INTRODUCERE IN MANAGEMENTUL RISCULUIe-birouvirtual.ro/sites/default/files/smsi_riscul_de_securitat_ea... · directionarea si controlul organizatiei cu privire la riscuri (conform

Proiect cofinanţat din Fondul Social European prin

Programul Operaţional Sectorial Dezvoltarea Resurselor Umane 2007-2013.

Investeşte în oameni!

Întreprinzător în Mileniul Trei

INTRODUCERE IN

MANAGEMENTUL RISCULUI

Vă sprijinim să deveniţi întreprinzător în mileniul trei!




Întreprinzător în Mileniul Trei,spaţiul virtual al întreprinzătorilor care au ales să se

conecteze la mediul de afaceri european!

Cultură antreprenorială, competenţă managerialătehnologia informaţiei în afaceri!




Conceptul de management al riscului

“Pericol eventual, mai mult sau mai puţin previzibil”

Noul dicţionar explicativ al Limbii Române, Editura Litera Internaţional, 2002

“Posibilitate de a ajunge într-o primejdie, de a avea de înfruntat un

necaz sau de suportat o pagubă”

Dicţionar explicativ al Limbii Române, Academia Română, Institutul de Lingvistică

"Iorgu Iordan", Editura Univers Enciclopedic, 1998




“Incertitudinea …care afecteaza posibilitatea atingerii obiectivelor”

British Standards Institute (BSI), standardul

6079-3/2000

“Un eveniment sau o conditie incerta care, daca apare, are un efect

pozitiv sau negativ asupra obiectivelor proiectului. Riscul proiectului

include atat amenintarile asupra obiectivelor cat si oportunitatile de a

imbunatati aceste obiective.”

Project Management Institute (PMI), PMBoK

(editia 2000 republicata in 2004)





“Masura a neconcordantei dintre diferite rezultate posibile, mai mult

sau mai putin favorabile sau nefavorabile intr-o actiune viitoare”.

Dictionarul Enciclopedic Managerial, Editura Academica de

Management

Institutul pentru Managementul Riscului utilizeaza definitia din

ISO/IEC Guide 73: “Combinatia dintre probabilitatea de aparitie a unui

eveniment si consecintele acestuia”





Din punct de vedere economic

Stare in care exista probabilitatea aparitiei unei variatii adverse in

raport cu un obiectiv definit de o organizatie

(legat de modificarile produse la nivelul veniturilor, costurilor, sau

volumului de productie).

Din punct de vedere financiar

Relatie intre o entitate (individ, organizatie) si un activ ce poate fi

pierdut sau poate fi deteriorat.





Din punct de vedere al domeniului asigurarilor

Produsul dintre o pierdere posibila si probabilitatea de aparitie a

acesteia, produs cunoscut ca “expunere la risc”.

Din punct de vedere al managementului de proiectProbabilitate a aparitiei unui eveniment si impactul acestui eveniment asupra obiectivelor unui proiect.





Din punct de vedere al stiintelor mediului

Posibilitatea aparitiei de efecte negative asupra componentelor mediului,

ca urmare a unor agenti daunatori sau a unor fenomene naturale cu

efecte dezastruoase.

Din punct de vedere al sanatatii si securitatii umane

Probabilitatea de modificare a starii de sanatate a indivizilor ca urmare a

expunerii la unul sau mai multi factori de risc externi, interni sau de mod

de viata.

Nadia Ciocoiu, “Managementul riscului, teorii, practici, metodologii”





Din punct de vedere informational

Raportarea la o stare in care principalele proprietati ale informatiei ar

putea sa fie afectate: confidentialitate, integritate, disponibilitate. Pot fi

de asemenea implicate si alte proprietati ale informatiei: autenticitate,

responsabilitate, non-repudiere, fiabilitate. Informatia trebuie privita in

totalitatea ei, independent de suportul pe care circula.

Managementul riscului - activitati coordonate pentru directionarea si controlul organizatiei cu privire la riscuri(conform ISO/IEC 73)

Conceptul de risc informational




Dezvoltarea Risk Management (RM) ca disciplina incepe dupa 1900:

-1900 Uraganul Galveston, schimba abordarea asupra previziunilor

meteo

-1920 British Petroleum infiinteaza Tanker Inshurance Company

-1921 primele publicatii, “Risc, Uncertainty and Profit”, Frank Knight si

“A Treatise on Probability”, Maynard Keyes

-Diverse publicatii, nu foarte numeroase, in special in zona

investitionala, financiara, asigurari

-1950 se consacra termenul de Management al Riscului si incep sa se

infiinteze functii de MR in organizatii

Istoric




-1962 apare prima publicatie care incurajeaza opinia publica sa ia in

considerare degradarea mediului “The silent spring”, Rachel Carson

-1970 infiintarea “Agentiei de Protectie a Mediului” in SUA

-1973 Asociatia de la Geneva incepe sa acorde stimulente intelectuale

pentru promovarea Managementului Riscului

-1975 se infiinteaza “Risk & Insurance Management Society” -

(RIMS)

-1980 in Washington se infiinteaza “Societatea de Analiza a

Riscului” - SRA, acumuleaza pana in anul 1999 2200 membri

http://www.sra.org/

Istoric




-1986 se infiinteaza la Londra “Institutul de Management al

Riscului” – IRM orientat catre sustinere si formare, lanseaza un

program educational intensiv (http://www.theirm.org)

-1995 apare primul “Risk Management Standard” revizuit ulterior, in

1999

-1996 se infiinteaza “The Global Association of Risk

Professionals” – GARP, cu orientare catre zona financiar-bancara,

desfasoara activitati aproape exclusiv prin Internet, devine pana in

2002 cea mai mare asociatie (cu 5000 contribuabili si 17000 membri

asociati) (http://www.garp.com)

Nadia Ciocoiu, “Managementul riscului, teorii, practici, metodologii”

Istoric

http://www.garp.com/




ISO 31000:2009, Risk management - Guidelines on principles and

implementation of risk management

BS 6079-3:2000, Guide to the Management of Business Related

Project Risk

SR EN/ISO CEI 27001:2005, Tehnologia informatiei - Tehnici de

securitate -Sisteme de management al securitatii informatiei. Cerinte

SR EN/ISO CEI 27002:2007, Tehnologia informatiei - Tehnici de

securitate - Cod de buna practica pentru managementul securitatii

informatiei

ISO/IEC 27005:2008, Information technology - Security techniques -

Information security risk management (inlocuieste 13335-2,3,4)

Istoric




ISO/IEC Guide 73:2002, Risk management – Vocabulary – Guidelines

for use in standards (www.iso.ch)

ISO/IEC 18044:2004, Information technology - Security Techniques -

Information Security Incident Management.

- ISO/IEC 18028:2006, Information technology - Security techniques -

IT network security

- ISO/IEC 15408-1: 2005, Information technology - Security techniques

- Evaluation criteria for IT security (criterii comune)

Standarde si documente de referinta




-CobIT, Control Objectives for Information and Related

Technology, elaborat de ISACA (Information System Audit and Control

Asociation (www.isaca.org). Colectie de bune practici in domeniul IT.

- ITIL, IT Infrastructure Library, OGC - Office of Government

Commerce, echivalent cu ISO/ IEC 20000:2005 Information

technology - Service management (www.iso.ch), de asemenea o

colectie de bune practici orientat insa inspre gestionarea SLA.

- ITBPM, IT Baseline Protection Manual elaborat de Federal Office

for Security in Information Technology (FSI), Germania

(http://bsi.bund.de)

Standarde si documente de referinta




Determinarea riscului - procesul combinat de analiza si evaluare a

riscului (ISO/IEC 73)

Analiza riscului - utilizarea sistematica a informatiilor pentru

identificarea surselor si estimarea riscului (ISO/IEC 73)

Estimarea riscului – exprimare a duratei, intensitatii, dimensiunii si

capacitatii de a genera consecinte, aferente unui factor de risc

identificat, intr-o maniera cuantificata sau baneasca (Business

Dictionary)

Definitii




Evaluarea riscului - procesul de comparare a riscului estimat cu criteriile

de risc pentru determinarea semnificatiei riscului (ISO/IEC 73

Tratarea riscului - procesul de selectie si implementare a masurilor

pentru reducerea riscului (ISO/IEC 73)

Amenințare - cauza potentiala a unui incident nedorit care poate produce

daune unui sistem sau unei organizații (ISO/IEC 13335-1)

Vulnerabilitate - slabiciune a unei resurse sau grup de resurse care

poate fi exploatata de una sau mai multe amenintari (ISO/IEC 13335-1)

Definitii




Impact - daunele cauzate de un incident

Bun (Asset) - valoare pentru organizatie, activitatea organizatiei si

continuitatea acesteia (ISO/IEC 13335-1)

Masura de control - practica, procedura sau mecanism care reduce

riscurile de securitate (ISO/IEC 13335-1)

Risc rezidual – riscul care ramane dupa tratarea riscului (ISO/IEC 73)

Managementul riscului - activitati coordonate pentru indrumarea si

controlul unei organizatii luand in considerare riscurile (ISO/IEC 73)

Definitii




Riscul informational se raporteaza la

informatie si la capacitatea acesteia de a fi

mentinuta in conditii de securitate.

Atat riscul cat si securitatea informatiei se

raporteaza la proprietatile informatiei:

confidentialitate, integritate, disponibilitate,

responsabilitate, autenticitate, non-

repudiere, fiabilitate.

Sisteme de management al securitatii informatiei - SMSI




SMSI este parte a intregului sistem de management care are in centru

o abordare a riscului afacerii folosita pentru a stabili, implementa,

functiona, monitoriza, revizui, mentine si imbunatati securitatea

informatiei.

Stabilirea unui SMSI intr-o organizatie are in centrul tuturor

demersurilor realizarea proceselor adecvate de management al

riscului informational in vederea asigurarii securitatii informatiei.


Prelucrare dupa ENISA, European Network for Information Security

RISK MANAGEMENT

RISK ASSESSMENT

RISC ANALYSIS

RISK EVALUATION

RISC TREATMENT

DEFINITION OF ISMS POLICY

SCOPE DEFINITION

SELECTION OF CONTROLS

DECLARATION OF

APPLICABILITY

Assets, threats,

vulnerabilities,

impacts

Risc management

strategy

Additional controls

Policy

Scope of the ISMS

List of assessedrisks

Identifiedweaknesses of assets

Risc treatment plans

Strength ofcontrols andimplementation





MASURI DE

CONTROL

VULNERABILITATIAMENINTARI

BUNURI

IMPACT

RISC

CERINTE DE

PROTECTIE

auimpun

protejeaza de cresc

indica

scad

cresc

cresc expun

exploateaza





- Confera incredere actionarilor si in general tuturor stakeholderilor

- Stimulează informarea continua cu privire la noutatile aparute

- Stimuleaza asigurarea conformitatii cu reglementarile aplicabile

- Ajuta la focalizarea activitatilor de audit

- Promoveaza imbunatatirea continua

- Imbunatateste procesul de gestionare si prevenire a incidentelor


PLAN

- identificarea riscului

- cuantificarea riscului in raport cu

- impactul materializarii sale asupra afacerii

- probabilitatea de aparitie

- identificarea masurilor necesare pentru a aduce

riscul in limite acceptabile

ACT- imbunatatirea masurilor de tratare a riscurilor tinand cont de schimbarile de situatie din contextul organizational- imbunatatirea continua a procesului in ansamblu

DO- implementarea masurilor de tratare a riscurilor- instruirea conducerii si a personalului in general cu privire la riscurile identificate si masurile stabilite

CHECK- monitorizarea si reevaluarea rezultatelor masurilor aplicate, a eficacitatii si eficientei procesului





Impactul pe care o amenintare il creeaza prin exploatarea unei

vulnerabilitati ar trebui analizat din perspectiva obiectivelor securitatii

informatiei: integritate, disponibilitate, confidentialitate.

Mare pierderi materiale cu costuri foarte mari; pierderi foarte

importante de imagine, reputatie, etc; pierderi foarte importante la nivel

de securitate si sanatate in munca

Mediu pierderi materiale cu costuri semnificative; pierderi

semnificative de imagine, reputatie, etc; pierderi la nivel de securitate

si sanatate in munca

Scazut pierderi materiale neimportante; oarecare atingere de imagine,

reputatie, etc;

Analiza riscului informational




Analiza riscului informational

RISK ASSESSMENT

RISK ANALISYS

RISK IDENTIFICATION

RISK ESTIMATION

RISK EVALUATION

Assessment

satisfactory?

Likelihood determination

Impact analysis

Magnitude of impact

definition

Prelucrare dupa ISO CEI 27005: 2008




Exemplu estimare: abordare detaliata consecinte-impact- probabilitate, masurare calitativa




Exemplu estimare : abordare detaliata valoare bunuri-vulnerabilitate-probabilitate, masurare

calitativa




Cei 4T - “Terminate, Tolerate, Treat, Transfer”

TRANSFER TERMINARE

TOLERARE TRATARE

Impact

Mare

Mic

Mica Mare

Probabilitate de aparitie

Tratarea riscului informational




Pentru fiecare dintre riscurile determinate este necesara o

decizie de tratare. Optiuni posibile:

- Evitarea riscurilor prin interzicerea actiunilor care ar putea cauza

aparitia riscurilor (Terminare)

- Acceptarea constienta si obiectiva a riscului conform politicii si

criteriilor de acceptare a riscurilor stabilite de organizatie (Tolerare)

- Aplicarea masurilor adecvate de securitate pentru reducerea riscului

(Tratare)

- Transferul riscurilor catre terte parti, e.g. asiguratori sau furnizori de

servicii (Transfer)






Impact

Probabilitate de apariție

Tratare

Terminare

Tolerare

Transfer

<1% 1-5% 5-10% 10-20% 20-30% 30-70% 70%




Pentru riscurile pentru care s-a luat decizia de tratare trebuie

luate masuri de reducere a riscurilor la un nivel acceptabil.

Controalele pot fi selectate din acest standard sau din alte seturi de

controale, pot fi proiectate noi controale pentru a îndeplini nevoile

specifice organizatiei

Trebuie recunoscute controalele care nu pot fi aplicate la fiecare

sistem sau mediu de informatii si care nu sunt utilizabile pentru toate

organizatiile






Masurile care se stabilesc pentru tratarea riscurilor depind de

urmatorii factori:

- Riscul identificat (tratat, asociat, rezidual)

- Cerinţele legale, reglementate, contractuale, alte constrangeri de

natura legala

- Nivelul de securitate stabilit

- Costurile stabilite ca fiind acceptabile

- Cerintele clienţilor

- Usurinta implementarii

- Intretinerea controalelor selectate





Acceptarea riscului informational

Organizatia trebuie sa-si defineasca nivelul propriu de acceptare a

riscului.

Premise

- Nu este o abordare realista luarea in considerare a tuturor riscurilor

existente în organizatie.

- Nici un sistem informatic nu poate fi 100% sigur.

- Resursele alocate pentru tratarea riscului sunt limitate.

Dacă riscul este peste acest nivel acceptat, trebuie sa se implementeze

măsuri de securitate.





Daca riscul este sub acest nivel, organizaţia trebuie să accepte

existenţa riscului.

Reguli

Acceptarea nivelului riscului trebuie sa fie asumat de managementul de

top.

Riscul rezidual trebuie sa fie inregistrat in raportul de evaluare a riscurilor

si trebuie sa fie asumat de managementul de varf.





Daca riscul este sub acest nivel, organizaţia trebuie să accepte

existenţa riscului.

Reguli

- Acceptarea nivelului riscului trebuie sa fie asumat de managementul de

top.

- Riscul rezidual trebuie sa fie inregistrat in raportul de evaluare a

riscurilor si trebuie sa fie asumat de managementul de varf.

Documents

INTRODUCERE IN MANAGEMENTUL RISCULUIe-birouvirtual.ro/sites/default/files/smsi_riscul_de_securitat_ea... · directionarea si controlul organizatiei cu privire la riscuri (conform