INFORMATION SECURITY AND RISK MANAGEMENT - AN ECONOMIC APPROACH

Similar documents
GRAFURI NEORIENTATE. 1. Notiunea de graf neorientat

Aplicatii ale programarii grafice in experimentele de FIZICĂ

VISUAL FOX PRO VIDEOFORMATE ŞI RAPOARTE. Se deschide proiectul Documents->Forms->Form Wizard->One-to-many Form Wizard

Clasele de asigurare. Legea 237/2015 Anexa nr. 1

Platformă de e-learning și curriculă e-content pentru învățământul superior tehnic

Cuprins. Cuvânt-înainte... 11

riptografie şi Securitate

ENVIRONMENTAL MANAGEMENT SYSTEMS AND ENVIRONMENTAL PERFORMANCE ASSESSMENT SISTEME DE MANAGEMENT AL MEDIULUI ŞI DE EVALUARE A PERFORMANŢEI DE MEDIU

Application form for the 2015/2016 auditions for THE EUROPEAN UNION YOUTH ORCHESTRA (EUYO)

ISA 620: Utilizarea activității unui expert din partea auditorului

Ghid de instalare pentru program NPD RO

Pasul 2. Desaturaţi imaginea. image>adjustments>desaturate sau Ctrl+Shift+I

RISC, HAZARD ŞI VULNERABILITATE NOŢIUNI GENERALE

Importanţa productivităţii în sectorul public

DIRECTIVA HABITATE Prezentare generală. Directiva 92/43 a CE din 21 Mai 1992

Standardele pentru Sistemul de management

SUBIECTE CONCURS ADMITERE TEST GRILĂ DE VERIFICARE A CUNOŞTINŢELOR FILIERA DIRECTĂ VARIANTA 1

Parcurgerea arborilor binari şi aplicaţii

INTEGRAREA SECURITĂŢII ŞI SĂNĂTĂŢII ÎN MUNCĂ ÎN MANAGEMENTUL AFACERILOR: O META-ANALIZĂ

TTX260 investiţie cu cost redus, performanţă bună

COSTUL DE OPORTUNITATE AL UNUI STUDENT ROMÂN OPPORTUNITY COST OF A ROMANIAN STUDENT. Felix-Constantin BURCEA. Felix-Constantin BURCEA

1.1 Managementul riscului

STANDARDUL INTERNAŢIONAL DE AUDIT 315 CUNOAŞTEREA ENTITĂŢII ŞI MEDIULUI SĂU ŞI EVALUAREA RISCURILOR DE DENATURARE SEMNIFICATIVĂ

Ghid metodologic de implementare a proiectelor pilot

Press review. Monitorizare presa. Programul de responsabilitate sociala. Lumea ta? Curata! TIMISOARA Page1

Produs final WP2006/5.1(CERT-D1/D2)

Platformă de e-learning și curriculă e-content pentru învățământul superior tehnic

Securitatea şi Sănătatea. în utilizarea Produselor Chimice la locul de muncă

Split Screen Specifications

Anexa nr.1. contul 184 Active financiare depreciate la recunoașterea inițială. 1/81

Executive Information Systems

ANEXĂ COMISIA EUROPEANĂ,

Securitatea sistemelor de calcul şi a reţelelor de calculatoare

Click pe More options sub simbolul telefon (în centru spre stânga) dacă sistemul nu a fost deja configurat.

DEZVOLTAREA LEADERSHIP-ULUI ÎN ECONOMIA BAZATĂ PE CUNOAŞTERE LEADERSHIP DEVELOPMENT IN KNOWLEDGE BASED ECONOMY

Mail Moldtelecom. Microsoft Outlook Google Android Thunderbird Microsoft Outlook

Cu ce se confruntă cancerul de stomac? Să citim despre chirurgia minim invazivă da Vinci

Analele Universităţii Constantin Brâncuşi din Târgu Jiu, Seria Economie, Nr. 2/2008

Marketingul strategic în bibliotecă

Pro-active environmental strategies, main source of competitive advantage within economic organizations

4 Caracteristici numerice ale variabilelor aleatoare: media şi dispersia

Material de sinteză privind conceptul de intreprindere virtuală şi modul de implementare a mecanismelor care susţin funcţionarea acesteia

Modalităţi de redare a conţinutului 3D prin intermediul unui proiector BenQ:

INFORMATICĂ MARKETING

Sisteme informationale economice (3)

Menţinerea în funcţiune a unui sistem eficient ABC/ABM

Management. Măsurarea activelor generatoare de cunoştinţe

SISTEMUL INFORMATIONAL-INFORMATIC PENTRU FIRMA DE CONSTRUCTII

Cap. 2. Sistemul informaţional al organizaţiei şcolare

Informaţii de bază / Evaluarea riscurilor generalităţi Partea I a II-a

PREZENTARE INTERFAŢĂ MICROSOFT EXCEL 2007

Ce pot face sindicatele

CERCETĂRI PRIVIND SECURITATEA AFACERILOR ELECTRONICE. STANDARDE ŞI PROTOCOALE PENTRU SECURITATEA AFACERILOR ELECTRONICE

STANDARDUL INTERNAŢIONAL DE AUDIT 500 PROBE DE AUDIT CUPRINS

Ghidul administratorului de sistem

GHID PRIVIND IMPLEMENTAREA STANDARDELOR INTERNAŢIONALE DE AUDIT INTERN 2015

ABORDĂRI MODERNE PRIVIND RĂZBOIUL INFORMAŢIONAL PE TIMP DE PACE, CRIZĂ SAU RĂZBOI. Radu POPA

ACADEMY AND LIFE CARE. Lean & Six Sigma. Catalog cursuri.

Marian SIMINICĂ DIAGNOSTICUL FINANCIAR AL FIRMEI

STANDARDUL INTERNAŢIONAL DE AUDIT 120 CADRUL GENERAL AL STANDARDELOR INTERNAŢIONALE DE AUDIT CUPRINS

Comunitate universitară pentru managementul calităţii în învăţământul superior

FORMULAR PENTRU ORGANIZAŢIILE CARE DESFĂŞOARĂ ACTIVITĂŢI DE CONSULTANŢĂ ÎN REGIUNEA CENTRU

Maria plays basketball. We live in Australia.

PĂTRUNDEREA PE PIAŢA EUROPEANĂ. Phare - Asistenţă Tehnică pentru Agenţia Naţională pentru Întreprinderi Mici şi Mijlocii

LESSON FOURTEEN

OPTIMIZAREA GRADULUI DE ÎNCĂRCARE AL UTILAJELOR DE FABRICAŢIE OPTIMIZING THE MANUFACTURING EQUIPMENTS LOAD FACTOR

LOGISTICA - SURSĂ DE COMPETITIVITATE

LABORATORUL DE SOCIOLOGIA DEVIANŢEI Şi a PROBLEMELOR SOCIALE (INSTITUTUL DE SOCIOLOGIE AL ACADEMIEI ROMÂNE)

RESPONSABILITATEA SOCIALĂ ŞI COMPETITIVITATEA DURABILĂ. Social Responsibility And Sustainable Competitivness

RELAŢIA RESPONSABILITATE SOCIALĂ SUSTENABILITATE LA NIVELUL ÎNTREPRINDERII

EMSYS Asset Management

FISA DE EVIDENTA Nr 1/

Clasificarea internaţională a funcţionării, dizabilităţii şi sănătăţii

Enterprise Remodeling with Information Technology (1)

Competenţe IT ale profesioniştilor contabili. Auditul sistemelor informaţionale contabile. Evaluarea mediulul de control IT al entităţii

Contul de profit şi pierdere în context internaţional. Profit and loss account in the international context

Auditul calităţii versus comunicarea corporativă

STUDIU DE FEZABILITATE PRIVIND DIGITIZAREA, PREZERVAREA DIGITALĂ ŞI ACCESIBILITATEA ON-LINE A RESURSELOR BIBLIOTECILOR

Etapele implementării unui sistem de management de mediu într-o organizaţie

GREEN ECONOMY AND CLIMATE CHANGE PREVENTION CYCLE

UNIVERSITATEA BABEŞ-BOLYAI CLUJ-NAPOCA FACULTATEA DE ŞTIINŢE ECONOMICE ŞI GESTIUNEA AFACERILOR TEZĂ DE DOCTORAT. rezumat

RISCURI ŞI CATASTROFE

PROIECT DE PROGRAMĂ PENTRU OPŢIONAL. Denumirea opţionalului: PREVENIREA ABANDONULUI ŞCOLAR. ESTE PROFESIA MEA! CUPRINS. Argument

AUTORITATEA DE SUPRAVEGHERE FINANCIARĂ

SISTEMUL INFORMAŢIONAL LOGISTIC: COMPONENTE ŞI MACRO PROCESE

DEZVOLTARE ORGANIZAŢIONALĂ ŞI MANAGEMENTUL SCHIMBĂRII

Introducere. Privire de ansamblu

Circuite Basculante Bistabile

M ANAGEMENTUL INOVARII

Gabriela PICIU Centrul de Cercetări Financiare şi Monetare Victor Slăvescu

Regulamentul privind utilizarea rețelelor de socializare în instituţiile guvernamentale

MODULUL nr. 2 3 Standardul internaţional pentru managementul documentelor (ISO 15489)

ABORDĂRI ŞI SOLUŢII SPECIFICE ÎN MANAGEMENTUL, GUVERNANŢA ŞI ANALIZA DATELOR DE MARI DIMENSIUNI (BIG DATA)

Traditional Physical Product vs. Digital Product

EDUCATION MANAGEMENT AND EDUCATION SERVICES

Voi face acest lucru în următoarele feluri. Examinând. modul în care muncesc consultanţii. pieţele pe care lucrează

Teoreme de Analiză Matematică - II (teorema Borel - Lebesgue) 1

PLANIFICAREA UNUI SISTEM MODERN DE TRANSPORT

Sisteme de management al calităţii PRINCIPII FUNDAMENTALE ŞI VOCABULAR

REŢELE DE COMUNICAŢII DE DATE

Transcription:

INFORMATION SECURITY AND RISK MANAGEMENT - AN ECONOMIC APPROACH Lt. col. lect. univ. dr. ing. Cezar VASILESCU Departamentul Regional de Studii pentru Managementul Resursele de Apărare Abstract This paper presents an approach that allows risk management and information security in organizations modeling from an economic point of view. Given that IT&C systems are subject to constant attacks, risk management has become a crucial task to minimize the potential risks that may affect their proper functioning. To prevent organizational difficulties generated by cyber attacks or failure of the information systems there are made continuous investments in various security measures and data protection systems are purchased. Along with the increase of potential risks, the investment of funds in the security and data protection services has become a serious economic problem for many organizations. This paper examines several approaches allow the assessment of the investments from an economic point of view, investments which are necessary for information security goals. This paper introduces methods for identifying assets, threats, vulnerabilities of the IT & C systems and proposes a procedure which allows the optimal investment choice of the necessary security technologies based on the quantification of the values of the protected systems. 1. Introducere În ultimele decenii, accentuarea schimburilor de informaţii în format electronic, a determinat o dependenţă din ce în ce mai mare a organizaţiilor de sistemele lor informatice şi de furnizorii de Internet. Atacurile potenţiale asupra sistemelor informatice şi eventuala lor defectare pot duce la pierderi de date şi întreruperea activităţii pentru o anumită perioadă de timp. Riscurile de securitate 73

apar de obicei din cauza defecţiunilor tehnice, vulnerabilităţilor de sistem, erorilor umane sau datorită unor evenimente externe. Acesta este cauza pentru care organizaţiile investesc fonduri considerabile pentru achiziţia de sisteme de securitate informaţionale, menite a le proteja confidenţialitatea, integritatea şi disponibilitatea de operare. Conştientizarea riscurilor potenţiale duce la creşterea investiţiilor în acest domeniu. În ciuda acestui fapt incontestabil şi a progreselor înregistrate în ultimii 10 ani, nivelul de securitate al reţelelor de calculatoare nu a fost îmbunătăţit considerabil [1]. Acest lucru a dus la necesitatea adoptării unui punct de vedere economic, având în vedere că tehnologia singură nu poate rezolva problema expusă anterior. Managementul riscurilor de securitate informaţională reprezintă un proces care integrează identificarea şi analiza riscurilor la care organizaţia este expusă, analiza impactului potenţial asupra afacerilor şi decizia asupra acţiunilor care pot fi întreprinse pentru eliminarea sau reducerea riscului la un nivel acceptabil [2]. Necesită o identificare şi evaluare completă a infrastructurilor informaţionale organizaţionale, a consecinţelor incidentelor de securitate, a probabilităţii de succes a atacurilor asupra sistemelor IT&C, precum şi a costurilor şi beneficiilor aduse de investiţiile în sisteme de securitate informaţională. Managementul riscurilor de securitate informaţională constă din: identificarea infrastructurilor informaţionale organizaţionale; identificarea ameninţărilor şi analiza impactului unui atac informatic încheiat cu succes; identificarea vulnerabilităţilor sistemice pe care respectivul atac le-ar putea exploata; analiza riscurilor de securitate; măsuri de minimizare a riscului; monitorizarea eficienţei măsurilor implementate. Scopul analizei riscurilor de securitate informaţională este acela de a identifica şi măsura riscul, pentru a realiza o informare promptă a factorilor de decizie din organizaţie. 2. Identificarea infrastructurilor informaţionale şi a valorii lor pentru organizaţie Primul pas al procesului este identificarea infrastructurilor informaţionale (în termeni economici numite active ). Acestea constau din informaţii şi resurse informaţionale care dau valoare organizaţiei. După identificare, activele trebuiesc evaluate. Pentru activele tangibile (infrastructuri fizice - servere, staţii de lucru, infrastructură de reţea), acest lucru este uşor, măsura lor fiind banii. Pentru cele intangibile (informaţii de afaceri, reputaţia organizaţiei, cunoaşterea organizaţiei, proprietatea intelectuală) situaţia este mai complicată, acestea neputând fi cuantificate direct în unităţi monetare. Pentru analiza activelor, acestea sunt de obicei clasificate în clase discrete [3] [4] [5] care facilitează definirea riscurilor globale de securitate şi permit în 74

primul rând concentrarea asupra activelor critice (date financiare, proprietate intelectuală, etc.). Clasa activelor cu risc moderat cuprinde informaţiile interne de afaceri, scheme ale reţelelor informatice, informaţii asupra site-urilor web, etc. Active cu risc scăzut sunt informaţiile asupra paginilor web accesibile public, comunicatele de presă, broşurile privind produsele oferite şi documentaţia aferentă, etc. 3. Identificarea ameninţărilor Activele informaţionale ale organizaţiilor sunt implicit expuse ameninţărilor, care pot fi definite ca orice eveniment potenţial cu impact nedorit. Organizaţiile trebuie să identifice cu claritate potenţialele ameninţări, pentru a-şi îmbunătăţi gradul de protecţie şi stabilirea unor strategii viabile de securitate. Cele mai uzuale ameninţări se exercită asupra unor ţinte cum ar fi reţelele de calculatoare, software-ul instalat, datele vehiculate precum şi componentele fizice ale acestora. Ameninţările pot fi clasificate în dezastre naturale şi acţiuni umane (intenţionate sau neintenţionate). Pot fi amintite aici câteva acţiuni umane intenţionate / ameninţări: furtul, pierderea sau distrugerea unui activ informaţional, frauda, accesul neautorizat la serviciile de reţea, furtul de identitate în reţea, etc. Consecinţele economice ale breşelor de securitate pot fi considerabile. Conform [6], majoritatea pierderilor financiare sunt cauzate prin fraudă, de către viruşi, viermi şi/sau spyware, precum şi prin accesul neautorizat de la distanţă. Impactul asupra organizaţiei poate fi imediat, tradus prin pierderi imediate sau sau ulterior, materializat prin pierderi indirecte. Din multitudinea pierderilor imediate se pot aminti diminuarea veniturilor, scăderea productivităţii muncii şi creşterea costurilor, care în multe situaţii pot fi doar o mică parte din totalul pierderilor generate de incidentele de securitate. De obicei, pierderile indirecte au un impact negativ de lungă durată asupra activităţii organizaţiei, privind mulţimea potenţialilor clienţi, a partenerilor de afaceri, furnizorilor, pieţei financiare [7]. Acestea influenţează şi reputaţia organizaţiei, aducând atingere încrederii clienţilor în serviciile oferite. Conform [8], pierderile datorate unor breşe de securitate sunt de obicei asociate cu integritatea şi confidenţialitatea datelor, precum şi cu disponibilitatea activelor informaţionale. Cu toate acestea, din perspectivă economică, date credibile privind costurile reale produse în urma incidentelor de securitate sunt foarte dificil de obţinut. Unul dintre motive este acela că majoritatea organizaţiilor nu ţin o evidenţă sistematică şi nu documentează adecvat aceste incidente. De asemenea, organizaţiile tratează aceste probleme ca pe evenimente interne, pentru a evita publicitatea negativă. Cele mai relevante date provin din rapoartele anuale ale organizaţiilor specializate în securitate informaţională (CERT, CSI, DTI). 75

4. Identificarea vulnerabilităţilor Vulnerabilitatea reprezintă o slăbiciune a procedurilor de securitate, a metodelor de control tehnice, fizic sau de altă natură ale infrastructurii informaţionale pe care o ameninţare poate exploata. Cele mai multe incidente de securitate sunt cauzate de vulnerabilităţile generate datorită defectelor software-ul. Vulnerabilităţile sunt de obicei cunoscute ca fiind o problemă tehnică. Cu toate acestea, există vulnerabilităţi provocate de factorul uman. Acest tip de vulnerabilitate sunt cauzate de utilizatori care îşi dezvăluie parolele lor sau folosesc parole slabe, de neînţelegerea sau ignorarea politicilor de securitate, de deschiderea email-urilor provenite de la persoane necunoscute, de vizitarea siteurilor web nesigure, etc. Un bun mecanism de asigurare a securităţii este acela de a considera vulnerabilităţile o marfă de schimb. Acest lucru înseamnă că un dezvoltator software oferă o recompensă pentru prima persoana care detectează o vulnerabilitate în codul sursă, recompensa putând creşte odată cu trecerea timpului. În contrast, The Computer Emergency Response Team (CERT) acţionează ca un intermediar între persoane care raportează în mod voluntar vulnerabilităţi informatice. Pentru a se asigura că astfel de notificări publice nu sunt exploatate de atacatori, CERT contactează dezvoltatorul software în scopul creării de patch-uri corespunzătoare şi aşteaptă un moment convenabil pentru a face publică vulnerabilitatea. Se pune întrebarea - de ce furnizorii de software nu fac produsele lor mai sigure din primul moment. Răspunsul este determinat de aspectele economice. Securitatea produselor software este dificil de măsurat, iar utilizatorii fac cu greu distincţia între cele mai sigure şi cele mai puţin sigure. De asemenea, costurile de scriere, testare şi implementare a unor protocoale sigure de securitate sunt mari, iar utilizatorii nu sunt dispuşi să plătească suplimentar pentru aceasta. De aceea, pentru a repara vulnerabilităţile, dezvoltatorii de produse software recurg la aşa-numitele patch-uri. Conform CERT, 95% din incidentele de securitate pot fi prevenite menţinând sistemele informatice cu patch-urile la zi. În ultimul timp, intervalul de timp între identificarea vulnerabiltăţilor şi crearea unor instrumente de exploatare a acestora (exploit-uri) s-a diminuat simţitor. Cu toate acestea, multe sisteme sunt lăsate neactualizate pentru lungi intervale de timp, ceea ce poate conduce la consecinţe economice dramatice. 5. Abordări de evaluare a riscurilor de securitate informaţională Odată ce riscurile de securitate au fost identificate, acestea trebuie să fie evaluate în funcţie de pierderile potenţiale pe care le pot produce şi probabilitatea lor de apariţie. Evaluarea riscurilor reprezintă determinarea impactului potenţial al unui riscului individual, prin evaluarea probabilităţii ca acesta să aibă loc, precum şi impactul ce care l-ar avea în cazul în care apare. Evaluarea ajută organizaţiile să ia o decizie în ceea ce priveşte investiţiile în sisteme de securitate pentru maximizarea beneficiului afacerilor. 76

Există mai multe metodologii pentru evaluarea riscurilor. Analize cantitativă a riscului încearcă să atribuie valori numerice probabilităţii de apariţie, impactului riscurilor, precum şi costurilor şi beneficiilor legate de introducerea unor măsuri şi sisteme de securitate. Scopul măsurilor de securitate este acela de a diminua riscul până la un punct în care costul marginal de punere în aplicare a măsurii este egal cu valoarea totală a incidentelor de securitate. În contrast cu abordarea cantitativă, analiza calitativă a riscului operează cu valori relative şi nu atribuie valori exacte activelelor financiare, pierderilor aşteptate, şi costului controalelor şi a sistemelor. Analiza calitativă a riscurilor este de obicei efectuată printr-o combinaţie de chestionare şi grupuri de discuţii colaborative. Ambele abordări (calitativă şi cantitativă) au avantaje şi dezavantaje. Problema analizei cantitative de risc constă în inexistenţa unei metode standard de calcul a valorilor activelor şi a costului măsurilor şi sistemelor de securitate necesare. Avantajul unei abordări calitative este acela că procesul în sine necesită personal mai puţin şi nu este necesară calcularea exactă a valorii activelor şi a costulului implementării măsurilor de securitate. Dezavantajul este că rezultatele sunt de obicei vagi, deoarece au fost obţinute pe baza unor valori relative ale activelor. De obicei organizaţiile de dimensiuni mici, cu resurse de obicei limitate, vor găsi abordarea calitativă mai convenabilă. 6. Concluzii Managementul riscurilor de securitate informaţională reprezintă o preocupare fundamentală a tuturor organizaţiilor. Aceasta lucrare prezinta o analiză a problemei asociată cu determinarea necesarului economic de investiţii în securitatea informaţiilor. Rezultatul analizei reprezintă o recomandare care ar putea fi transformată într-o abordare standardizată. Abordarea conţine o enumerare a etapelor procesului de gestionare a riscurilor, care permite identificarea activelor. Acest lucru oferă bună înţelegere asupra a ce anume ar trebui să fie protejat în special în organizaţie şi motivaţia asociată. Analiza ameninţărilor oferă informaţii despre ameninţări şi despre mediul de securitate în care evoluează o organizaţie pe parcursul desfăşurării proceselor de afaceri. Fiecare etapă a procesului este analizată din punct de vedere al securităţii informaţionale şi a aspectelor economico-financiare pe care le implică. Până în prezent, un există un model standardizat de determinare a riscului financiar asociat cu incidentele de securitate, de aceea recomandarea este de a le utiliza combinat pe cele parţiale existente, adaptate la circumstanţele specifice existente. 77

Bibliografie 1. Whitman, M. E. (2003). Enemy at the gate: Threats to information security. Communications of the ACM, 46(8), 91 95. 2. Anderson, R., Schneier, B. (2005). Economics of information security. IEEE Security and Privacy, 12 13. 3. FIPS (2004). Federal Information Processing Standards (FIPS) publication. Security Categorization of Federal Information and Information Systems. 4. Microsoft (2004). Microsoft security Risk Management Guide. http://www.microsoft.com/technet/security/guidance/complianceandpolicies/ secrisk/default.mspxs. 5. NIST (2004). Mapping types of information and information systems to security categories. National Institute of Standards and Technology (NIST) Special Publication. 6. CSI (2007). CSI Survey 2007. The twelfth annual computer crime and security survey, http://www.gocsi.com/forms/csi_survey.jhtml. 7. Rowe, B. R., Gallaher, M. P. (2006). Private sector cyber security investment strategies: An empirical analysis. The fifth workshop on the economics of information security (WEIS06). 8. Bohme, R., Kataria, G. (2006). Models and measures for correlation in cyberinsurance. The fifth workshop on the economics of information security. 78

2024 © artsdocbox.com Privacy Policy | Terms of Service | Feedback