Siipa Disertatie Nigel (dan) Adeline [624290]
UNIVERSITATEA „TRANSILVANIA” DIN BRAȘOV
FACULTATEA DE ȘTIINȚE ECONOMICE
ȘI ADMINISTRAREA AFACERILOR
Programul de studii
SISTEME INFORMATICE INTEGRATE
PENTRU AFACERI
LUCRARE DE DISERTAȚIE
Conducător științific
Prof. univ. dr. Dorin Lixăndroiu
Absolvent: [anonimizat]
2019
UNIVERSITATEA „TRANSILVANIA” DIN BRAȘOV
FACULTATEA DE ȘTIINȚE ECONOMICE
ȘI ADMINISTRAREA AFACERILOR
Programul de studii
INFORMATICĂ ECONOMICĂ
LUCRARE DE DISERTAȚIE
Auditul sistemelor informatice financiar -bancare
Conducător științific
Prof. univ. dr. Dorin Lixăndroiu
Absolvent: [anonimizat]
2019
i
Cuprins
INTRODUCERE ………………………….. ………………………….. ………………………….. ………………………….. … 3
Cap. 1. IMPORTANȚA AUDITULUI UNUI SISTEM INFORMATIC ………………………….. …………. 5
1.1 NOȚIUNI GENERALE ………………………….. ………………………….. ………………………….. ……… 5
1.2 OBIECTIVELE AUDITULUI SISTEMELOR INFORMATICE ………………………….. …….. 6
1.3 GUVERNANȚA IT ………………………….. ………………………….. ………………………….. …………………. 9
1.3.1 CONTROL OBJECTIVES FOR INFORMATION AND RELATED TECHNOLOGIES(
COBIT) ………………………….. ………………………….. ………………………….. ………………………….. ………… 11
1.3.2 VAL IT ………………………….. ………………………….. ………………………….. ………………………….. …. 14
Cap. 2. VULNERABILITĂȚI, AMENINȚĂRI ȘI RISCURI ÎN SISTEMELE INFORMATICE … 17
2.1 AMENINȚĂRI ASUPRA SISTEMULUI INFORMATIC ………………………….. ………………….. 20
2.2 RISCURI ASOCIATE SISTEMELOR INFORMATICE ………………………….. …………………… 23
Cap 3. EVALUAREA ȘI REDUCEREA RISCURILOR UNUI SISTEM INFORMATIC …………. 27
3.1 EVALUAREA RISCURILOR UNUI SISTEM INFORMATIC: ………………………….. …………. 27
3.2 REDUCEREA RISCURILOR UNUI SISTEM INFORMATIC ………………………….. ………….. 41
Cap. 4. AUDITUL SISTEMULUI INFORMATIC BANCAR ………………………….. ……………………… 45
4.1 SISTEME UTILIZATE ÎN CADRUL BCR ………………………….. ………………………….. …………. 49
3.2 CHESTIONAR DE AUDIT – BCR ………………………….. ………………………….. ………………………. 50
3.3 APRECIEREA EFICACITĂȚII SISTEMULUI INFORMATIC ………………………….. …………… 54
BIBLIOGRAFIE ………………………….. ………………………….. ………………………….. ……………………….. 56
3
INTRODUCERE
Dezvoltarea tehnologiei informației de -a lungul timpului, a schimbat modul în care
organizațiile își desfășoară activitatea în ziua de astăzi. Pixul și hârtia folosite în trecut pentru a
efectua anumite tranzacții, au făcut loc aplicațiilor informatice car e gestionează aceste tranzacții.
Implementarea acestor sisteme informatice a făcut ca organizațiile să își îmbunătățească procesele
de afaceri și de asemenea, să își crească în mod considerabil capacitatea acestora de a transmite și
a procesa date. Însă, î n urma acestei dezvoltări au apărut noi vulnerabilități pe care organizațiile
trebuie să le controleze, necesitând astfel și de noi metode de audit al acestor sisteme informatice.
O dată cu dezvoltarea sistemelor informatice din cadrul organizațiilor și d ependența pe care
organizațiile le manifestă față de acestea, orice companie este obligată să efectueze un audit al
acestor sisteme, astfel încât să se asigure de buna funcționare și să reducă efectele pe care un sistem
informatic le -ar putea suporta în ca zul unei distrugeri. Tocmai din această cauză, au apărut noi
metode de auditare al sistemului informatic, care per mit evaluarea riscurilor( integritatea datelor
introduse, probleme de confidențialitate, etc.) și care se vor asigura că sistemul informatic al
organizației auditate funcționează la parametrii normali. De asemenea, prin evaluarea acestor
riscuri, vor fi analizate diferite măsuri care au fost concepute să minimizeze expunerea sistemului
la aceste riscuri și metode de reducere a riscurilor unui sistem informatic.
În cadrul acestei lucrări de disertație va fi adus în discuție auditul unui sistem informatic
bancar, mai precis a aplicației Sibcor V3, aplicație dezvoltată in -house în cadrul Băncii Comerciale
Române, dezvoltare reușită împreună cu cei de la Oracle România.
4
Absolvent: Nigel (Dan) Adeline Promoția: 2017 -2019
Programul de studii: Sisteme Informatice
Integrate Pentru Afacei
Conducător științific: Prof.univ.dr. Dorin Lixăndroiu
Tema lucrării : Auditul sistemelor informatice financiar -bancare
Studiul de caz efectuat la:
Rezumatul lucrării:
Lucrarea de licență prezintă noțiunile generale ale auditului unui sistem informatic și urmărește
principalele obiective ale acestuia. De asemenea, se definește importanța guvernanței IT și a celor două
publicații importante, COBIT și Val IT. De asemenea, sunt prezentate vulnerabilitățile,amenințările și
riscurile unui sistem informatic, urmând ca în capitolul următor să fie aduse în discuție metodele de
evaluare a riscurilor și cum se pot reduce acestea având în vedere un sistem informatic. Cel de -al
patrulea capitol pune accentul pe auditarea unui sistem informatic bancar, și anumel cel al Băncii
Comerciale Române.
Capitolul Nr.
Nr.
figuri Nr. Nr. referințe
Nr
. Denumire pagini tabele bibliografice
1. Importanța auditului unui sistem informatic 13 – 1 – 8
2. Vulnerabilități, amenințări și riscuri în
sistemele informatice 10 … 1 –
4
3. Evaluarea și reducerea riscurilor în
sistemele informatice 18 7 1 5 3
4. Auditul sistemului informatic bancar 4 … – – 2
Sinteza
Lucrării de
licență Nr. pagini
text Nr. figuri Nr. tabele Nr. referințe
bibliografice Anexe
[nr. pag.]
56 3 5 17 –
5
Cap. 1. IMPORTANȚA AUDITULUI UNUI SISTEM INFORMATIC
1.1 NOȚIUNI GENERALE
Auditul sistemelor informatice reprezintă o activitate de concepere a unui sistem care
previne,detectează și corectează evenimentele ilicite din cadrul unei organizații.
Auditul informatic cuprinde mai multe activități de auditare pentru baze de date, software,
cât și pentru ciclurile de viață specifice unui sistem informatic. Putem face referire la auditul
informatic ca fiind o unealtă care ajută la dezvoltarea afacerii în ceea ce privește prelucrarea
datelor, vizând anumite operații. Atunci când un sistem inform atic este dezvoltat, acesta este creat
cu un anume scop pentru organizație. Auditul sistemului informatic va face posibilă verificarea în
ceea ce privește funcționarea acestuia în mod corect și de asemenea, asigurarea faptului că acesta
deservește scopului pentru care a fost creat. În plus, acest audit informatic este creat pentru a
extrage date legate de sistem într -un formular, date care vor putea fi folosite pentru a monitoriza
diferite activități individuale a unui angajat. De asemenea, datele extrase p ot fi folosite de către
managerii organizației în scopul luării de deciziilor legate de dezvoltarea afacerii. Ce altceva poate
fi mai prețios în cadrul unei organizații decât utilizarea acestui audit informatic de înaltă
performanță care arată dacă sistemu l informatic funcționează în parametrii normali și de asemenea
ajută la luarea de decizii în cadrul organizației?
Unul din cei mai importanți factori care trebuiesc luați în considerare atunci când discutăm
de auditul sistemelor informatice, este acela că acest termen de audit al sistemelor informatice,
poate fi înțeles în mod diferit de la oameni la oameni și chiar de la o organizație la alta. De cele
mai multe ori, organizațiile similare care se regăsesc în aceeași sferă de activitate, pot avea abordări
diferite în ceea ce privește auditul sistemelor informatice. Chiar și în cazul în care un audit al unei
sistem informatic al unei organizații seamănă cu un alt audit al altei companii, pot exista diferențe
semnificative în profunzimea auditului efectuat.
6
În ziua de astăzi, schimbare este cuvântul pe care orice organizație ar trebui să pună
accentul. Poate această schimbare nu survine neapărat de la un sistem informatic, însă el este cel
care va susține schimbarea în organizație. IT -ul prin definiție, a avut și are un impact major asupra
factorilor sociali, economici și politici. Nu numai că prin intermediul acestuia s -au creat noi
profesii și locuri de muncă, însă a ajuns să revoluționeze alte locuri de muncă, fiind astăzi
omniprezent la aproape orice loc de muncă. O analogie care este des folosită pentru a descrie
dezvoltarea rapidă a sistemului informatic este aceea că dacă „ avionul se dezvolta cu aceeași
rapiditate cum s -a dezvoltat tehnologia informației, omul ar fi aterizat pe lună încă din anul 1922. ”
1 Tehnologia informației reprezintă un domeniu dinamic care necesită o dinamică și flexibilă
structură de control.
1.2 OBIECTIVELE AUDITULUI SISTEMELOR INFORMATICE
În prezent, datele și informațiile create de către organizații, putem spune că sunt infinite.
Numărul informațiilor prelucrate și procesate de către o organizație, este de necalculat, în sensul
în care aceasta proceseaza mii sau poate chiar milioane de date într -o singură zi. Nu mai există
companie care să poată funcționa fără un sistem i nformatic complex, care să o ajute în captarea,
procesarea și pre lucrare de date, și fără echipamente computerizate. Această necesitate
incontestabilă, face ca auditul unui sistem informatic să fie imperativ necesar.
Având în vedere prezența incontestabil ă a tehnologiei în organizații, această necesită un
sistem de control, monitorizare și analiză cum ar fi auditul sistemelor informatice. Cel mai
important aspect, din cadrul auditului sistemelor informatice, este acela de a se putea asigura o
bună securita te a datelor captate, reușind să le ofere o cât mai bună confidențialitate și o cât mai
bună utilizare. Un al doilea aspect important, este acela de a face din audit un proces cât mai
eficient și profitabil, permițând astfel detectarea erorilor în timp rec ord, eventuala corectare a
acestora și luarea de decizii asupra sistemului analizat.
Cu toate acestea, obiectivul principal atunci când se efectuează auditarea unui sistem
informatic nu acoperă, totuși, întreg ciclu de tehnologie aflat sub control, inclusi v corectitudinea
1 An Introduction to Computer Auditing, Barclay Simpson, p. 2 -3
7
calculelor efectuate de către calculatorul care le operează. Întotdeauna sfera auditului va depinde
de obiectivul său. Astfel că, auditurile sunt întotdeauna un rezultat al unei preocupări legate de
gestionarea activelor. Concentrarea audi tului se poate face asupra unei agenții de reglementare, un
proprietar al activelor sau orice parte legată de funcționarea sistemelor informatice. Spre exemplu,
obiectivul auditului unui sistem informatic, poate fi validarea integrității și corectitudinii de calcul
a sistemelor ce le operează, confirmând astfel că sistemele funcționează în parametrii normali,
evaluând astfel integritatea operațională a unui proces automat și verificând ca datele operate să
nu fie accesate și modificate de către persoane nea utorizate.
Ceea ce reprezintă o provocare pentru auditori este reprezentat de manageri care trebuie
să colereze obiectivele auditului pe tehnologie. În primul rând, aceștia vor identifica natura
activității companiei, apoi aplicațiile și sistemele care s unt folosite în cadrul companiei, pentru a
putea identifica informațiile care susțin activitate companiei. Deci, un audit axat pe o anumită arie
de afaceri va include și sistemele necesare care sprijină menținerea și dezvoltarea afacerii. De
altfel, un aud it care se va ocupa de confidențialitatea datelor, va acoperi controalele tehnologice
care impun controlul confidențialității asupra oricărei baze de date, a unui sistem de fișiere sau a
unui server de aplicații care poate oferi acces la date de identifica re personală.
Având în vedere părerea unui manager IT, domeniul de aplicare al auditului ar trebui sa fie
clar de la bun început. Pentru ca un audit să dea rezultate cât mai aproape de adevăr, ar trebui ca
de la bun început să fie stabilit un grup de oame ni, de asemenea, un set de procese și de tehnologie
care să corespundă obiectivelor urmărite de către audit. Dacă auditorul care se ocupă de sistemele
informatice nu înțelege mediul tehnologic înainte de începerea propriu -zisă a auditul, pot exista
erori î n identificare domeniului de aplicare.
Odată ce se va determina un domeniu de aplicare, auditorul va fi pus în legătura cu o
persoană pentru revizuire. De cele mai multe ori, această persoană este desemnată în mod oficial
și este un profesionist din cadrul securității sistemelor informatice, fiind cea mai înaltă persoană
din cadrul lanțului de management IT, ale cărui responsabilități acoperă în totalitate sistemele
asupra cărora se concentrează auditul. De altfel, persoana respectivă va furniza infor mații de fong
legate de sistemele auditate. Politicile, diagramele de arhitectură, manualele de sisteme și alte
tipuri de documentație vor fi adesea solicitate înaintea începerii efectuării auditului.
8
„Prin intermediul auditului sistemelor informatice se v or evalua sistemele informatice
utilizate în cadrul companiei, și garanțiile pe care companie le are pentru a proteja aceste sisteme ”2.
Așa cum am menționat anterior, scopul unui audit informatic este acela de a determina dacă
controalele folosite pentru a asigura bunurile informatice funcționează în paramentrii normali sau
nu. Printre principalele avantaje ale unui audit informatic, regăsim:
Verificarea susceptibilității la amenințare
Companiile operează în vremurile în care stocarea electronică a datelor este esențială. În
plus, în ceea ce privește contabilitatea, multe dintre acestea se fac folosind sisteme de tip cloud sau
alte sisteme de stocare online. De altfel, datele financiare ale unei companii, precum și informații
legate de clienții acesteia sau chiar legate de angajați, sunt vulnerabile prin folosirea sistemelor
informatice. Mereu va exista riscul în ceea ce privește modul în care o companie își gestionează
datele. Însă, cu ajutorul auditului informatic, acest risc va fi redus considerabil și, de asemenea,
vor fi identificate zonele cu risc înalt și altfel compania își poate crea un plan pentru a rezolva acest
risc sau a remedia posibilele amenințări viitoare.
Evaluează sistemul și îi verifică integritatea
Fiecare companie își dorește ca sistemele informatice implementate să funcționeze la
maximă capacitate, în concordanță cu obiectivele propuse. Astfel că, prin intermediul auditului
informatic, se poate realiza evaluarea eficienței acestor sisteme și, în cazul în care se observă ceva
neînregulă, a uditorul informatic poate ajuta compania să rezolve această problemă.
Disponibilitatea sistemului
Orice companie își dorește ca sistemele informatice achizitionate să funcționeze în orice
moment al zilei. Astfel că, este foarte important de verificat dac ă sistemul informatic funcționează
în momentul în care compania are nevoie. Altfel, timpul și banii ar fi irosiți în achiziționarea unui
2 https://bkmsh.com/advantages -of-an-it-audit/
9
astfel de sistem, care lasă compania la greu. Prin intermediul auditului sistemelor informatice, se
pot identifica și c orecta astfel de erori, contribuind astfel la integritatea sistemului.
Securitatea datelor
Un sistem informatic care a trecut, recent, print -un audit informatic, este de așteptat să fie
de încredere, disponibil și totodată confidențial. Ceea ce înseamnă că informațiile captate și operate
sunt protejate împotriva scurgerilor de informații și de operarea acestora de către persoane
neautorizate.
Susținerea controalelor
Dacă până în acest moment , am vorbit de faptul că auditul siste melor informatice poate
preveni sistemul de la riscuri, putem spune că acesta identifică și analizează controalele. Deci,
controalele neeficiente pot fi înlocuite sau consolidate. Prin utilizarea unor cadre diferite, auditorii
informatice pot avea încredere în ceea ce privește ef icacitatea și eficiența operațiunilor companiei,
exactitatea și autenticitatea informațiilor financiare și respectarea regulilor și a procedurilor
interne.
1.3 GUVERNANȚA IT
Guvernanța IT este definită ca fiind procesul de control al unei anumite resurse din cadrul
unei organizații informatice, unde resursele sunt definite astfel încât acestea să includă sistemele
de informare și comunicare, dar și tehnologia. Un management al unei organizației și chiar a
deținătorilor acesteia, reprezentat de consiliu de administrare, sunt responsabile pentru guvernarea
atât a întreprinderii cât și a tehnologiilor informaționale din cadrul acesteia.
10
Guvernarea întreprinderilor este procesul de stabilire și implementare a strategiei
corporative, astfel încât aceasta să își poată atinge obiectivele în mod eficient și să reușească să
gestioneze riscurile. Guvernanța este o parte din ce în ce mai importantă a guvernanței
întreprinderilor, acest f apt fiind dat de dependența întreprinderii de sistemele informaționale și de
comunicare, de amploarea investițiilor efectuate în tehnologiile informaționale, dar și de
potențialul de reușită a acestor tehnologii de a crea noi oportunități strategice și de a gestiona
riscurile acestora. De asemenea, guvernanța IT impune controlul procesului pentru a se asigura că
aceste tehnologii respectă cerințele de reglementare, juridice și contractuale.
În ceea ce privește structura organizatorică a întreprinderii, dacă până în prezent
conducerea întreprinderilor nu recunoșteau adevărata importanță a guvernării tehnologiei
informației, acum ei realizează nevoia de extindere guvernanței și asupra tehnologiei
informaționale. Astfel că, conducerea întreprinderilor a extin s structura organizațională asupra IT –
ului pentru a se asigura de alinierea afacerii la cerințele din prezent și pentru a reuși să își atingă
obiectivele strategice definite.
Această aliniere strategică se concentrează pe aprofundarea legăturii dintre afacerea
propriu -zisă și tehnologiei informaționale utilizate. Pentru a se putea realiza această aprofundare,
este necesar ca guvernanța tehnologiei informaționale să fie definită, menținută și să adauge
valoare afacerii prin utilizarea ei. În plus, este n ecesar ca operațiunile informatice să fie în strânsă
legătură cu operațiunile întreprinderii, pentru ca acestea să se poată dezvolta reciproc.
Managementul resurselor fac referire la cea mai bună investiție, și managementul acestei
investiții, adică gesti onarea corectă a resurselor IT critice: aplicații, informații, infrastructură, dar
și oameni.
Gestionarea riscului necesită, în primul rând, de o bună conștientizare a acestuia de către
ofițerii de rang înalt, înțelegerea apetitul tehnologiei informației pentru risc, înțelegerea cerințelor
de conformitate, dar și transparența în ceea ce privește riscurile semnificative pentru întreprindere.
ISACA a fost prima care a recunoscut această schimbare necesară de a se pune accentul pe
guvernanța IT în anul 1998 și care ca o consecință a acestui lucru a format Institutul IT Governance
11
pentru a se putea concentra asupra cercetărilor, publicațiilor, resurselor și simpozioanelor originale
privind această guvernanță IT.3
Institutul IT Governance există pentru a ajuta liderii piețelor de întreprinderi să îșî asume
responsabilitatea de a se alinia la obiectivele afacerii, de a oferi un plus de valoare, de a evalua
performanța, de a reuși să își aloce resursele în mod corespunzător și pentru a reduce riscurile
proprii. D e asemenea, ITGI se asigură că consiliile de administrare a fiecărei întreprinderi dispun
de instrumentele și informațiile necesare pe care aceștia le doresc, astfel ca tehnologia
informațională să depășească așteptările stabilite inițial.
De-a lungul tim pului, ISACA a publicat două publicații importante ce fac referire la
guvernanța tehnologiei informaționale și anume: COBIT și VALIT.
1.3.1 CONTROL OBJECTIVES FOR INFORMATION AND RELATED
TECHNOLOGIES ( COBIT)
A apărut pentru prima dată în anul 1996, si a fost proiectat inițial ca un set de obiecive de
control IT pentru a putea ajuta comunitatea auditului financiar de a naviga mai bine în dezvoltarea
mediilor IT. În anul 1998, ISACA (Asociația de Control și Audit al Sistemului Informațional) a
lansat versiun ea 2, care a reprezentat extinderea cadrului aplicabil în afara comunităților de audit.
După anii 2000, ISACA a dezvoltat versiunea 3, care a adus tehnici de management IT și de
guvernanță a informației găsite în framework -urile de azi.4
Cobit 4 a apărut î n anul 2005, urmat în anul 2007 de Cobit 4.1. Actualizările de versiune
au inclus mai multe informații privind guvernarea din jurul tehnologiei informației și a
comunicațiilor. În anul 2012, Cobit 5 a fost lansat, iar în anul 2013 ISACA a lansat un add -on la
COBIT 5, care a inclus informații importante pentru întreprinderi, informații ce fac referire la
gestionarea riscurilor și a guvernanța informației.
3 https://www.ukessays.com/essays/information -technology/what -is-it-governance -information -technology –
essay.php
4 https://www.cio.com/article/3243684/what -is-cobit -a-framework -for-alignment -and-governance.html
12
În anul 2019, ISACA lansează COBIT 2019, care este o versiune actualizată și proiectată
în așa fel înc ât să evolueze în același timp cu actualizările frecvente și fluide, potrivit ISACA.
Cobit 2019 a fost introdus pentru a construi strategii de guvernare care să fie mai flexibile, care să
colaboreze și care să abordeze în permanență tehnologii noi și în co ntinuă schimbare.
Prin utilizarea COBIT -ului, orice întreprinderea își poate menține standardele și își poate
dezvolta un sistem de guvernanță IT deoarece acesta poate fi folosit ca o metodologie -cadru. În
ziua de astăzi, marile companii se folosesc de ac est COBIT pentru a -și putea dezvolta sistemul
informatic și, de asemenea, pentru a se conforma legilor aflate în vigoare.
În plus, acesta conține o colecție de bune practici și procese pentru dezvoltarea guvernanței
IT, astfel încât acesta poate fi aplica t atât sistemelor informatice, management -ului serviciilor IT
cât și asupra guvernării securității. COBIT prezintă proceduri si practici generale, care trebuiesc
aprofundate de către experți astfel încât aceștia să poată dezvolta aplicații pe care, mai apo i, să le
implementeze. Prin urmare, ne sunt prezentate aspecte generale legate de dezvoltarea aplicațiilor
cât și cadrul în care aceasta poate fi implementată.
În zilele noastre, multe companii utilizează COBIT, însă îl folosesc ca pe un standard în
mai m ulte domenii din întreaga lume. Este de departe cel mai potrivit cadru de control, capabil să
ajute în dezvoltarea organizației, astfel încât aceasta să reușească să creeze o legătură de lungă
durată între obiectivele propriu -zise ale afacerii și tehnologi a informației utilizată în cadrul ei.
Accentul va cădea întotdeauna asupra nevoilor afacerii, care ar trebui să fie îndeplinite de către
obiectivul de control. COBIT -ul surprinde modul în care reușește să sprijine guvernanța IT, fapt
care subliniaza impor tanța legăturii create între tehnologia informației și obiectivele firmei.
Conform studiilor efectuate de către Gartner Group, majoritatea întreprinderilor mari
cheltuiesc peste 50% din fondurile de investiții pe dezvoltarea sistemului informatic, ceea c e ne
arată că aceștia conștientizează importanța guvernanței tehnologiei informației.5 Dacă marile
întreprinderi sunt dispuse să investească într -un procent atât de mare din fonduri în dezvoltarea
sistemelor informatice din cadrul acesteia, COBIT -ul vine î n ajutor cu un model de guvernare a
acestor tehnologii informaționale. Deci, scopul principal al COBIT -ului este de a susține afacerea
5 https://www.ukessays.com/essays/information -technology/cobit -as-a-risk-management -framework -information –
technology -essay.php
13
propriu -zisă prin generarea de valoare din IT și totodată de a gestiona riscurile aduse de această
tehnologia a informați ei.
Fiind un standard acceptat la nivel mondial, COBIT definește domenii și controale unice
legate de guvernanța IT, informatică și procesele IT conexe. Astfel, acesta se alătură scopurilor IT
și ale afacerii, pentru a pregăti capacitatea de a monitoriza maturitatea sistemelor de măsurare a
informațiilor.
În ceea ce privește auditul informatic, majoritatea auditorilor informatice utilizează COBIT
în sprijinul gestionării revizuirii sistemelor informatice și a angajamentelor de gestionare a
riscurilor. Acea stă utilizare a COBIT -ului de către auditori, redă faptul că acesta este acceptat și
utilizat pe scară largă a standardului pe care îl definește.
COBIT este alcătuit din 34 de procese esențiale de control ale afacerii care descriu fiecare
model al maturit ății procesului, conținând peste 300 de controale IT detaliate.
Resursele tehnologiei informației sunt controlate de procesele IT pentru a atinge
obiectivele IT care răspund cerințelor și nevoilor afacerii. Una dintre cele mai bune metode pentru
a revizui fiecare domeniu din cadrul acestui standard, trebuie luat în considerare ciclul de viață al
acestuia, constituit din patru domenii:
Planificare și Organizare (PO):
Include procesele de planficare și organizare în ceea ce privește proiectarea afacerii în
strânsă legătură cu atingerea obiectivelor afacerii. Acoperă utilizarea informațiilor și tehnologiilor
pentru a fi determinat modul în care acestea pot fi utilizate în cadrul afacerii. Acoperă toate
domeniile pentru a evalua riscurile.
Achiziție și Implementare(AI):
Include procese legate de achiziția și dezvoltarea soluțiilor informatice și gestionează
modificările suferite de acestea de -a lungul timpului. Acest domeniu face referire și la elaborarea
unui plan de întreținere pe care o companie ar trebui să o aibă și pe care să o accepta pentru a
prelungi viața sistemelor informatice utilizate în cadrul afacerii.
Livrarea și asistența(DS):
14
Include procesele care pot afecta livrarea efectivă a serviciilor IT către organizație. De
asemene a, include și gestionarea eventualelor probleme și incidente întâlnite de către utilizatorii
din Front Office. Face referire la execuția aplicațiilor și din cadrul sistemelor tehnologiei
informatice și rezultatele acestora, precum și la procesele de supor t care permit o execuție eficientă
a acestor sisteme.
Monitorizare și evaluare (ME):
Include procese de revizuire periodică a proceselor IT și succesul acestora în îndeplinirea
obiectivelor relevante pentru controlul IT. În cadrul acestei domeniu, se pune și problema unei
măsurări independente a eficienței sistemului informatic și capacitatea acestuia de a susține
obiectivele afacerii. Procesele de control sunt evaluate de către auditorii informatici, interni sau
externi.
1.3.2 VAL IT
Dezvoltat după modelul COBIT 5 și publicat de ISACA, scopul Val IT -ului este de a veni
în sprijinul organizațiilor de a defini relația dintre sistemele informatice utilizate în cadrul
organizației și obiectivele pe care aceasta și le dorește să le atingă. De asemenea, ghidează
investițiile făcute în tehnologia informației și gestionează portofoliile de investiții în IT ale
afacerii.
În ultimii ani, sondajele au arătat faptul că în mod constant, între 20 și 70% din fondurile
alocate investițiilor făcute î n domeniul tehnologiei informaționale sunt irosite sau care nu reușeșc
să aducă întreprinderea pe o linie de plutire. Într -unul dintre sondaje este surprins faptul că, în mai
multe companii, mai puțin de 8% din investițiile efectuate în IT sunt cheltuite e fectiv pentru
inițiativele generatoare de valoare a întreprinderii. 6
Pentru a putea aborda aceasta cerere în creștere pentru un cadru practic de investiții
realizate în domeniul tehnologiei informatice, dar și management -ul acesteia, Institutul
6 Huber, N.; ‘Gartner: Firms Waste £351bn Each Year on Ill -conceived IT Projects?’, ComputerWeekly.com (UK), 21
March 2002
15
Guvernanț ei IT, alături de alți lideri din comunitatea de afaceri și IT au dezvoltat Val IT. Acesta
este creat special pentru a veni în ajutorul companiilor, pentru a optimiza realizările de valoare
provenite din investițiile în IT. Val IT oferă suport directorilor din toate nivelurile de conducere,
atât din mediul de afaceri, cât și din alte domenii, precum organizațiile IT, CEO, managerilor și
administratorilor implicați direct în selectarea, achiziționarea, implementarea, desfășurarea și în
procesele de realizare a beneficiilor.
Val IT se bazează pe următoarele șapte principii:
1. Investițiile din cadrul organizației vor fi gestionate, cu ajutorul tehnologiilor informatice
utilizate, ca un portofoliu de investiții
2. Cu ajutorul tehnologiilor informatice utilizate, investițiile vor include întreaga gamă
necesară de activități pentru ca organizația să își poată atinge obiectivele stabilite.
3. Investițiile, prin tehnologiile informatice utilizate, vor fi utilizate și gestionate prin tot
ciclul de viață al acestora.
4. Practicile de livrare a valorii, vor recunoaște diferitele categorii de investiții, și pe care
acestea le vor gestiona și evalua diferit, în funcție de acestea.
5. Practicile de livrare a valorii, vor defini și monitoriza valorile cheie, astfel că va reuși să
răspundă rapid la orice fel de schimbare sau deviație.
6. Practicile de livrare a valorii, vor angaja toate serviciile pentru a implica toate părțile
interesate, astfel încât să atribuie responsabilitatea corespunzătoare pentru ca organizația
să îșî atingă obie ctivele.
7. Practicile de livrare a valorii vor fi monitorizate încontinuu, evaluate, dar și îmbunătățite.
Folosit cu succes de către organizații, procesele și practicile folosite din cadrul Val IT sunt
prezentate, în prezent, ca o singură integrare într -un cadru de guvernare, care va oferi factorilor de
decizie din domeniul afacerilor și al IT -ului, o abordare cuprinzătoare, consecventă și coerentă
pentru a crea valoare companiei, valoare concretă și măsurabilă.
16
Cu un suport neprețuit din partea grupărilor, recunoscute la nivel internațional, formate din
experți din domeniul guvernanței informatice, control, securitate și audit, Institutul Guvernanței
IT a acordat o atenție sporită acestui cadru pentru a se asigura că acesta împreună cu Cobit vor
furniza fact orilor de decizie din domeniul IT si al afacerilor, un cadru cuprinzător pentru crearea
de valoare, bazată pe furnizarea de tehnologii de înaltă calitate. Val IT completează Cobit și este
susținută de către acesta.
Fig. 1. 3.2.1 Cele patru zone
Înțeleg erea relației dintre cele două cadre, Val IT și Cobit este vitală. Relația aceasta vine în
ajutorul directorilor companiilor pentru a se concentra pe două din cele patru întrebări
fundamentale legate de guvernanța IT(fig. 1. 3.2.1): „Facem lucrurile potrivi te?”, întrebare
strategică și „Avem beneficiile”, întrebarea legată de valoare. Cobit, pe de altă parte, se Facem
lucrurile
potrivite?
Le facem cum
trebuie?
Noi le facem
bine?Avem
beneficiile?
17
concentrează pe IT, astfel că ajută directorii să se concentreze la întrebările: „ Noi le facem cum
trebuie?”, întrebare de arhitectură și „Noi le f acem bine?”7
Ca un cadru cuprinzător legat de proiectarea și furnizarea de servicii IT de înaltă calitate, Cobit
stabilește bune practici pentru mijloacele funcției IT de a contribui la procesul de creare a valorii.
Val IT stabilește bune practici pentru s copurile sau rezultatele dorite, lăsând astfel întreprinderile
să măsoare, să monitorizeze și să optimizeze valoarea, atât financiară, cât și non -financiară,
provenite din serviciile oferite de investițiile în IT. Coerența dintre metode și terminologie fol osite
în Val IT și în Cobit, îmbunătățește comuncările și interdependența dintre factorii de decizie,
funcția IT și funcțiile de afaceri responsabile pentru livrarea planificată de valoare.
Având în vedere că, managementul valorii, așa cum se aplică în do meniul tehnologiei
informației în ceea ce privește investițiile, este o disciplină emergentă, practicile cuprinse în cadrul
Val IT vor evolua de -a lungul timpului. Cadrul Val IT va fi într -o continuă dezvoltare, extindere
și îmbunătățit pe baza rezultatelo r oferite, a experienței cu cadrul, dar și o cercetare continuă asupra
acestuia.
Cap. 2. VULNERABILITĂȚI, AMENINȚĂRI ȘI RISCURI ÎN SISTEMELE
INFORMATICE
Preocuparea din vremurile noastre, atât din punct de vedere juridic, dar și în ceea ce
privește nivelul tehnicilor de securitate utilizate în IT, fie că vorbim din punct de vedere economic
sau de acțiuni de socializare, este acea preocupare de a asigura se curitatea, integritatea dar și
confidențialitatea datelor cu caracter personal ale persoanelor fizice, date gestionate, arhivate și
prelucrate într -un sistem informatic. Clienții companiilor, fie ei persoane fizice sau juridice, doresc
să se asigure că inf ormațiile lor sunt sigure în cadrul companiei. Pentru a putea asigura acești
clienți de securitatea sistemelor informatice utilizate în companie, este necesară o infrastructură
riguroasă de securitate a datelor.
7 John Thorp, „The paradox Information: Realizing the Business Benefits of Information Technology” , McGraw -Hill,
Canada, 2003.
18
Conform Organizației Internaționale de Sta ndardizar e (ISO) , „securitatea reprezintă setul
de măsuri care asigură confidențialitatea, integritatea și disponibilitatea informației.”8 Deci putem
spune că, o biectivele principale ale securității datelor sunt confidențialitatea, integritatea și
disponib ilitatea. Confidențialitatea , are ca scop interzicerea accesului neautorizat al persoanelor la
informația care nu le este destinată . Pentru a putea atinge acest scop, este necesar să se cunoască
informațiile ce trebuiesc protejate și ce persoane pot avea a cces la ele, și ce persoane nu. Pentru a
putea face această distincție între persoanele autorizate și cele neautorizate, este necesar să existe
anumite mecanisme de protecție a informațiilor care sunt stocate pe calculatoare și care sunt
transferate în reț eaua creată între acestea. Integritatea face referire la informațiile disponibile dintr –
o companie, informații care trebuie să fie complete și corecte. Acestea nu ar trebui să fie alterate
de către terțe persoane neautorizate. Atacurile intenționate sau n eintenționate asupra informațiilor
deținute de o companie pot provoca daune grave, rezultatul fiind neîncrederea clienților în acea
companie. Spre exemplu, un atac informatic asupra unei bănci care va duce la pierderea bazei de
date a respectivei bănci. În cazul acesta, se vor pierde informații importante legate de conturile
titularilor, astfel că va duce la neîncrederea acestora în bancă. Deși este prezentată ultima,
disponibilitatea este la fel de importantă precum confidențialitatea și integritatea. Obiectivul
disponibilității este acela ca datele stocate în calculatoare să poată să fie accesate de persoanele
autorizate oricând și oriunde. Utilizatorii trebuie să aibă acces doar la datele care le sunt destinate.
Din acest motiv, se pot distinge două c ategorii de utilizatori, cu drepturi de acces diferite:
administratorii de sistem și utilizatorii generali, excepție de la această regulă făcând parte acele
sisteme de operare care echipează calculatoarele desktop. Orice utilizator general va putea să
schimbe configurările de securitate ale calculatorului, putând chiar să le și anuleze.
În prezent, organizațiile încearcă să înteleagă care sunt amenințările pentru sistemele
informatice utilizate, și cel mai important, să găsească măsurile nece sare pentru a le putea combate,
în scopul de a -și proteja propriile informații deținute. Având în vedere factorii de risc, nivelurile
de securitate variază de la o organizație la alta. Astfel că, domeniile precum Medicină, Apărare,
Securitate Internațională sunt conside rate a fi cu grad ridicat de securitate, în timp ce domenii
precum financiar -bancar, educație, telecomunicații și transport sunt considerate a fi cu grad mediu
8https://www.academia.edu/28512865/Study_to_identify_threats_to_Information_Systems_in_organizations_an
d_possible_countermeasures_through_policy_decisions_and_awareness_programs_to_e nsure_the_information_s
ecurity?fbclid=IwAR0qVvphUZs7Za4p60uL7nrovJAD0PzCzWUjPLGXUIUElgbcA_26UNJYE5E
19
de securitate. Pentru a -și putea atinge nivelul maxim de securitate, o organizație trebuie să ac orde
atenție sporită măsurii celei mai potrivite care să ajute la reducerea daunelor și eventualelor
pierderi. De asemenea, analiza vulnerabilității, analiza riscurilor și atenuarea acestora sunt aspecte
importante de luat în vedere, atunci când o organiza ție se concentrează asupra securității sistemului
informatic utilizat. Un alt aspect important este planificarea firmei în caz de dezastru, aspect cu un
rol vital în ciclul de viață al companiei deoarece firma este obligată să prezinte măsuri menite a
minimiza daunele și pentru a evita pe cât posibil dezastrele posibile.
Vulnerabilitatea este prezentată ca fiind nivelul de expunere al sistemului informatic la
amenințări, în timp ce amenințările corespund acelui tip de daune care ar putea apărea, la un
mom ent dat, la nivelul sistemului informatic. Vulnerabilitatea reprezintă slăbiciunile sistemului
informatic, mai precis a informațiilor pe care acesta le stocheaza, la diferite atacuri asupra acestuia
prin modificarea, distrugerea, dezvăluirea, întreruperea și interceptarea acestuia:
Dezvăluirea neautorizată are un impact serios asupra menținerii securității și
confidențialității sistemului.
Modificarea apare în momentul în care utilizatorii neautorizați a sistemului
informatic modifică date/ informații disponibile în sistem.
Întreruperea apare în momentul când nu se poate accesa sistemul informatic
Interceptarea apare în momentul în care utilizatorii neautorizați copiază
datele/informațiile din sistemul informatic, pe care mai apoi le transmit mai depar te
Vulnerabilitatea poate fi evaluată prin identificarea deficiențelor și a punctelor slabe ale
sistemului informatic, care ar putea majora amenințările. De obicei, slăbiciunile sistemelor
informatice au originile în încălcarea securității informațiilor, î ncălcare care poate genera pierderi
financiare, pagube legate de brand, pierderea de încredere a clientului în compania respectivă.9
Printre cele mai întâlnite vulnerabilități ale unui sistem informatic, regăsim:
Lipsa criptării datelor
9
https://www.academia.edu/28512865/Study_to_identify_threats_to_Information_Systems_in_organizations_and
_possible_countermeasures_through_policy_decisions_ and_awareness_programs_to_ensure_the_information_se
curity?fbclid=IwAR0qVvphUZs7Za4p60uL7nrovJAD0PzCzWUjPLGXUIUElgbcA_26UNJYE5E
20
Lipsa autorizației de accesare a sistemului
Redirecționarea adresei URL la site -uri de neîncredere
Viruși
Parole slabe, neactualizate
Încărcarea de fișiere periculoase neautorizate
Furtul de informații
Furtul de laptop
Chiar dacă aproximativ 90% din controalele efectuate pentru a asigura securitatea
sistemului informatic, se concentrează pe amenințările externe, un studiu asupra acestor controale
a arătat faptul că 70% din daunele existente sunt create de persoanele din i nteriorul firmei față de
cei externi.
2.1 AMENINȚĂRI ASUPRA SISTEMULUI INFORMATIC
O amenințare a sistemului informatic, face referire la un incident nou, ce are potențialul de
a aduce pagube companiei. O clasificare a amenințărilor, în funcție de natu ra acestora poate arăta
astfel:
Amenințări naturale : inundații, dezastre naturale
Amenințări neintenționate : accesarea eronată a unor informații greșite de către
angajați
Amenințări intenționate: programe spion, malware, adware sau acțiuni ale unui
angajat nemulțumit.
În plus, virușii sunt si ei categorizați ca fiind amenințări pentru sistemul informatic
deoarece aceștia expun compania la un atac automat, spre deosebirea d e amenințarea pe care o
poate controla un angajat.
Conform clasificării celor mai importante amenințări asupra sistemului informatic regăsim
următoarele tipuri de amenințări: denegare de serviciu, furtul unui laptop, fraudă în domeniul
21
telecomunicațiilor, acces neautorizat, virus, fraudă financiară, abuz intern, penetrarea sistemului,
sabotaj, furtul sau pierderea informațiilor, abuzul de rețea wireless.
O altă clasificare a amenințărilor în funcție de locul unde aceasta poate apărea este
reprezentată de:
Amenințări interioare companiei :
Aceste amenințări au impactul major asuprasistemelor informatice. Angajații interni au
dreptul de a accesa activele companiei, astfel ca pot rezulta distrugeri ca urmare a unor acțiuni
intenționate sau neintenționate a unui angajat
Amenințări exterioare companiei:
Sunt reprezentate de persoanele sau organizațiile exterioare cu care compania
interacționează.Cele mai multe amenințări exterioare sunt reprezentate de dezastrele naturale, însă
în aceasta categorie regăsim și atacuri asupra rețelei informatice, accesul neautorizat la informații,
programe malware, etc.10
Orice organizație își dorește să își dezvolte propriile resurse și capacițăți pentru a putea
reduce considerabil amenințările asupra sistemului informatic. P rin urmare, pentru a putea reduce
aceste amenințări, este nevoie de un plan eficient de contramăsuri. Nu există măsuri perfecte, care
să ajute compania să scape definitiv de amenințări, însă orice organizație ar trebui să dispună de
diferite metode de prev enire și detectare a posibilelor vulnerabilități a sistemului informatic, astfel
încât aceasta să știe, concret, unde sistemul informatic este vulnerabil și ce fel de amenințări poate
întâlni pe viitor. În plus, amenințările nu au același tipar pentru fiec are companie, astfel că fiecare
companie în funcție de domeniul de activitate are nevoie de un anumit nivel de securitate a
sistemului informatic pentru a putea atinge obiective precum confidențialitatea, integritatea și
disponibilitatea sistemului.
Obie ctivul legat de securitatea sistemului informatic, reprezintă cel mai important aspect
al oricărei organizații. Pentru a putea atinge obiectivul legat de securitate, este nevoie ca compania
10 https://dzone.com/articles/internal -or-insider -threats -are-far-more -dangerous
22
să dispună de anumite proceduri privind vulnerabilitățile sistemul ui, politicile de securitate,
controlul asupra amenințărilor și contramăsuri pentru înlăturarea acestora. O contramăsură
reprezintă o metodă de apărare a sistemului informatic, un mecanism de atenuare a riscului posibil
sau de protecție împotriva unor vul nerabilități. Această contramăsura poate fi reprezentată de o
componentă hardware, gestionarea parolei, diferite mecanisme de control a accesului, software
antivirus, semnături digitale, criptarea informațiilor confidențiale sau configurarea software -ului
utilizat.
Deși tehnologia și procesele reprezintă piesele fundamentale ale cadrului de securitate a
informațiilor, s -a dovedit că tehnologia în sine nu este suficientă pentru a menține o compania
sigură de la amenințări. Este necesară o a treia component ă pentru a putea completa imaginea de
ansamblu: omul. Oamenii pot face diferența între o securitate bună și una mai puțin bună a
sistemului informatic. Ei sunt, fie cea ma slabă legătură, fie cea mai puternică din lanțul de
securitate.Prin urmare, există n evoia de a aduce împreună tehnologia informației și securitatea,
alături de partea umană într -un sistem autentic de management al securității informațiilor.
Consolidarea dependenței din ce în ce mai mari de componentele tehnologice ale securității
informaț iilor face ca securitatea sistemului informatic să devină tot mai dificilă. Majoritatea
problemelor apărute în timpul utilizării sistemelor informaționale au apărut de la oameni, deci
oamenii sunt factori importanți care afectează eficacitatea informațiilo r operate de către sistemul
informatic . Securitatea nu este doar o problemă tehnică, de aceea oamenii și organizațiile trebuie
să înțeleagă, de asemenea, aspecte ale factorilor umani care necesită o atenție adecvată pentru a
realiza o gestionare eficientă a securității informațiilor11.Se recomandă ca, pentru ca factorul uman
în securitatea informațiilor să fie gestionat în mod eficient, trebuie luate în considerare următoarele
aspecte.
Conștientizarea în materie de securitate: conștientizarea în materie de s ecuritate,
instruirea și educația reprezintă unele dintre cele mai eficiente contramăsuri
împotriva amenințărilor factorului uman la adr esa securității informațiilor.
11 http://www.infosecwriters.com/text_resources/pd f/human_factors.pdf
23
Ar trebui să fie aplicată o parolă puternică. Funcționalitățile care împiedică un
utilizator să stabilească o parolă care nu îndeplinește anumite criterii ar trebui
aplicată.
Organizațiile ar trebui să folosească "timeouts" pentru toate PC -urile pentru a se
asigura că utilizatorii sunt deconectați automat sau că PC -urile sunt blocate, pentr u
a minimiza riscul atacurilor de tip insider.
Organizațiile ar trebui să instituționalizeze codurile standard pentru un
comportament sigur în afaceri. Politicile de securitate a informațiilor, care trebuie
să fie parte integrantă a codulu i de conduită al organizației, trebu ie citite, înțelese
și urmate.
Pentru ca amenințările legate de securitatea informațiilor să fie atenuate,
organizațiile trebuie să adopte un cadru de securitate holistic, care să includă
vulnerabilitatea factorului uman față de acest a.
2.2 RISCURI ASOCIATE SISTEMELOR INFORMATICE
Riscurile asociate unui sistem informatic, fac referire la potențialul unei întreprinderii de a
pierde sau de a deteriora sistemul informatic, în momentul în care o amenințare exploatează o
vulnerabilitate a sistemului. De asemenea, riscul poate fi definit ca rezultatul producerii
interacțiunii dintre amenințare și vulnerabilitate. De altfel, cu atât cu sistemul informatic este mai
vulnerabil la amenințări, riscurile asociate acestei interacțiuni cresc, iar dacă sistemul informatic
este mai puțin vulnerabil la amenințari, riscurile scad.
Riscurile asociate sistemului informațional, pot fi clasificate în :
1. Riscuri de mediu:
a. Hardware și rețele de comunicații
b. Sistem de operare
c. Soft-uri de aplicație
24
d. Informațiile procesate de sistem
2. Riscuri asociate mediului:
a. Pericole naturale și dezastre
b. Alterarea sau furtul aplicațiile și/sau datelor existente
c. Erori umane sau tehnice
d. Incompetența manageriala
e. Pierderi financiare previzibile
Pentru a putea reduce potențialul companiei la riscuri, aceasta trebuie să aibă implementat
un plan de gestionare a riscurilor. Aspectele cheie ce trebuiesc evaluate de către companie s unt :
Evaluarea riscurilor și determinarea nevoilor companiei:
Pentru a putea elabora un plan de evaluare a riscurilor și punerea în practică a acestui plan
este necesar ca compania să acorde prioritate celor mai importante încălcări ale securității
sistemului informatic care trebuie abordate.
Crearea unei perspective de ansamblu asupra părtilor interesate:
Părțile interesate sunt reprezentate acționarii companiei, clienții și chiar angajații care pot
avea potențialul de a avea un impact negativ asu pra companiei, fiind altfel o amenințare, dar care
au potențialul de a fi și cei care ajută la atenuarea riscului generat de o amenințare.
Monitorizarea și evaluarea eficacității politicii și a controlului:
Sursa riscurilor nu este în permanență aceeași și, deci, aceasta poate varia. Având în vedere
acest lucru orice compania trebuie să aibă desemnată o echipă care să fie pregătită să facă orice
25
ajustare necesară cadrului. Acest lucru poate implica și includerea unor noi instrumente de
evaluare și diferit e tehnici de monitorizare a posibilelor riscuri viitoare.
Fig. 2.2 Definitie risc
Măsurile de securitate nu pot asigura o protecție 100% împotriva tuturor amenințărilor.
Prin urmare, analiza riscurilor, care este procesul de evaluare a vulnerabilităților sistemului și a
amenințărilor cu care se confruntă, este o parte esențială a oricăr ui program de gestionare a
riscurilor. În cadrul acestui proces, se vor identifica consecințele probabile sau riscurile asociate
vulnerabilităților și care va dezvolta baza pentru stabilirea unui program de securitate eficient din
punct de vedere al costur ilor. Managementul riscurilor este procesul de implementare și menținere
a contramăsurilor care reduc efectul riscului la un nivel acceptabil. În marea majoritate a cazurilor,
prin procedura de analiză a riscurilor se încearcă atingerea unui echilibru eco nomic între impactul
riscurilor și costul soluțiilor de securitate destinate atenuării riscului identificat.
La baza selectării măsurilor de protecție eficiente, stă fundamentul precum că costul
controlului oricărui risc nu trebuie să depășească pierderea maximă care poate fi asociată cu acel
risc. Cu toate acestea, sunt întâlnite cazuri în care decizia de a pune în aplicare sau de a nu pune în
26
aplicare o contramăsură, poate fi dată de importanța sistemului informatic, sau de a datelor
conținute de acesta, spre deosebirele de costurile de atenuare a acestui risc.
În ambele cazuri, suma riscurilor evitate trebuie luată în considerare în cazul în care o
singură măsură de remediere va afecta mai multe riscuri. Analistul trebuie să ia în considerare și
utilizarea și interacțiunea mai multor riscuri. Un remediu poate îmbunătăți sau neglija eficacitatea
altui remediu.
Aceste considerații constituie baza pentru determinarea măsurilor de protecție care sunt
cele mai potrivite. După evaluarea pierderii fiecărui risc, se pot face evaluări cu privire la fondurile
care pot fi alocate pentru a diminua pierderile anuale estimate la un nivel acceptabil. Având
informațiile privind pierderile înainte și după aplicarea controalelor, evaluările costurilor vor
indica ce măsuri de contracarare sunt cele mai rentabile. La identificarea măsurilor de protecție
care ar trebui puse în aplica re, ar trebui să se ia în considerare mai întâi cele mai mari riscuri.
Metodologia de analiză a riscurilor selectată (inclusiv metodele cantitative de analiză a costurilor)
va sugera probabil utilizarea indicatorilor de cost sau a numitorilor comuni care f uncționează
pentru a identifica cele mai rentabile soluții de securitate. Următorii indicatori de costuri oferă o
bază pentru compararea măsurilor de protecție:
Perioada de returnare necesară pentru recuperarea costurilor
Estimarea anuală a costurilor – reducerea pierderii potențiale
Cuantumul reducerilor pierderilor anticipate
Gestionarea riscurilor trebuie văzută ca un program continuu, proactiv pentru stabilirea și
mentinerea, dar și pentru acceptarea unei soluții de securitate a sistemului informatic u tilizat. O
dată stabilită o poziție de securitate, programul de management al riscului o va monitoriza prin
diferite activități zilnice, dar și prin analize de risc de securitate efectuate ulterior.
27
Cap 3. EVALUAREA ȘI REDUCEREA RISCURILOR UNUI SISTEM
INFORMATIC
3.1 EVALUAREA RISCURILOR UNUI SISTEM INFORMATIC:
Pentru a putea evalua riscul unui sistem informatic , trebuie parcurse următoare le etape :
1. Caracteriz area sistemului:
In evaluarea riscurilor unui sistem informatic, este necesar ca primul pas sa fie acela de
caracterizare a sistemului. In acest pas, se identifică granițele sistemului IT, împreună cu
resursele și informațiile pe care acesta le oferă. Caracterizarea unui sistem informatic,
stabilește domeniul de aplicare al evaluării riscurilor, care delimitează limitele de autorizare
operațională și care prevede informații, ca de exemplu informații legate de hardware,software,
conectivitate la sistem, esențiale pentru definirea riscului. Identificarea potențialelor riscuri ale
sistemelor IT neces ită o înțelegere dură a mediului procesării sistemului informatic. Persoana
sau persoanele care efectuează evaluarea riscurilor trebuie, prin urmare, să colecteze mai întâi
informații legate de sistem, precum informații legate de: hardware, software, inter fața
sistemului, datele și informațiile stocate de acesta, personalul care susțin și utilizează sistemul
informatic, scopul pentru care a fost dezvoltat acest sistem, sensibilitatea sistemului și a
datelor. De asemenea, este necesar să se cunoască informaț ii suplimentare al sistemului
informatic și datele pe care acesta le operează, precum:
Cerințele funcționale ale sistemului informatic
Utilizatorii sistemului: utilizatorii care oferă asistență tehnică asupra sistemului
informatic, utilizatorii sistemului, care îl utilizează pentru a îndeplini obiectivele
afacerii.
Politicile de securitate care guvernează sistemul informatic(politici organizaționale,
federale, cerințe, proceduri, etc.)
Arhitectura de securitate a sistemului:
Topologia rețelei act uale
Protejarea informațiilor stocate, protejare ce garantează disponibilitatea, integritatea și
disponibilitatea sistemului
28
Fluxul informațiilor în cadrul sistemului IT
Controale tehnice utilizate pentru sistemul informatic, spre exemplu: produs de
securitate încorporat sau suplimentar care acceptă identificarea și autentificarea,
controlul accesului discreționar sau obligatoriu, auditul, protecția informațiilor
reziduale, metodele de criptare utilizate)
Controalele de management utilizate pentru sis temul IT: securitatea personalului,
operațiunile de back -up disponibile, situațiile de urgență, recuperarea și întreținerea
sistemului, stocarea în afara amplasamentului, proceduri legate de ștergerea sau
definirea unui cont de utilizator, controalele pent ru separarea funcțiilor utilizatorilor,
etc.
Pentru un sistem care se află în faza de inițiere sau proiectare, informațiile legate de acesta
pot fi obținute din documentele de proiectare sau din cerințele acestui sistem. Reguli de scuritate,
precum cheile de securitate, sunt necesare a fi definite în cadrul unui sistem informatic ce se află
în curs de dezvoltare. Documenta ția unui sistem aflat în faza de proiectare, cât și planul de
securitate al acestuia pot furniza informații relevante în ceea ce privește securitatea acestuia și
eventualele riscuri la care se poate expune acesta.
În ceea ce privește un sistem informatic operațional , datele legate de acesta sunt colectate
din mediul său de producție, incluzând, de asemenea, și date despre configurația, cone ctivitatea,
procedurile și practicile documentate și nedocumentate. Așadar, descrierea sistemului se poate
baza pe securitatea furnizată de infrastructura de bază sau de viitoarele planuri de securitate legate
de dezvoltarea sistemului informatic.12
De asem enea, există anumite tehnici de colectare a informațiilor relevante despre sistemul
informatic studiat, astfel că următoarele tehnici sau o combinație a acestora poate fi utilizată în
colectarea informațiilor relevante pentru sistemul informatic, în limite le sale operaționale:
Chestionarul: pentru a colecta informații relevante, personalul creat pentru a
evalua riscurile poate elabora un chestionar privind controalele de gestionare și
operaționale planificate sau utilizate pentru sistemul informatic. Acest chestionar
12 Risk Management Guide for Information Technology Systems, Gary Stoneburner, Alice Goguen, and Alexis
Feringa, p.11
29
trebuie distribuit personalului de conducere tehnic și non -tehnic aplicabil, care
proiectează sau susține sistemul informatic.
Interviurile la fața locului: interviurile cu personalul de suport și management al
sistemului informatic pot permit e personalului de evaluare a riscurilor să colecteze
informații utile despre sistemul informatic, de exemplu: modul în care sistemul este
gestionat. Interviurile la fața locului permit, de asemenea, personalului de evaluare
a riscurilor să observe și să ad une informații despre securitatea fizică, de mediu și
operațională a sistemului informatic.
Revizuirea documentației: Documentele de politică, documentația
sistemului(ghidul de sistem, manualul de administrare a sistemului, proiectarea
sistemului,etc.), d ocumentația legată de securitatea sistemului( rapoarte a auditu lui
efectuat anterior, rezultatele testării sistemului,etc.) pot oferi informații relevante
despre controalele de securitate efectuate în cadrul companiei.
Utilizarea instrumentului de scanare automată: Metodele tehnice proactive pot
fi utilizate pentru colectarea automată și eficientă a informațiilor despre sistem.
Spre exemplu, un instrument de mapare a rețelei poate identifica serviciile care
rulează pe un grup mare de gazde și oferă o modal itate rapidă de a construi profile
individuale ale sistemelor informatice vizate.
2. Identificarea amenințării:
Așa cum am descris în capitolul anterior, o amenințare reprezintă potențialul pentru o
anumită sursă de amenințare pentru a exercita cu succes o vulnerabilitate deosebită. O
vulnerabilitate reprezintă o slăbiciune ce poate fi declanșată accidental sau în m od intenționat. O
sursă de amenințare nu prezintă un risc atunci când nu există nici o vulnerabilitate care să poată fi
exercitată. Pentru a determina probabilitatea unei amenințări, trebuie luate în considerare sursele
de amenințare, potențialele vulnerab ilități, dar și controalele existente.
O sursă de amenințare poate fi definita ca fiind, orice circumstanță sau eveniment cu un
potențial dăunător sistemului informatic studiat. Sursa de amenințare poate fi naturală, umană sau
de mediu. În evaluarea surselor de amenințare, este important să se ia in considerare toate
potențialele surse care ar putea provoca o daună sistemului informatic.
30
Un atac deliberat poate fi atât o încercare dăunătoare de a obține acces neautorizat la
sistemul informatic pentru a compromite integritatea, disponibilitatea și confidențialitatea datelor,
cât și o acțiune benignă, dar totuși deliberată, prin care se încearcă ocolirea securității sistemului.
Motivația și resursele pentru realizarea unui atac fac ca factorul uman să fie o potențială
sursă de amenințare. De as emenea, orice amenințare sau eventual o listă a potențialelor surse de
amenințare ar trebuie adaptate la organizația individuală și la mediul său de procesare.
Amenințările comune au fost identificate de multe organizații din sectorul guvernamental și priv at.
Instrumentele de detecție a infracțiunilor devin tot mai răspândite, iar organizațiile guvernamentale
și industriale, colectează în mod continuu date pentru a putea evalua în mod realist amenințările.
3. Identificarea vulnerabilității
Analiza amenințărilo r unui sistem informatic, trebuie să includă și o analiză a
vulnerabilităților asociate mediului de sistem. Scopul acestui pas este de a identifica o listă de
potențiale vulnerabilități ale sistemului care ar putea fi exploatate de potențialele surse de
amenințare.
Tabelul . 3.1.1 Tabelul Vulnerabilitate -Amenințare
Vulnerabilitatea Sursa de amenințare Acțiunea amenințării
Identificatorii de sistem, ID –
urile angajaților nu sunt
eliminate din sistem Identificatorii de sistem Accesarea rețelei companiei
și accesarea datelor private
ale companiei
Firewall -ul companiei
permite adăugarea unui ID
invitat Acces neautorizat Căutarea prin datele
companiei, în mod
neautorizat
Furnizorul a identificat
defecte în design -ul de
securitate a sistemului, și nu a
remediat această situație. Useri neautorizați Obținerea accesului
neautorizat la fișierele
companiei bazate pe
vulnerabilități cunoscute ale
sistemului.
31
Centrele de date utilizează
apa pentru a suprima focul.
Prelata pentru a proteja
hardware -ul și echipa mentele
împotriva daunelor provocate
de apă nu sunt în vigoare. Focul, angajați neglijenți Aplicătoarele de apă sunt
activte în centrul de date.
Printre metodele acceptate pentru identificarea vulnerabilităților sistemului sunt folosirea
surselor de vuln erabilitate, performanța testelor de securitate a sistemului și elaborarea unei liste
de verificări a cerințelor de securitate. Trebuie remarcat faptul că tipurile de vulnerabilități care
vor exista și metodologia necesară pentru a determina dacă vulnerabi litățile sunt prezente, vor
varia în funcție de natura sistemului informatic și de starea de dezvoltare în care se află acesta:
Dacă si stemul informatic nu a fost încă proiectat, căutarea vulnerabilităților ar
trebui să se înceapă de la politicile de secur itate a companiei, de la procedurile de
securitate planificate și de la definițiilor existente cerințelor de sistem.
Dacă sistemul informatic se află în faza de implementare, identificarea
vulnerabilităților trebuie extinsă pentru a include informații mai specifice, cum ar
fi caracteristicile de securitate planificate descrise în documentația de proiectare a
securității și rezultatele testării și evaluării de certificare a sistemului.
Dacă sistemul informatic se află în faza operațională, procesul de ident ificare a
vulnerabilităților ar trebui să includă o analiză a caracteristicilor de securitate a
sistemului informatic și a controalelor de securitate, tehnici și proceduri, utilizate
pentru a putea proteja sistemul.
Vulnerabilitățile tehnice și nontehnice asociate cu mediul de procesare al unui sistem
informatic, pot fi identificate prin tehnicile de colectare a informațiilor relatate mai sus. O analiză
a altor surse de industrie, spre exemplu pagina Web a furnizorulu i care identifică erorile și
deficiențele sistemului, va fi utilă în pregătirea interviurilor și în elaborarea chestionarelor eficiente
32
pentru a identifica vulnerabilitățile, care pot fi aplicate anumitor sisteme informatice13. Internetul
poate fi considera t ca fiind o altă sursă de informație despre vulnerabil itățile unui sistem
informatic, sursa fiind cunoscută de furnizori. Resursele de vulnerabilitate documentate ar trebui
luate în considerare într -o analiză mai detaliată care includ, dar care nu se lim itează la următoarele
aspecte:
Documentația anterioară de evaluare a riscurilor a sistemului informatic
Rapoartele de audit a sistemului informatic, rapoarte de anomalie a sistemului,
rapoarte de revizuire a securității și rapoartele de testare și evaluare a sistemului.
Alerte de vulnerabilitaten pentru asigurarea informațiilor
Analiza securității software -ului sistemului
4. Testarea securității sistemului:
Metodele proactive, care se bazează pe testarea sistemului, pot fi utilizate pentru a
identifica vulne rabilitătile sistemului în mod eficient, în funcție de nivelul critic al sistemului
informatic și de resursele disponibile. Metodele de testare includ:
Instrument automat de scanare a vulnerabilităților: este utilizat pentru a scana un grup
de gazde sau o rețea pentru servicii vulnerabile cunoscute, de exemplu sistemul permite
transferul anonim de fișiere, trimiterea de e -mail-uri. Cu toate acestea, trebuie precizat
faptul că unele dintre potențialele vulnerabilități identificate de instrumentul automat de
scanare a acestora,pot să nu reprezine vulnerabilități reale în contextul mediului de sistem.
Testarea și evaluarea de securitate: este o altă metodă care poate fi utilizată în
identificarea vulnerabilităților unui sistem informatic, în timpul procesului d e evaluare a
riscurilor. De asemenea, include și dezvoltarea și executarea unui plan de testare.Scopul
acestor teste de securitate este de a testa eficiența controalelor de securitate a sistemului,
dat fiind faptul că acestea sunt aplicate într -un mediu o perațional. În plus, prin această
13 Risk Management Guide for Information Technology Systems, Gary Stoneburner, Alice Goguen, and Alexis
Feringa, p.16
33
testare se verifică dacă controalele de securitate aplicate respectă specificațiile de securitate
aprobate pentru software și hardware.
Testarea de penetrare: poate fi utilizată pentru a completa analiza controalelor de
securitate și pentru a se asigura că sunt asigurate diferite fațete ale sistemului informatic.
Testarea de penetrare poate fi utilizată pentru a evalua capacitatea sistemului informatic,
atunci când este folosită în timpul procesului de evaluare a riscurilo r.Scopul acestei testării
este de a testa sistemul informatic din punctul de vedere al unei surse de amenințare și de
a identifica eventualele defecțiuni și deficiențe ale acestuia.
În cadrul acestei etape, personalul desemnat pentru a evalua riscurile unu i sistem
informatic, stabilește dacă cerințele de securitate prevăzute pentru sistemul IT și colectate în timpul
caracterizării acestuia, sunt îndeplinite de către controalele de securitate existente sau planificate.
În mod tipic, cerințele de securitate a sistemului pot fi prezentate sub forma unui tabel, fiecare
cerința fiind însoțită de cel puțin o explicație a modului în care proiectarea sau punerea în aplicație
a sistemului, respectă sau nu această cerință de control a securității. O listă de verific ări a cerințelor
de securitate conține standarde de securitate de bază care pot fi folosite pentru a evalua și identifica
sistematic vulnerabilitățile activelor prezente în companie, procedurile neautomatizate, procesele
și transferurile de informații asoc iate unui anumit sistem informatic în următoarele domenii de
securitate:
Management : în cadrul acestui domeniu sunt verificate următoarele cerințe de
securitate: alocarea responsabilităților, continuitatea suportului, capacitatea de reacție
la incidente, r evizuirea periodică a controalelor de securitate, evaluarea riscurilor,
securitatea sistemului și formarea tehnică, autorizarea sistemului, planul de securitate
a sistemului
Funcțional : în cadrul acestui domeniu sunt verificate următoarele cerințe de secu ritate:
contaminările provenite din aer(fum, praf, substanțe chimice), controale destinate a
asigura alimentarea cu energie electrică, accesul la mass -media, distribuirea și
etichetarea datelor externe, controlul umidității, controlul temperaturii, stațiil e de lucru
( laptop -uri și calculatoare)
Operațional: în cadrul acestui domeniu sunt verificate următoarele cerințe de securitate:
comunicațiile din cadrul sistemului (interconectarea sistemului), criptarea datelor,
34
controlul accesului discreționar, identi ficarea și autentificarea în cadrul sistemului,
auditul sistemului.
5. Controlul analizei:
Obiectivul principal al acestui etape din cadrul evaluării riscurilor sistemului informatic,
este de a analiza controalele ce deja au fost implementate sau planificate pentru a fi implementate,
de către companie pentru a -și minimiza sau elimina amenințările ce pot exercita o anumită
vulnerabilitate.
Pentru a putea obține o evaluare generală a probabilității a probabilității ca o vulnerabilitate
să fie exercitată sau nu, trebuie luate în considerare punerea în aplicare a controalelor curente sau
planificate.Spre exemplu, o vulnerabilitate nu poate fi exercitată atunci când există un nivel scăzut
de interes a sursei de amenințare. Controalele de securite includ metodele te hnice sau nontehnice.
Controalele nontehnice sunt reprezentate de controalele de gestiune și de funcționare, precum
politicile de securitate, procedurile operaționale, dar si securitatea personalului, securitatea fizică
sau de mediu.
Categoriile de control, atât pentru metodele de control tehnice, cât și pentru metodele
nontehnice, pot fi clasificate ca fiind preventive sau detective:
Controalele preventive inhibă încercările de a încălca politica de securitate și includ
controale de c ăutare și de control a accesului, criptare și autentificare asupra sistemului
Controalele detective includ detectarea încălcărilor sau încercărilor de încălcare a
politicilor de securitate a sistemului și, de asemenea, includ controale de căutare
exemplifi cate ca trasee de audit și metode de căutare a intruziunilor.
Punerea în aplicare aceste controale în timpul procesului de evaluare a riscurilor, reprezintă
rezultatul direct al identificării deficiențelor controalelor actuale sau planificate. Așa cum s -a
menționat anterior, elaborarea unei liste de verificări a securității sau a unei listei de verificări
disponibile este necesară pentru a putea analiza controalele în mod eficient și sistematic. Această
listă de verificări a cerințelor de securitate poate f i utilizată pentru a valida neconformitatea de
securitate, precum și conformitatea de securitate. Prin urmare, este esențial ca această listă de
verificări să fie actualizată continuu pentru a putea reflecta asupra modificărilor survenite în cadrul
35
acestei a, mai precis a modificărilor survenite în mediul de control al companiei, pentru a se putea
asigura integritatea și valabilitatea acesteia.
6. Determinarea probabilității
Pentru a putea obține o probabilitate generală care indică probabilitatea ca o vulner abilitate
potențială să poată fi exercitată în cadrul mediului sistemului informatic, trebuie luați în
considerare următorii factori de guvernare:
Motivația sursei de amenințare și capabilitatea acesteia de a -și face efectul
Natura vulnerabilității ce este exercitată
Existența controalelor efectuate și eficiența acestora
Probabilitatea ca o vulnerabilitate să fie exercitată de o anumită sursă de amenințare poate
fi încadrată într -unul din următoarele nivele:
Tabelul .3.1.2 Nivelul probabilității
Nivelul
probabilității Definirea probabilității
Mare Sursa de amenințare este foarte motivată și suficient de capabilă, astfel
încât controalele existente pentru a preveni vulnerabilitatea exercitată
sunt ineficiente.
Mediu Sursa de amenințare este motivată și capabilă, însă controalele existente
sunt în stare să împiedice succesul sursei de amenințare asupra
vulnerabilității exercitate.
Scăzut Sursa de amenințare nu este motivată și nici capabilă, astfel încât
controalele pot preveni sau pot să împiedice sursa de amenințare.
36
7. Impactul analizei
Următoarea etapă în evaluarea riscurilor unui sistem informatic este reprezentat de
determinarea impactului negativ rezultat dintr -un exercițiu de amenințare cu succes a unei
vulnerabilități exercitate.Înainte de a se începe analiza impactului, este necesar a fi urmați
următorii pași, menționați anterior:
Misiunea sistemului informatic: scopul și obiectivele acestuia.
Nivelul de criticitate a sistemului informatic și a datelor conținute de acesta.
Sensibilitatea sistemului informatic ș i a datelor conținute de acesta.
Aceste informații pot fi obținute din documentația organizațională e xistentă, precum și d in
raportul de analiză a impactului misiunii sistemului sau din raportul de evaluare a criticității
sistemului. Obiectivul principal al acestei etape, impactul analizei bazat pe metodele calitative sau
cantitative , este de a acorda prioritate nivelurilor de impact asociate activelor și sensibilității
acestora. Evaluarea criticită ții activelor determină, identifică și acordă prioritate informațiilor
deținute de companie, care vor susține misiunile critice ale acesteia.
Dacă documentația aferentă sistemului informatic nu a fost finalizată, sistemul informatic
și sensibilitatea date lor poate fi determinată bazându -se pe nivelul de protecție necesar pentru a se
putea menține sistemul și datele conținute de acesta disponibile, integre și confidențiale. Prin
urmare, impactul negativ asupra securității sistemului poate fi descris î n term eni de pierdere sau
degradare a oricărei combinații a oricăruia dintre următoarele trei obiective de securitate:
integritate, confidențialitate și disponibilitate. Următoarea listă oferă o scurtă descriere a
consecințelor neîndeplinirii acestor obiective :
Pierderea integrității sistemului: Poate duce la inexactitate, fraudă și decizii
eronate atâta timp cât această pierdere nu este corectată. Încălcarea integrității poate
fi considerat primul pas într -un atac de succes asupra disponibilității si
confidenția lității sistemului. Din această cauză, pierderea integrității reduce
siguranța unui sistem informatic.
37
Pierderea disponibilității: Dacă sistemul informatic nu este disponibil
utilizatorilor săi finali, obiectivele și scopul companiei pot fi afectate. Pierd erea
disponibilității sistemului poate conduce la pierderea timpului productiv de muncă,
împiedicând astfel utilizatorii finali să își îndeplinească obiectivele menite a sprijini
scopul companiei.
Pierderea confidențialității: Impactul dezvălurii datelor ș i informațiilor deținute
de companie, în mod neautorizat, poate conduce la pierderea încrederii publice și
la eventuale acțiuni în justiție împotriva companiei.
Unele efecte tangibile pot fi măsurate cantitativ din punctul de vedere al veniturilor
pierdute , precum costul reparării sistemului sau nivelul efortului necesar reparării problemei
generate de o sursă de amenințare asupra unei vulnerabilități. Celelalte efecte, precum pierderea
încrederii publice, pierderea credibilității companiei, deteriorarea in teresului unei companii, pot să
nu fie exprimate cantitativ, ci pot fi exprimate prin nivelul impactului generat: impact mare, mediu
sau scăzut.
Tabelul . 3.1.3 Nivelul impactului
Nivelul
impactului Definirea impactului
Mare Exercitarea vulnerabilității poate genera pierderi masive de bunuri sau de resurse
corporale majore. Poate încălca, în mod semnificativ, misiunea sistemului.
Mediu Exercitarea vulnerabilității poate genera pierderi medii de bunuri sau de resurse
corporal e majore.
Scăzut Exercitarea vulnerabilității poate genera pierderea unor bunuri sau a unor resurse
corporale majore
Pentru a realiza analiza impactului, trebuie avute în vedere avantajele și dezavantajele
evaluărilor cantitative și calitative. Princip alul avantaj al analizei impactului din punct de vedere
calitativ este faptul că prioritățile acestei analize sunt legate de riscurile și că această analiză poate
identifica domenii necesare a fi îmbunătățite imediat pentru a se asigura securitatea sistemu lui, în
ceea ce privește vulnerabilitățile acestuia. Dezavantajul acestei analize este că nu oferă măsurători
38
cantitative specifice ale nivelului impactului, făcând o analiza cost -beneficiu a oricărei reparație
necesară a fi făcută în cadrul sistemului inf ormatic. Principalul avantaj al utilizării unei metode
cantitative este acela că oferă o măsură a nivelului impactului generat, care poate fi utilizată în
analiza cost -beneficiu a controalelor recomandate. Dezavantajul acestei metode este că bazându –
se int ervalul numeric utilizat pentru a măsura impactul, rezultatul unei as tfel de metode poate fi
neclar, fapt ce poate conduce la o interpretare calitativă a rezultatului. De asemenea, este necesar
a fi luați în considerare următorii factori suplimentari ce po t determina nivelul de impact:
Estimarea frecvenței exercitării vulnerabilității de către sursa de amenințare, într -o
perioadă de timp specificată.
Calcularea unui cost aproximativ pentru fiecare sursă de amenințare asupra
vulnerabilității exercitate.
Un factor ponderat bazat pe o analiză subiectivă a impactului relativ al unei surse
de amenințare.
8. Determinarea riscului
Obiectivul principal al acestei etape este de a evalua nivelul de risc la care este supus
sistemul informatic. Determinarea riscului pentru o pereche de amenințare/vulnerabilitate poate fi
exprimată în funcție de:
Probabilitatea ca o sursă de amenințare să exercite o vulnerabilitate
Amplitutidinea impactului ar trebui să fie reprezentată de o sursă de amenințare
care să exercite cu succ es o vulnerabilitate
Adecvarea controalelor de securitate existente sau planificate pentru reducerea sau
eliminarea riscurilor potențial existente.
Pentru a putea fi măsurat riscul unui sistem informatic este necesar elaborarea unei scale
de risc și a unei matrice de risc. Determinarea finală a riscului derivă din evaluarea atribuită
probabilităților de amenințare și impactul amenințării. Tabelul de mai jos indică modul în care
evaluarea generală a riscului poate fi determinată pe baza contribuțiilor din ca tegoriile de risc de
amenințare și de impact asupra amenințării. Matricea de mai jos este o matrice 3×3 și reprezintă
39
probabilitatea de amenințare ( mare, medie și scăzută) și impactul amenințării ( ridicat, mediu și
scăzut). Această matrice arată modul în care sunt derivate nivelele globale de risc de nivel ridicat,
mediu și scăzut. Determinarea acestor nivele poate fi subiectivă. Justificarea acestor nivele poate
fi explicată în termenii probabilității atribuită fiecărui nivel al sursei de amenințare și, de asemenea,
o valoare atribuită fiecărui nivel de impact.
Tabelul 3.1.4 Matricea asociată nivelului de risc
Sursa de amenințare Nivelul impactului
Scăzut(10) Mediu (50) Ridicat(100)
Ridicat (1.0) Scăzut Mediu Ridicat
Medie(0.5) Scăzut Mediu Mediu
Scăzută(0.1) Scăzut Scăzut Scăzut
Tabelul următor descrie nivelurile existente în matricea de mai sus. Această scală de risc,
cu evaluările sale ridicate, medii sau scăzute reprezintă gradul sau nivelul de risc la care un sistem
informatic ar putea fi expus. Scara de risc, reprezintă prin urmare, acțiuni pe care compania prin
conducerea superioară trebuie să le ia în functie de nivelul impactului existent, astfel:
Tabelul 3.1.5 Nivelul de risc și acțiunile necesare
Nivelul
impactului Descrierea nivelului de risc și acțiunile necesare fiecărui nivel
Scăzut Dacă nivelul de risc este scăzut, trebuie determinat dacă sunt necesare
acțiuni corective.
Mediu Dacă nivelul de risc este mediu, acțiunile corective sunt necesare și, în acest
caz, trebuie dezvoltat un plan pentru a implementa aceste acțiuni într -o
anumită perioadă de timp
Ridicat Dacă nivelul de risc este ridicat, acțiunile corective sunt necesare, iar un
plan de implementare al acestor acțiuni trebuie implementat cât mai repede.
40
9. Recoma ndări de control
În cadrul acestei etape, sunt recomandate controale care ar putea atenua sau elimina
riscurile identificate în cadrul sistemului informatic. Aceste recomandări vor fi transmise
conducerii companiei pentru a putea fi dezvoltat un plan care să le implementeze. Scopul acestei
etape este de a reduce nivelul de risc al sistemului informatic la un nivel acceptabil. Următorii
factori ar trebui luați în considerare în recomandarea controalelor și a eventualelor soluții propuse
pentru a minimiza ris cul sau al îndepărta complet:
Eficacitatea soluțiilor recomandate
Legislația în vigoare și reglementările acesteia
Politica organizațională a companiei
Impactul operațional asupra sistemului
Siguranța și fiabilitatea sistemului
Recomandările de control sunt evaluate, prioritizate și implementate. Trebuie spus că nu
pot fi implementate toate controalele posibil recomandate. Pentru a determina dacă controalele
recomandate sunt necesare sau nu pentru o anumită companie, trebuie făcu tă o analiză cost –
beneficiu al acelui control recomandat. În plus, impactul organizațional, ca de exemplu efectul
implementării controlului asupra sistemului, și fezabilitatea, ca de exemplu acceptarea cerințelor
tehnice de către utilizatori, trebuie luate în considerare cu atenție în timpul procesului de reducere
a riscurilor identificate.
10. Documentația rezultată
Odată ce evaluarea riscurilor a fost finalizată( sursele de amenințare și vulnerabilitățile au fost
identificate, evaluarea riscului a fost făcut a, iar recomandările de control au fost date) rezultatele
trebuie notate într -un raport oficial.
Un raport de evaluare a riscului ajută conducerea companiei să ia decizii în ceea ce privește
schimbările operaționale și de gestiune a politicilor, proceduri lor, bugetului și a sistemului. Spre
deosebire de un raport de audit al sistemului informatic, care urmărește nereguli, un raport de
evaluare a riscurilor, nu ar trebui prezentat într -un mod acuzator, ci ca o analiză sistematică și
41
analitică asupra abordăr ii evaluării riscurilor astfel încât conducerea superioară să înțeleagă
riscurile la care le este supus sistemul informatic și, în funcție de caz, să aloce resursele necesare
pentru a reduce și corecta pierderile potențiale sau să ia decizia de schimbare a sistemului, în cazul
în care costul depășește cu mult beneficiile. Din acest motiv, acest raport de evaluare a riscurilor
se bazează pe perechile de amenințare/vulnerabilitate ce pot coexista într -un sistem informatic.
3.2 REDUCEREA RISCURILOR UNUI SISTEM INFORMATIC
Reducerea riscurilor este al doilea proces din cadrul gestionării riscurilor care presupune
prioritizarea, evaluarea și implementarea controalelor adecvate de reducere a riscurilor
recomandate în urma evaluării riscurilor sistemului inf ormatic. 14
Având în vedere că este aproape imposibil eliminarea tuturor riscurilor ale unui sistem
informatic, responsabilitatea utilizării celui mai mic cost privind reducerea riscurilor revine
conducerii superioare a companiei cât și a managementului fu ncțional.
Reducerea riscurilor poate fi prezentată ca o metodologie sistematică utilizată de
managementul superior pentru a reduce riscul sistemului informatic. Reducerea riscurilor poate fi
făcută prin următoarele opțiuni de diminuare a riscurilor:
Asuma rea riscului: intervine atunci când este necesară acceptarea riscului potențial și
continuarea funcționării sistemului informatic și astfel dorindu -se a reduce riscul la un
nivel acceptabil
Evitarea riscului: intervine atunci când se dorește evitarea riscu lui prin eliminarea
cauzei generatoare de risc și/sau a consecințelor.
Limitarea riscului: reprezintă utilizarea de controale de sprijin,preventive și de detecție
Planificarea riscului: existența sau crearea unui plan de reducere a riscului identificat
care prioritizează, pune în aplicare și menține controalele de securitate
14 Risk Management Guide for Information Technology Systems, Gary Stoneburner, Alice Goguen, and Alexis
Feringa p.28 -29
42
Cercetare și recunoaștere: reducerea riscului de pierdere prin recunoașterea
vulnerabilității sau a defecțiunilor și cercetarea pentru corectarea vulnerabilității
Transferul riscului: face referire la transferarea riscului prin utilizarea de opțiuni pentru
a compensa pierderea, ca de exemplu : asigurarea făcută sistemului.
Conducerea superioară a companiei, cunoscând potențialele riscuri la care sistemul informatic
este expus și controalele recomandate, pot întreba „Când și în ce circumstanțe trebuie să luăm
măsuri?”, „Când pot pune în aplicare aceste controale recomandate?” Fig. 3.2.1 ne arată în ce
circumstanțe pot fi abordate aceste întrebări. Punctele adecvate pentru punerea î n aplicare a
acțiunilor de control recomandate sunt acele puncte în care se ajunge răspunzând la întrebări prin
cuvântul DA.
Fig.3.2.1 Reducerea riscurilor – puncte de acțiune
43
Această strategie de reducere a riscurilor este explicată prin următoarele reguli de bază,
care oferă îndrumări privind acțiunile de atenuare a riscurilor:
Când sistemul este vulnerabil se pun în aplicare tehnici de asigurare pentru a se reduce
probabilitatea exercitării acelei vulnerabilități.
Când o vulnerabilitate poate fi exe rcitată se aplică protecții stratificate, modele
arhitecturale și controale administrative pentru a minimiza riscul sau pentru a preveni
apariția acestui eveniment.
Când costul de reparație în caz de atac este mai mic decât câștigul potențial se vor aplica
măsuri de protecție pentru a micșora motivația atacatorului prin creșterea costului
atacatorului, ca de exemplu utilizarea controalelor de sistem, cum ar fi limitarea a ceea ce
un utilizator de sistem poate accesa și face, poate reduce semnificativ câștig ul unui atacator.
Când pierderea generată ar fi prea mare se vor aplica principiile de proiectare, design
arhitectural și de protecție tehnică și nontehnică pentru a limita amploarea atacului,
reducând astfel potențialul de pierdere.
În continuare, vom pr ezenta etapele necesare a fi parcurse pentru a putea implementa
controalele recomandate:
Etapa 1 – Prioritizarea acțiunilor: Pe baza nivelurilor de risc prezentate în raportul de
evaluare a riscurilor, acțiunile de punere în aplicare sunt prioritizate. În alocarea resurselor,
ar trebui să se acorde o maximă atenție și prioritate, elementelor de risc cu nivel ridicat.
Aceste perechi de vulnerabilitate/amenințare vor necesita acțiuni corective imediate pentru
a putea fi protejat interesele și obiectivele unei companii
Etapa 2 – Evaluarea opțiunilor de control recomandate: Controalele recomandate în
timpul procesului de evaluare a riscurilor, nu vor fi întotdeauna cele mai potrivite și
fezabile soluții deoarece fiecare companie este diferită și, deci, deține si steme informatice
diferite. În cadrul acestei etape se va analiza fezabilitatea și eficacitatea controalelor
recomandate pentru a vedea dacă se potrivesc sistemului informatic din cadrul acelei
companii.
44
Etapa 3 – Analiza cost -beneficiu: Pentru a veni în sprijinul managementului în luarea de
decizii pentru a putea identifica soluțiile cele mai potrivite în ceea ce privește controalele
recomandate, se va folosi analiza cost -beneficiu.
Etapa 4 – Selectarea controlului potrivit : După ce a fost efectuată a naliza cost –
beneficiu, conducerea companiei a identificat cele mai potrivite controale pentru a se
reduce riscurile companiei. Controalele selectate ar trebui să combine elemente de control
tehnice, operaționale și de management pentru a se asigura o secur itate adecvată sistemului
informatic existent în companie
Etapa 5 – Atribuirea responsabilității: În cadrul acestei etape, responsabilitatea de a
pune controlul selectat în implementare se va atribui personalului care dispune de expertiza
adecvată și de competențele necesare.
Etapa 6 – Dezvoltarea unui plan de implementare a controalelor selectate: În cadrul
acestei etape se va dezvolta un plan de implementare a controalelor, plan ce ar trebui să
conțină următoarele informații:
o Riscurile potențiale și nivelurile de risc asociate acestora.
o Acțiuni prioritare
o Controalele planificate selectate.
o Resursele necesare implementării controalelor selectate.
o Data de începere și data de sfârșit a implementării
o Cerințe de întreținere
Etapa 7 – Implementarea controalelor selectate: în cadrul acestei etape, după ce a fost
elaborat planul de implementare a controalelo r, se vor implementa efectiv aceste controale
recomandate. Depinzând de fiecare situație în parte, prin implementarea acestor controale
se poate reduce riscul la care este supus sistemul informatic, dar este puțin probabil ca acele
riscuri să fie eliminate complet și permanent.
45
Cap. 4. AUDITUL SISTEMULUI INFORMATIC BANCAR
Procesul de audit al sistemelor informatice definește procedura generală de planificare a
acestuia. Pentru a putea acoperii întreg ciclul de audit sunt necesari parcurgerea următorilor pași:
planificarea auditului sistemului informatic și efectuarea auditu lui sistemului informatic ce se
bazează pe definirea subiectului de audit, obiectivul auditului, sfera sau domeniul de aplicare al
auditului, planificarea pre -audit și colectarea datelor, evaluarea sistemului informatic și pregătirea
raportului de audit. 15
În zilele noastre, companiile sunt dependente tehnologia informației având în vedere
procesul lor de afaceri zilnic. Aproximativ toate tranzacțiile de afaceri sunt realizate prin
intermediul mijloacelor media digitale, care sporesc riscul de afaceri și riscul financiar. Tocmai
din această cauză, companiile manifestă mai multă îngrijorare în ceea ce privește reducerea și
atenuarea acestor amenințări. Ca și alte sectoare financiare, industria bancară, este de asemenea,
foarte dependentă de funcț ionarea teh nologiei informației . Prin urmare, băncile sunt nevoite să
dețină un de partament destinat tehnologiei informației, care să poate gestiona eficient activitățile
operaționale și financiare bazate pe mediul digital. În prezent, sectorul bancar care oferă dife rite
servicii online, cum ar fi operațiuni efectuate la ATM, transferul de fonduri online, servicii bancare
mobile, operațiuni cu cardul de debit/credit, etc.. Toate aceste activități bancare bazate pe card sau
plastic se realizează prin resursele sistemul ui de informații, disponibil în sectorul bancar și unde
nu există bani fizici. Prin urmare departamentul IT al băncii trebuie să se asigure că sistemul
informatic al acesteia poate proteja și securiza interesele băncii. Pentru a evalua procesele de
businee s bazate pe tehnologia informației, organismele de reglementare și a standardelor
profesionale, băncile pun accent pe dezvoltarea unui departament de audit intern care are ca scop
revizuirea periodică și care poate aprecia procesele de afaceri bazate pe te hnologia informației.
Departamentul de audit intern este astfel nevoit să își definească rolul, responsabilitățile, sfera de
aplicare, autoritatea, toate acestea pentru a dezvolta proceduri, procese și orientări pentru auditorii
interni.
15 The Information System (IS) Audit Process in a Banking System, Jahangir Khan and Dr. Imran Amin, p.2 -3
46
Obiectivul princ ipal al departamentului de audit intern al sistemului informatic al unei
bănci este de a determina informațiile și lacunele tehnologiei legate de securitatea sistemului și, de
asemenea, de a recomanda soluții fezabile. Auditul sistemului informatic vizează examinarea
proceselor tehnologiei informației și a resurselor acesteia pentru a îndeplini obiectivele principale
ale instituției bancare și pentru a asigura eficiența și economia în operațiunile sale, respectând în
același timp regulile existente.
În ce ea ce privește auditarea sistemului informatic existent într -o instituție bancară,
următoarele sarcini ar trebui avute în vedere de departamentul de Management al Auditului:
În conformitate cu standardele în vigoare, liniile directoare și procedurile de audit va fi
elaborată și implementată o strategie de audit bazată pe riscurile la care este supus sistemul
informatic al unei instituții bancare
Pentru asigurarea rezonabilă că activitățile sistemului informatic și activitățile financiare
ale unei bănci su nt salvate și bine protejate, trebuie să se dezvolte un plan de audit.
În conformitate cu standardele, instrucțiunile și procedurile de audit a sistemului
informatic, se va efectua auditul acestuia în diferite departamente unde se folosește
sistemul inform atic.
Strategia de gestionare a riscurilor și de control al riscurilor ar trebui să fie elaborată și
implementată într -o instituție bancară.
De asemenea, auditorii sistemului informatic ar trebui să elaboreze și să pună în practică o
strategie de audit baz ată pe riscurile la care pot fi supuse sistemele informatice al unei instituții
bancare, în conformitate cu standardele de audit a sistemelor informatice, cu orientările de
reglementare și cu politicile interne. Toate acestea pentru a se asigura includerea domeniilor cheie
ce vor fi auditate. În plus, auditorii sistemului informatic trebuie să evalueze eficiența structurii de
guvernanță IT pentru a determina dacă deciziile, direcțiile și strategiile tehnologiei informației ale
băncii sprijină strategiile și obiectivele băncii.16
Se vor evalua practicile de gestionare a riscurilor pentru a determina dacă riscurile legate
de sistemul informatic ale băncii sunt gestionate corespunzător. Auditorii sistemului informatic ar
16 http://www.fintechbd.com/it -secu rity-and-information -system -audit -in-banks
47
trebui să efectueze un audit asupra infor mațiilor generale și a aspectelor legate de securitatea
tehnologică aferentă următoarelor aspecte:
Administrarea activelor tehnologiei informației
Serviciile tehnologiei informației
Aspectele fizice ale sistemului informatic: interfața client/server, tele comunicațiile,
serverele utilizate, stocarea de date, intranet și internet
Securitatea mediului sistemului informatic
Gestionarea user -ului și accesul acestuia
Accesul la baza de date și gestionarea securității rețelei
Centrul de securitate
Managementul pr oblemelor și al incidentelor
Managementul riscurilor IT
Integritatea datelor și controlul tranzacțiilor
Reținerea și eliminarea datelor
Achiziția de sisteme, managementul dezvoltării
Continuitatea afacerii și recuperarea datelor în caz de dezastre
Auditul sistemelor informatice reprezintă procesul de colectare și evaluare a dovezilor
pentru a determina dacă sistemul informatic a fost conceput pentru a menține integritatea datelor,
pentru a proteja activele, pentru a permite atingerea eficientă a obiectivel or organizaționale și
pentru utilizarea eficientă a resurselor. Un audit eficient al sistemului informatic conduce
organizația pentru a -și atinge obiectivele și un sistem eficient de informare care utilizează resurse
minime pentru a atinge obiectivele comp aniei.
Obiectivul de a întreprinde un audit al sistemului informatic este de a evalua sistemul
informațional computerizat al instituției bancare pentru a verifica dacă acesta produce date
informative în timp util, date exacte, complete și fiabile. De asemenea, si stemul informațional
computerizat trebuie să asigure confidențialitatea, integritatea,disponibilitatea și fiabilitatea
datelor, în timp ce respectă cerințele legale și de reglementare în vigoare. Auditorii IT evaluează
adecvarea controalelor interne în sis temele informatice pentru a reduce riscul de pierdere din cauza
48
erorilor,fraudelor și a altor acte și dezastre sau incidente care ar putea face ca sistemul să nu fie
disponibil. Obiectivele auditului vor varia în funcție de natura sau categoria de audit. S ecuritatea
sistemului informatic este obligatorie pentru a proteja întreg sistemul de cele mai frecvente
amenințări de securitate întâlnite în industria bancară, care include următoarele:
Vulnerabilități și intruziuni ale rețelei
Probleme de performanță și defecte în aplicații
Modificarea sau distrugerea necorespunzătoare a datelor
Accesul la date confidențiale
Accesul neautorizat la computerele din sucursalele departamentului
Dezvăluirea parolei
Printre principalele motive pentru care se efectuează un audi t asupra sistemului informatic
din cadrul unei instituții bancare sunt:
Pentru a asigura integritatea, confidențialitatea și disponibilitatea sistemelor și a
resurselor informaționale.
Să investigheze posibilele vulnerabilități și incidente de securitate p entru a se
asigura conformitatea cu politicile de securitate ale băncii
Pentru a asigura implementarea sistemelor software în conformitate cu politicile de
implementare a băncii
Pentru a asigura că modificările efectuate în cadrul sistemului sunt conforme cu
politica băncii privind controlul schimbărilor sau gestionarea modificărilor
Asigurarea și păstrarea periodică a copierii periodice a datelor și a sistemului cirtic
de afaceri
Pentru a asigura restaurarea datelor, cât și a întregului sistem, restaurare ce se
realizează în mod regulat, astfel încât integritatea datelor să poată fi asigurată, iar
banca să fie pregătită pentru orice dezastru posibil.
Pentru a monitoriza activitatea utilizatorului sau a sistemului
Să investigheze incidente semnalate de secur itate
Un audit IT este diferit de un audit financiar. În timp ce scopul auditului financiar este de
a evalua dacă instituția bancară aderă la practicile contabile standard, scopurile auditului IT sunt
49
de a evalua design -ul și eficacitatea controlului inter n al sistemului. Aceasta include, dar nu se
limitează la protocoale de eficiența și securitate, procese de dezvoltare și guvernare sau
supraveghere IT.
Pentru a se asigura o securitate adecvată a sistemului informatic bancar instalarea
controalelor este n ecesară, dar nu este suficientă. Persoanele responsabile cu securitatea trebuie să
ia în considerare dacă controalele sunt instalate conform destinației acestora, dacă sunt eficiente
în cazul în care a survenit o încălcare a securității și dacă da, ce măsu ri pot fi luate pentru a preveni
viitoarele încălcări.
4.1 SISTEME UTILIZATE ÎN CADRUL BCR
În prezent, sistemele informatice au devenit o componentă indispensabilă ce poate
garanta unei organizații sau întreprinderi succesul unei afaceri. Astfel că, domeniul informatic a
ajuns să fie o discplină obligatorie și necesară pentru marea majoritate a diverselor domenii ale
activităților umane.
În acest sens, Banca Comercială Română a investit în sistemele informatice utilizate în
prezent, printre care regăsim:
Aplicația Sibcor V3 : Alături de cei de la ORACLE, a fost dezvoltat și implementat
sistemul de core banking, numit SIBCOR, ajuns astăzi la versiunea a III -a. Acest sistem
a oferit Băncii Comerciale Române o soluție robustă, capabilă să susțina activitatea și
obiectivele de afa ceri ale unei instituții financiare de asemenea proporții. Soluția
informatică realizată pentru BCR a demonstrat capabilitățile de lucru în echipă BCR –
ORACLE, pentru un proiect destul de complex utilizat, în prezent de peste 12 000 de
angajați din cadrul B CR. Este un sistem informatic integrat și centralizat, care are la bază
cele mai inovatoare concepte și tehnologii pentru a asigura unei bănci comerciale
oportunități semnificative de eficientizare și îmbunătățire a controlului intern pentru
serviciile și produsele oferite clienților din industria retail sau corporate. Soluția Sibcor a
permis Băncii Comerciale Române să -și crească nivelul de profitabilitate și eficiență,
gestiunea eficientă a clienților, crearea unei platforme pentru implementarea unor noi
canale de distribuție, securitate și disponibilitate a informației .
50
Neural : Aplicație destinată gestiunii creditelor persoanelor fizice. Această aplicație este
conectată la aplicația celor de la HR, dar și de aplicația Sibcor V3. În cadrul acestei
aplicaț ii sunt introduse CNP -ul clientului, CNP pe baza căruia datele din Sibcor V3 sunt
aduse în cadrul acesteia, și de asemenea verificat în cadrul aplicației celor de la HR, dacă
acest CNP este sau nu angajat al BCR -ului. Prin intermediul acestei aplicații sun t
acordate sau nu creditele de nevoi personale, credite garantate, descoperit de cont sau
card de cumpărături.
Clavis : soluția Clavis Asset Management, furnizata de producătorul de software Dorsun,
specializat în aplicații bancare, oferă companiilor din i ndustrie posibilitatea de a răspunde
în timp real cerințelor formulate de clienți în legătură cu portofoliul de investiții. Soluția
oferă posibilitatea de a vizualiza rapid operațiunile, în diverse valute și instrumente
financiare( acțiuni, obligațiuni). F uncționează independent de sistemele de baze de date
ale băncii și are sisteme de raportare, risc, management. În cadrul acestei aplicații se pot
vedea numărul de unități de fond deținut de client și la ce fond a aderat acesta. De
asemenea, se poate vedea istoricul de operațiuni efectuate de client și de asemenea, prin
intermediul acestei aplicații se pot deschide noi produse, se pot răscumpăra unități de
fond sau se poate subscrie la același fond sau altul o anumită sumă. În plus, fiind
independentă de cel elalte aplicații, aici se vor adăuga eventuali împuterniciți și se vor
actualiza datele clientului.
Moncard : aplicație de gestiune a cardurilor clienților BCR. Aici sunt introduse de către
cei de la Departamentul Carduri noile cardu emise, fie ele reînnoi te automat sau la
cererea clientului. Pentru predarea cardului și/sau a pin -ului se va folosi această aplicație
de către angajații BCR.
3.2 CHESTIONAR DE AUDIT – BCR
A. Mediul IT din cadrul BCR:
Clientul folosește sisteme informatice integrate?
o Da, Banca Comercială Română utilizează sisteme informatice integrate, printre
care regăsim și sistemul Sibcor V3.
51
Cât de critică este disponibilitatea sistemelor IT pentru afacerea clientului ?
o Disponibilitatea sistemelor IT este foarte critică având o întrerupere to lerabilă mai
mică de 1 zi.
Este IT -ul critic pentru atingerea obiectivelor clientului?
o Având în vedere că BCR -ul depinde de disponibilitatea sistemelor informatice,
putem spune că IT -ul este critic pentru atingerea obiectivelor clientului.
Cum se asigură c lientul că IT -ul este parte a strategiei pe termen mediu și lung?
o Având în vedere că IT -ul este o componentă indispensabilă în atingerea
obiectivelor BCR -ului, putem spune că IT -ul este parte a strategiei pe termen
lung.
Cum se asigură clientul că proiectele pe care dorește să le inițieze sunt planificate
corespunzător?
o Există departamente special create pentru dezvoltarea, testarea și implementarea
de noi proiecte.
Cum sunt monitorizate proiectele pentru a se asigura că își vor atinge obiectivele într-un
mod eficient din punct de vedere al timpului și costului?
o Proiectele sunt monitorizate pe întreg ciclu de viață al acestora, fiind monitorizate
de echipe special create pentru fiecare proiect în parte, astfel încât dezvoltarea,
testarea și implemen tarea proiectului să se desfășoare conform planului și să nu se
depășească costurile estimate.
Are clientul dezvoltat DRP (disaster recovery plan) / BCP (business continuity plan)?
(DA/NU)
o Da
Planul (DRP/BCP) acoperă toate aplicațiile și funcțiile de infra structură care suportă
procesele? Care continuitate este critică pentru client? Cât de des și cât de riguros este
testat planul?
o Planul acoperă toate aplicațiile și funcțiile de infrastructură care suportă
procesele. Continuitatea relațiilor de afaceri cu clientul este critică, astfel încât o
dată pe an este testat acest plan.
Este clientul conștient de date care îi sunt critice?
52
o Da, BCR -ul este conștient de datele critice, mai cu seamă conștientizează
importanța acestor date și repercusiunile distrugerii a cestora
Este IT -ul critic pentru atingerea obiectivelor clientului? Ce a întreprins clientul pentru a
asigura securitatea datelor sale? (politici/proceduri)
o IT-ul este critic pentru atingerea obiectivelor băncii. BCR -ul a dezvoltat diverse
departamente spe cial create pentru a asigura securitatea datelor sale, diverse
proceduri de lucru, printre care regăsim și „Politica Pentru Securitatea
Informației”.
Care sunt riscurile identificate de dumneavoastră pentru clientul selectat, din răspunsurile
date la între bările de mai sus?
o Riscurile identificate la care ar fi supuse sistemele informatice BCR ar putea fi:
dezastrele naturale, indisponibilitatea, lipsa integrității și lipsa confidențialității
sistemului informatic, accesul neautorizat în cadrul sistemului, f actorul uman.
B. Tehnologia utilizată :
Printre sisteme informatice utilizate de Banca Comercială Română, regăsim: Sibcor V3,
Neural ,Clavis, Moncard, toate descrise mai sus.
La ce nivel din cadrul organizației raportează șeful departamentului de IT?
o La nivel ul Președintelui Executiv
Cum este IT -ul organizat astfel încât să asigure o delimitarea a responsabilităților și
continuitatea activității?
o IT-ul este organizat în așa fel încât, spre exemplu perioada concediilor, să se
asigure continuitatea activității. Fiecare post aferent departamentului IT este
suplimentat de către o terță persoană din cadrul departamentului, astfel încât
această persoană să preia responsabilitățile persoanei plecate în concediu
C. Analiza aplicației selectate
1) Accesul în aplicație
53
Cum es te reglementat (limitat) accesul către funcțiile importante din mediul IT?
(administrator de baze de date, administrator de aplicație, administrator de rețea)
o Fiecare funcție importanta deține un acces personalizat în mediul IT, în funcție de
responsabilit ățile postului pe care este angajat.
Cum este monitorizat accesul în aplicație? (revizuire de loguri, revizuire de listă de
utilizatori)
o Logourile aplicațiile sunt monitorizate și analizate periodic.
Prezentați și analizați setările de parolă aferente ap licației?
o Numărul maxim permis de încercare de conectare nereușite înainte de blocarea
contului este 3. Complexitatea parolei: cel puțin o litera mare, o litera mica și un
caracter special, parola nu poate conține numele de utilizator al aplicației și nu
poate conține caractere repetitive. O parolă veche poate fi reutilizată abia după
300 de zile, iar parola nou setată are o valabilitate de 30 zile.
Care sunt riscurile identificate de dumneavoastră pentru clientul selectat, din informațiile
prezentate în se cțiunea C.1?
o Riscurile identificate pot fi accesul neautorizat și factorul uman.
2) Gestionarea modificărilor aduse aplicației
Cine și cum inițiază o modificare care să fie adusă aplicației?
o Managementul Cerintelor de Schimbare și Managementul Proiectelor sunt cele
care pot iniția schimbari aduse aplicației.
Cine aprobă modificarea pentru a fi dezvoltată?
o Cele două departamente menționate anterior pot aproba modificarea pentru a fi
dezvoltată.
Cine și cum monitorizează modificările aduse aplicației?
o Cele două departamente vor monitoriza dezvoltarea soluției tehnice ce urmează a
fi implementată.
54
Cine și cum testează modificările dezvoltate? Cine aprobă migrarea dezvoltării în
producție?
o De testarea modificărilor dezvoltate se va ocupa Managementul Testării.
3.3 APRECIEREA EFICACITĂȚII SISTEMULUI INFORMATIC
Având în vedere că indiferent de tipul și scopul sistemului informatic realizat, acesta
trebuie să satisfacă așteptările utilizatorilor, cuantificarea acestor așteptări semnificând aprecierea
eficacităț ii sistemului informatic analizat.
Conform aspectelor abordate în chestionarul de audit, în scopul aprecierii eficacității se va
apela la metoda experților. Grupul de experți este compus atât din persoanele care au intrat în
directă acțiune cu sistemele informatice, cât și din persoane care au beneficiat de rezultatele
acestora.
Având în vedere sistemul informatic analizat și anume SIBCOR V3, criteriile de evaluare
al acestui sistem ar putea fi:
Securitatea informațiilor deținute de sistem
Nivelul de au tomatizare al operațiunilor
Operativitatea informațiilor
Prelucrarea datelor
Interfața sistemului
De asemenea, fiind un sistem dezvoltat in -house alături de cei de la ORACLE, celor de la
BCR le va fi mai ușor de aplicat controalele recomandate în urma audi tului informatic având în
vedere că ei dețin etapele de proiectare, implementare și testare.
Ca și utilizator al acestui sistem pot spune că acesta este unul complex și intuitiv fiind
foarte ușor de utilizat. În plus, apreciez că în cadrul acestui sistem poți efectua toate operațiunile
dorite de client, astfel încât să nu fie nevoie să utilizezi m ai multe programe în același timp. De
asemnea, apreciez faptul că sistemul comunică între cele două funcții principale din Front Office,
spre exemplu: dacă partenerul clienți retail a acordat creditul, iar clientul dorește să retragă banii
55
în numerar, part enerul clienti retail va trimite către unul dintre partenerii servicii clienți o
operațiune de eliberare numerar în cont, clientul fiind direcționat către acesta din urmă pentru a -și
ridica suma de bani. Printre multitudinea de operațiuni ce se pot efectua în cadrul acestei aplicații
regăsim: schimb valutar, lichidare depozite, depunere în depozite, deschideri de cont, modificare
tip cont, adăugare/elimanare împuternicit, monitorizare operațiuni case, operațiuni legate de
întreț inerea datelor clienților, et c..
Principalul risc la care este supus sistemul informatic al BCR -ului este factorul uman.
Având o bază de date comună, toți angajați au acces la aceeași bază de date și, prin urmare, aceștia
pot accesa date legate de clienți din alte orașe sau județe. Re comandarea ar fi de adoptare a
tehnologiei blockchain în banking, astfel încât accesul angajaților să fie limitat strict la sucursala
de care aceștia aparțin, sau în funcție de departamentul în care lucrează. Un blockchain reprezintă
o listă de înregistrăr i în continuă creștere care sunt legate și securizate cu ajutorul criptografiei.Prin
design, blockchain -urile sunt rezistente la modificarea datelor, astfel că acesta poate fi considerat
un registru transparent și distribuit, care poate fi verificat în mod permanent. În plus, cu această
tehnologie blockchain ar deveni extrem de dificilă modificarea și compromiterea bazei de date a
băncii.
În concluzie, având un sistem dezvoltat in -house și diferite departamente ale IT -ului care
se ocupă de proiectarea,dezvo ltarea, implementare și întreținerea sistemelor informatice, Banca
Comercială Română poate să își identifice vulnerabilitățile sistemului, sursele de amenințare
potențiale și eventualele riscuri la care ar putea fi supus sistemul informatic.
56
BIBLIOG RAFIE
1. An Introduction to Computer A uditing, Barclay Simpson
2. Huber, N.; ‘Gartner: Firms Waste £351bn Each Year on Ill -conceived IT Projects?’,
ComputerWeekly.com (UK), 21 March 2002
3. John Thorp, „The paradox Information: Realizing the Business Benefits of Information
Technology” , McGraw -Hill, Canada, 2003.
4. Risk Management Guide for Information Technology Systems, Gary Stoneburner, Alice
Goguen, and Alexis Feringa
5. The Information System (IS) Audit Process in a Banking System, Jahangir Khan and Dr.
Imran Ami n
6. *** https://bkmsh.com/advantages -of-an-it-audit
7. *** https://www.ukes says.com/essays/information -technology/what -is-it-governance –
information -technology -essay.php
8. *** https://www.cio.com/article/3243684/what -is-cobit-a-framework -for-alignment -and-
governance.html
9. *** https://www.ukessays.com/essays/information -technology/cobit -as-a-risk-
management -framework -information -technology -essay.php
10. ***
https://www.academia.edu/28512865/Study_to_identify_threats_to_Information_Systems
_in_organizations_and_possible_countermeasures_through_policy_decisions_and_aware
ness_programs_to_ensure_the_information_security?fbcli d=IwAR0qVvphUZs7Za4p60u
L7nrovJAD0PzCzWUjPLGXUIUElgbcA_26UNJYE5E
11. *** https://dzone.com/articles/internal -or-insider -threats -are-far-more -dangerous
12. *** http://www.infosecwriters.com/text_resources/pdf/human_factors.pdf
13. *** http://www.fintechbd.co m/it-security -and-information -system -audit -in-banks
57
Copyright Notice
© Licențiada.org respectă drepturile de proprietate intelectuală și așteaptă ca toți utilizatorii să facă același lucru. Dacă consideri că un conținut de pe site încalcă drepturile tale de autor, te rugăm să trimiți o notificare DMCA.
Acest articol: Siipa Disertatie Nigel (dan) Adeline [624290] (ID: 624290)
Dacă considerați că acest conținut vă încalcă drepturile de autor, vă rugăm să depuneți o cerere pe pagina noastră Copyright Takedown.