Managementul Riscului In Sistemele It&c
MANAGEMENTUL RISCULUI IN SISTEMELE IT&C
Cuprins
LISTA ACRONIME
INTRODUCERE
1. NOȚIUNI TEORETICE
1.1 ISTORIC
1.2 SECURITATEA INFORMATICĂ
1.2.1 Problematica
1.2.2 Obiectivul Managementului Riscului
1.2.3 Măsuri de securitate
1.3 STATISTICI (SECURITATEA – PROBLEMA SAU CARACTERISTICA A SISTEMELOR IT)
1.4 ELEMENTE DE PRINCIPIU PRIVIND RISCUL
1.5 ELEMENTE DE PRINCIPIU PRIVIND MANAGEMENTUL RISCULUI
2. METODOLOGIE UTILIZATA ÎN MANAGEMENTULUI RISCURILOR ÎN SISTEMELE IT&.C
2.1 EVALUAREA RISCURILOR
2.1.1 Auditul sistemelor informaționale și răspunsul la incidente
2.1.2 Caracterizarea sistemului
2.1.3 Identificarea amenințărilor
2.1.4 Identificarea vulnerabilităților
2.1.5 Analiza controalelor
2.1.6 Determinarea probabilitatii de realizare a amenințărilor
2.1.7 Analiza impactului
2.1.8 Determinarea riscului
2.1.9 Recomandări asupra unor măsuri adecvate
2.1.10 Documentarea rezultatelor
2.2 PLANIFICAREA RĂSPUNSULUI LA FACTORII DE RISC
2.2.1 Faza de inițiere
2.2.2 Faza de dezvoltare / achiziție
2.3 MONITORIZAREA ȘI CONTROLUL RISCURILOR
2.3.1 Faza de implementare
2.3.2 Faza de operare și întreținere –
3. STUDIU DE CAZ: MANAGEMENTUL RISCULUI ÎN SISTEMUL IT&C ÎNTR-O FIRMA DE DIMENSIUNI MICI/MEDII
3.1 TEMATICA STUDIULUI DE CAZ
3.2 PREZENTAREA GENERALA A SOCIETATII
3.3 SITUAȚIA INFRASTRUCTURII IT&C EXISTENTE
3.4 EVALUAREA RISCURILOR ÎN SISTEMUL IT
3.4.1 Stabilirea riscurilor la adresa securității rețelei IT prin identificarea amenințărilor
3.4.2 Stabilirea unui plan în vederea analizarii vulnerabilităților
3.4.3 Analiza controalelor – a măsurilor existente la nivelul sistemului informatic
3.4.5 Analiza impactului, a posibilelor consecințe pe care problemele identificate le pot crea
3.4.6 Determinarea riscului
3.4.7 Recomandări asupra unor măsuri adecvate
3.4.8 Definirea politicii de securitate
3.4.9 Documentarea rezultatelor
3.5 COORDONAREA PROCESULUI DECIZIONAL
3.5.1 Stabilirea cerințelor funcționale de securitate
3.5.2 Identificarea soluțiillor de control
3.5.3 Analiza cost beneficiu
3.6 IMPLEMENTAREA CONTROALELOR SI ORGANIZAREA
3.7 SITUAȚIA FINALĂ
CONCLUZII
BIBLIOGRAFIE
Lista Acronime
Introducere
„Cel mai mare risc a fost, este și va rămâne factorul uman.“
Să încerci să vorbești despre Managementul riscului în sistemele IT&C, la nivelul anului 2015 este din start o pierdere de timp. Nu din cauza subiectului, care este de fapt foarte actual și plin de noutăți în ceea ce privește riscurile mereu în schimbare, ci din cauza faptului că subiectul în sine a fost atât de dezbătut de-a lungul timpului încât nimic nou nu se mai poate spune sau scrie.
Ca și predecesorii mei voi încerca, pe ici pe colo, să abordez acest subiect din diferite unghiuri pentru a crea măcar impresia unui studiu particularizat.
Managemetul riscului în sistemele IT&C, atât la nivel teoretic cât și practic, indiferent din ce unghi ar fi privit, rămâne principalul proces de securitate care prin aplicarea corectă și eficientă a procedurilor operaționale stabilite cu managerul IT poate asigura protejarea sistemele informatice și a datelor.
Împărțirea în zone de risc posibile la care o firma sau companie poate fi expusă datorită gestionării ineficiente a componentei IT, a fost binevenită și apreciată, sprijinind aplicarea corectă a procedurilor de securitate. Am să le enumăr și eu, la rândul meu, astfel:
Risc competițional – Amenințarea concurenților de a ajunge primii pe piață, de a câștiga cotă de piață sau de a obține un avantaj insurmontabil prin utilizarea tehnologiei.
Risc de portofoliu – Pericolul ca o companie sau firmă să folosească pentru componenta IT bani și resurse prețioase pentru a finanța operațiuni de bază în locul unor investiții care pot aduce transformări importante, cu efect asupra afacerii.
Risc de execuție – Incapacitatea de a executa eficient proiecte IT sau de a oferi companiei, la timp și în bugetul alocat, capabilități critice de afaceri.
Risc de serviciu și de securitate – Riscul ca sistemele să nu fie capabile să ofere suportul și/sau serviciile necesare pentru angajați sau partenerii de afaceri, precum și riscul ca datele critice ale firmei să nu fie protejate în mod corespunzător.
Voi încerca să tratez subiectul management al riscului, împărțind lucrarea prezentă în capitole oarecum distincte.
Unul din capitole, primul, va aborda partea teoretică a subiectului cu intenția de a prezenta noțiunile privind securitatea informatică, elementele de principiu privind riscul și managementul riscului și câteva statistici mai mult sau mai puțin actuale.
Un al doilea capitol va aborda metodologia utilizată în managementul riscului în sistemele IT&C urmărind evaluarea riscurilor, planificare răspunsului la factorii de risc, controlul și monitorizarea riscurilor prin respectare standardelor actuale.
De asemenea, voi încerca, într-un alt capitol, o abordare a managementului riscului în sistemele IT&C într-o firmă, proiectând oarecum acest subiect printr-un, exemplu. Voi urmări implementarea unui sistem de securitate al informației utilizat într-o rețea neprotejată, care să asigure principalele țeluri ale securității informațiilor: autentificarea mesajelor, controlul accesului, confidențialitateam integritarea datelor și nerepudierea.
Astfel, pe parcursul lucrării voi încerca să ofer informații referitoare la posibilele riscuri ce pot apărea în sitemele IT&C și principalele direcții și aspectele esențiale urmărite în managementul acestor evenimente.
Noțiuni teoretice
Istoric
Nimic mai simplu. Cum se spune în zilele noastre, INTERNETUL este baza. Cine a spus/scris și postat pe INTERNET pentru prima dată aceste Noțiuni teoretice era sigur că postarea sa va deveni bază pentru multe alte lucrări. Astfel :
De la începuturile istoriei, riscurile, în general, au constituit una dintre cele mai mari provocări pentru rasa umană. Interesant este faptul că teoriile asupra riscului nu au fost luate serios în calcul nici de către matematicienii și nici de către astronomii celebri care au marcat în multe domenii evoluția umanității. De altfel, nici celebrele universități din Evul Mediu nu au luat în considerație ideile legate de probabilitate, incertitudine, prognoză, considerând că totul se desfășoară sub imperiul unor legi nescrise, imuabile.
Pentru a înțelege mai bine, voi enumera pe scurt câteva dintre etapele ce au ajutat la consolidarea managementului riscului ca știință modernă:
Prima schimbare majoră de poziție în acest domeniu apare abea în anul 1654, când Blaise Pascal și Pierre de Fermat definesc noțiunea de probabilitate în evaluarea unor situații posibile de realizare a unor evenimente.
În 1662, John Graunt publică primele analize statistice asupra mortalității populației londoneze și se utilizează primele elemente de eșantionare pe baza unor metode statistice, se identifică principalii factori de risc ce au contribuit la scăderea mediei de viață.
Următorul pas important în teoria previziunii riscului este făcut în 1687, când Edward Loyd, cunoscut om de știință la vrea aceea, întocmește pe baza unor calcule personale un tabel ce prezenta o structură asemănătoare cu a unei baze de date din zilele noastre. Aceasta conținea date referitoare la principalele evenimente maritime europene, tabelul fiind în permanență reactualizat cu ajutorul observațiilor transmise de către ”rețeaua” de corespondenți speciali formată din oameni interesați să sprijine acest demers.
În 1696, matematicianul și astronomul englez Edmund Halley, elaborează o teorie revoluționară în domeniu, care demonstrază modul în care pot fi utilizate de către societățile de asigurări, tabelele statistice referitoare la evoluția mortalității în funcție de vârstă.
Continuând cercetările în aceeași idee, a caracterizării mediului social cu ajutorul instrumentelor statistice, în 1713 Jacob Bernoulli postulează „Legea numerelor mari” care furnizează metoda prin care probabilitățile și semnificația statistică, poate fi identificată dintr-o informație limitată, concentrând astfel teoriile legate de metodele și procedeele de eșantionare a populației.
Analizând majoritatea formelor distribuțiilor matematice care ar aproxima într-un mod cât mai apropiat de realitate repartizarea unei populații statistice, matematicianul francez Abraham de Moivre ajunge în 1733 la concluzia că singura formă acceptabilă în acest sens este curba distribuției normale, postulând o dată cu apariția acesteia existența a altor două mărimi statistice extrem de importante: dispersia și abaterea standard.
În 1738 apare noțiunea de utilitate pornind de la definirea valorii de atractivitate a unor diferite tipuri de venituri. Consecințele studiilor sale au putenic impact în cadrul riscurilor asumate în cadrul teoriei deciziei, pornind de la supoziția conform căreia riscul în asumarea unei decizii nu este exclusiv legat de realizarea unor calcule și estimarea unor probabilități ci și de valoarea consecințelor pe care le pot avea aceste riscuri pentru cel care și le asumă.
În 1885 omul de știință francez Francois Galton, studiează și pune în evidență regresia datelor către medie ce consta în faptul că într-un interval mai lung de timp, sau după un număr suficient de mare de iterații sau experimente, valorile extreme ale distribuției se îndreaptă către medie sau către valoarea centrală a acesteia.
Cu toate acestea de adoptarea unor stragerii manageriale moderne asupra riscrurilor care intervin în derularea unor activități, pe baza unor interpretări evaluative statistice se poate vorbi abea pe la începutul anilor 1900. În 1944 John von Neumann alături de colegul său Oskar Mogenstern elaborează un tratat intitulat ”Teoria jocului și mediul economic”, prin care elimină ideea acreditată până la acea oră de „joc de noroc” în teoria deciziei, introducând noțiunea de “joc de strategie” pentru obținerea unor rezultate semnificative de succes în orice domeniu socio-economic.
Un alt aspect novator în cadrul teroriilor lui von Neumann constă în introducerea în studierea principalilor factori de risc: omul, drept sursă primară de incertitudine. Esența acestei teorii se baza pe faptul că piața și cererea ei este reprezentată de oameni și în consecință trebuie ținut întotdeuna cont de faptul că factorul uman prezintă o atitudine variabilă, influențând astfel în mod determinant prognozele statistice.
În 1990 laureatul premiului Nobel pentru investițiile de portofoliu, Harry Marcovitz publica chiar în perioada de început a prodigioasei sale activități un articol cu o excepțională fundamantare matematică asupra diversificării în domeniul investițiilor. Acesta demonstra în urma unei îndelungi analize efectuate pe parcursul anilor de studiu, fundamentul științific prin care investitorii și managerii implicați în dezvoltarea afacerilor pot minimiza efectele „varianței veniturilor la venire”. Practic începând cu acestă perioadă, atenția tuturor oamenilor de știință, ce au întreprins cercetări fundamentale în acest domeniu s-au focalizat pe descoperirea unor modele matematice capabile să furnizeze prognoze și să estimeze evoluția unor indicatori specifici, bază de referință pentru activitatea managerilor de risc.
Următorii pași importanți în acest domeniu au fost făcuți în anul 1970, când matematicienii americani Fischer Black și Myron Scholes, publică pentru prima dată un model matematic pentru simularea unei opțiuni manageriale, relevând pentru prima dată și gradul de risc pe care îl implică asumarea unei astfel de opțiuni.
Stimulați de influența tot mai mare pe care o aveau computerele personale asupra tuturor domeniilor economiei, David Hertz a propus prin 1979, utilizarea metodei matematice de simulare ”Monte Carlo”, pentru evaluarea capitalului de investiții. Esența acestei metode consta în relevarea modurilor în care incertitudinea afectează succesul unui proiect, fiind cuantificată prin utilizarea probabilității distribuțiilor matematice. Noutatea și în același timp imponoțiunea de “joc de strategie” pentru obținerea unor rezultate semnificative de succes în orice domeniu socio-economic.
Un alt aspect novator în cadrul teroriilor lui von Neumann constă în introducerea în studierea principalilor factori de risc: omul, drept sursă primară de incertitudine. Esența acestei teorii se baza pe faptul că piața și cererea ei este reprezentată de oameni și în consecință trebuie ținut întotdeuna cont de faptul că factorul uman prezintă o atitudine variabilă, influențând astfel în mod determinant prognozele statistice.
În 1990 laureatul premiului Nobel pentru investițiile de portofoliu, Harry Marcovitz publica chiar în perioada de început a prodigioasei sale activități un articol cu o excepțională fundamantare matematică asupra diversificării în domeniul investițiilor. Acesta demonstra în urma unei îndelungi analize efectuate pe parcursul anilor de studiu, fundamentul științific prin care investitorii și managerii implicați în dezvoltarea afacerilor pot minimiza efectele „varianței veniturilor la venire”. Practic începând cu acestă perioadă, atenția tuturor oamenilor de știință, ce au întreprins cercetări fundamentale în acest domeniu s-au focalizat pe descoperirea unor modele matematice capabile să furnizeze prognoze și să estimeze evoluția unor indicatori specifici, bază de referință pentru activitatea managerilor de risc.
Următorii pași importanți în acest domeniu au fost făcuți în anul 1970, când matematicienii americani Fischer Black și Myron Scholes, publică pentru prima dată un model matematic pentru simularea unei opțiuni manageriale, relevând pentru prima dată și gradul de risc pe care îl implică asumarea unei astfel de opțiuni.
Stimulați de influența tot mai mare pe care o aveau computerele personale asupra tuturor domeniilor economiei, David Hertz a propus prin 1979, utilizarea metodei matematice de simulare ”Monte Carlo”, pentru evaluarea capitalului de investiții. Esența acestei metode consta în relevarea modurilor în care incertitudinea afectează succesul unui proiect, fiind cuantificată prin utilizarea probabilității distribuțiilor matematice. Noutatea și în același timp importanța metodei, consta în furnizarea cu ajutorul calculatorului a unui număr semnificativ de mostre de scenarii posibile de decizii manageriale (generate pe baza analizei unor factori „de intrare” prestabiliți), ale căror rezultate erau furnizate alături de probabilitățile de realizare ale acestora.
Dezvoltarea Risk Management (RM) ca disciplină începe după 1900:
1900 Uraganul Galveston, schimbă abordarea asupra previziunilor meteo;
1920 British Petroleum înființează Tanker Insurance Company;
1921 primele publicații, “Risk, Uncertainty and Profit”, Frank Knight și “A Treatise on Probability”, John Maynard Keyes;
Diverse publicații, nu foarte numeroase, în special în zona investițională, financiară, asigurări;
în 1950 se consacră termenul de Management al Riscului și încep să se înființeze funcții de MR în organizații ;
în 1962 apare prima publicație care încurajează opinia publică să ia în considerare degradarea mediului – “The silent spring”, Rachel Carson ;
în 1970 se înființează “Agenția de Protecție a Mediului” în SUA ;
în 1973 Asociația de la Geneva începe să acorde stimulente intelectuale pentru promovarea Managementului Riscului;
în 1975 se înființează Risk & Insurance Management Society;
în 1980, în Washington, se înființează Societatea de Analiză a Riscului care acumulează până în anul 1999 peste 2200 membri;
în 1986 se înființează la Londra “Institutul de Management al Riscului” orientat spre susținere și formare. Tot atunci se lansează un program educațional intensiv;
în 1995 apare primul “Risk Management Standard” revizuit ulterior, în 1999;
în 1996 se înființează “Global Association of Risck Proffessionals, cu orientare către zona financiar-bancară, care desfășoară activități aproape exclusiv prin Internet. Până în 2002 devine cea mai mare asociație (5000 contribuabili și 17.000 membri asociați).
Securitatea informatică
1.2.1 Problematica
Securitatea informatică este o problemă vitală pentru toți utilizatorii de internet, fie că sunt furnizori de servicii fie că sunt utilizatori. Nevoia tot mai mare de comunicare, pe de o parte și nevoia de protecție și securitate a informațiilor pe de altă parte sunt două cerințe diferite și chiar opuse care trebuie asigurate în rețelele și sistemele informatice. În condițiile în care milioane de cetățeni folosesc în mod curent rețelele de comunicații și calculatoare pentru operațiuni bancare, cumpărături, plata taxelor și serviciilor etc. problema securității este de maximă importanță. Au apărut multe organizații și organisme internaționale care se ocupă de cele mai diverse aspecte ale securității informaționale, de la aspectele legislative, la cele organizatorice, procedurale și funcționale.
Altfel spus, securitatea este un subiect vast și ocupă o multitudine de imperfecțiuni. Majoritatea problemelor de securitate sunt cauzate intenționat de persoane răuvoitoare care încearcă să obțină beneficii, să culeagă informații dar și să provoace rău.
Infracțiunile semnalate atât din cadrul instituțiilor statului, cât și din domeniul privat, sunt în continuă creștere:
acces neautorizat și transfer de date cu grade diferite de confidențialitate,
modificarea, ștergerea sau deteriorarea datelor;
perturbarea sistemelor informatice;
producerea, vânzarea, procurarea pentru utilizare și distribuție fără drept a dispozitivelor care pot perturba grav sistemele informatice;
interceptarea parolelor și a codurilor de acces în scopul sabotării sistemelor și rețelelor de calculatoare;
falsificarea datelor cu intenția de a fi folosite ulterior ca date autentice;
înșelătorii sau fraude comise prin intermediul computerelor;
utilizarea neautorizată a programelor protejate prin dreptul de autor.
De aceea, astăzi mediile de afaceri dependente de tehnologia informației cer că angajații să cunoască importanța protejării resurselor companiei și totusi, când vorbim despre securitatea IT, în multe organizații există un decalaj între conștientizarea nevoilor de securitate și respectarea măsurilor de securitate.
Acest fapt se explică prin însuși concepțiile greșite asupra procesului de asigurare a securității informaționale, care pot rezulta în implementarea unor soluții ineficiente.
Experiența a demonstrat că majoritatea organizațiilor nu știu cum să răspundă unui incident legat de securitatea informațională până în momentul în care sunt afectate semnificativ de un asemenea incident. Multe dintre ele nu au evaluat din timp riscul de afaceri asociat lipsei unui sistem bine reglat de detecție și de răspuns la incidentele de securitate. De cele mai multe ori, organizațiile primesc rapoarte prin care sunt informate de implicarea acestora în incidente de securitate care au originea de obicei din altă parte, fără a fi implicate în identificarea în sine a incidentului. Această abordare poate fi denumită la fel de bine și abordarea prin încercarea fatală.
Problema își are originea în lipsa recunoașterii de către multe organizații a unei nevoi stringente pentru o infrastructură cuprinzătoare a sistemului de securitate. De obicei impactul și riscul de afaceri a lipsei unui asemenea sistem este constatat doar după un incident grav. Managementul poate avea deseori opinia precum rețeaua și securitatea sistemului informațional este o preocupare a administratorilor de rețea și sistem ca parte integrantă a activității lor zilnice. Deasemenea, ei pot gândi că securitatea este asigurată de firewall-ul organizației.
De obicei însă, această percepție este de multe ori incorectă din toate privințele. Prioritățile administratorilor sistemului informațional sunt în mare parte concentrate asupra menținerii și administrării echipamentului de calcul existent. Firewall-urile pot preveni unele atacuri, dar cu siguranță nu toate tipurile de atac, iar dacă nu sunt configurate și monitorizate corect atunci ele pot lăsa organizația vulnerabilă la un șir de multe alte atacuri. Această abordare poate rezulta în probleme serioase precum:
Necunoașterea dacă sistemul a fost compromis, și dacă a fost, de cât timp;
Lipsa informației cu privire la ce sisteme sunt expuse riscului sau cu privire la ce informație a fost accesată ori modificată de intruși;
Necunoașterea metodelor folosite de atacatori pentru a obține acces la sisteme;
Necunoașterea măsurilor ce trebuie întreprinse pentru a stopa atacurile și securizarea sistemelor și a rețelelor;
Neidentificarea din timp a efectelor adverse provocate de un incident asupra capacității companiei de a desfășura activitatea în condiții normale;
Lipsa unei persoane responsabile de luare a deciziilor privind stoparea activității, contactarea organelor competente etc.;
Amânările privitor la identificarea și contactarea persoanelor corespunzătoare asupra evenimentului produs (atât intern cât și extern);
Lipsa unor contacte de raportare în organizație cunoscute de către părțile externe sau interne.
Organizațiile devin din ce în ce mai dependente de buna funcționare a sistemelor informațice, problema securității acestor sisteme devenind din ce în ce mai importantă. Investind în securitate vom putea avea sisteme IT mai sigure. Astfel vom constata că beneficiile vor fi mai mari, iar investițiile și eforturile făcute vor fi mai mici dacă vom avea o abordare pe ansamblu, decât dacă am trata problema punctual, sau, mai rău, vom acționa pentru a înlătura efectele abia după producerea unui incident de securitate.
1.2.2 Obiectivele Managementului Riscului
Serviciile de securitate definite ca obiective ale managementului riscului sunt: autentificarea, confidențialitatea, controlul accesului/disponibilitatea, integritatea și nerepudierea.
Securitatea informațiilor se poate defini ca protecția informațiilor și a sistemelor informatice de acces neautorizat, utilizarea, divulgarea, tulburarea, modificarea sau de distrugere în scopul de a asigura aceste obiective.
Mecanismele de securitate sunt folosite individual sau colectiv pentru construirea serviciilor de securitate.
Securitatea informatică abordează în principal probleme ce urmăresc:
Riscul de securitate informatică, analizând concepte generale legate de risc, vulnerabilități și amenințări;
Controlul accesului expunând diferite modalități de autentificare și procesele necesare utilizării lor;
Aspecte criptografice ale sistemelor de securitate urmărind managementul cheilor de criptare în rețea;
Securitatea aplicațiilor prin detalierea celor mai noi metode de securizare și creștere a calității produselor program;
Securitatea accesului la Internet prin descrierea vulnerabilităților implicate de mediul online;
Securitatea în rețea prin identificarea vulnerabilităților protocoalelor de transfer și analiza amenințărilor prezente în comunicarea în rețea;
Securitatea rețelelor fără fir, prezentând aspecte legate de vulnerabilități, amenințări și politici de securitate recomandate în acest caz;
Căi de creștere a nivelului de securitate prin îmbunătățirea calității codului sursă, identificarea și eliminarea vulnerabilităților fizice ale sistemului, instruirea utilizatorilor, creșterea calității sistemelor de control al accesului, îmbunătățirea sistemelor de management al parolelor, creșterea calității politicilor de securitate și diferențierea clară a rolurilor utilizatorilor, dezvoltarea unui sistem de caracteristici de calitate asociat sistemului de securitate și creșterea nivelului lor individual pentru a obține o creștere globală a calității sistemului de securitate utilizat;
Aspecte de management ale securității informatice detaliind concret principalele componente ale unui sistem de management al securității informatice; prezentând aspecte legate de sistemelede prevenție a intruziei și sunt descrise pe larg tehnici de identificare a vulnerabilităților;
identificarea aspectelor legale ale securității informatice prin studierea legilor și regulilor impuse la nivel global pentru bune practici în acest domeniu.
Dacă tot am pomenit succint de obiectivele Managementului riscului, voi contura, pe scurt, ce presupune fiecare dintre ele, astfel:
1. Autenticitatea: presupune asigurarea unor comunicații autentice. Adică două entități aflate într-un schimb de mesaje se pot identifica una pe cealaltă. În prima fază, la inițierea conexiunii, acest serviciu asigură că cele două entități sunt autentice. În al doilea rând, autenticitatea presupune că transferul de date dintre cele două entități nu este interferat astfel încât o a treia entitate poate să se legitimeze ca fiind una din ele. Autenticitatea este necesară pentru a asigura că datele, informațiile sau tranzacțiile sunt originale.
Autentificarea este un mecanism ce permite utilizatorilor să acceseze un serviciu după verificarea identității utilizatorului (uzual, pe bază de nume și parolă). Autentificarea permite verificarea identității unui subiect pentru a se asigura că identitatea pretinsă este cea adevărată. Mecanismele de autentificare includ parole, numere personale de identificare (PIN) și noi tehnologii de autentificare, ca de exemplu token-uri, smart card-uri, certificate digitale, Kerberos etc).
Soluții:
serverul oferă suport pentru autentificări de bază sau bazate pe algoritmi de tip digest (ex: MD5);
folosirea unor mecanisme dedicate (ex: Kerberos, RADIUS, TACACS+, OpenID).
2. Integritatea datelor: presupune nealterarea datelor de către o entitate neautorizată. Pentru a asigura integritatea datelor trebuie să fie detectată manipularea de date de către o entitate neautorizată. Integritatea se poate defini ca o interdicție a modificării – prin ștergere sau adăugare – ori a distrugerii în mod neautorizat a informațiilor clasificate. În acest context, implică detectarea incercărilor de modificare neautorizată a datelor transmise.
Soluții:
algoritmi de tip digest
semnături digitale
3. Confidențialitatea: se definește ca fiind protecția datelor transmise în fața atacurilor pasive. Există numeroase posibilități pentru confidențialitatea informațiilor de la protecție fizică până la algoritmi matematici. Confidențialitatea poate fi definită și că asigurarea accesului la informații clasificate numai pe baza certificatului de securitate al persoanei, în acord cu nivelul de secretizare a informației accesate și a permisiunii rezultate din aplicarea principiului nevoii de a cunoaște. Sau ca o imposibilitate a unei terțe entități să aibă acces la datele vehiculate între doi receptori.
Confidențialitatea se poate defini și ca o păstrare de restricții autorizate privind accesul și publicarea, inclusiv prin mijloace pentru protejarea vieții private și de proprietate de informații cu caracter personal disponibilitatea este reprezentată de asigurarea de acces în timp util și de încredere la informații.
Sistemul conține informații ce necesită protecție împotriva deconspirării neautorizate. Exemplu: Răspândirea planificată a informațiilor (precum informații referitoare la rapoartele privind recolta), informații cu caracter personal (acoperite de Legea privind Intimitatea), informații referitoare la afaceri private (de exemplu, planurile de afaceri). Sistemul conține informații care trebuie protejate de modificările neautorizate, neprevăzute sau involuntare.
Exemplu de informații a căror integritate trebuie să fie protejată Informații legate de recensământ, indicatori comerciali sau sistemele de tranzacții.
Soluții:
conexiuni private între cele 2 puncte terminale ale canalului de comunicație, cu datele circulând printr-un tunel oferit de o rețea privată virtuală (VPN – Virtual Private Network)
criptarea datelor via diverse tehnici (biblioteci specializate și/sau oferite de mediile de dezvoltare)
4. Disponibilitatea: reprezintă asigurarea condițiilor necesare regăsirii și folosirii cu ușurință, ori de câte ori este nevoie, cu respectarea strictă a condițiilor de confidențialitate și integritate a informațiilor clasificate.
Disponibilitatea înseamnă că datele, aplicațiile sau programele sunt întotdeauna disponibile pentru entitățile autorizate.
Sistemul conține informații sau furnizează servicii ce trebuie să fie disponibile periodic pentru îndeplinirea cerințelor misiunii sau pentru evitarea pierderilor semnificative, cu alte cuvinte ca o anumita resursă să poata fi accesată la momentul oportun.
Exemplu de informații a căror disponibilitate trebuie să fie protejată: sisteme sensibile din punctul de vedere al siguranței, al duratei și al prognozei asupra uraganelor.
Cauze ale indisponibilitații:
atacuri de refuz al serviciilor de tip DoS
atacuri distribuite de tip DDoS
5. Nerepudierea: este măsura prin care se asigură faptul că, după emiterea/ recepționarea unei informații într-un sistem de comunicații securizat, expeditorul/ destinatarul nu poate nega, în mod fals, că a expediat/primit informații. Asadar, nerepudierea previne că nici o entitate să nu refuze să recunoască un serviciu executat. Când un mesaj este trimis, destinatarul poate demonstra că mesajul primit este cel trimis de emițător. De asemenea, când un mesaj este primit, emițătorul poate demonstra că mesajul primit este cel primit de destinatar.
Nerepudierea implică faptul că nimeni nu poate nega primirea sau emiterea unei tranzacții; autenticitatea și nonrepudierea sunt aplicate în domeniul comerțului electronic prin utilizarea de semnături digitale.
Această măsură are un caracter atât de prevenire cât și de detecție. Un exemplu de acest tip de măsuri, aplicate în particular punctelor de transmisie sau recepție, îl constituie certificatul digital care conține cheia privată a deținătorului și care este cunoscută numai de acesta.
Soluția: certificatele digitale
stochează datele privind identitatea unei entități deținătoare a unui secret (parolă, serie a cărții de credit, certificat digital etc.);
sunt emise de o autoritate de certificare (CA), verificate de o autoritate de înregistrare (RA);
prin aceste puncte se întelege infrastructura cu chei publice (PKI – Public Key Infrastructure);
uzual, serviciile PKI sunt puse la dispoziție de sistem.
Un alt obiectiv al managementului riscului este controlul accesului, definit ca abilitate de a limita și controla accesul în rețea (la sisteme sau aplicații). Pentru a realiza acest serviciu, fiecare entitate care încearcă să aibă acces trebuie mai întâi identificată și apoi îi sunt verificate drepturile de acces în sistem.
Integritatea și confidențialitatea datelor sunt realizate prin măsuri de control al accesului. Atunci când subiectul care solicită accesul a fost autorizat să acceseze anumite procese sau informații, este necesară impunerea controlului discreționar sau obligatoriu al accesului autorizat. Aceste măsuri sunt realizate prin mecanismele de control al accesului implementate în sistem, de exemplu etichete obligatorii pentru nivelul de secretizare al informațiilor, seturi de permisiuni pentru controlul accesului discreționar la fișiere, liste de control al accesului, profilurile utilizatorilor. Controlul accesului oferă posibilitatea specificării și gestionării ulterioare a acțiunilor permise utilizatorilor. De exemplu, deținătorul informațiilor sau administratorului bazei de date stabilește cine poate să actualizeze un fișier partajat, accesat de un grup de utilizatori conectați în rețea.
1.2.3 Măsuri de securitate
Cel mai bun model de securitate în rețele prevede protecția pe mai multe nivele, în adâncime (in depth) care înconjoară obiectul protejat.
Un prim nivel necesar este securitatea fizică care constă, în general, în încuierea echipamentelor, plasarea lor în camere speciale ferite de foc, intemperii, distrugere fizică fie intenționată fie nu. Este o măsură aplicabilă tuturor sistemelor de calcul dar mai puțin posibilă în cazul rețelelor, mai ales cele de arie medie sau mare.
Celălalt nivel se referă la securitatea logică și cuprinde acele metode de control a accesului la resursele și serviciile sistemului.
Au fost stabilite și unanim acceptate linii directoare și principii privind securitatea sistemelor informatice care trebuie respectate de către toate entitățile care produc, livrează, instalează și exploatează sisteme informatice.
Principiul resonsabilității care impune stabilirea clară a responsabilităților referitoare la securitate pe care le au proprietarii, furnizorii, administratorii și utilizatorii sistemelor informatice.
Principiul sensibilizării conform căruia toate persoanele interesate asupra acestui aspect trebuie corect și oportun informate.
Principiul eticii care impune elaborarea unor reguli de conduită în utilizarea sistemelor.
Principiul pluridisciplinarității conform căruia metodele tehnice și organizatorice care trebuie luate în vederea securității și au caracter multidiscilpilinar și cooperant.
Principiul proporționalității care cere ca nivelul de securitate și măsurile de protecție să fie proporțional cu importanța informațiilor gestionate.
Principiul integrării conform căruia securitatea este necesară în toate stadiile de prelucrare a informațiilor (creare, colectare, prelucrare, stocare, transport, ștergere etc.).
Principiul oportunității conform căruia mecanismele de securitate să răspundă prompt și să permită o colaborare rapidă și eficientă în caz de detectare a tentativelor de corupere a mecanismelor de securitate.
Principiul reevaluării, care cere revizuirea periodică a cerințelor de securitate și a mecanismelor de implementare a lor.
Principiul democrației, conform căruia cerințele de protecție și securitate să nu limiteze nejustificat libera circulație a informațiilor, conform principiilor care guvernează societățile democratice.
Măsurile de securitate care trebuie luate se pot clasifica în:
Procedurale (utilizare de parole cu schimbarea lor periodică, instruirea personalului);
Logice (criptare, control acces, ascundere informații);
Fizice (blocare acces, camere speciale, scranare electromagnetică etc).
Fiecare organizație care gestionează informații sensibile (vulnerabile) trebuie să-și definească o politică de securitate care trebuie să găsească soluții următoarelor probleme:
ce amenințări există, de ce natură sunt, care pot fi eliminate și care nu ;
ce resurse pot fi protejate și la ce nivel;
cu ce mijloace se poate asigura securitatea;
ce costuri introducerea, menținerea și actualizarea mecanismelor de securitate.
Politica de securitate se implementează prin servicii de securitate și are ca scop reducerea vulnerabilității informațiilor și resurselor care poate duce la pierderea acestora, deteriorarea sau ajungerea acestora în posesia unor persoane neaurtorizate. Fiecare serviciu de securitate se poate implementa prin unul sau mai multe mecanisme de securitate care, la rândul lor, cuprind o serie de activități.
Arhitectura de securitate specifică sistemelor deschise interconectate cuprind 5 elemente majore:
Definirea serviciilor de securitate;
Definirea mecanismelor de securitate;
Descrierea principiile de securitate pe nivele;
Implementatea serviciilor de securitate pe nivele;
Realizarea mecanismelor de securitate prin folosirea serviciilor de securitate.
În continuare sunt specificate câteva dintre ariile de securitate tipice care trebuie abordate pentru o securitate pe ansamblu:
Securitatea serverelor și a stațiilor de lucru;
Securitatea perimetrului rețelei;
Securitatea comunicației în rețea;
Securitatea aplicațiilor;
Securitatea datelor.
Știința și arta care se ocupă cu studiul științific și metodic al criptării mesajelor este criptologia. Ea cuprinde două laturi: criptografia și criptanaliza. Prima se ocupă de metodele, tehnicile și procedurile de criptare a mesajelor, de teoria codurilor și a cheilor de criptare iar a doua de posibilitățile de decriptare, de descoperire a textului clar dintr-unul cifrat, de spargere a codurilor.
Criptologia a fost studiată și utilizată de foarte multă vreme dar cele mai multe descoperiri în domeniu au apărut după dezvoltarea sistemelor de calcul numeric puternice.
Termenul de criptografie provine din limba greacă însemnând scriere secretă. În lumea specialiștilor se face deosebire între cod și cifru. Un cod înlocuiește un cuvânt cu un alt cuvânt, pe când un cifru este o transformare caracter cu caracter sau bit cu bit a mesajului. În prezent tehnicile de secretizare prin codare sunt foarte puțin folosite, fiind înlocuite prin tehnici de cifrare mult mai performante. În principiu, cifrarea transformă mesajului clar într-unul cifrat prin aplicarea unei funcții parametrizate de o cheie, astfel încât semnificația mesajului să fie ascunsă iar descifrarea să nu fie posibilă fără a poseda cheia corespunzătoare.
Din punct de vedere al cheii de cifrare, algoritmii se împart în două clase:
algoritmi cu chei secrete (DES, AES)
algoritmi cu chei publice (RSA)
Criptarea transformă datele de la entitatea sursă într-o manieră unică astfel încât să nu poată fi cunoscută semnificația lor decât în urma unei transformări inverse pereche, numită decriptare. Este folosită în special pentru implementarea serviciului de confidențialitate.
Semnătura digitală dă siguranță că datele furnizate au fost produse chiar de către semnatar. Mecanismul este folosit de către serviciul de integritate și nonrepudiere. La rândul său se bazează pe două proceduri:
procedura semnării unui bloc de date
procedura verificării semnăturii
Controlul accesului la resursele din Internet presupune recunoașterea identității solicitantului în baza unei înregistrări prealabile și posibilitatea validării sau invalidării cererii. Tentativele de acces neautorizat trebuie semnalate prin diverse modalități. Ca tehnici de control a accesului se pot folosi : liste de acces, parole, etichete de securitate, limitarea timpului de acces, limitarea numărului de încercări de acces, calea de acces etc.
Autentificarea permite identificarea reciprocă a entităților corespondente.
Notarizarea presupune folosirtea unei a treia entități numită notar, în care toate părțile au incredere deplină, care oferă garanție privind originea, destinația, integritatea și confidențialitatea informațiilor.
Statistici (securitatea – problemă sau caracteristică a sistemelor IT)
Pentru a avea un sistem sigur nu e suficient să avem tehnologia corespunzatoare. Studiile arată că în medie 90% din bresele de securitate identificate nu sunt datorate problemelor tehnologice ci instalării și configurării necorespunzătoare sau datorită nerespectării unor proceduri de utilizare și administrare a sistemului. În multe cazuri, aceste proceduri nici nu există. Astfel, trebuie să privim problema pe ansamblu.
A privi securitatea doar prin prisma problemelor tehnologice este un punct de vedere îngust. Nu ne putem aștepta ca un sistem care nu a fost instalat și configurat corespunzător, care nu e menținut la zi cu patch-uri sau pentru care nu se respectă niște proceduri simple de utilizare și administrare, să fie un sistem sigur. Securitatea trebuie să fie o caracteristică intrinsecă a sistemului. Un sistem sigur este unul bine proiectat, implementat, utilizat și administrat.
Statistici recente extrase dintr-un studiu privind securitatea în tehnologia informației demonstreaza că:
în 75% din cazuri, incidentele sunt produse din interiorul organizațiilor.
Criptarea este doar o tehnică în protejarea datelor. Securitatea informațională presupune un șir de mijloace complexe combinate: mijloace organizatorice combinate cu mijloace tehnice adecvate;
40% din atacurile efectuate din rețeaua Internet, au fost efectuate chiar și în pofida faptului că firewall-ul era prezent. Pentru a implementa o solutie efectivă care să protejeze datele cu adevarat, va fi necesară efectuarea unei proceduri efective de management al riscurilor;
74% din cei chestionați cred că au o strategie privind securitatea informației;
51% cred că securitatea informației este o prioritate constantă în comparație cu alte proiecte IT;
70% din organizații planifică îmbunătățirea planurilor de continuitate a afacerii și de recuperare în caz de dezastr;
53% văd disponibilitatea internă a performanțelor specialiștilor ca o amenintare a securității efective;
mai mult de 34% din organizații nu sunt convinse că vor detecta un atac asupra sistemului;
mai mult de 40% din organizații nu investighează incidentele de securitate a informației;
sistemele importante pentru afacere sunt afectate din ce în ce mai mult: aici vorbim de peste 75% din organizații care se confruntă cu o neașteptată lipsă a disponibilității serviciului;
mai putin de 50% din organizații au programe de instruire și conștientizare privind securitatea informației;
planuri de continuitate a afacerii există doar la 53% din organizații;
doar 41% din organizații sunt îngrijorate de atacurile interne asupra sistemelor, în ciuda dovezilor covârșitoare a numărului mare de atacuri provenind din interiorul organizațiilor;
60% din organizații se așteaptă să aibă o vulnerabilitate mărită odată cu creșterea conectivității.
Elemente de principiu privind riscul
Se poate discuta despre riscurile unor catastrofe naturale (cutremure, incendii, inuntatii etc), despre riscurile financiare ale unei organizații (riscurile unor investitii, riscurile unor credite etc), despre riscurile de personal, riscurile realizării unor proiecte, a unor colaborări sau asocieri etc., în general aceste riscuri sunt înglobate în riscurile operaționale ale organizației. Riscurile operaționale apar ca urmare a unor decizii inadecvate contextului ale managementului organizației sau ca urmare a unor condiții speciale intervenite în mediu care conduc la pierderi fără ca activitatea organizației să fie perturbată.
Separat de aceste tipuri de riscuri există riscurile de securitate care se referă în general la afectarea accidentală sau voită a bunei funcționări a organizației. Aceste tipuri de riscuri sunt de regulă tratate de compartimente diferite ale organizației.
Treptat a început să se impuna conceptul de management al riscurilor care implica tratarea unitara a acestora.
Pornind de la cele anuntate mai sus și ținând cont de complexitatea activităților dintr-o organizație, de faptul că toate activitățile interferă unele cu altele într-o măsură mai mare sau mai mică, este evident că managementul riscului nu este o funcție strict tehnică în responsabilitatea unui grup restrâns de experți în diferite domenii, ci este o funcție esențială de management de care sunt responsabili toți membrii organizației, în mod diferit, funcție de sarcinile și răspunderile pe care le au în organizație. Această afirmație trebuie interpretată în sensul că toți membrii organizației au răspunderi față de “securitatea” instituției, dar responsabilitățile trebuie totuși să fie specializate și bine individualizate la nivelul structurii organizației. La nivelul răspunderilor individuale nu se fac separații între cele două categorii de riscuri. Procedurile care rezultă din analiza de riscuri sunt îndatoriri ale postului de lucru.
Din cele mentionate se poate trage concluzia că managementul riscurilor și în consecință managementul securității nu poate fi scos din context. Managementul de riscuri este parte integrantă a managementului general al unei organizații și este atribuit instanței celei mai înalte din organizație.
Managementul de riscuri este acel atribut al conducerii unei organizații de a evalua permanent impactul amenințărilor provenite din mediul în care își desfășoară activitatea și de a lua măsuri pentru tratarea lor și a asigura îndeplinirea optimă a misiunii pentru care a fost creată organizația.
Abordarea securității din punct de vedere al managementului riscurilor implică un mecanism mai strâns de cooperare între activitățile operative ale organizației și structura de securitate și indică comasarea structurilor responsabile.
Conceptul de management unitar al riscurilor este relativ recent și nu a patruns inca în cultura de securitate. În multe lucrări de specialitate când se vorbeste despre managementul riscurilor se întelege implicit managementul riscurilor de securitate.
Primele instituții care au început să implementeze conceptul au fost băncile. Este de așteptat ca procesul să dureze relativ mult timp.
Managementul riscurilor de securitate se bazează pe modelul de materializare a riscurilor cu utilizare largă, recomandat de standarde.
Așadar conceptul modern de securitate se bazează pe ideea de management al riscurilor în cadrul sistemelor de securitate. Elementele principale care sunt luate în discuție sunt utilizatorii pe de o parte și atacatorii pe de altă parte. Utilizatorii folosesc un sistem de reguli și dispun de bunuri și de informații în scopul îndeplinirii misiunii organizației. Valorile organizației pot fi alterate prin exploatarea vulnerabilităților. Atacatorii doresc să abuzeze de valorile utilizatorilor prin acțiuni pasive sau active (prin intervenții în sistem). Ei caută să exploateze vulnerabilitățile și/sau să creeze vulnerabilități și amenințări, prin intervenți în sistem. Toate organizațiile și toate sistemele au în mod inerent vulnerabilitați, dintre care unele sunt cunoscute altele nu. Pentru a scăpa de amenintări utilizatorii își stabilesc o serie de contramăsuri în așa fel încât să minimizeze riscurile asupra valorilor.
Acest proces de protecție este dinamic și trebuie să se regleze continuu perfecționându-se prin evaluările și avizările periodice.
Pentru ca un astfel de sistem să funcționeze este necesar să se cunoască cât mai exact vulnerabilitațile pe tipuri de sisteme și activități precum și amenințările la adresa valorilor deținute de organizație (bunuri materiale, informații, imagine, personal, facilitati, relații, parteneriate etc).
Realizarea obiectivelor presupune cunoașterea și asumarea unor riscuri multiple.
Riscul, prin natura sa, este un eveniment identificabil, ce poate apărea cu o anumită probabilitate și care poate crea o consecință minoră sau un impact major specific fiecărei organizații ce manipulează informații.
Numim risc nesiguranța asociată oricărui rezultat. Nesiguranța se poate referi la probabilitatea de apariție a unui eveniment sau la influența, la efectul unui eveniment în cazul în care acesta se produce.
Riscurile nu reprezintă în sine o problemă, problema o reprezintă riscurile care devin realitate. Cu alte cuvinte, riscul este probabilitatea că o amenințare să prejudicieze o valoare a organizației.
În practică se utilizează o terminologie consacrată care se referă la:
Amenințare, definită ca pericol potențial la adresa informațiilor sau a sistemului care le procesează;
Vulnerabilitate, reprezintă un punct slab la nivel software, hardware sau procedural ce poate fi exploatat de către un atacator;
Risc, este probabilitatea că o amenințare să exploateze o vulnerabilitate.
Metrica riscului definește că riscul este calculat cu relația:
Risc = impact x (amenințare x vulnerabilitate), unde: impact = procentul din valoare afectat de incident.
Riscul apare atunci când:
un eveniment se produce sigur, dar rezultatul acestuia e nesigur;
efectul unui eveniment este cunoscut, dar apariția evenimentului este nesigură;
atât evenimentul cât și efectul acestuia sunt incerte.
Reacția la risc cuprinde măsuri și acțiuni pentru diminuarea, eliminarea sau repartizarea riscului.
Riscul poate fi definit că o raportarea la o stare în care principalele proprietăți ale informației ar putea să fie afectate: confidențialitate, integritate, disponibilitate. Pot fi implicate și alte proprietăți ale informației: autenticitate, responsabilitate, non-repudiere, fiabilitate. Informația trebuie privită în totalitatea ei, independent de suportul pe care circulă.
Elemente de principiu privind managementul riscului
Managementul riscului reprezintă procesul prin care se identifică, evaluează și se reduc riscurile la un nivel acceptabil, în concordanță cu formele de amenințare identificate la un anumit moment, în funcție de bugetul alocat de organizație pentru securitate, precum și de pregătirea personalului existent.
Managementul riscurilor are două componente:
Evaluarea riscurilor – determină impactul anumitor pierderi și probabilitatea că acestea să apară. Pentru metodele criptografice aceste evenimente sunt reprezentate de dezvăluirea neautorizată și de modificarea datelor;
Selecția și implementarea contramăsurilor – reduc probabilitatea de apariție sau minimizează impactul pierderilor.
Evaluarea riscurilor include următoarele activități:
identificarea obiectivelor de protejat;
evaluarea mecanismelor curente de securitate și protecție;
identificarea și clasificarea amenințărilor ce afectează confidențialitatea, integritatea, autentificarea, non-repudierea, disponibilitatea;
identificarea și clasificarea pierderilor potențiale;
dezvoltarea de scenarii de risc;
identificarea contramăsurilor de protecție potențiale;
efectuarea analizei de cost/ beneficii pentru contramăsurile propuse.
Pentru realizarea managementului riscurilor, structura de securitate trebuie să desfășoare activități menite să conducă la identificarea:
activelor (bunuri, valori) tangibile sau intangibile ale organizației, considerate critice pentru organizație;
amenințărilor și cerințelor de securitate specifice fiecărui activ stabilit că fiind critic pentru organizației;
vulnerabilităților organizaționale și operaționale;
practicilor de securitate aplicabile în organizație;
riscurilor specifice activelor considerate critice.
După identificarea tuturor acestor dimensiuni ale modelului de securitate al organizației, echipa de lucru ar trebui să stabilească sau să definească metrici pentru riscurile observate și dezvoltarea unei strategii de securitate proprii.
Pentru realizarea strategiei de securitate trebuie stabilit un plan de implementare al acesteia și un plan de securitate, având că direcție principală reducerea riscurilor.
Clasificarea riscurilor după tipul de impact:
Strategice;
Tactice;
Operaționale.
Metodologia utilizatăa în managementului riscurilor în sistemele IT&C
Managementul riscului utilizează următoarele componente fundamentale: evaluarea riscului, planificarea răspunsului la factorii de risc, monitorizarea și controlul riscurilor:
Evaluarea riscurilor – căutarea sistematică a factorilor de risc în interiorul evenimentelor de realizat
Planificarea răspunsului la factorii de risc – identificarea riscurilor în funcție de tipul și gradul de gravitate pentru evenimentele analizate și găsirea uneor strategii
Monitorizarea și controlul riscurilor – implementarea strategiilor de răspuns și monitorizarea efectelor pe care schimbările le pot aduce în cadrul evenimentelor analizate
2.1 Evaluarea riscurilor
Literatura de specialitate definește managementul riscului că fiind „procesul de identificare a vulnerabilităților și amenințărilor din cadrul unei organizații, precum și de elaborare a unor măsuri de minimizare a impactului acestora asupra resurselor informaționale”.
Demersul metodologic al acestui proces include următoarele etape:
Caracterizarea sistemului informațional;
Identificarea amenințărilor;
Identificarea vulnerabilităților;
Analiza controalelor existente la nivelul sistemului informatic;
Determinarea probabilitatii de realizare a amenințărilor;
Analiza impactului;
Determinarea riscului;
Recomandări asupra unor controale adecvate;
Documentarea rezultatelor.
2.1.1 Auditul sistemelor informaționale și răspunsul la incidente
De ce este nevoie ca un CISA să-și exprime o opinie sau să ofere asigurări cu privire la eficacitatea și eficiența unui sistem informațional?
În primul rând, pentru că activitatea unei firme este complicată și presupune tranzacții numeroase. Culegerea și procesarea datelor cu privire la transpunerea în formă bănească a vieții firmei nu cad în sarcina celor ce folosesc informații.
În al doilea rând, utilizatorii unor astfel de informații sunt oarecum izolați în timp și spațiu de înregistrările contabile și lipsiți de experiența profesioniștilor.
În al treilea rând (dar nu neapărat ultimul), consecințele deciziilor luate de manageri sunt atât de importante pentru viața firmei încât opinia sau asigurarea oferită de CISA sunt absolut necesare.
Auditul trebuie să verifice dacă sunt întrunite condițiile necesare pentru a se asigura echilibrul unei organizații, să instrumenteze stăpânirea dezordinii, adaptarea la schimbări și să evalueze gradul de securitate și riscurile pe care le poate întâmpina o firmă.
Auditul sistemelor informaționale reprezintă procesul prin care se colectează și evaluează dovezi cu scopul de a determina dacă protecția fizică a activelor sistemului și măsurile prin care se asigură integritatea datelor, contribuie la utilizarea eficace a resurselor și ajută în mod eficient la atingerea obiectivelor organizației .
Raportul de audit este un document confidențial și prezintă constatările noastre în funcție de practicile la care ne raportăm. Raportul va fi proiectat în conformitate standardele în vigoare, cu scopul de a oferi rezultate semnificative managementului și pentru a servi scopului auditului.
Raportul de audit va include:
Scopul, obiectivele, metodologia de audit;
O evaluare generală a soluției/proceselor/sistemului auditat, exprimată sub formă de puncte tari/puncte slabe precum și efectul punctelor slabe identificate;
Recomandări pentru a surmonta punctele slabe și pentru a îmbunătăți soluția/procesul/ sistemulinformatic;
Opinia cu privire la conformitatea cu cerințele legale.
Pentru a urmări eventual, în justiție, orice abuz relativ la sistem, trebuie cunoscut cum se poate colecta și păstra evidența incidentelor de securitate. În continuare sunt prezentate câteva măsuri și mecanisme pentru a păzi sistemul, precum și ce este de făcut dacă se constată accese ilegale, trecute sau în curs de derulare.
Mijloace de supraveghere a sistemului:
Comenzi:
afișarea numelui utilizatorului, portului și timpul de acces;
identificarea procesului, portului, timpul și durata utilizării și numele fișierului executabil folosit:
Evidența proceselor;
Fișiere jurnal:
intrări în sistem;
copie a tuturor mesajelor transmise la consolă.
Descoperirea acceselor neautorizate în sistem:
Incidente în curs:
penetrări locale;
penetrări prin rețeaua publică;
deconectarea intrușilor;
Incidente deja consumate:
data de schimbare a inod-ului (reprezentarea interna a unui fisier care contine: adresa de pe disc, lungime, mod de acces, timp de acces, proprietrul);
cine a fost conectat.
Refacerea sistemului după incident:
căutarea conturilor nou create;
schimbarea parolelor la conturile existente;
analiza întregului sistem de fișiere (checklist);
verificarea programelor executabile;
verificarea accesului la directoare și fișiere;
verificarea drepturilor utilizatorului și superuser-ului;
verificarea fișierelor de inițializare;
verificarea existenței directoarelor și fișierelor ascunse;
verificarea existenței virușilor.
Atacuri distructive majore:
reformatarea discului;
saturarea: cu procese a discului, a spațiu pe disc ascuns;
ștergerea unor fișiere critice;
întreruperea tensiunii de alimentare;
tăierea cablurilor;
Urmărirea legală a incidentelor de securitate
Dacă se decide să se aducă acuzații unui intrus trebuie întreprinse câteva acțiuni:
Înlocuirea mesajelor de bun venit, la conectarea în sistem, cu mesaje de atenționare privind accesul neautorizat;
Introducerea de mesaje de proprietate și de Copyright (proprietate intelectuală) la toate programele sau fișierele de date ce ne aparțin;
Informarea utilizatorilor asupra a ceea ce pot sau ce le este interzis să facă;
Anunțarea utilizatorilor asupra acțiunilor lor ce urmează a fi monitorizate din motive de securitate;
Păstrarea într-un loc sigur a copiilor de siguranță ale sistemului și stabilirea unei politici corecte de salvare periodică;
Stabilirea în scris a autorizarilor ce le are fiecare utilizator în folosirea sistemului și stabilirea clară a resurselor ce le poate accesa. Aceștia să cunoască și să înțeleagă limitele între care pot lucra pe sistem;
Când apar probleme de securitate care pot antrena o urmărire legală a incidentelor – este interzis personalului să facă propriile investigații. Acestea vor fi făcute de organele abilitate cu sprijinul administratorilor sistemului;
Utilizatorii trebuie să semneze un angajament scris cu privire la responsabilitățile lor referitoare la informațiile confidențiale, folosirea calculatorului și a rețelei;
Elaborarea unui plan de acțiune în caz de incidente de securitate, consultând avocatul instituției.
2.1.2 Caracterizarea sistemului
La nivelul acestei etape, auditorul va desfasura în primul rând o activitate de colectare a informațiilor despre sistemul informațional, informații care vor viza echipamentele hardware, software, interfetele sistemului, utilizatorii sistemului informatic, datele și aplicatiile importante, senzitivitatea datelor și sistemului în vederea aprecierii nivelului de protectie ce este necesar a fi realizat pentru asigurarea integritatii, confidentialitatii și disponibilitatii datelor.
Cele mai utilizate tehnici de investigare pentru colectarea acestor informații sunt:
Chestionarele;
Interviurile;
documentatia sistemului;
utilizarea unor instrumente de scanare automata a sistemului informatic.
Funcția IT își atinge aceste scopuri printr-o serie bine definită de procese care implică aptitudinile personalului și infrastructură tehnologică pentru a rula aplicații automatizate ce deservesc derularea afacerii, folosind pârghii informaționale specifice afacerii. Aceste resurse, impreună cu procesele, constituie arhitectura intreprinderii dedicată IT.
Pentru a răspunde cerințelor afacerii din perspectiva tehnologiilor informaționale necesare, organizația este nevoită să investească în resursele corespunzătoare pentru a crea capacitatea tehnică adecvată (cum ar fi, un sistem integrat de gestiune a resurselor intreprinderii), necesară pentru a susține o capabilitate aferentă afacerii (cum ar fi, crearea unui sau participarea într-un lanț de furnizori) care să permită astfel obținerea rezultatului final dorit (de exemplu, creșterea vânzărilor și beneficii financiare).
Resursele IT identificate pot fi definite după cum urmează:
Aplicațiile sunt sistemele utilizator automatizate și procedurile manuale care procesează informațiile;
Informațiile reprezintă datele, de toate tipurile, intrate, procesate și rezultate din sistemele informaționale, indiferent de forma sub care sunt utilizate în derularea afacerii;
Infrastructura este formată din tehnica și tehnologiile, rutinele, care permit procesarea și rularea aplicațiilor (ex: echipamente hardware, sisteme de operare, de management al bazelor de date, rețele, multimedia și întreg mediul de suport în care se găsesc);
Oamenii reprezintă, în fapt, întreg personalul necesar pentru a planifica, organiza, achiziționa, implementa, furniza, susține, monitoriza și evalua sistemele informaționale și serviciile. Aceștia pot fi angajați permanenți ai firmei, angajați temporar pe bază de contract sau funcțiile lor pot fi închiriate de pe piața serviciilor externalizate, după cerințe.
Un rol foarte important în sistem îl au proprietarii de sistem. Prin proprietarii de sistem se înțeleg trei categorii de personal care au în majoritate aceleași interese față de securitatea sistemului deși aceste interese nu se suprapun perfect:
Proprietarii de drept și/sau conducerea executivă;
Administratorii sistemului IT&C;
Utilizatorii.
Proprietarii de sistem definesc politica de securitate și modul de tratare a riscurilor și incidentelor. Abordarea politicii de securitate trebuie făcută având în vedere:
Infrastructurile și misiunile critice ale organizației sunt următoarele:
Definirea de infrastructuri critice – documentare
Ghiduri de bună practică
Noutăți
Utilizatorii se impart în mai multe categorii:
Utilizatori tehnicieni (elaboreaza strategii și politici de securitate, proceduri operaționale de securitate, norme de etica profesionala, ghiduri de bună practică, noutăți)
Utilizatori fără pregatire tehnica (cunosc noțiuni introductive – educație, ghiduri de bună practică, instrumente de protecție, noutăți).
Valorile sunt elementele organizației necesare atingerii scopului pentru care a fost creată organizația. Valorile prezintă vulnerabilități și sunt ținte care trebuie apărate impotriva amenințărilor.
Valorile pot fi exprimate având că bază efortul de achiziție sau prin prejudiciul prin lipsa (câștigul sau pierderea), în:
Unități financiare (bani);
Funcționalitate;
Imagine (bonitate).
Principalele tipuri de valori care trebuie avute în vedere (ordinea, funcție de importanță este relativă și depinde de domeniu de activitate, tipul de organizație, conjuncturi etc):
Personalul organizației;
Informațiile;
Bunurile materiale;
Imaginea organizației;
Relațiile (parteneriatele);
Facilitățile (linii de creditare, comunicații, transporturi, acces la baze de date externe, energie, mediu, facilități de angajare personal etc);
Furnizori;
Clienți.
2.1.3 Identificarea amenințărilor
Amenintările sunt acele evenimente sau activități, în general externe unui sistem, care pot afecta la un moment dat punctele slabe ale acestuia, cauzând pierderi semnificative. Cu alte cuvinte, amenințările sunt elementele mecanismelor de generare a riscurilor de securitate care atunci când se produc aduc prejudicii organizației.
În general o amenințare este o forță potențiala care poate degrada confidențialitatea și integritatea sistemului, generând adeseori întreruperi de servicii ale acestuia. Un element esențial în cadrul acestei etape îl reprezintă determinarea probabilitatii de realizare a acestei amenințări, element ce trebuie analizat în funcție de:
sursa amenințării: naturală, umană sau de mediu
Amenințările naturale sunt manifestate prin incidente naturale aleatorii (cutremure, inundații, furtuni, trăsnete, incendii, emanații toxice) sau modificări ale condițiilor de mediu (alimentare cu energie electrică, temperaturi, umiditate, furtuni de praf etc).
Amenințările umane sunt atentate cu caracter intentionat la valorile organizației (diversitatea și intensitatea depind de conflictele de interese în care este angrenată organizația, de situația pe „piața” agenților de amenințare).
Astfel, principalele forme de manifestare sunt:
Inginerii sociale – activități inițiate pentru inducerea unor vulnerabilități prin provocarea angajaților sau a structurii de securitate, în virtutea unor proceduri corecte, să dezvăluie sau să acționeze în așa fel în cât să creeze o breșă de securitate;
Exploatarea unor vulnerabilități cunoscute și neacoperite prin măsuri de securitate (back-doors, bug-uri, configurări neadecvate);
Introducerea în sistem (rețea) a unor produse software rău voitoare (viruși, cai troieni, viermi etc);
Utilizarea unor dispozitive hardware (gadgeturi, artefacte etc)
Erorile umane (sunt inerente, au caracter aleatoriu, sunt dificil de discriminat de caracterul intențional);
Amenintarile de mediu se manifestă prin căderi de tensiune pe termen lung, poluare, umiditate etc.
vulnerabilitatea potentială;
controalele existente.
Agenți de amenințare sunt factorii intenționali care încercă să inducă sau să exploateze vulnerabilități și să materializeze amenințările pentru a crea prejudicii organizației sau pentru a crea foloase necuvenite pentru sine sau pentru terți. Principalele categorii de agenți de amenințare sunt:
Personalul angajat nemulțumit care acționează în nume propriu sau este exploatat de concurență (profil comportament, tipologie incidente);
Hackeri (profil comportament, tipologie incidente);
Crackeri (profil comportament, tipologie incidentete);
Curioși (profil comportament, tipologie incidentete);
Utilizatori neexperimentați (materializează amenințări din eroare, tipologie incidente);
Agenți antrenați (dispun de resurse moderate);
Agenții cu resurse (pot dispune de resurse considerabile).
Se intenționează crearea unor baze de date cu agenți de amenințare cunoscuți și caracterizarea lor:
Site-uri compromise;
Persoane (pseudonime, localizari, alte elemente de identificare);
Adrese IP compromise sau cu factori de risc mare;
Servere compromise sau cu securitate precară;
Noduri de comunicații compromise.
În afara cazurilor de forță majoră pentru care măsurile de securitate pervăd salvări și copii de rezervă, dublarea echipamentelor, tehnici de autoresabilire etc, în cazul atacurilor voite se disting două categorii principale:
atacuri pasive – în care intrusul observă informația care trece prin canal, fără să interfereze cu fluxul sau conținutul mesajelor. Se face doar analiza traficului, descoperirea identității entităților care comunică, descoperă lungimea și frecvența mesajelor chiar dacă conținutul acestora rămâne ascuns. Aceste atacuri nu cauzeauză pagube și nu încalcă regulile de confidențialitate. Scopul lor este de a asculta datele care sunt vehiculate prin rețea.;
atacuri active – în care intrusul se angajează în furtul mesajelor, modificarea lor, ștergerea, rularea, schimbarea conținutului sau a adreselor, redirecționarea, substituirea, refuzul unui serviciu, repudierea etc. Acestea sunt serioase, cauzează prejudicii mari și consecințe juridice. Tot în categoria atacurilor active intră și programele create cu scop distructiv care afectează serios, uneori catastrofal, securitatea calculatoarelor și a informațiilor. În această categorie intră: virușii, bombele logice, viermii, trapele, programele tip cal troian etc.
Cu titlu exemplificativ, tabelul de mai jos relevă diferite surse de amenințări umane cu acțiunile generatoare:
Exemple de surse de amenințări umane la nivelul unui sistem IT
2.1.4 Identificarea vulnerabilităților
O rețea de calculatoare este o structură deschisă la care se pot conecta permanent noi utilizatori și noi tipuri de echipamente (terminale, calculatoare) ceea ce lărgește necontenit cercul de utilizatori care au acces la resursele acesteia (programe, fișiere, baze de date). Vulnerabilitatea se manifestă pe două planuri: atacul la integritatea fizică a informațiilor (distrugere, modificare) și folosirea neautorizată a informațiilor (scurgerea de informații). Referitor la securitatea în informatică trebuie avute în vedere două aspecte:
1. Integritatea resurselor unei rețele, adică disponibilitatea lor indiferent de defectele de funcționare hard sau soft care pot apărea, inclusiv deteriorările sau sustragerile răuvoitoare.
2. Caracterul privat ai informației, adică dreptul individual de a dispune ce informație poate fi stocată și vehiculată în rețea și cine are dreptul să o accesze.
O rețea sigură este acea rețea în ale cărui componenete (resurse, operații) se poate avea încredere, adică furnizează servicii de calitate și corecte, conform cerințelor și specificațiilor. Securitatea și caracterul privat trebuie să fie obiectul unor analize atente și responsabile din următoarele motive:
rețelele sunt sisteme mari sau foarte mari, de arie și complexitate considerabile. Penetrarea rețelelor și atacurile răuvoitoare se pot face în multe locuri și modalități nebănuite, greu depistabile;
informația este vulnerabilă la atac în orice punct al rețelei, de la introducere să până la utilizatorul final;
rețelele de calculatoare sunt o componentă tot mai prezentă în viața economică, socială, individuală, de funcționarea lor corectă depinzând activitatea guvernamentală, comercială, industrială și chiar individuală;
tot mai multe informații memorate în fișiere separate pot fi corelate, sintetizate, prelucrate prin intermediul rețelelor sporind posibilele consecințele nefaste asupra caracterului privat al acesora.
Scopul acestei etape este de a dezvolta o lista a vulnerabilităților sistemului care pot fi exploatate de surse de amenințare potențiale.
În acest context este necesară o analiză a vulnerabilităților și amenințărilor pereche exemplificată, într-o manieră limitată, în cadrul tabelului următor.
Exemple de amenințări–vulnerabilități pereche
O clasificare a surselor de risc funcție de vulnerabilitatea sistemelor internet este:
1. La nivel de microsistem:
echipamentele care au ca factori de vulnerabilitate fiabilitatea componentelor sau dezastre naturale (furtuni, inundații, cutremure), căderile sau întreruperile de alimentare cu energie și actele de vandalism;
software-ul și bazele de date care au ca factori de vulnerabilitate: furtul, alterarea sau distrugerea de date, virușii informatici și accidentele neintenționate.
2. La nivel de macrosistem vulnerabilitatea internet este o consecință a arhitecturii sale că rețea de elemente vulnerabile la nivel de structuri de microsisteme și ale perturbărilor prin incidente, încercări, scanare, compromitere cont utilizator, captura de date din pachete, blocarea serviciului, înșelăciune, folosirea de coduri maligne, atacuri asupra infrastructurii. Factori favorizanți ai acestui tip de vulnerabilitate sunt nodurile nesigure și folosirea comunicației necriptate.
Din vulnerabilitățile sistemelor care fac parte din domeniul IT&C putem enumera următoarele componente:
Comunicații pe fir.
Comunicații pe fibră optică.
Comunicații fără fir (wireless).
Servicii de comunicații:
Telefonie vocală (fixă și mobilă)
Faxuri;
Comunicații de date (ex: modemuri de bandă îngustă și largă, DSLAM-uri, switch-uri, routere);
Ale calculatoarelor desktop (placa de bază, drivere, suporturi de memorie, interfețe de comunicație de tipul bluetooth, wireless, infrarosu, USB etc).
Mai putem enumera:
Sisteme mobile (ex: Laptop, PDA, telefoane mobile, suporți memorie);
Software (ex: sisteme de operare – Windows/Linux/Unix, drivere, aplicații, limbaje de programare, compilatoare);
Servere (ex: evaluări de securitate, nucleul de securitate, platforme de încredere);
Servicii IT (ex: e-mail, FTP, VoIP, Baze de date, Web, Torente, Chat);
Birotică (ex: compilatoare, scanere).
2.1.5 Analiza controalelor
În vederea minimizării sau eliminării riscurilor fiecare organizație dispune implementarea unor metode de control tehnice sau nontehnice ce pot viza:
mecanisme de control al accesului;
mecanisme de identificare și autentificare;
metode de criptare a datelor;
software de detectare a intruziunilor;
politici de securitate;
proceduri operationale și de personal.
Analiza de riscuri este elementul principal pe care se bazează managementul riscurilor și implicit managementul securității unui sistem sau organizații și constă în identificarea, evaluarea și ierarhizarea riscurilor.
Analiza de riscuri servește la fundamentarea deciziilor privind activitatea organizației și/sau securitatea acesteia și este inițiată de proprietarii organizației sau de conducerea executivă.
Analiza de riscuri poate fi orientată pe diverse obiective sau niveluri de "granularitate" conform obiectivelor urmărite de conducere privind fundamentarea unor decizii importante pentru:
Infrastructură critică
Diverse interese
Proiectele de dezvoltare
Categorii de valori
Fiecare „valoare” critică sau semnificativă
Tipuri de atacuri
Diverși agenți de amenințare
Diverse vulnerabilități
Există mai multe tipuri uzuale de analize de riscuri și alegerea lor se face după obiectivele propuse și resursele disponibile (oameni, informații, timp):
Analiza calitativă de riscuri – este caracterizată de evaluarea nivelului riscului prin aprecierea riscurilor conform experienței unor experți și ierarhizarea prin încadrare într-un număr mic de clase, de regulă trei (mic, mediu, mare) sau cinci (neglijabil, mic, mediu, mare, catastrofal);
Analiza cantitativă de riscuri – este caracterizată prin asocierea unei valori numerice riscului, probabilitate și/sau valoare, care de regulă este valoarea exprimată financiar a prejudiciului rezultat prin atacarea valorii (calculat contabil);
Analiza cost–beneficii este caracterizată prin introducerea în ecuația evaluării riscurilor a factorului "costuri măsuri de securitate" și ierarhizarea lor funcție de raportul: costuri măsuri de securitate / prejudiciu apărat;
Recuperarea investițiilor în securitate (ROI) este caracterizată prin introducerea factorului timp în procesul de evaluare și ierarhizare a riscurilor. Evaluarea și ierarhizarea se face prin compararea ratei anuale de amortizare a investițiilor în securitate cu rata de amortizare anuală contabilă a valorii.
2.1.6 Determinarea probabilității de realizare a amenințărilor
Pentru determinarea unei rate de probabilitate generala, care indică probabilitatea ca o vulnerabilitate potențială să fie exercitată în modelul de amenințări asociate, este necesar că auditorul să analizeze următorii factori:
capacitatea și motivația sursei de amenintare;
natura vulnerabilității;
existența și eficiența controalelor curente.
Acest element poate fi apreciat prin calificativele „Înalt”, „Mediu” și „Scăzut”, în următoarele condiții:
„Înalt” – sursa amenințării este foarte motivată și suficient de capabilă, iar controalele de prevenire a acestor vulnerabilități sunt ineficiente;
„Mediu” – sursa amenințării este foarte motivată și suficient de capabilă, dar controalele existente pot împiedica declanșarea vulnerabilității;
„Scăzut” – sursa amenințării este lipsita de motivație, sau controalele există pentru a preveni sau cel puțin a împiedica semnificativ vulnerabilitatea de a se manifesta.
2.1.7 Analiza impactului
Impactul financiar este definit că estimarea valorică a pierderilor entității ca urmare a exploatării slăbiciunilor sistemului de către amenințări. Acest impact poate avea două componente: un impact pe termen scurt și un impact pe termen lung.
În esență, impactul este specific fiecărei organizații, depinde de activele acesteia, de tipul organizației, de măsurile de prevenire existente, descrie efectul amenințării și se poate manifesta că o pierdere financiară directă, ca o consecință asupra reputației entității sau ca o sancțiune temporară, cu o ulterioară consecință financiară.
Relația dintre vulnerabilități, amenințări, impact și măsuri de prevenire
Impactul poate fi și el exprimat prin calificativele „Înalt”, „Mediu” și „Scăzut”.
2.1.8 Determinarea riscului
Modelele de risc, fie ele cantitative sau calitative, reprezintă instrumente deosebit de utile auditorilor IT pentru identificarea diferitelor tipuri de riscuri, oferind în același timp informații pentru a le determina și controla.
Literatura de specialitate abordează două modele de analiză a valorii riscului: modelul cantitativ și modelul calitativ. Acestea pornesc de la premisa că orice organizație se poate aștepta la apariția unor pierderi cauzate de ineficiența unui sistem informatic, iar acest risc al pierderilor, rezultă din impactul pe care îl au amenințările asupra resurselor organizației.
Determinarea riscului pentru fiecare pereche vulnerabilitate–amenințare particulară poate fi exprimat ca o funcție ce depinde de:
probabilitatea de realizare a unei amenințări,
mărimea impactului;
măsurile de control existente pentru reducerea sau eliminarea riscului.
În acest sens poate fi dezvoltată o matrice a nivelului de risc, derivată din multiplicarea probabilității de realizare a amenințării și impactul acesteia.
Spre exemplu, dacă:
probabilitatea asociată pentru fiecare nivel de realizare a amenințării este: înalt, mediu sau scăzut ;
valoarea asociată pentru fiecare nivel de impact:
100 – Înalt
50 – Mediu
10 – Scăzut.
Matricea nivelului de risc
Ca o metodă alternativă, specialistul Alan Oliphant propune un model calitativ de determinare a nivelului de risc, conform căruia sunt luați în calcul 4 factori de bază în aprecierea valorii riscului:
impactul financiar;
vulnerabilitatea;
complexitatea;
încrederea.
Evaluarea riscurilor
În acest caz, valoarea riscului va fi exprimata prin calificativele “Foarte Scazut , Scazut, Mediu, Înalt, Foarte Înalt” și nu în valori absolute.
Formula de determinare a valorii riscului este următoarea:
VR= VF * [( Cv*Wv )+( Cc*Wc )+( Ct*Wt ), unde: VR = valoarea de risc
VF – impactul financiar asupra organizației. Acesta reprezintă un cost potențial al organizației în eventualitatea aparitiei unei erori, căderi de sistem, fraude sau alte evenimente negative. Valoarea materială va fi dată de valoarea financiară sau valoarea activelor. Impactul asupra organizației poate fi sporit prin intermediul unui multiplicator non financiar:
[(Cv*Wv)+(Cc*Wc)+(Ci*Wi)
Acest model de calcul poate fi privit ca un punct culminant al analizei factorilor de risc: vulnerabilitate, complexitate și încredere.
Cv – vulnerabilitatea, se referă pe de o parte la modul în care utilizatorii autorizați au acces în sistem și pe de altă parte la accesibilitatea sistemului și a activelor organizației de către utilizatori neautorizați. Accesibilitatea unui sistem informațional se poate evalua în funcție de restricțiile fizice implementate în cadrul organizației și de modalitățile de acces prin intermediul rețelei de comunicație.
Cc – complexitatea, are în vedere riscul asociat tehnologiei informaționale în sine, numărul utilizatorilor din cadrul compartimentelor sau în termeni mai generici complexitatea organizațională.
Ci – încrederea, reflectă comportamentul uman din organizație și vizează două aspecte: integritatea personalului și gradul de implicare al managerilor.
Wv, Wc, Wi – reprezintă factori de greutate (importanța) care pot fi aplicați la discreția auditorului, în functie de condițiile specifice. Inițial, acești factori pot fi stabiliți la o valoare de 0.33 în vederea determinării unui multiplicator mediu general al riscului; această valoare nu este fixă și atunci când se consideră că unul dintre elemente are un impact mai mare decât celelalte, se pot folosi valori diferite.
Valoarea de risc calculată va fi transpusă într-un tabel, indicându-se nivelul de risc; în proiectarea acestui tabel, auditorii au în vedere următoarele reguli: valoarea cea mai scazută de risc = 0 și valoarea cea mai ridicată se apreciază ca fiind valoarea totală a organizației multiplicata cu 3.
2.1.9 Recomandări asupra unor măsuri adecvate
Scopul acestei etape se rezumă la recomandările auditorului asupra măsurilor necesare a fi implementate pentru reducerea nivelului de risc la un nivel acceptabil. În mod implicit, auditorul va determina nivelul riscului rezidual definit ca acel nivel de risc ce rămâne după analiza și evaluarea tuturor măsurilor de combatere a riscurilor.
Reprezentarea schematică a riscului rezidual
Riscul rezidual ia forma unei concluzii la care s-a ajuns în urma unui proces de analiză a lui și trebuie să conțină:
semnalarea punctelor slabe, nevralgice ale sistemului asociate cu amenințările corespunzătoare și probabilitatea lor de a avea loc;
toate măsurile (recomandările) ce se impun a fi aplicate dacă riscul rezidual nu se încadrează la un nivel acceptabil.
2.1.10 Documentarea rezultatelor
Este ultima etapă a acestui proces ce se materializează sub forma unui raport scris ce va include identificarea vulnerabilităților, amenințărilor, sursa, evaluarea riscurilor și recomandările de controale adecvate.
2.2 Planificarea răspunsului la factorii de risc
Reprezintă identificarea fiecărui risc în funcție de tipul și gradul său de gravitate pentru evenimentul analizat și găsirea unei strategi adecvate de răspuns pentru fiecare caz în parte. Strategiile de răspuns conțin schimbări în ceea ce privește responsabilitățile în cadrul evenimentului, a căilor de comunicare între elementele componente, a modificării scopurilor evenimentului sau a specificațiilor ce intervin asupra rezultelor finale stabilite.
Acest domeniul acoperă strategia și tacticile și vizează identificarea celor mai potrivite metode prin care IT-ul poate contribui la îndeplinirea obiectivelor afacerii. Implementarea viziunii strategice este necesar a fi planificată, comunicată și abordată din diverse perspective. Astfel, contribuția vine atât dintr-un sistem de organizare corespunzătoar cât și din asigurarea unei infrastructuri tehnologice adecvate. Când este vorba de acest domeniu, se pun următoarele întrebări:
Strategia IT și strategia afacerii sunt aliniate?
Atinge organizația nivelul optim de utilizare a resurselor disponibile?
Obiectivele IT sunt înțelese de către toți membrii organizației?
Riscurile IT sunt cunoscute și gestionate?
Calitatea sistemelor IT răspunde în mod corespunzător nevoilor afacerii?
Contramăsurile sunt luate la mai multe nivele ale conducerii, ele fiind de următoarele tipuri:
Măsuri manageriale/procedurale;
Managementul securității pe durata ciclului de viață a proiectului;
Adoptarea strategiilor de securitate;
Stabilirea politicilor de securitate;
Promovarea ghidurilor de bună conduită;
Adoptarea procedurilor operaționale de securitate specifice activităților;
Introducerea obligațiilor de securitate specifice locului de muncă în fișa postului/selectarea personalului;
Efectuarea periodică a unor evaluări independente de securitate (ex: schimbarea parolelor);
Certificări de securitate (audit intern și extern);
Acreditarea de securitate;
Organizarea răspunsului la incidente – cooperarea internă și externă.
Măsuri tehnice de securitate
Arhitectura de securitate: compartimentare, comunicare etc.;
Măsuri de securitate fizică;
Măsuri de securitate IT;
Măsuri de securitatea comunicațiilor;
Măsuri de securitate criptografică;
Măsuri de securitate privind scurgerile de informații prin radiații parazite;
Măsuri de protectie administrative și de protectie a documentelor;
Măsuri de protectie a personalului;
Organizarea unor echipe de intervenție în caz de incidente de securitate;
Măsuri de limitare a pierderilor – continuitatea afacerii;
Măsuri de recuperare a functionalității – recuperare în caz de dezastre.
Instrumente de securitate/măsuri de securitate logice:
Pentru controlul accesului fizic și logic;
De detectie a intrusilor (IDS);
Analiza a profilului utilizatorului;
Analiza log-uri;
Analiza trafic;
Analiza rețea;
Analiza configurare;
Evidenta software și hardware autorizat;
Teste de penetrare;
Semnatura electronică;
Stampila de timp:
Criptarea informațiilor si/sau a comunicatiilor;
Controlul antivirus (software periculos).
2.2.1 Faza de inițiere
Pe parcursul fazei de inițiere, se manifestă necesitatea existenței unui sistem și se realizează documentarea în vederea funcționării sistemului. O evaluare a gradului de secretizare poate fi realizată în funcție de gradul de secretizare a informațiilor care vor fi procesate și a sistemului în sine. Dacă sistemul, în parte sau în totalitate, se găsește în faza de inițiere, poate fi consultată evaluarea gradului de secretizare al informațiilor procesate.
În vederea realizării strategiei IT, soluțiile IT trebuie identificate, dezvoltate sau achiziționate, dar și implementate și integrate proceselor afacerii. Plus de acestea, schimbările și mentenanța sistemelor deja existente sunt acoperite prin acest domeniu pentru asigurarea continuității în atingerea obiectivelor economice prin aceste soluții IT. Când e vorba de acest domeniu, următoarele întrebări legate de management își așteaptă răspunsul:
Ce perspective există ca noile proiecte să ofere soluțiile care să răspundă nevoilor afacerii?
Aceste noi proiecte au șanse să fie duse la bun sfârșit, în timpul și cu bugetul prevăzute?
Vor funcționa, cel puțin decent, noile sisteme după implementare?
Este posibil că schimbările să aibă loc fără a perturba operațiile curente ale afacerii/organizației?
2.2.2 Faza de dezvoltare / achiziție
Pe parcursul acestei faze, sistemul este proiectat, achiziționat, programat, dezvoltat sau capătă o destinație diferită. Această fază cuprinde adesea alte cicluri bine definite, cum ar fi ciclul de dezvoltare a sistemului sau ciclul de achiziție.
Pe parcursul primei părți a fazei de dezvoltare / achiziție, nivelul de secretizare ar trebui să crească pe măsură ce proiectanții sistemului dau curs solicitărilor sistemului. Aceste solicitări pot apărea sub forma unor caracteristici tehnice (ex: comenzile de acces), de siguranță (ex: verificarea de fond în cazul programatorilor de sistem) sau operaționale (ex: gradul de securitate și instruire). Când sistemul, în totalitatea sa sau doar parțial, traversează această fază, se prezintă și o descriere generală a specificațiilor aflate și menținute în uz.
Inevitabil apar și aici câteva întrebări:
Au fost identificate pe parcursul proiectării sistemului solicitările sistemului din punctul de vedere al securității?
Au fost aplicate comenzile adecvate de securitate, evaluarea și operațiunile de testare înainte de achiziționarea sistemului?
Documentele care conțin solicitările (ex: cererea privind noi propuneri) au conținut solicitări privind gradul de secretizare și operațiuni de evaluare / testare?
Au permis aceste cereri actualizarea solicitărilor sistemului referitoare la gradul de securitate pe parcurs ce au fost identificate noi vulnerabilități / amenințări și au fost implementate noi tehnologii?
Dacă este vorba despre achiziționarea unei aplicații comerciale sau dacă aplicația conține componente comerciale, învechite, au fost identificate solicitările referitoare la gradul de securitate și apoi prevăzute în specificațiile de achiziție?
2.3 Monitorizarea și controlul riscurilor
Monitorizarea și controlul riscurilor reprezintă implementarea strategiilor de răspuns și monitorizarea efectelor pe care aceste schimbări le pot aduce în cadrul evenimentului analizat.
Strategiile de control ale riscului trebuiesc însă ajustate în funcție de efectele pe care le produc, având grijă că toate părțile implicate în derularea evenimentului să fie de acord cu aceste modificări.
De-a lungul timpului, toate procesele IT trebuie evaluate cu regularitate din perspectiva calității lor și a conformității cu cerințele controlului. Acest domeniu se preocupă de managementul performanței, monitorizarea controlului intern, conformarea cu legislația (sau/si regulamentele) și are în vedere și guvernarea. Când este vorba de acest domeniu, la următoarele întrebări ar trebui să se caute un răspuns:
Este măsurată performanța IT-ului pentru a detecta problemele înainte de a fi prea târziu?
Asigură managementul eficiența și eficacitatea controalelor interne?
Se poate face o conexiune privind impactul performanței IT-ului asupra țintelor/scopurilor afacerii?
Dacă, în vederea asigurării securității, sunt adecvate confidențialitatea, integritatea și disponibilitatea.
2.3.1 Faza de implementare
In faza de implementare, caracteristicile de siguranță ale sistemului ar trebui configurate și activate, sistemul ar trebui testat și instalat sau protejat și autorizat pentru procesare.
Pentru a veni în întâmpinarea problemelor privind gradul de secretizare, o revizie a proiectării și o testare a sistemului ar trebui efectuate înainte de intrarea sistemului în uz. În plus, dacă apar noi comenzi în cadrul aplicației sau al sistemului de suport, trebuie efectuate teste suplimentare de admitere a respectivelor comenzi. Există astfel garanția că noile comenzi pot veni în întâmpinarea solicitărilor privind gradul de secretizare și nu anulează sau nu se suprapun cu actualele comenzi.
Rezultatele reviziei proiectării și a testării sistemului ar trebui documentate intens, actualizate pe măsura efectuării noilor treceri în revistă sau a noilor testări și păstrate printre documentele organizației oficiale.
Dacă sistemul, în totalitatea lui sau doar parțial, este în faza de implementare, se precizează cine și când a condus revizia și testarea sistemelor.
Se introduc informații referitoare la revizia suplimentară a proiectării și la testarea oricărei noi comenzi din sistem după încheierea testelor inițiale de admitere.
Se discută pe marginea documentației privind efectuarea reviziei și a testărilor și se notează dacă au fost actualizate și păstrate printre documentele oficiale.
Acest domeniu este responsabil de furnizarea efectivă a serviciilor necesare, ceea ce include furnizarea serviciilor, managementul securității și a continuității, servicii suport pentru utilizatori și managementul datelor și a capabilităților operaționale. Astfel, când este vorba de acest domeniu, apar următoarele întrebări legate de management:
Serviciile IT sunt furnizate în conformitate cu prioritățile afacerii?
Costurile IT sunt optimizate?
Personalul poate folosi sistemele IT în mod productiv și în siguranță?
Dacă, în vederea asigurării securității, confidențialitatea, integritatea și disponibilitatea sunt adecvate?
2.3.2 Faza de operare și întreținere
Pe parcursul acestei faze, sistemul își îndeplinește sarcinile. Acesta se află într-o continuă transformare prin adăugarea de hardware și software și prin numeroase alte modificări.
Când sistemul este supus unor modificări, se stabilește ce fază din ciclul existenței parcurge sistemul și se descriu activitățile de secretizare efectuate sau planificate pentru acea parte a sistemului. În cazul unui sistem care parcurge faza de operare / întreținere, planul de securitate oferă documentație pentru activitățile de secretizare.
în planul de securitate trebuie descrise următoarele operațiuni cu grad ridicat de secretizare:
Operațiunile de secretizare și administrarea acestora. Operarea într-un sistem implică numeroase activități de secretizare. Efectuarea copiilor de siguranță, susținerea cursurilor de instruire, gestionarea cheilor criptografice, permanenta reactualizare a datelor despre administrarea rețelei și despre posibilitățile de acces și reactualizarea sistemelor software de siguranță sunt numai câteva exemple.
Siguranța operațională. Siguranța operațională verifică dacă un sistem este utilizat în conformitate cu actualele solicitări privind secretizarea. Aici intră atât acțiunile persoanelor care operează sau utilizează sistemul, cât și funcționarea comenzilor tehnice. Administratorul de rețea trebuie să autorizeze în scris utilizarea sistemului bazat pe implementarea propriului plan de securitate. Operațiuni de audit și monitorizare. Pentru păstrarea siguranței operaționale, organizațiile recurg la două metode de bază: auditarea și monitorizarea sistemelor.
Acești termeni au o întrebuințare generică în domeniul siguranței calculatoarelor și sensul lor coincide deseori. Auditarea sistemului este o operațiune periodică sau singulară efectuată în vederea evaluării gradului de secretizare. Monitorizarea se referă la o operațiune continuă, prin care este supravegheat fie sistemul, fie utilizatorii. În general, dacă o operațiune se desfășoară "în timp real", atunci intră în categoria monitorizării.
3. Studiu de caz: Managementul riscului în sistemul IT&C într-o firmă de dimensiuni mici/medii
Descriere Cuprins
3.1 Tematica studiului de caz
3.2 Prezentarea generală a societatii
3.3 Situația infrastructurii IT existente
3.4 Evaluarea riscurilor în sistemul IT
3.4.1 Stabilirea riscurilor la adresa securității rețelei IT prin identificarea amenințărilor
3.4.2 Stabilirea unui plan în vederea analizarii vulnerabilităților
3.4.3 Analiza măsurilor existente la nivelul sistemului informatic
3.4.4 Determinarea probabilității de realizare a amenințărilor
3.4.5 Analiza posibilelor consecințe pe care amenințările le pot crea
3.4.6 Determinarea riscului
3.4.7 Recomandări asupra unor măsuri adecvate
3.4.8 Definirea politicii de securitate
3.4.9 Documentarea rezultatelor
3.5 Coordonarea procesului decizional
3.5.1 Stabilirea cerințelor funcționale de securitate
3.5.2 Identificarea soluțiillor de control
3.5.3 Analiza cost beneficiu
3.6 Implementarea controalelor
3.6.1 Implementarea propriu-zisă
3.6.2 Organizarea
3.7 Situația finală
3.1 Tematica studiului de caz
Pentru prezenta lucrare am luat în considerare un studiu de caz ce tratează management riscului într-un sistem IT&C, într-o organizație fictivă de dimensiuni mici/medii, prin parcurgerea etapelor aferente acestui proces.
La nivel aplicativ, se urmărește implementarea unui sistem de securitate al informației care circulă în rețeaua neprotejată (internet), care să asigure obiectivele principale ale securității informațiilor: autentificarea mesajelor, controlul accesului, confidențialitatea mesajelor, integritatea datelor și nerepudierea.
Organizația propune o investiție în vederea dezvoltării din necesitatea de a controla o zona cât mai mare, cât și pentru îmbunătățirea serviciilor oferite către clienți.
Directorul general, împreună cu conducerea, hotărăsc îmbunătățirea segmentului de vânzări, prin angajarea de noi agenți de vânzări și prin dotarea acestora cu laptop-uri în vederea unui acces cât mai ușor cu sediul.
In urma acestei hotărâri, administratorul de rețea a fost desemnat responsabil, cu sarcina de a aplica managementul riscului în noul sistem IT&C, fiind numit temporar “manager proiect IT”.
3.2 Prezentarea generala a societatii
SC ModIT SRL este o societate comercială de mărime mică/medie, ce deține capital integral privat. Și-a început activitatea în anul 2009, când în Romania piața pe care s-a lansat era abia la început, astfel devenind un concurent important, dar și un reprezentant de marcă în țară.
Intr-un scurt timp, societatea a obținut o cifră de afaceri foarte bună. Acest lucru demonstrează că societatea a depus eforturi susținute pentru a satisface la parametrii înalți colaboratorii, prin oferirea unor servicii profesionale, care au la bază în principal o politică de prețuri și deservire, adaptate pentru a veni în întâmpinarea cerințelor exigente ale fiecărui client în parte.
Cu o echipă tânără, bine pregătită profesional, prin calitatea serviciilor oferite, SC ModIT SRL și-a propus să-și perfecționeze în mod continuu serviciile, pentru a-și păstra binemeritatul loc câstigat pe piața produselor IT.
Activitatea principală a companiei este cea de vânzare de produse IT, cât și de vânzare componente hardware, activitatea fiind completată perfect cu cea a departamentului de service pentru întreaga gamă de produse vândute și cea de distribuție.
Organigrama societății este următoarea:
Organigrama structurii
Structura pe departamente este următoarea:
Departament Vânzări (12 persoane)
Departament Service (9 persoane)
Departament Aprovizionare (4 persoane)
Departament Economic (5 persoane)
În prezent societatea urmărește realizarea propriilor retete de distribuție îmbinând mai multe tipuri oferte. Controlul calității fiind realizat, s-au făcut demersurile necesare de completare a ofertei existente cu produsele exclusive (plăci de bază, HDD-uri, plăci video, audio etc.) de o calitate superioară.
Astfel, SC ModIT SRL dorește să devină distribuitor unic al acestor produse în România.
3.3 Situația infrastructurii IT&C existente
Compania și-a perfecționat în mod constant serviciile pentru satisfacerea cerințelor actuale, astfel încât a fost în primul rând absolut necesară crearea și îmbunătățirea rețelei IT personale. Rezultatele acestei etape vor furniza o imagine a mediului informatizat, a limitelor sistemului informatic analizat.
Rețeaua IT&C aflată în proprietatea societății conține în momentul de față următoarele componente:
Infrastructură de rețea:
Cablare structurata – utilizand cabluri UTP categoria 5
1 x camera tehnică (9 mp)
1 x Rack de podea Canovate Platinum Series, 47U, 800x800mm, cu panouri laterale detașabile, ventilație ACC 9000 BTU și ușă de sticlă;
3 x Patch-panel 48 PORT CAT.5 QUBS
36 x Priza RJ-45 îngropată în perete Roline CAT.5e neecranată
36 x Priza RJ-11 îngropată în perete Roline neecranată
Patch-cord-uri RJ-45 și RJ-11 pentru conectarea calculatoarelor în rețea și pentru conexiuni în patch-panel-uri
Echipamente hardware din rețeaua IT:
1 x Server rack-abil HP ProLiant DL120 G6 cu procesor CoreTM2 Quad Intel Xeon X3430 2.40GHz, 2GB
Router Modem Wireless Zyxel P870HW-51a V
Switch D-Link DGS-1016D
16 x Calculator de tip desktop DEL OptiPlex 780 și periferice aferente
5 x Laptop Toshiba Salellite C650-1EN M900 2GB 250GB
1 x Imprimanta Lexmark E120n 32MB
Echipamente hardware din rețeaua de telecomunicatii:
12 x Telefon Mobil Nokia C2-01
30 x Telefon analogic KX-TS500 Black
1 x FAX Panasonic SER IF 9600baud
Alte echipamente:
3 x UPS APC SC1000l 1000W
Software, aplicatii (& licente) pentru echipamente:
1 x Windows NT Server 4.0
32 x Windows XP Professional (Corporate) SP3
30 x Microsoft Office 2005
1 x Antivirus McAfee
Servicii contractate:
1 x Linie Internet VDSL2 – Romtelecom Clicknet Extra, 100Mbps, Best Effort
12 x Abonament telefon mobil – Cosmote Business 1000 & 120
Serverul organizației și echipamentele de comunicație sunt instalate într-un rack, într-o cameră tehnică separată.
Cablarea structurată este prezentă în fiecare cameră a sediului și are ca nod principal rack-ul, mai precis, patch-panel-urile etichetate montate în acesta, iar ca puncte terminale prizele RJ-11 și RJ-45.
Datele și informațiile importante, cât și critice, ale societății se regăsesc în mare parte pe mediile IT de stocare ale societății și reprezintă: contracte, facturi, specificații ale produselor comercializate, documente precum și baza de date cu inventarul stocului de produse.
Utilizatorii sistemului informatic al societății sunt:
Resursele umane specializate: 1 x Administrator rețea – cu drepturi depline asupra sistemului informatic al societății. Acesta este responsabil cu proiectarea, instalarea și administrarea infrastructurii de rețea, asigurarea funcționalității rețelei de calculatoare și a echipamentelor de conectare și de comunicații, administrarea serverului, interconectarea rețelelor și accesul la rețeaua Internet, proiectarea și aplicarea strategiei de securitate a rețelei, instruirea și asistarea utilizatorilor; Administratorul sistemului răspunde de pregătirea planului de securitate, de implementarea acestuia și de monitorizarea eficienței acestuia. Planurile de securitate trebuie să reflecte datele provenite de la diverși utilizatori, cuprinzând responsabilitățile privind sistemul, inclusiv "beneficiarii finali" funcționali, "deținătorii de informații", administratorul sistemului și managerul securității sistemului.
Resurse umane fără specializare în domeniul IT: 31 x Utilizatori ai resurselor sistemului informatic, cu drepturi de acces limitate.
Arhitectura rețelei IT&C actuală este prezentată în figura următoare:
Arhitectura actuala a rețelei IT&C SC ModIT SRL
3.4 Evaluarea riscurilor în sistemul IT existent
Pentru a evalua riscurile într-o rețea IT în cadrul unei firme de dimensiuni mici/medii, cu puncte de lucru în diverse locații, se vor parcurge etapele metodologice prezentate în capitolele de teorie.
Este necesar că în prima fază să se identifice toate amenințările împotriva cărora este cerută protecția. Acest proces este unul de analiză și constă în sub-etapele enumerate în cele ce urmează.
Rezultatul acestei faze de analiză îl constituie cerințele de securitate ale rețelei IT.
3.4.1 Stabilirea riscurilor la adresa securității rețelei IT prin identificarea amenințărilor
Într-o primă fază se vor culege date despre incidentele din sistemul IT care au avut loc în cadrul companiei, de la înființare și până în prezent, constituind informații despre atacuri anterioare sau informații din surse diverse:
Acces neautorizat din exterior prin intermediul internetului;
Infestarea calculatoarelor cu viruși;
Prezentarea unor informații eronate cu privire la stocurile existente, prin urmare incapacitatea de a onora cantitățile de produse promise, în urma cărora imaginea societății a avut de suferit;
Accidente.
Categoriile principale de surse de amenințare posibile în sistemul informațic al societății sunt descrise în tabelul următor:
Identificarea amenințărilor
Stabilirea unui plan în vederea analizarii vulnerabilităților
Se va urmări în continuare identificarea vulnerabilităților care pot genera, din cauza elementelor slabe ale rețelei IT, probleme ce pot cauza pierderi semnificative.
Analizând rapoartele anterioare de evaluare a riscurilor, observațiile auditului și necesitățile de securitate s-a realizat lista cu potențiale vulnerabilități:
Identificarea vulnerabilităților
Este foarte importantă corelarea gradului de risc cu valoarea pentru afacere, reprezentată de vulnerabilitățile sistemelor și a segmentelor de rețea.
3.4.3 Analiza controalelor – a măsurilor existente la nivelul sistemului informatic
În cadrul departamentului IT, într-o primă fază s-au luat o serie de măsuri de eliminare a problemelor cauzate de angajați, reprezentate prin:
supravegherea permanentă a activităților în sistem a angajaților și
verificări periodice ale utilizării bunurilor informaționale.
Aceste acțiuni au fost proactive, cu scopul prevenirii, detectării și corectării eventualelor probleme.
Soluțiile de securitate sunt adaptate acestei companii, funcție de specificul ei, de provocările și riscurile de securitate proprii, în conformitate cu nevoilor sale.
Acțiunile de monitorizare și control aplicate curent, cu privire la factorii de risc, includ următoarele:
controlul securității în cadrul rețelei IT interne;
controlul operațional;
controlul personalului;
protecția fizică.
Dintre acestea, putem enumera:
1. Implementarea de sisteme de filtrare a conținutului:
filtrare web și
filtrare a e-mail-ului.
Filtrarea web a ajutat organizația prin forțarea respectării politicilor de utilizare a Internetului, a permis controlul accesului la site-uri care nu au legătură cu activitățile organizației, a protejat organizația și a furnizat unelte de monitorizare a utilizării web-ului. Această filtrare a dus la o creștere a productivității angajaților, a eficienței rețelei, micșorând astfel costurile cu lățimea de bandă alocată, prin aceste măsuri evitând problemele cauzate de accesarea de materiale protejate sau cu caracter ofensator și au protejat compania de problemele juridice. Aceste soluții de filtrare web includ, de obicei, baze de date cu site-uri structurate pe categorii, posibilitatea de auto-învățare pentru adăugarea noilor site-uri identificate și unelte de monitorizare și control în timp real.
Soluțiile de filtrare a e-mail-ului filtrează conținutul pe baza politicilor și preferințelor organizației. Filtrarea e-mail-ului include facilități de limitare a consumului de bandă, de control al mesajelor de tip spam, de antivirus, de control al mesajelor de tip worm și forțează respectarea politicilor de utilizare. Filtrarea e-mail-ului protejează organizațiile de scurgerile de informații confidențiale. Totodată, prin limitarea dimensiunii și tipului atașamentelor s-au prevenit o serie de atacuri.
2. Instalarea unui sistem antivirus, cu centralizare automata, măsură ce face parte din tehnologiile preventive de securitate pentru controlul accesului la resursele informaționale.
S-a urmărit ca soluțiile de securitate să fie centrate pe protejarea informațiilor și nu pe cea a unui calculator individual sau a rețelei de calculatoare.
La nivel uman, pentru a preveni utilizările neautorizate și necorespunzătoare ale sistemelor informatice, angajații au fost pregătiți și instruiți să cunoască soluțiile tehnologice de securitate.
3. Divizarea rețelei locale prin contruirea a patru segmente LAN, definite LAN1 – LAN4, conectate la internet. Segmentele sunt conectate la porturile switch-ului. În cele din urmă, router-ul este conectat la ISP (Internet Service Provider) tot pe interfața de uplink. Pentru fiecare host conectat, switch-ul implicit este cel la care este conectat segmentul LAN respectiv.
4. Instalarea unui server pentru controlul accesului în interiorul și exteriorul rețelei.
Controlul accesului intern se realizează cu ajutorul sistemului folosit pentru autentificarea utilizatorilor, prin intermediul politicii de securitate, și se referă la utilizatori și nu la sistemele Client. Astfel, pentru fiecare utilizator înregistrat în baza de date a Serverului de Autentificare se definește o listă cu resursele la care respectivul utilizator are acces, precum și operațiunile pe care are voie să le execute (citire, scriere etc). În momentul în care unui utilizator i se permite accesul la un sistem Client, se activează lista cu permisiunile utilizatorului respectiv, asociindu-se sistemului Client de la care utilizatorul accesează sistemul.
Accesul extern este controlat prin intermediul unui un firewall la nivel de aplicație care conține facilități puternice, controale de acces specifice și facilități de raportare valoroase, conceput special pentru platforma Windows NT. Firewall-ul este instalat pe un server care va separa rețeaua internă de internet. Firewall-ul permite stabilirea utilizatorilor care pot și a celor care nu pot accesa rețeaua protejată, precum și resursele aflate la dispoziția acestora. În plus, firewall-ul permite identificarea exactă a celor care comunică în rețea prin intermediul său, identificarea serviciilor folosite de aceștia și a lățimii de bandă consumată de comunicații prin intermediul rețelei. Deoarece un firewall centralizează și controlează accesul într-o rețea, acesta este locul unde se află hardware-ul și software-ul pentru autentificare. S-a prevăzut un server dedicat pentru autentificare, pentru a distinge mai bine elementele implicate în asigurarea serviciilor de securitate.
5. Protecția fizică, prin demontarea unităților de scriere și restricționarea folosirii interfetelor USB la toate calculatoarele precum și prin instalarea unui UPS pentru server și echipamentele de comunicație.
Controalele planificate includ achiziția unor UPS-uri și pentru calculatoarele de tip desktop.
3.4.4 Determinarea probabilității de realizare a amenințărilor
În urma analizei efectuate de auditoriu asupra factorilor de risc, a rezultat tabelul de mai jos. Pentru stabilirea probabilității s-a folosit o clasificare bazată pe trei calificative: înalt, mediu și scăzut.
Determinarea probabilitatii
3.4.5 Analiza impactului, a posibilelor consecințe pe care problemele identificate le pot crea
Pentru definirea magnitudinii impactului s-a folosit o clasificare bazată pe aceleași trei calificative (înalt, mediu și scăzut), punând accent în special pe pierderea de integritate, disponibilitate și confidențialitate:
Determinarea probabilității
3.4.6 Determinarea riscului
În determinarea riscului, pentru întocmirea matricii riscului (tabela de tip 3×3), se for folosi următoarele valori:
Probabilitate: 1.0 pentru înalt, 0.5 pentru mediu, 0.1 pentru scăzut
Impact: 100 pentru înalt, 50 pentru mediu, 10 pentru scăzut
In urma determinării riscurilor, a rezultat câte un tabel pentru fiecare risc:
Matricea riscului
În urma rezultatelor, se poate interpreta valoarea riscului, utilizând o clasificare bazată pe mai multe nivele: foarte scăzut pentru 1-5, scăzut pentru 10, mediu pentru 50 și înalt pentru 100, rezultând următorul tabel:
Nivelele de risc
Riscurile identificate cu valori în intervalul 40 – 100 nu sunt acceptate și trebuie tratate pentru a fi reduse sub valoarea pragului de risc acceptat, prin aplicarea sistematică a măsurilor de securitate. Se informează conducerea organizației și dacă totusi nivelul de risc rămâne peste valoarea de prag stabilită chiar și după aplicarea măsurilor de securitate din SR ISO/IEC 27002:2008. Aceste riscuri se asumă de către conducere sau se încearcă transferarea lor prin încheierea unei polițe de asigurare sau prin luarea unor măsuri de evitare a lor.
Pentru noile riscuri ce vor fi identificate și introduse ulterior în Analiza de risc se va folosi întotdeauna aceeași formulă de calcul pentru a se asigura obținerea de rezultate comparabile și care pot fi reproduse. Pentru aceasta se va ține seama de încadrarea cea mai bună a probabilității de apariție și a impactului în funcție de nivelurile definite mai sus.
3.4.7 Recomandări asupra unor măsuri adecvate
Factorul determinant luat în considerare în recomandarea controalelor a fost eficacitatea opțiunilor recomandate și impactul operațional, în vederea minimizării sau eliminării riscurilor identificate.
Recomandările asupra măsurilor necesar a fi implementate în vederea reducerii nivelului de risc în sistemul IT precum și a datelor la un nivel acceptabil sunt implementarea unui mecanism de prevenire a:
Accesului neautorizat în sistem,
Captării și compromiterii mesajelor;
Furtului de informații.
Auditorul a determinat că nivelul riscului rezidual definit că acel nivel de risc ce rămâne după analiza și evaluarea tuturor măsurilor de combatere a riscurilor sunt la un nivel acceptabil.
3.4.8 Definirea politicii de securitate
Următoarea etapă constă în definirea politicii de securitate, ceea ce înseamnă stabilirea următoarelor decizii:
Amenințările ce trebuie eliminate (Accesul neautorizat la sisteme captarea și compromiterea mesajelor, furtul de informații: captarea informațiilor dintr-o linie de comunicație neprotejată) și amenintarile care se pot tolera (ștergerea informațiilor, periclitarea confidentialității informațiilor, distrugerea echipamentelor, negarea primirii informațiilor/ sarcinilor trimise de la sediu – punerea la îndoială a recunoașterii, modificarea sau ștergerea de fisiere, prezentarea neactualizată a informațiilor în urma imposibilității consultării bazei de date);
Resursele care trebuie protejate: mesajele/informațiile și implicit capitalul financiar al societății;
Cu ce mijloace poate fi implementată securitatea: achiziția și implementarea unor echipamente, respectiv configurarea de servicii;
Prețul măsurilor de securitate care poate fi acceptat, impus de conducere.
3.4.9 Documentarea rezultatelor
Rezultatele, constând în raportul oficial de evaluare al riscurilor, raport de management care ajută conducerea să ia decizii privind politica, procedurile, bugetul, sistemul operațional și shimbările de management, au fost documentate sub forma unor fișe de amenințări, precum cea prezentată în cele ce urmează.
Fișa de risc
Coordonarea procesului decizional
Planificarea răspunsului la factorii de risc urmărește identificarea fiecărui risc în funcție de tipul și gradul său de gravitate pentru evenimentul analizat și găsirea unei strategii adecvate de răspuns pentru fiecare caz în parte. Strategiile de răspuns pot conține schimbări în ceea ce privește responsabilitățile în cadrul evenimentului, a căilor de comunicare între elementele componente, a modificării scopurilor evenimentului sau a specificațiilor ce intervin asupra rezultelor finale stabilite.
3.5.1 Stabilirea cerințelor funcționale de securitate
Odată stabilite obiectivele politicii de securitate, următoarea etapă constă în selecția serviciilor de securitate. Acestea sunt funcții individuale ce sporesc securitatea rețelei. Fiecare serviciu poate fi implementat prin metode variate, numite mecanisme de securitate. Pentru implementarea și utilizarea eficientă a mecanismelor de securitate este nevoie de o sumă de activități numite funcții de gestiune a securității. Gestiunea securității într-o rețea constă în controlul și distribuția informațiilor către toate sistemeledeschise în scopul utilizării serviciilor și mecanismelor de securitate și al raportării către administratorul rețelei a evenimentelor de securitate relevante care pot apărea.
Soluția poate să utilizeaze algoritmi de autentificare, metode criptografice pentru a asigura confidențialitatea, prin blocarea interceptărilor sau „adulmecarea” pachetelor, permițând inițiatorului prin autentificare blocarea metodelor de interceptare și asigurând integritatea prin prevenirea alterării mesajelor.
Principalele cerințe funcționale de securitate sunt:
Asigurarea integrității datelor care circulă prin zona publică a rețelei (internet), prin algoritmi de autentificare;
Prevenirea accesului nedorit la informație, prin redirecționarea mesajelor pe retele securizate;
Asigurarea confidențialității, prin modificarea sau ascunderea informației, utilizând criptarea.
Identificarea soluțiillor de control
Pe lângă soluțiile de securitate aplicate în prezent, care se vor aplica și în noua rețea (filtrare, antivirus, protecție fizică etc) în această etapă se va identifica soluția de minimizare a riscului principal: securitatea informaților într-un mediu neprotejat.
În urma unui studiu tehnic cu privire la securitatea informațiilor care circulă pe internet și ținând seama de cerințele funcționale de securitate, s-a ales soluția de configurare a unei rețele virtuale private (VPN).
VPN este o soluție care permite companiilor să construiasca retele private pe baza rețelelor publice, cum ar fi internetul. Aceste rețele sunt constituite în general dintr-un algoritm de autentificare pentru a asigura integritatea datelor ce trec prin zona publică a rețelei, și un algoritm de criptare pentru a asigura confidențialitatea. Există atât dispozitive hardware cât și soluții software, cu toate că dispozitivele hardware sunt mult mai rapide, însă mai costisitoare.
VPN definește un set de soluții și tehnologii conceput pentru a realiza conexiuni securizate, criptate punct-la-punct (Site-to-Site VPN) sau la distanță (Remote-Access VPN) peste rețeaua publică de date, adică peste Internet. Tehnologia rețelelor virtuale private permite unei firme să-și extindă prin internet, în condiții de maximă securitate, serviciile de rețea la distanță oferite utilizatorilor, reprezentanțelor/filialelor sau companiilor partenere.
VPN-urile securizate folosesc tuneluri criptate pentru a avea confidențialitatea necesară, autentificarea părților și integritatea mesajelor. Atunci când sunt corect alese, implementate și folosite, aceste tehnologii pot furniza comunicații securizate peste rețele nesigure.
Avantaje ale rețelelor virtuale private:
Simplitate: transferul de date între elemente de rețea care se găsesc în locații diferite devine la fel de ușor ca tranferul de date în interiorul aceleiați rețele locale;
Preturi reduse: nu este nevoie de linii de transmisiune dedicate între birourile aflate la distanță. Rețeaua VPN utilizează legatura la Internet pe care o avem deja;
Securitate: datele transferate prin VPN sunt transferate în deplină siguranță, fiind criptate in SSL (Secure Sockets Layer).
Un mecanism de confidențialitate poate preveni accesul la informație (redirecționând mesajele pe rețele securizate) sau poate modifica ori ascunde informația (prin cifrare) de toate persoanele cu excepția acelora care au privilegii.
Autentificarea și controlul accesului oferă un anumit nivel de confidențialitate informației și resurselor de afaceri prin permiterea accesului acelor utilizatori care sunt identificați, autentificați și autorizați. Aceste mecanisme oferă însă confidențialitate doar în ceea ce privește datele din interiorul rețelei protejate. Apare problema protejări informațiilor vehiculate între două terminale prîntr-o rețea publică.
Cea mai sigură metodă pentru asigurarea confidențialității rămâne criptarea. Prin procesul de criptare, datele sunt transformate într-o formă neinteligibilă pentru oricine ar monitoriza linia. Astfel, un canal de transmisie nesigur dintr-o rețea publică (cum ar fi internet-ul) este transformat în ceea ce în literatura de specialitate se numește Rețea Privată Virtuală (VPN), prezentată schematic mai jos.
O VPN permite transmisia datelor între două terminale prîntr-o rețea publică într-o manieră care simulează proprietățile unei legături punct la punct, dintr-o rețea privată. Pentru simularea legăturii punct la punct, datele sunt încapsulate sub o formă care să le permită traversarea rețelei publice pentru a ajunge la punctul de destinație. Pentru simularea legăturii private, datele transmise sunt criptate pentru asigurarea confidențialității. Pachetele care sunt interceptate în rețeaua publică sunt indescifrabile fără cheia de criptare.
Conceptul logic al VPN
Din perspectiva utilizatorilor, o VPN reprezintă o conexiune punct la punct între calculator, clientul VPN, și un server. Infrastructură exactă a rețelei publice este irelevantă deoarece din punct de vedere logic apare că și cum datele ar fi trimise prîntr-o legătură privată dedicată.
Pentru criptare se pot folosi atât criptosisteme simetrice cât și asimetrice (hard sau soft), existente într-o gamă foarte variată pe piață. Totuși, părerea specialiștilor în domeniu este că algoritmii simetrici sunt mult mai eficienți de cât cei publici pentru criptarea datelor. Viteza de lucru este ridicată și nu sunt susceptibili la atacul prin textul cifrat ales. Algoritmii cu chei publice pot face ceea ce algoritmii simetrici nu pot face; sunt cei mai buni pentru administrarea (distribuirea) cheilor și pentru protocoalele de autentificare.
Pentru rețeaua imaginată aici, în cazul folosirii unor procesoare puternice, criptarea software oferă un plus de securitate față de criptarea hardware, având în vedere faptul că numai persoanele autorizate au acces la sistem.
3.5.3 Analiza cost beneficiu
Pentru estimarea costului implementării sistemului de securitate informatică în cadrul solutiei alese se consideră principalii factori ce compun modelul liniar de cost:
forma modelului de cost
echipamentele necesare securizării sistemului informatic
echivalentul valoric al timpului exprimat în ore om asociat dezvoltării sistemului de securitate
cheltuielile cu documentarea pentru identificarea celor mai noi amenințări prezente în mediul online
În tabelul urmator se consideră parametrii asociați costurilor pentru echipament și software precum și valorile lor estimative:
Tabel 3.8 Costuri echipament și software
În tabelul urmator se prezintă cheltuielile legate de activitatea de implementare, configurare și testare a solutiei:
Tabel 3.9 Cheltuieli configurare și testare
Costurile reduse aferente activității de implementare, configurare și testare reflecta implicarea administratorului rețelei IT al societatii. Din tabelele anterioare rezulta costul total aferent implementarii solutiei VPN, suma de 1355 RON.
La ceste costuri se adauga abonamentul IP-Fix, xx/luna. Sarcinile de mentenanta și suport sunt asigurate de administratorul de rețea IT. Costuri aditionale apar doar în urma iesirii din garantie a echipamentului (reparatie, inlocuire etc).
Avand în vedere importanța implementarii acestei soluții, această analiza este una pozitiva, cu costuri reduse.
Aceste costuri se vor adauga în cadrul Business Case-ului intocmit de conducere, prezentat in continuare, intocmit in vederea expansiunii rețelei de vanzari a societatii.
Tabel 3.10. Business Case pentru expansiunea retelei de vanzari a societatii
In continuare se vor descrie succint principalele linii urmarite in BC:
1. Descrierea situatiei curente
In prezent, echipa de vanzari numara 3 persoane de executie și una de conducere (3 agenti de vanzari și un director). Personalul nu are acces la suport/echipamente IT când este plecat pe teren, la clienti.
2. Descrierea oportunitatii
Actionand intr-un domeniu exclusivist, fără o concurenta puternica, marirea personalului de vanzari și adoptarea unei strategii agresive poate duce la o creștere exponentiala a castigurilor.
3. Scopul proiectului
Scopul proiectului consta în expansiunea rețelei de vanzari a societatii.
4. Solutia propusa
Solutia presupune achizitia de laptop-uri si angajarea de personal (agenti de vanzari).
5. Analiza financiară
Costul total include costurile pentru laptop-uri, software aferent, configurare, training si nu in ultimul rand pentru solutia de securitate IT.
6. Evaluarea riscurilor
In urma managementului riscului in sistemul IT al societatii, securitatea informațiilor intr-un mediu informațional neprotejat este foarte mica.
7. Strategia de implementare
Se va urmari că realizarea acestui proiect să se incadreze în perioada estimata, în 22 zile de la data semnarii Business Case-ului, prin implicarea directa a personalului de conducere.
Implementarea controalelor si organizarea
Presupune monitorizarea și controlul riscurilor prin implementarea strategiilor de răspuns și monitorizarea efectelor pe care aceste schimbări le pot aduce în cadrul evenimentului analizat. Strategiile de control ale riscului trebuiesc însă ajustate în funcție de efectele pe care le produc, având grijă că toate părțile implicate în derularea evenimentului să fie de acord cu aceste modificări.
În alegerea metodelor de implementare s-a privit problema exclusiv din punctul de vedere al asigurării securității, deoarece este vorba despre o exemplificare a unui sistem de securitate.
Instruirea personalului în domeniul IT cu privire la funcționarea solutiei implementate: SC MODIT SRL realizeaza în prima faza o instruire a angajatilor privind noile atributii ce decurg din modificarea fiselor de post și a implementarii noilor proceduri în organizație.
Dovezile de instruire constau în procese verbale de instruire.
Pentru aplicarea măsurilor de eliminare a problemelor cauzate de angajati, a fost prevăzut în politicile de securitate ale societatii că angajatorul își rezervă dreptul de a monitoriza activitățile computaționale ale angajaților.
Situația finală
In urma implementarii solutiei VPN, a rezultat rețeaua descrisa în figura urmatoare:
Figura 3.4 Arhitectura finala a rețelei IT&C
Concluzii
Managementul și analiza riscurilor este necesar a fi abordate nu ca o activitate de proiect ci ca un proces continuu. Managementul de vârf trebuie să se asigure de prezența marjelor de control necesare pentru informarea veridică, operativă și oportună privind situația actuală în domeniul tehnologiilor informaționale.
Asigurând securitatea de bază a rețelei putem minimiza majoritatea riscurilor de securitate tipice, după care ne putem concentra asupra unor arii specifice. Doar investind securitatea în adancime (security în depth) vom putea avea sisteme IT mai sigure. Pentru fiecare dintre riscurile identificate trebuie realizate planuri de măsuri, fie pentru reducerea expunerii la acele riscuri (mitigation), fie pentru reducerea impactului odată ce riscul s-a produs (contingency).
Ariile de securitate tipice care trebuie abordate pentru o securitate pe ansamblu sunt: securitatea serverelor și a stațiilor de lucru, securitatea perimetrului rețelei, securitatea comunicației în rețea, securitatea aplicațiilor, securitatea datelor, soluții pentru managementul patch-urilor.
Pe masură ce organizațiile devin din ce în ce mai independente de buna funcționare a sistemelor de informații computerizate, problema securității acestor sisteme devine din ce în ce mai importantă.
Riscul de atac electronic variază în funcție de tipul de organizație, potențialul pentru vulnerabilități, diverși catalizatori, inhibitori și amplificatori. Cu toate că riscul de atac electronic asupra sistemelor de informații nu poate fi total eliminat, o abordare sistemică și un set de procese pentru atenuarea riscurilor care consideră vulnerabilitățile specifice fiecărei situații pot reduce semnificativ impactul unor atacuri sau chiar anumite clase de atacuri.
Ca și concluzie, nici o rețea nu este complet protejată de atacuri, dar implementând un set de măsuri de securitate corespunzătoare, riscurile securității pot fi reduse semnificativ. Cu toate acestea, soluțiile de securitate care nu trebuiesc întreținute sunt puține. Rețeaua trebuie să fie testată constant pentru posibile slăbiciuni, politicile de securitate trebuiesc revizuite constant pentru a asigura că ele îndeplinesc necesitățile rețelei, utilizatorii trebuie educați continuu în legatură cu problemele și politicile securității rețelei.
Beneficiile sunt mai mari, iar investițiile și eforturile făcute vor fi mai mici dacă vom avea o abordare pe ansamblu, decât dacă am trata problema punctual. Sau, mai râu, vom acționa pentru a înlătura efectele abia după producerea unui incident de securitate.
Abordările anterioare, au sugerat că, managementul de risc general, este o poveste a metamorfozei controlului intern și a regulilor. Aceste reguli implică un accent intens pe comunicarea de risc și pe managementul reputației, atât pentru sectorul de stat, cât și pentru organizațiile private.
Dar de ce a devenit managementul de risc un model dominant de organizare pentru entitățiile publice și private și pentru guverne?
O explicație funcțională pentru acest fenomen, sugerează că, apariția unei abordări sistematice, generice și largi a managementului de risc, este un răspuns rațional al faptului că organizațiile au devenit „mai riscante”. Astfel, piețele financiare au devenit mai volatile, activitățile organizaționale au devenit mai periculoase, noi amenințări la scară largă pot apărea din epidemii, terorism, din schimbările de climă, fapt ce desemnează imaginea unei „lumi pe fugă” mereu în căutare de noi forme a guvernării riscului. Într-o asemenea lume, „reinventarea” managementului de risc și repoziționarea lui ca model critic al unui control organizațional bun pare un răspuns natural.
Procesarea riscului va fi influențată de posibilitățile instituționale de a lua decizii. Trebuie să înțelegem contingentul și natura condițională prin care evenimentele critice sunt procesate de instituții. Așa cum sunt evenimentele actuale percepute, posibile, clasificate și mobilizate, vor determina relevanța managementului de risc. Din acest punct de vedere, întrebarea care necesită răspuns nu este „a devenit lumea mai riscantă?”, ci „care sunt mecanismele colective prin care unele riscuri devin vizibile din punct de vedere managerial și politic, iar altele nu”.
Bibliografie
[1] http://www.cert-ro.eu/securitate_date/riscuri.html, accesat la data 16.03.2011
[2] http://www.cert-ro.eu/securitate_date/index.html, accesat la data 16.03.2011
[3] Analiza Riscului intr-un mediu informatizat
[4] Managementul Riscului în IT
[5] Introducere în managementul securității informațiilor, referinte suplimentare Prof. Emil siMION
[6] Ghidul de elaborare a strategiilor de securitate pentru sistemeleIT, Marianne Swanson, decembrie 1998
[7] Risk Management for Computer Security – Protecting Your Network and Information Assets, by Andy Jones & Debi Ashenden
[8] http://www.matrixrom.ro/romanian/editura/domenii/cuprins.php?cuprins=CR50, accesat la data 17.03.2011
[9] Retele de calculatoare – Introducere în securitate I, SabinCorneliu Buraga http://www.infoiasi.ro/~busaco, accesat la data 19.03.2011
[10] Introducere în Criptografie –Cursul 2, Prof. Univ.dr. Constantin Popescu, Departamentul de Matematica și Informatică http://webhost.uoradea.ro/cpopescu/, accesat la data 22.03.2011
[11] Riscul de atac electronic asupra sistemelor de informații, Lucian Vasiu și Ioana Vasiu
[12] User`s Guide to Cryptography and Standards, Alexander W.Dent & Chris J. Mitchell, Borton, 2005
[13] The IT Business Case: Keys to Accuracy and Credibility, Marty J. Schmidt, MBA, PhD, President, Solution Matrix Ltd.
[14] Retele de calculatoare, Andrew S. Tanenbaum, Universitatea Vrijie, Amsterdam, Olanda
[15] Risk Management Processes for Software Engineering Models, Marian Myerson
[16] RISK MANAGEMENT FOR COMPUTER SECURITY, Protecting Your Network and Information Assets, By Andy Jones & Debi Ashenden
[17] Tema 48. Riscuri asociate utilizării inadecvate a tehnologiilor societății informaționale, Subtema 48.3. Riscuri ale utilizării inadecvate a sistemelor informatice, Asist. drd. ing. Ana Maria Suduc
[18] Ghidul de elaborare a strategiilor de securitate pentru sistemeleIT, Marianne Swanson
[19] John SCHUYLER; 2001; Risk and Decision Analysis în Projects, Second edition; Project Management Institute, Upper Dardy, PA, USA
[20] Guide to IPsec VPNs, Recommendations of the National Institute of Standards and Technology, NIST Special Publication 800-77
[21] METODOLOGIE DE IMPLEMENTARE A STANDARDULUI DE CONTROL INTERN “MANAGEMENTUL RISCURILOR”, ianuarie 2007
[22] MANAGEMENTUL RISCULUI, Prof. univ. Dr. MSc. Ing. Constantin Opran, Ec. MSc. Liliana Paraipan, Asist. univ. Sergiu Stan
[23] Metode în managementul riscului, simona Marilena ILIE 2010, noiembrie 2010, Clusif
[24] High Performance Network Security Methods: Comparisons and Case Studies, Dan Winkelstein Celotek Corporation
[25] Managementul Riscului și Controlul Intern în Cadrul Organizației, Alina Negrila, www.mattig-management.ro
[26] SECURITATEA siSTEMELOR IT, simona Marilena ILIE,m The 3rd International Scientific Conference, Bucharest, April 12-13, 2007
[27] Carmen Holotescu – Ghid eLearning, Universitatea Politehnica Timisoara, 2005
[28] Microsoft® Security Guidance Training for Developers II, Microsoft, U.S.A., 2004
[29] A Guide to the Project Management Body of Knowledge (PMBOK Guide), PMI Standards Committee, William R. Duncan, Director of Standards
[30] www.risk-publications.co.uk, accesat la data 25.03.2011
[31] www.riskmetrics.com, accesat la data 25.03.2011
[32] STOEHR Thomas; 2003; Managing e-business projects; John Willey & Sons Inc; New York, USA
[33] SCHWALBE Kathy; 2002; Information technology project management, Second edition; Course, Technology, Thomson Learning; Canada
[34] OPRAN Constantin; STAN Sergiu; 2003; Planificarea, elaborarea și implementarea proioectelor; Școala Națională de Studii Politice și Administrative, Facultatea de Comunicare și Relații Publice “David Ogilvy”, Departamentul ID, editura comunicare.ro,Romania
[35] Michel CROUHY; Dan GALAI; Robert MARK; 1999; Risk Management; Irwin Publishers, New York, USA
[36] McKIE Stewwart ; 2001; E-business, Best Practices, Leveraging Technology for Business Advantage; John Wiley &Sons; New York, USA
[37] MAXWELL D.Katrina; 2003; Applied statistics for software managers
[38] KRAJEWSKI J. Lee; RITZMAN P.Larry; 2001; Operation management, Strategy and analysis; sixt edition; Prentice Hall, Upper Saddle, NJ 07458, USA
[39] www.riskmanagement.ro, accesat la data 29.03.2011
[40] HUNTER M. D. John; 2001; An information security handbook; Springer – Verlag, Germany
[41] HEAD, L. George; HORN, Stephen; 1997; Essential Risk Management; Insurance Institute of America; Pennsylvania, USA
[42] FRIEDLEIN Ashley; 2001; Web project management; Delivering successful commercial web sites; Morgan Kafmann Publishers; USA
[43] COVRIG Mircea ;OPRAN Constantin ; 2001; Managementul proiectelor ; Agenția Managerială pentru Cercetare Științifică Inovare și Transfer Tehnologic – POLITEHNICA; Editura Pritech 2000;București
[44] CONWAY Kieron; 2001; Software project management; From concept to development;CORIOLIS Technology Press; USA
[45] BYRNES F. Cristian; KUTNICK Dale; 2003; Securing Business Information, Strategies to protect the enterprise and its network; Financial Times, Prentice Hall; London, United Kingdom
[46] BRAITHWAITE Timothy; 2003; Securing E- Business System, A guide for managers and executives; John Willey & Sons Inc; New York;USA
[47] IPsec VPN Advanced Troubleshooting Guide, http://www.icsalabs.com/icsa/docs/html/communities/ipsec/IPsec_Advanced_Toubleshooting_GuideFinal.pdf, accesat la data 05.04.2011
[48] IPsec Product Technical Configuration Guidelines http://www.icsalabs.com/icsa/docs/html/communities/ipsec/IPsec_Technical_Config_Guidelines.pdf, accesat la data 10.04.2011
[49] NIST SP 800-41, Guidelines on Firewalls and Firewall Policy http://csrc.nist.gov/publications/nistpubs/800-41/sp800-41.pdf, accesat la data 20.04.2011
[50] GAO, (2003), High-Risk Series, Protecting Information Systems Supporting the Federal Government and the Nation’s Critical Infrastructures, United States General Accounting Office, http://www.gao.gov/pas/2003/d03121.pdf, accesat la data 20.04.2011
[51] D’Arcy, J., (2005), Improving Information Systems Security through Procedural and Technical Countermeasures, Temple University;
[52] Bedard, J.C., Jackson, C., (2002), Information Systems Risk Factors, Risk Assessments, And Audit Planning Decisions, Northeastern University;
[53] Iosif, G., Marhan, A.M., (2005), Analiza și managementul erorilor în interacțiunea om-calculator, Ergonomie cognitivă și interacțiune om-calculator, Ed. Matrix Rom, București;
[54] McNair, 2001, Controlling Risk, http://www.acm.org/ubiquity/views/p_mcnair_1.html?searchterm=risk, accesat la data 21.04.2011
[55] OECD, (1992), Guidelines for the Security of Information Systems, http://www.oecd.org/document/19/0,2340,en_2649_34255_1815059_1_1_1_1,00.html, accesat la data 25.04.2011
[56] Rasmussen, M., (2006), Taking Control Of IT Risk, Forrester, Best Practices, http://i.i.com.com/cnwk.1d/html/itp/Forr051103831600.pdf, accesat la data 26.04.2011
[57] Reason, J., (1990), Human error, Cambridge, Cambridge University Press;
[58] Roedler, G.J, (2006), A Path to Convergence of Risk Management Standards, sixteenth Annual International Symposium of the International Council On Systems Engineering (INCOSE),
[59] Shelton, C.P., (1999), Human Interface / Human Error, Carnegie Mellon University 18-849b Dependable Embedded Systems Spring, http://www.ece.cmu.edu/~koopman/des_s99/human/, accesat la data 27.04.2011
[60] Sherer, S.A., Alter, (2004), Information System Risks and Risk Factors: Are They Mostly About Information Systems?, Communications of the Association for Information Systems, Volume 14, 29- 64; http://www.stevenalter.com/StevenAlter.com/Downloads___files/CAIS%2014-2%20IS%20Risk%20Factors%20-%20Are%20They%20Mostly%20About%20IS.pdf, accesat la data 28.04.2011
[61] Straub, D.W., Welke, R.J, (1998), Coping with Systems Risks: Security Planning Models for Management Decision-Making, MIS Quarterly, pag.441-469, http://hornbeam.cs.ucl.ac.uk/hcs/teaching/GA10/lec7extra/StraubWelke1998.pdf, accesat la data 02.05.2011
[62] Symantec, (2007), Managing IT Risks, http://www.symantec.com/business/resources/articles/article.jsp?aid=managing_it_risk#five, accesat la data 02.05.2011
[63] Berryman P. (2002). Risk Assessment: The Basics
[64] BACIU, Petrica Laurentiu. Managementul informațiilor clasificate. Actualitate și perspectiva în gestionare. Bucuresti, Editura Universitatii Nationale de Aparare 'Carol I', 2008. 36 p.
[65] BELIGAN, Daniel. Securitatea în era informațională. Bucuresti, Editura Universitatii Nationale de Aparare 'Carol I', 2008. 42 p.
[66] CIOBANU, Ion. Există un management al securității informațiilor? In: Fundamentele actiunii militare intrunite. Sesiunea de comunicarii stiintifice 29-30 aprilie 2002. Colegiul Superior de Stat Major. Bucuresti, Editura A.I.S.M., 2002. p. 55-62
[67] http://csrc.nist.gov/publications/nistpubs/800-30/sp800-30.pdf, accesat la data 07.05.2011
[68] Ghosh, A. – Security and Privacy for E-Business, Ed. John Wiley & Sons, 2001
[69] ISO 31000:2009, Risk management – Guidelines on principles and implementation of risk management
[70] BS 6079-3:2000, Guide to the Management of Business Related Project Risk
[71] SR EN/ISO CEI 27001:2005, Tehnologia informației – Tehnici de securitate -sisteme de management al securității informației.
[72] SR EN/ISO CEI 27002:2007, Tehnologia informației – Tehnici de securitate – Cod de buna practica pentru managementul securității informației
[73] ISO/IEC 27005:2008, Information technology – Security techniques – Information security risk management (inlocuieste 13335-2,3,4)
[74] ISO/IEC Guide 73:2002, Risk management – Vocabulary – Guidelines for use în standards (www.iso.ch)
[75] ISO/IEC 18044:2004, Information technology – Security Techniques – Information Security Incident Management.
[76] ISO/IEC 18028:2006, Information technology – Security techniques – IT network security
[77] ISO/IEC 15408-1: 2005, Information technology – Security techniques – Evaluation criteria for IT security (criterii comune)
[78] CobIT, Control Objectives for Information and Related Technology, elaborat de ISACA (Information System Audit and Control Asociation (www.isaca.org). Colectie de bune practici în domeniul IT.
[79] ITIL, IT Infrastructure Library, OGC – Office of Government Commerce, echivalent cu ISO/ IEC 20000:2005 Information technology – Service management (www.iso.ch), de asemenea o colectie de bune practici orientat însă inspre gestionarea SLA.
[80] ITBPM, IT Baseline Protection Manual elaborat de Federal Office for Security în Information Technology (Fsi), Germania (http://bsi.bund.de, accesat la data 09.05.2011)
[81] http://en.wikipedia.org/wiki/Information_security, accesat la data 11.05.2011
[82] Anderson, E.E., Choobineh, J., „Enterprise information security strategies”, Computers & Security, vol. 27, issue 1, 2008, ISSN: 0167-4048
[83] Ivan, I., Doinea, M., Palaghiță, D., „Optimization of authentication processes în distributed applications”, Theoretical and Applied Economics, 2008, nr. 6, ISSN 1841 – 8678, București
[84] Stamp, M. (2005). Information Security: Principles and Practice, ISBN: 978-0-471-73848-0, Wiley-Interscience
[85] Tipton, H.F., Krause, M. (2008). Information Security Management Handbook, sixth Edition, 456 pages, ISBN: 978-1420067088, Auerbach Publications
[86] Costul securității informatice în lucrul cu aplicații distribuite, Ion IVAN Academia de Studii Economice, București, Dragoș PALAGHIȚĂ Academia de Studii Economice, București
[87] http://www.isaca.org/Knowledge-Center/cobit/Documents/cobit41-romanian.pdf, accesat la data 12.05.2011
[88] http://ebooks.unibuc.ro/StiinteADM/cornescu/cap5.htm, accesat la data 12.05.2011
[89] http://www.topcursuri.ro/files/cursuri/33_Managementul%20riscului.pdf, accesat la data 21.05.2011
[90] http://www.scritube.com/economie/finante/MANAGEMENTUL-RISCULUI6231651.php, accesat la data 21.05.2011
[91] Blogul Tehnologii informaționale în Republica Moldova
[92] http://ro.scribd.com/doc/24213558/Managementul-riscului
[93]
Bibliografie
[1] http://www.cert-ro.eu/securitate_date/riscuri.html, accesat la data 16.03.2011
[2] http://www.cert-ro.eu/securitate_date/index.html, accesat la data 16.03.2011
[3] Analiza Riscului intr-un mediu informatizat
[4] Managementul Riscului în IT
[5] Introducere în managementul securității informațiilor, referinte suplimentare Prof. Emil siMION
[6] Ghidul de elaborare a strategiilor de securitate pentru sistemeleIT, Marianne Swanson, decembrie 1998
[7] Risk Management for Computer Security – Protecting Your Network and Information Assets, by Andy Jones & Debi Ashenden
[8] http://www.matrixrom.ro/romanian/editura/domenii/cuprins.php?cuprins=CR50, accesat la data 17.03.2011
[9] Retele de calculatoare – Introducere în securitate I, SabinCorneliu Buraga http://www.infoiasi.ro/~busaco, accesat la data 19.03.2011
[10] Introducere în Criptografie –Cursul 2, Prof. Univ.dr. Constantin Popescu, Departamentul de Matematica și Informatică http://webhost.uoradea.ro/cpopescu/, accesat la data 22.03.2011
[11] Riscul de atac electronic asupra sistemelor de informații, Lucian Vasiu și Ioana Vasiu
[12] User`s Guide to Cryptography and Standards, Alexander W.Dent & Chris J. Mitchell, Borton, 2005
[13] The IT Business Case: Keys to Accuracy and Credibility, Marty J. Schmidt, MBA, PhD, President, Solution Matrix Ltd.
[14] Retele de calculatoare, Andrew S. Tanenbaum, Universitatea Vrijie, Amsterdam, Olanda
[15] Risk Management Processes for Software Engineering Models, Marian Myerson
[16] RISK MANAGEMENT FOR COMPUTER SECURITY, Protecting Your Network and Information Assets, By Andy Jones & Debi Ashenden
[17] Tema 48. Riscuri asociate utilizării inadecvate a tehnologiilor societății informaționale, Subtema 48.3. Riscuri ale utilizării inadecvate a sistemelor informatice, Asist. drd. ing. Ana Maria Suduc
[18] Ghidul de elaborare a strategiilor de securitate pentru sistemeleIT, Marianne Swanson
[19] John SCHUYLER; 2001; Risk and Decision Analysis în Projects, Second edition; Project Management Institute, Upper Dardy, PA, USA
[20] Guide to IPsec VPNs, Recommendations of the National Institute of Standards and Technology, NIST Special Publication 800-77
[21] METODOLOGIE DE IMPLEMENTARE A STANDARDULUI DE CONTROL INTERN “MANAGEMENTUL RISCURILOR”, ianuarie 2007
[22] MANAGEMENTUL RISCULUI, Prof. univ. Dr. MSc. Ing. Constantin Opran, Ec. MSc. Liliana Paraipan, Asist. univ. Sergiu Stan
[23] Metode în managementul riscului, simona Marilena ILIE 2010, noiembrie 2010, Clusif
[24] High Performance Network Security Methods: Comparisons and Case Studies, Dan Winkelstein Celotek Corporation
[25] Managementul Riscului și Controlul Intern în Cadrul Organizației, Alina Negrila, www.mattig-management.ro
[26] SECURITATEA siSTEMELOR IT, simona Marilena ILIE,m The 3rd International Scientific Conference, Bucharest, April 12-13, 2007
[27] Carmen Holotescu – Ghid eLearning, Universitatea Politehnica Timisoara, 2005
[28] Microsoft® Security Guidance Training for Developers II, Microsoft, U.S.A., 2004
[29] A Guide to the Project Management Body of Knowledge (PMBOK Guide), PMI Standards Committee, William R. Duncan, Director of Standards
[30] www.risk-publications.co.uk, accesat la data 25.03.2011
[31] www.riskmetrics.com, accesat la data 25.03.2011
[32] STOEHR Thomas; 2003; Managing e-business projects; John Willey & Sons Inc; New York, USA
[33] SCHWALBE Kathy; 2002; Information technology project management, Second edition; Course, Technology, Thomson Learning; Canada
[34] OPRAN Constantin; STAN Sergiu; 2003; Planificarea, elaborarea și implementarea proioectelor; Școala Națională de Studii Politice și Administrative, Facultatea de Comunicare și Relații Publice “David Ogilvy”, Departamentul ID, editura comunicare.ro,Romania
[35] Michel CROUHY; Dan GALAI; Robert MARK; 1999; Risk Management; Irwin Publishers, New York, USA
[36] McKIE Stewwart ; 2001; E-business, Best Practices, Leveraging Technology for Business Advantage; John Wiley &Sons; New York, USA
[37] MAXWELL D.Katrina; 2003; Applied statistics for software managers
[38] KRAJEWSKI J. Lee; RITZMAN P.Larry; 2001; Operation management, Strategy and analysis; sixt edition; Prentice Hall, Upper Saddle, NJ 07458, USA
[39] www.riskmanagement.ro, accesat la data 29.03.2011
[40] HUNTER M. D. John; 2001; An information security handbook; Springer – Verlag, Germany
[41] HEAD, L. George; HORN, Stephen; 1997; Essential Risk Management; Insurance Institute of America; Pennsylvania, USA
[42] FRIEDLEIN Ashley; 2001; Web project management; Delivering successful commercial web sites; Morgan Kafmann Publishers; USA
[43] COVRIG Mircea ;OPRAN Constantin ; 2001; Managementul proiectelor ; Agenția Managerială pentru Cercetare Științifică Inovare și Transfer Tehnologic – POLITEHNICA; Editura Pritech 2000;București
[44] CONWAY Kieron; 2001; Software project management; From concept to development;CORIOLIS Technology Press; USA
[45] BYRNES F. Cristian; KUTNICK Dale; 2003; Securing Business Information, Strategies to protect the enterprise and its network; Financial Times, Prentice Hall; London, United Kingdom
[46] BRAITHWAITE Timothy; 2003; Securing E- Business System, A guide for managers and executives; John Willey & Sons Inc; New York;USA
[47] IPsec VPN Advanced Troubleshooting Guide, http://www.icsalabs.com/icsa/docs/html/communities/ipsec/IPsec_Advanced_Toubleshooting_GuideFinal.pdf, accesat la data 05.04.2011
[48] IPsec Product Technical Configuration Guidelines http://www.icsalabs.com/icsa/docs/html/communities/ipsec/IPsec_Technical_Config_Guidelines.pdf, accesat la data 10.04.2011
[49] NIST SP 800-41, Guidelines on Firewalls and Firewall Policy http://csrc.nist.gov/publications/nistpubs/800-41/sp800-41.pdf, accesat la data 20.04.2011
[50] GAO, (2003), High-Risk Series, Protecting Information Systems Supporting the Federal Government and the Nation’s Critical Infrastructures, United States General Accounting Office, http://www.gao.gov/pas/2003/d03121.pdf, accesat la data 20.04.2011
[51] D’Arcy, J., (2005), Improving Information Systems Security through Procedural and Technical Countermeasures, Temple University;
[52] Bedard, J.C., Jackson, C., (2002), Information Systems Risk Factors, Risk Assessments, And Audit Planning Decisions, Northeastern University;
[53] Iosif, G., Marhan, A.M., (2005), Analiza și managementul erorilor în interacțiunea om-calculator, Ergonomie cognitivă și interacțiune om-calculator, Ed. Matrix Rom, București;
[54] McNair, 2001, Controlling Risk, http://www.acm.org/ubiquity/views/p_mcnair_1.html?searchterm=risk, accesat la data 21.04.2011
[55] OECD, (1992), Guidelines for the Security of Information Systems, http://www.oecd.org/document/19/0,2340,en_2649_34255_1815059_1_1_1_1,00.html, accesat la data 25.04.2011
[56] Rasmussen, M., (2006), Taking Control Of IT Risk, Forrester, Best Practices, http://i.i.com.com/cnwk.1d/html/itp/Forr051103831600.pdf, accesat la data 26.04.2011
[57] Reason, J., (1990), Human error, Cambridge, Cambridge University Press;
[58] Roedler, G.J, (2006), A Path to Convergence of Risk Management Standards, sixteenth Annual International Symposium of the International Council On Systems Engineering (INCOSE),
[59] Shelton, C.P., (1999), Human Interface / Human Error, Carnegie Mellon University 18-849b Dependable Embedded Systems Spring, http://www.ece.cmu.edu/~koopman/des_s99/human/, accesat la data 27.04.2011
[60] Sherer, S.A., Alter, (2004), Information System Risks and Risk Factors: Are They Mostly About Information Systems?, Communications of the Association for Information Systems, Volume 14, 29- 64; http://www.stevenalter.com/StevenAlter.com/Downloads___files/CAIS%2014-2%20IS%20Risk%20Factors%20-%20Are%20They%20Mostly%20About%20IS.pdf, accesat la data 28.04.2011
[61] Straub, D.W., Welke, R.J, (1998), Coping with Systems Risks: Security Planning Models for Management Decision-Making, MIS Quarterly, pag.441-469, http://hornbeam.cs.ucl.ac.uk/hcs/teaching/GA10/lec7extra/StraubWelke1998.pdf, accesat la data 02.05.2011
[62] Symantec, (2007), Managing IT Risks, http://www.symantec.com/business/resources/articles/article.jsp?aid=managing_it_risk#five, accesat la data 02.05.2011
[63] Berryman P. (2002). Risk Assessment: The Basics
[64] BACIU, Petrica Laurentiu. Managementul informațiilor clasificate. Actualitate și perspectiva în gestionare. Bucuresti, Editura Universitatii Nationale de Aparare 'Carol I', 2008. 36 p.
[65] BELIGAN, Daniel. Securitatea în era informațională. Bucuresti, Editura Universitatii Nationale de Aparare 'Carol I', 2008. 42 p.
[66] CIOBANU, Ion. Există un management al securității informațiilor? In: Fundamentele actiunii militare intrunite. Sesiunea de comunicarii stiintifice 29-30 aprilie 2002. Colegiul Superior de Stat Major. Bucuresti, Editura A.I.S.M., 2002. p. 55-62
[67] http://csrc.nist.gov/publications/nistpubs/800-30/sp800-30.pdf, accesat la data 07.05.2011
[68] Ghosh, A. – Security and Privacy for E-Business, Ed. John Wiley & Sons, 2001
[69] ISO 31000:2009, Risk management – Guidelines on principles and implementation of risk management
[70] BS 6079-3:2000, Guide to the Management of Business Related Project Risk
[71] SR EN/ISO CEI 27001:2005, Tehnologia informației – Tehnici de securitate -sisteme de management al securității informației.
[72] SR EN/ISO CEI 27002:2007, Tehnologia informației – Tehnici de securitate – Cod de buna practica pentru managementul securității informației
[73] ISO/IEC 27005:2008, Information technology – Security techniques – Information security risk management (inlocuieste 13335-2,3,4)
[74] ISO/IEC Guide 73:2002, Risk management – Vocabulary – Guidelines for use în standards (www.iso.ch)
[75] ISO/IEC 18044:2004, Information technology – Security Techniques – Information Security Incident Management.
[76] ISO/IEC 18028:2006, Information technology – Security techniques – IT network security
[77] ISO/IEC 15408-1: 2005, Information technology – Security techniques – Evaluation criteria for IT security (criterii comune)
[78] CobIT, Control Objectives for Information and Related Technology, elaborat de ISACA (Information System Audit and Control Asociation (www.isaca.org). Colectie de bune practici în domeniul IT.
[79] ITIL, IT Infrastructure Library, OGC – Office of Government Commerce, echivalent cu ISO/ IEC 20000:2005 Information technology – Service management (www.iso.ch), de asemenea o colectie de bune practici orientat însă inspre gestionarea SLA.
[80] ITBPM, IT Baseline Protection Manual elaborat de Federal Office for Security în Information Technology (Fsi), Germania (http://bsi.bund.de, accesat la data 09.05.2011)
[81] http://en.wikipedia.org/wiki/Information_security, accesat la data 11.05.2011
[82] Anderson, E.E., Choobineh, J., „Enterprise information security strategies”, Computers & Security, vol. 27, issue 1, 2008, ISSN: 0167-4048
[83] Ivan, I., Doinea, M., Palaghiță, D., „Optimization of authentication processes în distributed applications”, Theoretical and Applied Economics, 2008, nr. 6, ISSN 1841 – 8678, București
[84] Stamp, M. (2005). Information Security: Principles and Practice, ISBN: 978-0-471-73848-0, Wiley-Interscience
[85] Tipton, H.F., Krause, M. (2008). Information Security Management Handbook, sixth Edition, 456 pages, ISBN: 978-1420067088, Auerbach Publications
[86] Costul securității informatice în lucrul cu aplicații distribuite, Ion IVAN Academia de Studii Economice, București, Dragoș PALAGHIȚĂ Academia de Studii Economice, București
[87] http://www.isaca.org/Knowledge-Center/cobit/Documents/cobit41-romanian.pdf, accesat la data 12.05.2011
[88] http://ebooks.unibuc.ro/StiinteADM/cornescu/cap5.htm, accesat la data 12.05.2011
[89] http://www.topcursuri.ro/files/cursuri/33_Managementul%20riscului.pdf, accesat la data 21.05.2011
[90] http://www.scritube.com/economie/finante/MANAGEMENTUL-RISCULUI6231651.php, accesat la data 21.05.2011
[91] Blogul Tehnologii informaționale în Republica Moldova
[92] http://ro.scribd.com/doc/24213558/Managementul-riscului
[93]
Copyright Notice
© Licențiada.org respectă drepturile de proprietate intelectuală și așteaptă ca toți utilizatorii să facă același lucru. Dacă consideri că un conținut de pe site încalcă drepturile tale de autor, te rugăm să trimiți o notificare DMCA.
Acest articol: Managementul Riscului In Sistemele It&c (ID: 142458)
Dacă considerați că acest conținut vă încalcă drepturile de autor, vă rugăm să depuneți o cerere pe pagina noastră Copyright Takedown.