MANAGEMENTUL RISCULUI

C3

Definiii
Risc O problem (situaie, eveniment,
etc.) care nu a aprut nc, dar care
poate apare n viitor, caz n care
obinerea rezultatelor fixate este
ameninat sau potenat (ameninare,
oportunitate); trebuie privit ca o
combinaie ntre probabilitate i impact.

Definiii (c)

Probabilitatea de materializare
a riscului posibilitatea ca un risc s
se materializeze (msura posibilitii
de apariie apreciativ sau
cuantificabil)

Definiii (c)

Impactul reprezint
consecina asupra rezultatelor
(obiectivelor), dac riscul s-ar
materializa.

Definiii (c)

Expunere la risc consecinele,

ca o combinaie de probabilitate i
impact, pe care le poate resimii o
organizaie, dac riscul se
materializeaz

Definiii (c)
Materializarea riscului translatarea
riscului din domeniul incertitudinii n
cel al certitudinii;
Atenuarea riscului msurile
ntreprinse pentru diminuarea
probabilitii de apariie a riscului
i/sau de diminuare a consecinelor;

Definiii (c)
Evaluarea riscului evaluarea
consecinelor materializrii riscului;
Profilul de risc un tablou
cuprinznd evaluarea general,
documentat i prioritizat a gamei
de riscuri specifice cu care se
confrunt entitatea;

Definiii (c)
Strategia de risc abordarea
general pe care o are o organizaie
n privina riscurilor;
Tolerana la risc cantitatea de risc
pe care o organizaie este pregtit
s o tolereze sau la care este dispus
s se expun la un moment dat

Definiii (c)
Risc inerent expunerea la un
anumit risc, nainte s fie luat vreo
msur de atenuare a acestuia;
Riscul rezidual expunerea cauzat
de un risc dup ce au fost luate
msuri de atenuare; o msur a
eficacitii controlului intern;

Definiii (c)
Managementul riscurilor toate
procesele privind identificarea,
evaluarea i aprecierea riscurilor,
stabilirea responsabilitilor, luarea
de msuri de atenuare sau anticipare
a acestora, revizuirea periodic i
monitorizarea progresului;

Definiii (c)
Controlul intern orice msur luat
de organizaie n scopul gestionrii
riscurilor (diminuarea impactului sau
reducerea probabilitii )

Reacia la risc
Acceptarea;
Tratarea (reducerea riscului la un
nivel acceptabil):
Transferarea;
ncetarea activitii care a dat
natere riscului.

Gestionarea riscurilor
Este un proces ciclic i continuu
care include urmtorii pai:
identificarea, evaluarea
(probabilitate i impact),
prioritizarea (R=IxP/C),
planificarea, implementarea i
revizuirea aciunilor de prevenire

Ameninri i Vulnerabiliti IT
C3

Ameninri IT
O aciune (ruvoitoare sau nu) care
afecteaz securitatea sistemului
exploatnd vulnerabilitile cunoscute sau
necunoscute ale acestuia.
Poate fi cauzat de (1) obinerea accesului
neautorizat la informaia stocat, (2) refuz al
serviciului (denial of service) pentru
utilizatorii autorizai sau (3) introducerea de
informaii false pentru a induce n eroare
utilizatorii sau pentru a cauza funcionarea
necorespunztoare a sistemului (spoofing).

Orice potenial pericol expunnd

sistemul la acces neautorizat, precum
i distrugerea de date, hardware,
software sau componente de
comunicaie

VULNERABILITI

Gradul n care sistemele IT sunt

susceptibile la afectare, degradare sau
distrugere fiind expuse la un agent sau
factor ostil.
Orice caracteristici ale sistemului care
l pot expune la ameninri. Puncte
slabe ale sistemului.

Tipuri de ameninri
Dezastre naturale i politice:
foc, inundaii, cutremure, rzboaie etc;
Erori software sau eecuri hardware:
funcionare defectuoas a hardware-ului, lips
energie electric.
Aciuni neintenionate: accidente cauzate de
neglijena uman, erori umane, erori logice,
insuficienta monitorizare a personalului.
Aciuni deliberate: sabotaj, fraude, furt etc.

Ameninri IT
Se pot clasifica n trei categorii:
Hardware: ameninrile pot fi determinate
de construcie sau configurare defectuoase;
Software: erori de programare care pot fi
exploatate.
Wetware: putem securiza sistemele dar dac
utilizatorii las parolele scrise pe post-it...

Consecinele vulnerabilitilor
Vulnerabiliti hardware i software: erori n
procesarea datelor, modificarea datelor sau
distrugerea datelor, distrugerea hardwareului,
bree de securitate.
Vulnerabiliti ale stocrii datelor: pierderea
datelor, pierderea software-ului.
Vulnerabiliti ale mediului de comunicaii :
afectarea procesrii datelor n reea,
imposibilitatea efecturii de tranzacii online,
bree de securitate.

 Vulnerabiliti umane: administratori,

operatori, utilizatori.
Vulnerabilitile umane pot avea caracter
intenionat sau neintenionat.
Vulnerabiliti fizice: intruziune fizic n
arii rezervate sistemelor sensibile (servere) sau
back-up-uri cu intenia de furt (date,
componente hardware, software).

Glosar termeni - ameninri

Adware cod suplimentar scris ntr-o aplicaie
care afieaz benere publicitare. Pot
aprea ca ferestre pop-up sau bare pe
ecranul aplicaiei.
Denial of service attacks Atacuri proiectate
s produc refuzul unor servicii.

Glosar termeni ameninri

(continuare)
Distributed Denial of Service Attack (DDoS) un
hacker nu atac n mod direct o reea neavnd
puterea de calcul necesar sau pentru nu a fi uor
identificat. Hacker-ul va ncerca s preia controlul
asupra unui numr de calculatoare neprotejate i
lanseaz atacul prin aceste calculatoare. Atacul este
ndreptat de cele mai multe ori spre site-uri de
ecommerce sau uneori, spre site-uri
guvernamentale. Atunci cnd mai multe calculatoare
acceseaz concomitent un anumit serviciu se poate
produce refuzul serviciului.

Glosar termeni ameninri

(continuare)
Hacking folosirea neautorizat sau
ncercarea de a eluda/depi mecanismele
de securitate ale SI sau reelei.
Protocoale nesigure exist o serie de
protocoale nesigure. Includ: ftp, telnet, smtp,
pop3 i http.
SMPT = Simple Mail Transfer Protocol, un
protocol pentru trimiterea mesajelor e-mail ntre
servere.

Glosar termeni ameninri

(continuare)
Pop3 = Short for Post Office Protocol, un
protocol folosit pentru regsirea de e-mailuri pe un server de mail. Majoritatea
aplicaiilor e-mail (numite uneori e-mail
server) folosesc protocolul POP, altele pot
utiliza IMAP (Internet Message Access
Protocol).

Glosar termeni ameninri

(continuare)
Http = Hyper Text Transfer Protocol,
protocolul folosit de World Wide Web.
HTTP definete cum mesajele sunt formatate
i transmise i ce aciuni trebuie s iniieze
serverele.Web i browserele ca rspuns la
diferite comenzi.

Glosar termeni ameninri

(continuare)
Phishing primirea unui e-mail (uzual n
format html) care te direcioneaz ctre un
Web site fals cu scopul de a obine, n mod
fraudulos, informaii bancare sau date
personale. E-mailul solicit revalidarea datelor
de identificare sub pretextul unor verificri
sau susceptibiliti de fraud asupra
contului tu bancar.

Glosar termeni ameninri

(continuare)
Spam n mod general este descris ca un
email nesolicitat prin care se realizeaz
publicitate sau se ncearc vnzarea unor
produse, se solicit nregistrarea pentru
obinerea unor servicii sau include o farsa
pentru a te induce n eroare.

Glosar termeni ameninri

(continuare)
Spyware Adesea instalat pe calculator
fr a fi tiut acest lucru. Este un
supliment inserat ntr-o aplicaie cu scopul
obinerii de informaii. Poate nregistra ceea
ce faci si poate fi folosit pentru a obine
informaii personale i date despre cardul de
credit pentru a fi folosite ulterior.
Spyware este uneori legat de un troian ( engl.
Trojan).

Glosar termeni ameninri

(continuare)
Trojan un program care la prima vedere
aduce un beneficiu utilizatorului dar care n
fapt acoper altceva.
Virus un program care se auto-copiaz
proiectat s se ataeze sau s infecteze
alte programe pe calculatorul gazd. Cnd se
execut un program infectat, se realizeaz
activarea virusului ceea ce va declana
infectarea altor programe.

Glosar termeni ameninri

(continuare)
Worm se difereniaz de troieni prin
faptul c nu au nevoie de un program gazd i
are capacitatea de autoreplicare.