Jump to content
int21h.exe

Risk mitigation - Notiuni de Information Risk Management [2]

Recommended Posts

Posted

Daca in https://rstforums.com/forum/82664-notiuni-de-information-risk-managementt-evaluarea-riscului.rst am evaluat riscul IT si am descoperit amenintarile, in urmatoarele randuri puteti gasi cateva informatii despre atenuarea riscurilor identificate.

Sursa de baza: standardul NIST 800-30

Information Risk Management – Risk mitigation

=======================================================

Atenuarea riscului/ Risk mitigation

Cuprins:

DEFINITII SI INTRODUCERE

1. OPTIUNI DE ATENUARE A RISCULUI

2. STRATEGIE DE ATENUARE A RISCULUI

3. ABORDARE PENTRU IMPLEMENTAREA CONTROLULUI

Pas 1. Prioritizarea actiunilor

Pas 2. Evaluarea optiunilor de controale recomandate

Pas 3. Efectuarea analizei cost-beneficiu

Pas 4. Selectarea contrololui

Pas 5. Atribuirea responsabilitatilor

Pas 6. Dezvoltarea unui plan de implementare a protectiei

Pas 7. Implementarea controalelor selectate

4. CATEGORII DE CONTROALE

4.1. CONTROALE DE SECURITATE TEHNICE

4.1.1. : Controale tehnice pentru suport

4.1.2 : Controale tehnice preventive

4.1.3 : Controale tehnice de detectie si recuperare

4.2. CONTROALE DE SECURITATE DE MANAGEMENT(MANAGEMENT SECURITY CONTROLS)

4.2.1. Controale de management preventive

4.2.2. Controale de management detective

4.2.3. Controale de management de restaurare

4.3. CONTROALE OPERATIONALE

4.3.1. Controale operationale preventive

4.3.2. Controale operationale detectie

5. ANALIZA COST-BENEFICIU

EXEMPLU DE ANALIZA COST-BENEFICIU

6. RISCUL REZIDUAL

Definitii si introducere

Definitie:

Evaluarea riscului/Risk assesment -

Procesul de identificare a riscurilor securitatii unui sistem si determinarea probabilitatii aparitiei lor, a impactului rezultat si a masurilor de protectie aditionale care vor atenua acest impact. Parte a Risk Management si sinonim cu Risk Analysis/Analiza riscului

Definitie:

Gestionarea riscului/ Risk Management -

Intregul proces de identificare, controlare si atenuare a riscurilor legate de sisteme informationale. Include evaluarea riscului, analiza cost-beneficiu si selectarea, implementarea, testarea si evaluarea masurilor de protectie din punct de vedere al securitatii. Aceasta revizuire a securitatii generale a sistemului ia in considerare atat eficacitatea cat si eficienta, incluzand impactul asupra organizatiei si constrangerile impuse de politici, regulamente si legislatia in vigoare.

Definitie:

Amenintare/Threat -

Potentialul pentru o amenintare-sursa de a se exercita(concretiza) – fie declansata accidental fie exploatata intentionat, printr-o vulnerabilitate specifica.

Definitie:

Amenintare sursa/Threat-source -

Este fie (1) o situatie si o metoda utilizata la exploatarea intentionata a unei vulnerabilitati sau (2) o situatie si o metoda ce poate declansa accidental vulnerabilitatea.

Definitie:

Vulnerabilitate -

Este un defect sau o slabiciune in procedurile, design-ul, implementarea sau controalele interne aferente securitatii unui sistem, ce poate fi exercitat(declansat accidental sau exploatat intentionat) si care poate avea ca rezultat o bresa de securitate sau o violare a politicilor de securitate a sistemului.

Definitie:

Control (Controale) –

Este o masura, o actiune, o prevedere, o specificatie, o impunere cu rolul de a ghida beneficiarul in atingerea si mentinerea unui grad de securitate planificat.

1. Optiuni de atenuare a riscului

============================================================

Atenuarea riscului este o metodologie systematica utilizata de conducere pentru a reduce riscul misiunii. Atenuarea riscului poate fi atinsa prin urmatoarele optiuni :

--> Asumarea riscului : optiunea de a accepta potentialul risc si de a continua sa foloseasca sistemul sau de a implementa controale pentru a micsora riscul la un nivel acceptabil;

--> Evitarea riscului : optiunea de evitare a riscului prin eliminarea cauzei riscului si/sau a consecintelor;

--> Limitarea riscului : optiunea de limitare a riscului prin implementarea controalelor ce minimizeaza impactul advers al exercitarii unei amenintari-sursa printr-o vulnerabilitate;

--> Planificarea riscului - optiunea de a gestiona riscul prin dezvoltarea unui plan ce prioritizeaza, implementeaza si mentine controalele;

--> Cercetare si confirmare - optiunea de a diminua riscul de a inregistra pierderi prin confirmarea vulnerabilitatilor sau a defectelor si cercetarea pentru descoperirea controalelor necesare corectarii vulnerabilitatii;

--> Transferarea riscului - optiunea de a transfera riscul unei entitati externe sau utilizand optiuni de compensare a pierderii cum ar fi incheierea unei asigurari.

Cand se alege una din optiunile de mai sus trebuie sa se tina cont si de scopul si misiunea organizatiei! Se poate sa nu fie practica abordarea tuturor riscurilor identificate si astfel sa se dea prioritate perechilor de amenintari si vulnerabilitati ce au potentialul de a cauza impact sau daune semnificante.

2. Strategie de atenuare a riscului

==============================================================

Conducerea si/sau proprietarii misiunii/businesului, stiind de potentialele riscuri si controalele recomandate pot intreba : "Cand si in ce imprejurari ar trebui sa actionez? Cand ar trebui sa implementez aceste controale pentru a atenua riscul si a proteja organizatia?"

Un exemplu de strategie, care furnizeaza ghidarea actiunilor de atenuare a riscului in cazul unei amenintari umane intentionate:

--> Cand exista vulnerabilitate (sau defect sau slabiciune) : se implementeaza tehnici de asigure care sa reduca probabilitatea ca vulnerabilitatea se va exercita;

--> Cand o vulnerabilitate poate fi exercitata : se aplica protectie pe nivele, schite arhitecturale si controale administrative pentru a minimiza sau preveni aparitia vulnerabilitatii;

--> Cand costurile unui atacator sunt mai mici decat potentialele castiguri : se aplica metode de protectie prin care sa se scada motivatia atacatorului prin cresterea costurilor sale;

--> Cand pierderile sunt prea mari : aplica principii de design, design-uri/schite arhitecturale si protectii tehnice si nontehnice pentru a limita extinderea atacului, reducand astfel potentialele pierderi.

Strategia de mai sus, ce exceptia celui de-al 3-lea item se aplica si la atenuarea riscurilor ce provin din amenintari de mediu sau amenintari umane neintentionate.

3. Abordare pentru implementarea controlului

==============================================================

Cand este necesar sa se intrprinda actiuni de control, se aplica urmatoarea regula :

--> Gaseste cele mai mari riscuri si lupta pentru atenuarea lor cu cel mai mic cost si cu un impact minim asupra celorlalte capabilitati ale misiunii organzatiei.

Urmatoarea metodologie de atenuare a riscului descrie abordarea implementarii controlului.

Pas 1. Prioritizarea actiunilor

Bazata pe sistemele de risc prezentate in raportul de evaluare a riscului, actiunile de implementare sunt prioritizate. La alocarea resurselor, prioritatea de top ar trebui data itemilor de risc cu rankinguri ale riscurilor inacceptabil de mari. Aceste perechi vulnerabilitate/amenintare wor necesita actiuni corective imediate pentru a proteja misiunea si interesul organizatiei.

REZULTAT PAS 1. : RANKINGUL ACTIUNILOR DE LA MARE LA MIC

Pas 2. Evaluarea optiunilor de controale recomandate

Controalele recomandate in procesul de evaluare a riscului e posibil sa nu fie cele mai potrivite si fezabile optiuni pentru o organizatie si un sistem specific. In acest pas, fezabilitatea (ex : compatibilitatea, acceptanta din partea utilizatorilor) si efectivitatea optiunilor controalelor recomandate sunt analizate.

Obiectivul este selectarea celor mai potrivite optiuni de control pentru minimizarea riscului.

REZULTAT PAS 2. : LISTA CU CONTROALE FEZABILE

Pas 3. Efectuarea analizei cost-beneficiu

Pentru a ajuta conducerea in a decide si pentru a identifica controalele cost-effective (eficiente ca si cost) este efectuata o analiza cost-beneficii.

REZULTAT PAS 3. : ANALIZA COST-BENEFICIU CE DESCRIE COSTURILE SI BENEFICIILE IMPLEMENTARII SI NEIMPLEMENTARII CONTROALELOR.

Pas 4. Selectarea contrololui

Pe baza rezultatelor analizei cost-beneficiu, conducerea determina cel/cele mai rentabile din punct de vedere cost-efect controale pentru reducerea riscului misiunii organizatiei.Controalele selectate trebuie sa combine elemente de control tehnic, operational, de conducere pentru a asigura o securitate adecvata pentru sistemul IT si organizatie.

REZULAT PAS 4. : SELECTAREA CONTROALELOR.

Pas 5. Atribuirea responsabilitatilor

Persoanele potrivite (persoane din cadrul organizatiei sau persoane externe, angajate special) ce au expertiza si abilitatile potrivite pentru implementarea controalelor selectate vor fi identificate si li se vor atribui responsabilitati.

REZULTAT PAS 5. : LISTA PERSOANELOR RESPONSABILE

Pas 6. Dezvoltarea unui plan de implementare a protectiei

In timpul acestui pas se dezvolta un plan de implementarea a protectiei. plnul trebuie sa contina cel putin urmatoarele informatii:

--> riscuri (perechi vulnerabilitate/amenintare) si nivele de riscuri asociate (rezultatul de la raportul de evaluare a riscului)

--> controale recomandate (rezultat din raportul de evaluare a riscului)

--> actiuni prioritizate (prioritari fiind itemii care au risc mare si foarte mare)

--> controale planificate selectate

--> resursele necesare implementarii controalelor planificate

--> lista angajatilor si echipelor responsabile

--> data de inceput a implementarii

--> data tinta de finalizare a implementarii

--> cerinte de mentenanta

Planul de implementare a protectiei/pazei prioritizeaza actiunile de implementat si stabileste data de start si cea de finalizare a proiectului. Acest plan va ajuta si va accelera procesul de atenuare a riscului.

REZULTAT PAS 6. : PLAN DE IMPLEMENTARE A PROTECTIEI

Pas 7. Implementarea controalelor selectate

In functie de fiecare situatie in parte controalele implementate pot micsora nivelul riscului dar nu il pot elimina ramanand astfel un risc REZIDUAL.

REZULTAT PAS 7. : RISC REZIDUAL.

4. Categorii de controale

===============================================================

Pentru maximizarea eficacitatii controalelor recomandate intr-o organizatie in scopul atenuarii riscului este necesar ca organizatia sa ia in considerare controale de securitate tehnice, de management si operationale sau in orice combinatie. Controalele de securitate utilizate intr-un mod potrivit pot preveni, limita sau impiedica pagubele amenintarilor-sursa asupra misiunii organizatiei.

Procesul de recomandare a controalelor va include alegerea unei combinatii potrivite de controale tehnice, de management si operationale care sa asigure imbunatatirea securitatii organizatiei.

4.1. Controale de securitate tehnice

Aceste controale pentru atenuarea riscului pot fi configurate sa protejeze impotriva unor tipuri de amenintari date. Aceste controale pot varia de la masuri simple la masuri complexe si implica de obicei arhitecturi de sistem, discipline de engineering si pachete de securitate formate dintr-un mix de hardware, software si firmware.Toate aceste masuri ar trebui sa conlucreze pentru a securiza datele critice si sensibile, informatiile si functiile sistemului.

Controalele tehnice pot fi grupate astfel (dupa scopul primar)

--> controale de suport : sunt generice si stau la baza celor mai multe capabilitati de securitate IT. Aceste controale trebuie sa existe deja, pentru a putea fi implementate alte controale.

--> controale preventive : de concentreaza pe prevenirea breselor de securitate

--> controale de detectare si recuperare : se concentreaza pe detectarea breselor de securitate si recuperarea dupa acestea.

4.1.1. : Controale tehnice pentru suport

Prin natura lor, controalele tehnice de suport sunt universale si corelate cu multe alte controale. Controalele tehnice de suport sunt:

--> Identificarea. Acest control furnizeaza abilitatea de a identifica in mod unic utilizatorii,procesele si resursele informatiilor. Pentru a implementa alte controale de securitate (ex : controlul accesului discretionar -DAC, controlul accesului obligatoriu -MAC, etc) este esential ca atat subiectii cat si obiectele sa fie identificabili.

--> Managementul cheilor criptografice. Cheile criptografice trrebuie sa fie gestionate intr-un mod securizat atunci cand se implementeaza functii criptografice in oricare alte controale. Managementul cheilor criptografice include generarea, distribuirea, stocarea si mentenanta cheilor.

--> Administrarea securitatii. Caracteristicile de securitate ale unui sistem IT trebuie sa fie configurate (ex : activate sau dezactivate) pentru a indeplinii nevoia unei instalari specifice si pentru a contabiliza schimbarile in mediul operational. Sistemul de securitate poate fi construit in securitatea sistemului de operre sau a aplicatiei. Exista addon-uri de securitate comerciale, ce trebuie doar utilizate.

--> Protectia sistemului. Cateva exemple : protectia informatiei reziduale(sau "object reuse"), separarea proceslor, modularitatea, impartirea pe niveluri,etc.

4.1.2 : Controale tehnice preventive

Aceste controale , ce pot inhiba incercarile de violare a politicilor de scuritate, includ :

--> Autentificarea. Acest control furnizeaza intelesul verificarii identitatii unui subiect pentru a ne asigura ca identitatea pe care sustine ca o are este valida. Mecanismele de autentificare includ parole, PIN-uri si alte tehnologii emergente (token,smart card, kerberos, certificate digitale..)

--> Autorizarea. Permite specificarea si managementul ulterior al actiunilor permise pentru un anumit sistem.

--> Punerea in practica a controlului accesului. Integritatea si confidentialitatea datelor este pusa in aplicare prin controlul accesului. Cand un subiect care cere acces a fost autorizat sa acceseze anumite procese este necesar sa se puna in aplicare politica de securitate definita (MAC - mandatory acces control sau DAC- discretionary acces conntrol). Aceste controale bazate pe politici sunt puse in aplicare prin mecanisme de control al accesului distribuite in tot sistemul (e : etichete de senzitivitate MAC; seturi de permisiuni ale documentelor DAC, ACL-uri, roluri, etc) Eficacitatea si puterea controlului accesului depinde de corectitudinea diciziilor de control al accesului(ex : cum sunt configurate regulile de securitate) si de puterea controlului accesului aplicat (designul securitatii hardware sau software)

--> Non-repudierea. Contabilizarea sistemului depinde de abilitatea de a asigura ca cei care trimit nu pot nega trimiterea informatiei iar cei care primesc nu pot nega primirea ei. Non-repudierea acopera atat preventia cat si detectia. A fost inclus in categoria de preventie in acest ghid deoarece mecanismele implementate previn repudierea cu succes a unei actiuni(ex: certificatul digital ce contine cheia privata a detinatorului, stiuta doar de el).

--> Comunicatii protejate. Intr-un sistem distribuit, abilitatea de a indeplini obiectivele de securitate este dependenta de siguranta comunicatiilor. Controlul protejarii comunicatiilor ne asugura de integritatea, disponibilitatea si confidentialitatea informatiei critice si sensibile cand aceasta este in tranzit. Comuncatiile protejate utilizeaza metode de criptare (virtual private network - VPN; IPsec ) si desfasurarea tehnologiilor criptografice (DES, Triple DES, RAS, etc) cu scopul minimizarii amenintarilor din retea cum sunt : interceptia, sniffing-ul pachetelor, replay, wiretapping, eavesdropping.

--> Intimitatea tranzactiei (transaction privacy). Atat sistemul sectorului privat cat si al guvernului necesita din ce in ce mai mult mentinerea intimitatii indivizilor. Controalele de mentinere a intimitatii tranzactiei (SSL - secure socket Layer, secure shell) protejeaza impotriva pierderii de intimitate , cu respect pentru tranzactiile efectuate de un individ.

4.1.3 : Controale tehnice de detectie si recuperare

Controalele de detectie avertizeaza cu privire la violarile sau tentativele de violare ale politicilor de securitate si includ controale ca urmele auditului, mecanisme de detectie a intruziunii si valori de verificare -chesksums. Controalele de restaurare/revenire pot fi utilizate pentru a restabili resursele de calcul pierdute. Ele sunt necesare ca si complement la controalele de suport si preventive, pentru ca nici una din masuri nu este perfecta.

Controalele de detectie si restaurare includ:

--> Auditul. Auditarea evenimentelor relevante din punct de vedere al securitatii si monitorizarea si urmarirea anormalitatilor sistemului sunt elemente cheie in detectia de dupa si restaurarea di bresele de securitate.

--> Detectia si izolarea intruziunii. Este esential sa se detecteze bresele de securitate(ex : patrundere in retea, activitati suspicioase) pentru a se putea raspunde in timp util. De asemenea este inutil sa se detecteze repee o bresa daca nu se poate rasounde eficient. Controlul detectiei intruziunii si a izolarii furnizeaza aceste doua capabilitati.

--> Dovada integralitatii. Controlul devezii de deplinatate (integralitate - ex : tool de integritate a sistemului) analizeaza integritatea si neregulile sistemului si identifica expunerile si potentialele amenintari. Acest control nu previne violarea politici de securitate dar le detecteaza si ajuta la determinarea tipului de actiune corectiva necesara.

--> Restabilirea unei stari sigure. Acest serviciu permite unui sistem sa se intoarca la o stare ce este recunoscuta ca fiind sigura(din punct de vedere al securitatii vorbind) dupa aparitia bresei de securitate.

--> Detectarea si eradicarea virusilor. Softurile instalate pe servere si statii in scopul detectarii, identificarii si eliminarii virurilor software pentru a asigura integritatea sistemului si a datelor.

4.2. Controale de securitate de management(management security controls)

Controalele de management, impreuna cu cele tehnice si operationale sunt implementate sa gestioneze si sa reduca riscurile de pierderi si sa protejeze misiunea unei organizatii.

Controalele de management se concenttreaza pe dispozitiile politicilor, standardelor si indrumarilor pentru protectia informatiilor si care sunt efectuate prin procedurile operationale ale organizatiei.

Controalele de management sunt : preventive, detective si de restaurare.

4.2.1. Controale de management preventive

Acestea trebuie sa includa :

--> atribuirea responsabilitati cu securitatea pentru a ne asigura ca se furnizeaza o securitate adecvata sistemelor IT critice;

--> dezvoltarea si mentinerea planurilor de securitate a sistemului astfel incat sa fie documentate controalele curente si sa le descrie pe cele planificate;

--> Punerea în aplicare a controalelor de securitate de personal, incluzand separarea sarcinilor, privilegii minimale (least privilege) si inregistratea si terminarea accesului utilizatorilor la calculatoare.

--> Efectuarea de traininguri tehnice si de constientizare a securitatii care sa ne asigure ca utilizatorii finali si utilizatorii sistemului sunt constienti de regulile de comportament si de responsabilitatile pe care le au in protejarea misiunii organizatiei.

4.2.2. Controale de management detective

Acestea trebuie sa includa :

--> Punerea în aplicare a controalelor de securitate de personal, incluzand aici degajarea pesonalului, verificarea backgroundului personalului, rotatia sarcinilor;

--> Efectuare de revizuri periodice a controalelor de securitate pentru a verifica eficacitatea acestora;

--> Efectuarea de audituri periodice ale sistemului

--> Efectuarea gesiunii riscului in mod continuu pentru a evalua si atenua riscul;

--> Autorizarea sistemelor IT pentru a aborda si accepta riscul rezidual.

4.2.3. Controale de management de restaurare

Acestea trebuie sa includa :

--> Furnizarea continuitatii suportului si dezvoltarii, testarea, mentinerea continutatii planului de operatiuni de furnizat pentru reluarea afacerii si asigurarea continutatii activitatii/operatiunilor in timpul urgentelor sau a dezastrelor;

--> Stabilirea unei capabilitati de raspuns la incident de pregatit, recunoasterea, raportarea si raspunsul la incident si readucerea sistemului IT intr-o stare operationala.

4.3. Controale operationale

Standardele de securitate ale unei organizatii trebuie sa stabileasca un set de controale si indrumari pentru a asigura ca procedurile de securitate prevazute in organizatie sunt puse in aplicare in mod corect si sunt implementate conform scopului si misiunii organizatiei. Managementul joaca un rol vital in supravegherea implementarii politicii si in asigurarea stabilirii controalelor operationale potrivite.

Controalele operationale, implementate impreuna cu un set de cerinte de baza (ex : controale tehnice) si in concordanta cu bunele practici ale industriei, sunt utilizate pentru a corecta deficientele operationale ce pot exploatate de potentiale vulnerabilitati-sursa. Pentru a se asigura consistenta si uniformitatea in securitatea operatiilor, procedurile pas-cu-pas si metodele de implementare a controalelor operationale trebuie sa fie definite clar si sa fie documentate si mentinute.

4.3.1. Controale operationale preventive

Acestea trebuie sa includa :

--> controlul si eliminarea accesului la date stocate pe diverse medii de stocare(ex : controlul accesului fizic la date);

--> limitarea distribuirii externe a datelor (ex :utilizarea etichetarii);

--> controlul virusilor software;

--> protectia locatiei cu putere de calcul (computing facility - ex : paznici, proceduri pentru vizitatori, sistem de insigne electronice,acces control bazat pe biometrie, bariere si garduri, etc);

--> dulapuri pentru securizarea firelor, echipamentelor,cablurilor;

--> furnizarea capabilitatii de backup(ex : proceduri pentru backup regulat a datelor si sistemelor, loguri ce salveaza toate modificarile in bazele de date pentru utilizarea in diferite scenarii de recuerare, etc)

--> stabilirea unor proceduri si a securitatii stocarii off-site;

--> protejarea laptopurilor,calculatoarelpr personale, statiilor de lucru;

--> protejarea bunurilor IT impotriva incendiilor(ex: cerinte si proceduri de utilizare a stingatoarelor, etc)

--> furnizarea de surse de energie electrica pentru urgente (UPS - uninterruptible power supplies, generatoare on-site);

--> controlul umiditatii si temperaturii locatiei cu putere de calcul (aer conditionat, dispersarea calduri, etc)

4.3.2. Controale operationale detectie

Acestea trebuie sa includa :

--> furnizarea securitatii fizice (ex : detectori de miscare, monitorizare CCTV, senzori si alarme)

--> asigurarea securitatii mediului (ex : detectoare de fum/foc, senzori si alarme.

5. Analiza cost-beneficiu

===========================================================

Pentru a aloca resurse si a implementa controale cost-effective, dupa identificarea tuturor controalelor posibile si evaluarea fezabilitatii si eficacitatii lor, organizatia sr trebui sa efectueze o analiza cost-beneficiu pentru fiecare control propus. Prin analiza cost-beneficiu se determina ce controale sunt necesare si potrivite in circumstantele utilizarii lor.

Analiza cost-beneficiu poate fi calitativa sau cantitativa. Scopul ei este de a demonstra ca pretul/costul implementarii controalelor se justifica prin reducerea nivelului de risc. De exemplu, organizatia poate nu doreste sa cheltuie 1000 EUR pe un control pentru a reduce riscul de a pierde 200 EUR.

O analiza cost-beneficiu pentru un nou control propus sau pentru imbunatatirea unui control existent cuprinde:

--> determinarea impactului implementarii noului control sau a imbunatatirii celui existent;

--> determinarea impactului ne-implementarii noului control sau a imbunatatirii celui existent;

--> estimarea costului implementarii. Acesta poate include, fara a se limita la :

: cumparare de hardware si software

: reducerea eficacitatii operationale daca performanta sau functionalitatea sistemului este redusa din cauza cresterii securitatii;

: costul implementarii procedurilor si politicilor aditionale

: costul angajarii de personal aditional pentru implementarea serviciilor, politicilor, procedurilor propuse;

: costurile cu trainningurile

: costuri de mentenanta

--> evaluarea costurilor si beneficiilor de implementare comparativ cu cat de critice/importante sunt datele sau sistemele, pentru a determina importanta pentru organizatie de a implementa noile controale, stiindu-se costurile si impactul lor.

Organizatia trebuie sa evalueze beneficiile controalelor, si in functie de costurile implementarii si al neimplementarii lor sa determine daca este sau nu fezabil sa le implementeze.

EXEMPLU DE ANALIZA COST-BENEFICIU

Sa presupunem ca sistemul IT X stocheaza si proceseaza activitati critice si date sensibile privind informatii private ale angajatilor. Cu toate acestea, auditarea nu a fost activata/efectuata. O analiza cost-beneficiu este efectuata pentru a se determina daca este necesar ca si capabilitatea de audit sa fie activata pentru sistem.

Itemii (1) si (2) se refera la impactul intangibil (ex : factori de descurajare) al implementarii sau ne-implementarii noului control.

Itemul (3) afiseaza impacturile tangibile (ex : costul)

(1) Impactul activarii capabilitatii de audit a sistemului : capabilitatea de audit a sistemului permite administratorului insarcinat cu securitatea sistemului sa montorizeze activitatile utilizatorilor sistemului dar va incetini performanta sistemului si astfel va fi afectata productivitatea utilizatorilor. De asemenea, implementarea necesta resurse aditionale asa cum sunt descrise la punctul (3)

(2) Impactul ne-activarii capabilitatii de audit a sistemului : activitatile utilizatorilor si violarile+tentativele de violare nu pot fi montorizate si urmarite iar securitaea nu poate fi maximizata pentru a proteja datele confidentiale si misiunea organizatiei.

(3) Estimarea costurilor cu activarea capabilitatii de audit a sistemului :

- cost cu activarea capabilitatii de audit: 0 $ (nu exista,built-in)

- cost cu angajati aditionali care sa faca auditul: xx,xxx $

- cost cu instriurea (trainning): x,xxx $

- cost cu un software add-on pentru raportari de audit: x,xxx $

- cost cu mentenanta datelor de audit (stocare, arhivare): x,xxx $

Cost total estimat : XX,XXX $

Conducerea, mnagementul organizatiei trebuie sa determine ce nivel al riscului este acceptabil pentru misiunea,scopul organizatiei. Impactul controlului poate fi evaluat iar controlul poate fi inclus sau exclus in functie de determinarea intervalului de fezabilitate ale nivelurilor de risc. Acest interval variaza in functie de organizatie, dar totusi se aplica urmatoarele reguli pentru a se determina utilizarea unui nou control:

--> daca acel control va reduce riscul mai mult decat e nevoie, atunci se verifica daca exista o alternativa mai putin costisitoare;

--> daca acel control va costa mai mult decat reducerea riscului pe care o furnizeaza, atunci se cauta altceva;

--> daca acel control nu reduce riscul suficient, atunci se cauta mai multe controale sau un conttrol diferit;

--> daca acel control furnizeaza o reducere a riscului suficienta si este eficient din punct de vedere al costului (cost-effective) atunci se utilizeaza.

Cel mai adesea costul implementarii unui control este mai tangibil decat costul neimplementarii lui. Ca rezultat conducerea joaca un rol critic in deciziile cu privire la implementarea masurilor de control pentru protejarea misiunii organizatiei.

6. Riscul rezidual

=========================================================

Organizatiile pot analiza gradul de reducere a riscului generat prin utilizarea de noi controale sau prin imbunatatirea unora existente, din punctul de vedere al reducerii probabilitatii amenintarii sau a impactului, cei doi parametrii ce definesc nivelul de atenuare a riscului.

Implementarea de noi controale sau imbunatatirea celor existente poate atenua riscul prin :

--> eliminarea unora dintre vulnerabilitatile (defecte si slabiciuni) sistemului, reducand astfel numarul de perechi posibile amenintari- sursa / vulnearbilitate;

--> adaugarea unui control pentru a reduce capacitatea si motivarea unei amenintari-sursa. Spre exemplu, un departament determina ca, costul cu instalarea si mentenanta unui add-on software pentru un calculator de sine statator ce sticheaza fisiere sensibile nu este justificat, dar ar trebui implementate controale administrative si fizice pentru a face accesul la acel PC mai dificil (ex : punem PC-ul intr-o camera incuiata, a carei cheie este tinuta de manager)

--> reducerea magnitudinii impactului advers (de exemplu : limitarea intinderii unei vulnerabilitati)

Riscul ce ramane dupa implementarea sau imbunatatirea controalelor se numeste risc rezidual. Practic, nici un sistem IT nu este fara riscuri si nu toate controlele implementate pot elimina risculpe care au ca scop sa il combata sau sa il reduca la nivelul zero.

  • Upvote 4
Posted

Recomand ca lectura. Daca veti incerca sa va angajati pe un post de security intr-o firma non-IT, atunci este posibil sa aveti interviu cu managementul in care sa va intrebe fix chestiile de mai sus.

Join the conversation

You can post now and register later. If you have an account, sign in now to post with your account.

Guest
Reply to this topic...

×   Pasted as rich text.   Paste as plain text instead

  Only 75 emoji are allowed.

×   Your link has been automatically embedded.   Display as a link instead

×   Your previous content has been restored.   Clear editor

×   You cannot paste images directly. Upload or insert images from URL.



×
×
  • Create New...