probabilităţii de producere şi a impactului.
Evitarea Evitarea unui risc printr-o planificare eficientă.
Transferul“Eliminarea” riscului prin crearea unei asigurări pe acel risc.
Planificarea alternativă În cazul unor riscuri care nu pot fi prevăzute este nevoie de realizarea unor planuri alternative pentru reducerea impactului.
Reducerea riscurilor
Există cinci strategi pentru reducerea riscurilor:
În ce stadiu ne aflăm şi
cu ce ne pot ajuta firmele în domeniu?
Stadiul actual al investiţiilor în securitate
Managementul firewall/router Managementul firewall/router
Furnizare Management Sevicii de Securitate
Implementarea măsurilor de securitate în cadrul firmei
Furnizare Sevicii de Securitate
Firewall Antivirus ……………
Managementul firewall/router
Controlul şi autentificarea
perimetrului de acces
Reţele private virtuale
Filtrare de conţinut web
Detectarea intruziunii
Scanarea de viruşi
Evaluarea vulnerabilităţii/
testul de penetrare
Răspunsul în caz de incident
24/7
Firma
Servicii de securitate din interior. Luăm în considerare o firmă medie. Pentru a crea un firewall pentru această conectare trebuie cumpărat hardware şi software pentru firewall la preţul de aproximativ 10.000 USD. Această sumă poate să fie mai mare dacă firma are mai multe conexiuni la Internet sau este o firmă mai mare. Cheltuielile în acest caz pot ajunge între 50.000 USD şi 75.000 USD. Gestionarea şi monitorizarea firewall-ului trebuie făcute de o persoană calificată. Salariul unui specialist în domeniu variază între 40.000 şi 60.000 USD anual. Achiziţionarea unui dispozitiv firewall scump nu suplineşte slaba pregătire a administratorului. Având în vedere faptul că se cere o acoperire permanentă (serviciu 24/7), este nevoie de cel puţin trei oameni, cu cheltuieli anuale medii de aproximativ 150.000 USD. Instruirea (minimă) a personalului de deservire va costa 15.000 USD per total anual. Această ultimă categorie de cheltuieli este necesară pentru ca personalul de deservire să fie la curent cu noutăţile în domeniu.
Componenta/cheltuiala Suma (USD)
Software şi hardware 10.000
Salarii 150.000
Instruire 15.000
Costuri totale 175.000
Servicii de securitate din exterior. Costurile de hardware şi de software sunt tot aceleaşi, dispozitivul firewall/router şi software-ul sunt achiziţionate de către beneficiar – în jur de 10.000 USD. Cheltuielile cu salariile celor trei angajaţi care să gestioneze firewall-ul vor fi nule, dar vor fi înlocuite de cheltuielile lunare de management extern care sunt în jur de aproximativ 2.000 USD. Aceasta duce la cheltuieli anuale de 24.000 USD. Costul iniţial al instalării (plătibil o singură dată) este de aproximativ 15.000 USD. Nu mai sunt costuri de instruire.
Componenta/cheltuiala Suma (USD)
Software şi hardware 10.000
Costuri management 24.000
Instalare 15.000
Costuri totale 49.000
Făcând acum o diferenţă:Costurile anuale din interior: 170.000 USDCosturile din exterior: 49.000 USDEconomii anuale: 121.000 USD
Cu ce ne poate ajuta o firmă ?
Business Process Evaluation and Risk Management
Phase 1Phase 1 Phase 2Phase 2 Phase 3Phase 3
Identify technical and informational
assets
Identify operational
and management
risks
Establish a counter-
measure plan
BS 7799, ISO 17799, OCTAVE, COBIT, SEI-CM
GeCAD NET Methodology
securITree
gecad net – security services for information technology
Ce ne propun firmele locale?
E-security today : e-business’ new requirements demand new forms of
security
securITree
gecad net - servicii de securitate in tehnologia informatiei oct 2004
gecad net – security services for information technology
MatureE-Business
EarlyE-Business
InternetConnectivity
StandaloneLAN/WAN
Mar
ket
Mat
uri
ty
TIME
Mailing lists
Portal sites
CUNOŞTINŢE
APLICAŢII
eWallet
Secure Transactions
Authorisation
INFRASTRUCTURĂ
IntrusionDetection
Firewall
EncryptionAnti-VirusAuthentication
PKI
VPN
Smart Cards
Business Process Evaluation and Risk Management
Risk Analysis
• The standards and methods offered by GeCAD are as following:• BS 7799 • ISO 17799 • OCTAVE • COBIT • ITIL
To develop a master plan in effective informational security, it is essential to identify the most critical information or systems, their qualitative or quantitative value, the potential risks and finally the solution scenarios available.
• The approach used by GeCAD is outlined below:• Identify technical and informational assets• Identify operational and management risks• Establish a counter-measure plan
securITree
gecad net – security services for information technology
Securit
atea nu es
te o dest
inaţie, se
curitatea
este
un proces co
ntinuu.
Securitatea – regulă de bază – BACKUP! BACKUP! BACKUP!
Prevenirea (selectarea corectă a produselor, actualizarea produselor şi adaptarea acestora la schimbările care se impun).
Detecţia (filtrarea şi analiza informaţiei, analizarea alertelor, corelarea cu nevoile firmei).
Răspunsul (luarea măsurilor care se impun, comunicarea, pregătirea constantă).
Securitatea nu este o destinaţie, securitatea este un proces continuu.
“Trebuie să-i pedepsim pe cei care încalcă legea. Dar nu putem să frânăm curiozitatea unui puşti de 13 ani care, experimentând astăzi, poate dezvolta mâine o tehnologie informaţională sau a telecomunicaţiilor care să ducă Statele Unite în secolul XXI ca lider în domeniu. Ei reprezintă şansa noastră ca să rămânem o naţiune competitivă tehnologic”.
Patric Leahy, senator de Vermont
Securitatea se implementează în funcţie de mărimea şi cerinţele firmei.
Securitatea este greu de cuantificat.
Securitatea excesiva poate avea efecte negative asupra afacerilor.
Securitatea minimală este de preferat în locul lipsei acesteia.
Securitatea nu rezolvă problemele de productivitate.
Este securitatea o marfă?
Securitatea excesiva poate fi agasantă.
Securitatea este o poliţă de asigurare în caz de dezastre.
BIBLIOGRAFIE
[BRHU02] C. Brenton, C. Hunt, Mastering Network Security, SYBEX Inc., 2002.
[BURK04] J.R. Burke, Network Management: Concepts and Practice, A Hands-On Approach, Prentice Hall PTR, 2004.
[GROT02] D. Groth, Network + Study Guide, SYBEX Inc., 2002.
[HSST95] S.B. Hsiao, R. Stemp, Computer Security, course, CS 4601, Naval Postgraduate School, Monterey, California, 1995.
[HSST95] S.B. Hsiao, R. Stemp, Advanced Computer Security, course, CS 4602, Naval Postgraduate School, Monterey, California, 1995.
[KAEO99] M. Kaeo, Designing Network Security, Cisco Press, Indianapolis, Indiana 46290 USA, 1999.
[LUAB00] T. Lunt, M. Abrams, D. Denning, L. Notargiacomo, Information and computer security, CS 4990/6990, course, Mississippi State University, 2000.
[LUSA03] I. Lungu, Gh. Sabău, I. Velicanu, M. Muntean, S. Ionescu, E. Posdarie, D. Sandu, Sisteme informatice. Analiză, proiectare şi implementare, Ed. Economică, Bucureşti, 2003.
[MCCA03] L. McCarthy, IT Security: Risking the Corporation, Prentice Hall PTR, 2003.
[MIMI02] M. Miller, Absolute PC Security & Privacy – Defending Your Computer Against Outside Intruder, SYBEX Inc., 2002.
[OGTE01] T.W. Ogletree, Firewalls – Protecţia reţelelor conectate la Internet, Ed. Teora, Bucureşti, 2001.
[OPDU99] D. Oprea, Analiza şi proiectarea sistemelor informaţionale economice, Ed. Polirom, Bucureşti, 1999.
[PRBY02] P.E. Proctor, F.C. Byrnes, The Secured Enterprise, Prentice Hall PTR, 2002.
[RUGA91] D. Russel, G.T. Gangemi Sr., Computer Security Basics, O’Reilly & Associates, Inc., 1991.
[SECU02] Security Complete, Second Edition, SYBEX Inc., 2002.
[SECU99] Securitatea în Internet, Ed. Teora, Bucureşti, 1999.
[STPE02] M. Strebe, C. Perkins, Firewalls 24seven, SYBEX Inc., 2002.
*** http://csrc.nist.gov/
*** http://www.gecadnet.ro Conferinta Anuala de Securitate - Editia 2004 “SecureITree”
*** http://www.idc.com
*** http://www.microsoft.com/technet/security/topics/policiesandprocedures/secrisk/default.mspx
Contact
Conf. univ. dr.
Burtescu R. Emil
www.burtescu.ro(în construcţie)
Vă mulţumesc!