identificarea riscului

8/7/2019 Identificarea riscului

1/12

Evaluarea riscurilor

/+32

Accepta i imaginea de mai sus?Este corect ? O consider ca fiind baza de la care trebuie pornitdiscu ia legat de evaluarea riscurilor securit ii sistemelor informa ionale! Dilemele melefilosofico aplicative se limiteaz strict la acest domeniu. Pentru alte domenii, managementulriscurilor, a a dup cum este el matematizat, este aplicabil.

Mai am o motiva ie pentru care scriu despre acest subiect: mi se pare c se scriu prea multe

materiale, oarecum independente unele fa de altele, n loc de a se ncerca o combinare a totceea ce practica a validat.

M voi ajuta n cele ce urmez de un exemplu dinIluzia utilizatorului. Despre limitelecon tiin ei (o recomand celor ce doresc s deslu easc modul n care func ioneaz creierulnostru):


2/12

Care snt liniile ce apar n prim plan?

N ormalul este dat de percep ia majorit ii. Un exemplu? mi aduc aminte de ceea ce mi poves

un fost coleg cnd a ajuns s munceasc ntr-o ar nordic : s te ui i la ceas, s vezi ca estemiezul zilei, dar afar s fie ntuneric. Asta era o stare de normalitate,acolo!

ISO Guide 73 define te riscul ca fiind probabilitatea unui eveniment de a produceconsecin e negative.Voi relua unele lucruri deja scrise, cu riscul de a plictisi, avnd aceast defini ie drept punct de plecare.

Posibilitatea este o condi ie. A fi sau a nu fi. Zero sau unu!

Probabilitatea este cea prin care verific m posibilitatea!

Cutremurul este posibil sau imposibil! Dac spunem c este imposibil, evaluarea s-a ncheiat.Dac lu m n calcul posibilitatea trebuie s estim m probabilitatea! Din acest moment maiintervine o variabil : impactul acestui eveniment! Prin urmare, putem gre i nu numai n cazulestim rii probabilit ii ci i n cazul estim rii impactului! Altfel spus, estimarea noastr se bazeaz n fapt pe frecven e probabile i pe impact probabil!

Metodele de evaluare cantitativ a riscurilor opereaz cu probabilit i i cuantific ri monetarn ncercarea de aestima o pierdere viitoare. Obiectivul evalu rii l reprezint estimarea pierderilor anticipate. Pierderea anticipat este produsul a trei factori:amenin area, rata apari iei i pierderea pe apari ie

n cazul asigur rilor se elimin evenimentele cu probabilit i reduse dar impact cu consecin emajore. De exemplu, de ce ar trebui s ne mai doar capul n cazul unui r zboi atomic(amenin are)? Sau dac lucrezi n ora ul n care exist o central nuclear .Mai conteazvulnerabilit ile?

Problema cea mai spinoas este dat decredibilitatea estim rilor. Pentru amenin ri cuconsecin e mari sau mici putem face estim ri exacte: nu putem estima cu exactitate probabilitatea apari iei unui cutremur, dar putem spune care este impactul s u asupra companieProbabilit ile nu mai conteaz , n aces caz.

Estim rile snt dificil de realizat pentru evenimentele care nu snt la extreme, pentruevenimentelenormale!

Cum trat m ns pierderile datorate nefunc ion rii serverului de baze de date ca urmare a unuiatac DDOS (exemplu pur teoretic). ntreruperea unei afaceri este un caz, s spunem, specialdeoarece suma pierderilor datorate acestei amenin ri depinde dedurata ntreruperiifunc iilor companiei ! Alte variabile! Dac serverul cu pricina nu este accesibil 10 ore, vnz rilesufer ? Sau Contabilitatea? Sau Logistica?


3/12

Amenin rile au orar de func ionare? Altfel spus o amenin are se suprapune pe intervalul n ctrebuie ndeplinit func ia respectiv ? S presupunem c pe serverul de aplica ii ce se bazeaz pe serverul de BD ce tocmai a picat, avem dou aplica ii A i B. Dac serverul BD nufunc ioneaz 1 or , nu avem pierderi.Dac nu func ioneaz 1 zi vom avea pierderi poten ialede 10.000 lei. Orarul de func ionare a celor dou aplica ii este diferit: aplica ia A ruleazzilnic timp de 10 ore, B ruleaz o dat pe lun timp de 10 ore.Va fi pierderea aceea i?

M ai bine pu in i bine dect mult i prost

Cum postul precedent doar a zgnd rit lucrurile, s mai facem un salt. .Anul trecut citeamntr-o evaluare de riscuri despre avalan e n mijlocul Bra ovuluiCirea a de pe tort a fost nsevaluarea riscului legat de inginerie social ..Cum po i s evaluezi care este probabilitatea cacineva s foloseasc a a ceva pentru a ob ine acces n sistem, n condi iile n care nu ai nici c

mai mic informa ie istoric ? Eu unul nu tiu..Voi repeta unele lucruri deja scrise. Atunci cind avem date istorice despre evenimentele dinorganizatie putem folosi aceste frecven e relative pentru a ob ine probabilit i. n lipsa dateloistorice, empirice, intervine subiectivismul, ca s nu spun ghiceala. n ambele cazuri ns , vomdori s ob inem o apropiere de realitate. O estimare.

Este gre it s folosim valori punctuale n loc de distribu ii n evaluarea riscurilor securit ii. Eca i cum am fi profe i i am avea date certe despre viitor. Singurul lucru cert, existent nainte amenin area s devin realitate, este INCERTITUDINEA! Nu sistemul pentru care estim mriscurile se va comporta a a dup cum dorim noi! Dincolo de ce este scris n c r i, n realitate

facem o estimare a incertitudinilor i o analiz !Att metodele calitative ct i cele cantitative au limit ri practice. F r a intra n detalii teoreticcea mai folosit formul cantitativ este:

Annualized Loss Expectancy (ALE) = Single Loss Expectancy (SLE) * Annual Rate of Occurence (ARO)

Adic suma pierderilor directe i indirecte n urma unei amenin ri i probabilitatea de apari ie. Pentru un an calendaristic. De ce? Pentru ca eviden ele contabile snt anuale!

Dac ne ducem c tre modele calitativetot peste probabilit i vom da. Cine decide intervaleleastfel nct s avem o diferen iere ct mai clar a ceea ce este considerat risc important: 0-25, 250. sau 0-20 sau 0-33? Cum po i s faci o analiz cost-beneficiu dac nu exist exprimaremonetar ? Doar n baza unor elemente calitative? Cum justifici controalele selectate n fa amanagmentului? Spunnd c pierderea este mare?

De i snt greu de folosit i consumatoare de timp, modelele cantitative snt de dorit! MetodaMonte Carlo pomenint n postul precedent, ca instrument de analiz i suport decizional ( i n


4/12

de evaluare!), genereaz valori pentru o variabil probabilistic n intervalul 0-1 i ia n calculfunc ia de distribu ie cumulativ . Teoria spune c numerele din intervalul 0-1 snt uniformdistribuite. Greutatea n utilizarea metodei este dat de proiectarea modelului pe care vrem s lfolosim.

Orice amenin are la adresa securit ii unui sistem informa ional poate avea dou st ri: succes saue ec. n aceste condi ii se spune c probabilitatea acesteia va avea odistribu ie binomial . Pentrua putea aplica da capo a fine metoda Monte Carlo trebuie s calcul m att probabilit ile ct ifunc ia de distribu ie.

Un exemplu

Amenin area luat n calcul este un atac de tip brute force.Variabila probabilist este num rul deatacuri. Dar ajungem la o prim problem . Dac presupunem c n decursul unui an s-au

nregistrat 10 astfel de atacuri,nereu ite , care este probabilitatea ca n anul viitor s senregistreze atacurireu ite?

Prin urmare, distribu ia de probabilitate este binomial deoarece un atac poate fi reu it sau e uiar atacurile snt independente unele fa de altele (aici am for at pu in nota deoareceindependen a este greu de stabilit). Metodele evolueaz , tehnologia evolueaz .

Alte calcule? Formulele statistice din Excel, add-on uri etc.Nu tiu dac are sens sreinventez roata.

Comentarii

1. dpopa spune:

18/04/2010 la 09:57

Oare e clar ?Daca probabilitatea de aparitie a unui incident este o data la zece ani, atunci ALE este1/10 din SLE. Iar SLE este pierderea cauzata de un incident.

2. Adrian Munteanu spune:

18/04/2010 la 19:42

Nu tiu ct este de clar pentru al ii.Nici m car nu tiu dac reu esc s l muresclucrurile. Doar ncerc..


5/12

M intereseaz ns ca, n practic , s lucr m corect, dincolo de a avea ni te hrtiicerute de unii sau al ii. Pentru c n func ie de estimarea asta se vor investi ni te bani!

Repet: pe baza informa iilor din trecut trebuie calculat distribu ia de probabilitate nudoar probabilitatea. n caz contrar calculele snt lipsite de fundament!

Ca s exemplific voi lua cazul ntreruperii serviciilor (asta i pentru c i-ai vndutsufletul cui i l-ai vndut ). Este situa ia cea mai dificil pentru calcul de riscuri. Penc pierderea este acum direct propor ional cu timpul/momentul de manifestare. n acescaz particular ar trebui s definim un set standard de durate de ntrerupere posibile: 5minute, 15 minute, 30 minute, 1 or , 2 ore, 1 lun , 2 luni, 4 luni, 6 luni..Depinde!Depinde de contextul organiza iei!Pentru fiecare amenin are ar trebui s identific m procentul/probabilitatea apari iilor cavor conduce la ntrerupere, pentru fiecare durat identificat anterior. Unele amenin ri(ntreruperea energiei electrice, de ex.) pot avea efecte minime.Estim m pierderea poten ial datorat ntreruperilor pentru fiecarefunc ie i pentru

fiecare durat . Calculul trebuie s porneasc de la faptul c apari ia unei amenin ri nu are un orar defunc ionare!!!! Altfel spus nu se suprapune pe intervalul n care trebuie ndeplinit funcrespectiv .

3. dpopa spune:

18/04/2010 la 20:25

Adi, pentru ca ai aruncat migea la fileu (asta cu serviciile), o sa o plesnesc. Pierderea edirecta proportionala cu momentul de manifestare tu ai spus. Ai vazut tu vreun contraccare sa specifice daune mai mari in momentele de inchidere de luna, sau daune mai miciin perioada pranzului cand toti sunt la masa ?Exemplele pot continua.Nu zic ca nu exista poate sunt.Dar pana nu vad, nu cred.

Din tot ce am vazut pana acum, lucrurile sunt cam standard : serviciul disponibil 24 x 7 ,98% uptimes.a.m.d. Daca dai peste unii care ofera granularitate, si fac analize deriscuri pe o numita perioada de impact, sa-mi zici si mie. Ma astept ca daca fac astfel deanalize, cineva sa alinieze si contractul de servicii cu asta

4. Adrian Munteanu spune:

19/04/2010 la 08:48

Nu, nu am v zut. i nici nu cred c voi avea ocazia s v d prea curnd. Cred ns c , nmomentul n care se va constata c ntreruperea a generat pierderi mai mari dect ceea cea fost estimat, se vor alinia i prevederile contractuale. Se va nv a din gre eli.


6/12

Discu ia comport dou perspective: a furnizorului i a clientului. Din experien a meanivelul furnizorului cuno tin ele snt mai avansate dect la nivelul clientului.Ceea ce ncerc eu s spun: evaluarea riscurilor trebuie f cut pentru a ob ine beneficiifinanciare i nu doar pentru a se asigura conformitatea cu o cerin sau alta. Evaluareariscurilor este i trebuie s fie responsabilitatea celor din business i nu a IT-ului. i nu

trebuie realizat de un singur om.Preluarea unor informa ii din c r i/frameworkuri f r coresponden n contextulorganiza iilor este doar pieredere de timp. Procesele, indiferent c snt economice saunaturale, snt ireversibile.

Riscuri i proiecte

M-am confruntat de curnd cu acest subiect: evaluarea (se cerea de fapt un audit) riscurilor ntr-un proiect de dezvoltare software.

Pentru c snt un adept al teorii sistemelor afirm de multe ori c se omite contextul. Sau banalude acum, suma p r ilor este mai mare dect ntregul. Consider orice proiect ca fiind tot oschimbare/change pentru absolut to i cei implica i. i n acest caz trebuie n elescontextul/sistemul, rela iile dintre componente (preluarea orbe te, a celor scrise n frameworkare ca efectdecontextualizarea IT-ului i ca efect b t i de cap inutile). Dac n analizatop down c ut m s f rmi m lucrurile, vine un moment cnd acestea trebuie agregate. Controalele s proiectate i func ioneazbottom-up ..n cascad .

Nu voi discuta procesul i componentele sale a a dup cum snt prezentate ele de c tre PRINCsau PMI (s nu uit m c multe poze snt precedate de Example). Acolo este procesul, cumanagement, inputuri i outputuri. l vizeaz pe PM.n opinia mea, n cazul dezvolt rii unei aplica ii ar trebui avute n vedere 3 variabile:dimensiunea proiectului/complexitatea, structura i experien a membrilor.

Am luat n calcul dimensiunea pentru c n orice proiect snt incluse alte variabile: costuri, timpresurs uman , procese/func ii afectate.Toate acestea prezint riscuri. Aici intervine ceea ce sespune n metodologii.

Structurarea este relativ simpl : se lucreaz dup o metodologie sau nu? Dac nu se lucreaz e posibil s nu poat fi identificate multe controale documentare. Este direct legat decomplexitate.

Experien a este poate cel mai subiectiv aspect. Spun asta pentru c nici un proiect nu cred cseamn cu altul. Au elemente comune, dar nu seam n . Una este s faci o aplica ie pentru banking i alta pentru o coal . Chiar dac se folosesc acelea i resurse umane i tehnice.Cu cmai multe proiecte cu att mai bine. Aici a aplica regula 80/20: 20% din membrii echipei s fi participat la 80% din proiectele din portofoliu..Greu.Lumea academic din zona riscurilor


7/12

este plin de lucr ri care spun c n elegerea comportamentului uman este cheia n elegeriiriscurilor..

Prin prisma COBIT a avea n vedere cteva documente ce nu pot lipsi: studiul de fezabilitate,specifica iile proiectului, analiza cost beneficiu, integrarea proiectului, cerin ele

func ionale/procedurale, controlul, arhitectura sistemului, testarea i acceptarea, aprobarea fina

Ce trebuie sa contina un plan de management al riscului unui proiect?Evident ca primul pas este sa intelegem ce reprezinta un proiect. Merg pe ideea ca atunci cand aspus "proiect" va referiti la un proiect de afacere, la o noua activitate ampla in cadrul uneicompanii etc. si nu la un proiect tip cerere de finantare (dar si aici se pot vorbi de riscuri si de planuri de management al riscurilor - si am sa vorbesc la final putin despre aceasta latura).Diverse metodologii (vezi Mehari, Octave, Coso, PMI etc.) propun abordari diverse in

construirea planului de management al riscului.Dar, intr-o parere personala, un plan de management al riscului ar trebui sa surprindaurmatoarele capitole:

y I ntroducere (se descriu: domeniul de activitate al companiei, zona in care se va aplica procesul de management al riscului - financiar, operational, tehnologic, toate -, data lacare se efectueaza si cum vor fi folosite rezultatele procesului de management al risculuietc.)

y D escrierea modului de abordare (descrierea pasilor de realizare a managementuluiriscului)

1. Identificarea riscurilor (se descriu tehnicile prin care se va incerca identificareariscurilor - brainstorming, checklists, discutii libere, supravegherea din parteaechipei de management al riscului etc.)Atentie: identificarea riscului este un proces amplu care presupune mai intaiidentificarea valorilor de protejat in cadrul acelui proiect, apoi identificareavulnerabilitatilor prezentate de acele valori si apoi identificarea riscurilor care potsa apara in acea combinatie de valori-vulnerabilitati.

2. Evaluarea riscului (se va incerca o abordare mixta, evaluare calitativa si

cantitativa)Este poate partea cea mai importanta din proces. Se va descrie modul in care se vaaprecia gradul de severitate (impactul) si nivelul de probabilitate a aparitieiriscului identificat. (mai exact: descrierea nivelelor mare-mediu-mic intr-oabordare calitativa si prezentarea elementelor statistice si a costurilor in abordareacantitativa).


8/12

3. Analiza Riscului (pe baza ierarhizarii riscurilor evaluate se determina actiunile cetrebuie aplicate la nivelul fiecarui risc. Actiunile vor fi de tipul: evitare / acceptare/ respingere / transfer).

4. Monitorizarea riscului (descrierea pasilor ce trebuie realizati in vederea

monitorizarii riscurilor deja identificati si a celor care pot aparea de-a lungul procesului de implementare a proiectului si dupa).

5. Planul de raspuns la risc (efectiv ce se va realiza pentru fiecare risc in parte -actiuni care au fost prezentate la pasul de analiza a riscului).

y (obs. pana acum a fost partea teoretica a planului; urmeaza munca de "teren").

y Riscurile (prezentarea riscurilor identificate in lumina celor afirmate mai sus si a planuluide actiune pentru fiecare risc)

La acest nivel pentru fiecare risc identificat se vor prezenta:1. Cod de identificare a riscului (pentru o mai buna urmarire)

2. Gradul de probabilitate de aparitie (ex. calitativ - mare; cantitativ - 1%)

3. Nivelul impactului (idem ca la probabilitate)

4. Descrierea riscului

5. Analiza riscului

6. Planul de raspuns (tine si de atitudinea fata de risc a managerului de proiect: ii place sa isi asume riscuri sau nu etc.)

[edit ]A Quantitative Approach to Risk Analysis

y Q uantitative analysis uses risk calculations that attempt to predict the level of monetary lossesand percentage of chance for each type of threat.

y Q uantitative risk analysis also provides concrete probability percentages when determining thelikelihood of threats.

y Each element within the analysis (asset value, threat frequency, severity of vulnerability, impactdamage, safeguard costs, safeguard effectiveness, uncertainty, and probability items) isquantified and entered into equations to determine total and residual risks.

y P urely quantitative risk analysis is not possible, because the method attempts to quantifyqualitative items, and there are always uncertainties in quantitative values

Sample Steps for a Quantitative Risk Analysis


9/12

y Step 1: Assign Value to Assets- For each asset, answer the following questions to determine itsvalue

o W hat is the value of this asset to the company?o How much does it cost to maintain?o How much does it make in profits for the company?o How much would it be worth to the competition?o How much would it cost to re-create or recover?o How much did it cost to acquire or develop?o How much liability are you under pertaining to the protection of this asset?

y Step 2: Estimate P otential Loss per Threat- To estimate potential losses posed by threats,answer the following questions:

o W hat physical damage could the threat cause and how much would that cost?o How much loss of productivity could the threat cause and how much would that cost?o W hat is the value lost if confidential information is disclosed?o W hat is the cost of recovering from this threat?o W hat is the value lost if critical devices were to fail?o W hat is the single loss expectancy ( SLE) for each asset, and each threat?

y Step 3: P erform a Threat Analysis- Take the following steps to perform a threat analysiso Gather information about the likelihood of each threat taking place from people in each

department, past records, and official security resources that provide this type of data.o Calculate the annualized rate of occurrence (ARO), which is how many times the threat

can take place in a 12-month period.y Step 4: Derive the Overall Loss P otential per Threat-To derive the overall loss potential per

threat, do the following:o Combine potential loss and probability.o Calculate the annualized loss expectancy (ALE) per threat by using the information

calculated in the first three steps.o Choose remedial measures to counteract each threat.

o

Carry out cost/benefit analysis on the identified countermeasures.y Step 5: Reduce, Transfer, or Accept the Risk- For each risk, you can choose whether to reduce,

transfer, or accept the risk:o Risk reduction methods

Install security controls and components. Improve procedures. Alter environment. P rovide early detection methods to catch the threat as it's happening and

reduce the possible damage it can cause. P roduce a contingency plan of how business can continue if a specific threat

takes place, reducing further damages of the threat. Erect barriers to the threat. Carry out security-awareness training.

o Risk transfer- Buy insurance to transfer some of the risk, for example.o Risk acceptance- Live with the risks and spend no more money toward protection.

Quantitative Risk Analysis M etrics

y Single loss expectancy ( SLE) - The amount of loss due to a single occurrence of a threat.


10/12

y Annualized loss expectancy (ALE) - The estimated loss per annum.y Exposure factor (EF) - Represents the percentage of loss a realized threat could have on a certain

asset.y Annualized rate of occurrence (ARO) It is the value that represents the estimated frequency of

a specific threat taking place within a one-year timeframe. It can range from 0.0 to 1.0.y The Relation

o Asset value * exposure factor (EF) = SLE Example: If a data warehouse has the asset value of $150,000, and if it is

estimated that if a fire were to occur, 25 percent of the warehouse would bedamaged, then SLE =0.25*$150000=$37,500.

o SLE * Annualized rate of occurrence (ARO) = ALE. If ARO is 0.1 (indicating once in tenyears), then the ALE =$37,500* 0.1 = $3750. This tells the company that if it wants toput in controls or safeguards to protect the asset from this threat, it can sensibly spend$3750 or less per year to provide the necessary level of protection.

Results of a Quantitative Risk Analysis

The following is a short list of what generally is expected from the results of a risk analysis

y M onetary values assigned to assetsy Comprehensive list of all possible and significant threatsy P robability of the occurrence rate of each threaty Loss potential the company can endure per threat in a 12-month time spany Recommended safeguards, countermeasures, and actions analysis.

Quantitative Pros

y Requires more complex calculationsy Is easier to automate and evaluatey U sed in risk management performance trackingy P rovides credible cost/benefit analysisy Shows clear-cut losses that can be accrued within one year's time

Quantitative Cons

y Calculations are more complex. Can management understand how these values were derived?y W ithout automated tools, this process is extremely laborious.y Big need to gather detailed information about environment.y Standards are not available. Each vendor has its own way of interpreting the processes and their

results.

[ edit ]A Qualitative Approach to Risk Analysis

y In Q ualitative approach, we walk through different scenarios of risk possibilities and rank theseriousness of the threats and the validity of the different possible countermeasures.

y The Q ualitative analysis techniques include judgment, best practices, intuition, and experience.y Q ualitative Risk Analysis Techniques


11/12

o Delphi -A group decision method used to ensure that each member gives an honestopinion of what he or she thinks the result to a particular threat will be. This method isused to obtain an agreement on cost, loss values, and probabilities of occurrencewithout individuals having to agree verbally.

o Brainstormingo Storyboardingo Focus groupso Surveyso Q uestionnaireso Checklistso One-on-One meetingso Interviews.

y The risk analysis team will determine the best technique for the threats that need to beassessed and the culture of the company and individuals involved with the analysis.

y The team that is performing the risk analysis gathers personnel who have experience andeducation on the threats being evaluated. W hen this group is presented with a scenario thatdescribes threats and loss potential, each member responds with their gut feeling and

experience on the likelihood of the threat and the extent of damage that may result.

Personnel Severity of

Threat Probability of

Threat Potential

Loss Effectiveness of

Firewall Effectiveness of

IDS

IT manager 4 2 4 4 3

DBA 4 4 4 3 4

Applicationprogrammer

2 3 3 4 2

System operator 3 4 3 4 2

Operationalmanager

5 4 4 4 4

Results 3.6 3.4 3.6 3.8 3

Qualitative Pros

y Requires simple calculationsy Involves high degree of guessworky P rovides general areas and indications of risk


12/12

y P rovides the opinions of the individuals who know the processes best

Qualitative Cons

y The assessments and results are basically subjective.y

U sually eliminates the opportunity to create a dollar value for cost/benefit discussions.y Difficult to track risk management objectives with subjective measures.y Standards are not available. Each vendor has its own way of interpreting the processes and their

results.

identificarea riscului

Documents