Model Cantitativ pentru Măsurarea Riscurilor

Studiu teoretic

Modelul cantitativ de măsurare a riscurilor pe care-l prezentăm, dezvoltat de Emil Burtescu

după S.B Hsiao, R. Stemp, , consideră că practic, pierderile potenţiale ca urmare a producerii unui risc, sunt reprezentate de costurile de înlocuire a resurselor IT afectate. Pentru o extindere a modelului noi am adăuga şi costurile generate de efortul de refacere a pierderii de imagine, de încredere şi recâştigare a poziţiei firmei în mediul de afaceri. Aceste costuri sunt ocazionate de acţiunile de relansare şi promovare a firmei, cheltuieli de publicitate, întâlniri cu principalii parteneri, seminarii, mese rotunde etc.

Modelul în discuţie are în vedere pierderile pe care le putem înregistra ca urmare a producerii unor riscuri ce afectează resursele fizice, hardware, software şi informaţionale , considerate active ale firmei.

Modelul de măsurare este integrat de autor într-o procedură de analiză cantitativă a riscurilor de securitate, procedură care, pentru a avea şi valoare practică nu numai teoretică, propune finalizarea modelului cu stabilirea unui set de măsuri de control şi un calcul al rentabilităţii investiţiilor .Procedura de analiza cantitativă şi control a riscului are următori paşi:

a. Identificarea şi evaluarea activelor IT;

b. Determinarea ameninţărilor;

c. Estimarea probabilităţilor de producere;

d. Calculul pierderilor anuale estimate;

e. Analiza măsurilor de control;

f. Calcularea rentabilităţii investiţiei – RI.

a) Identificarea şi evaluarea activelor IT

Activitatea de identificare a activelor firmei ce fac parte din domeniul IT însemnă realizarea unui inventar al resurselor IT pe categorii:

- resurse fizice IT&C, ceea ce înseamnă echipamente hardware şi de comunicaţie dar şi clădiri, birouri şi amenajări pentru utilităţi şi dotări speciale pentru infrastructura de reţea; în această clasă de resurse regăsim: spaţiile de birouri, sisteme de alimentare cu energie, apă, gaze, instalaţii de aer condiţionat şi prevenire a incendiilor, echipamente hardware, surse auxiliare de tensiune, unităţi de stocare/backup, linii şi echipamente de interconectare a reţelelor – huburi, switchuri, modemuri, routere, cabluri, antene, dispozitive access-point,

- resurse software, care includ în primul rând programe, software-ul de bază, licenţele, software-ul aplicativ, bibliotecile de programe, programele sursă pe versiuni, datele de test;

- resursele informaţionale, care includ diferitele categorii de date ce pot fi afectate: date financiare, statistice, date despre parteneri, rapoarte de management, fişiere, baze de date, documentaţii de operare, de audit, planuri şi proceduri de securitate.

Evaluarea activelor identificate după clasificarea de mai sus presupune o analiză profesională a costurilor de înlocuire în cazul în care s-a produs distrugerea activelor sau acestea au fost afectat într-o anumită măsură.

De la caz la caz se urmăresc o serie de aspecte particulare ca de exemplu:

1) pentru componente hardware:

- care este valoarea de înlocuire la preţurile actuale;

- cât timp durează până se face înlocuirea sau remedierea;

- ce cheltuieli salariale şi materiale suplimentare sunt necesare;

- ce pierderi se pot estima pe seama afectării continuităţii afacerilor.

2) pentru componenta software:

- care este timpul de depanare a programelor pentru identificarea erorii software;

- care este durata rescrierii/corectării, şi testării programelor;

- ce cheltuieli salariale şi materiale suplimentare sunt necesare,

- eventuale scanări/devirusări, reîncărcări de sisteme de operare sau reinstalări de produse software;

- costuri de achiziţie şi instalare de noi produse antivirus/firewall.

- costuri cu actualizarea documentaţiei şi difuzare a patch-urilor şi newsletterelor.

- ce costuri suplimentare sunt ocazionate de eventuala reinstruire a personalului.

3) pentru date:

- pot fi operate corecţii direct în baza de date sau pot fi restaurate datele din copiile de siguranţă;

- cât tip durează refacerea completă a unui fişier, tabel sau a bazei de date;

- ce cheltuieli salariale şi materiale suplimentare sunt necesare,

- ce caracter au aceste date în clasificarea pe criterii de confidenţialitate şi importanţă a datelor;

- ce pagube se pot estima datorită afectării continuităţii afacerilor şi pierderii de parteneri.

Pentru o mai bună rafinare a estimării pagubelor potenţiale se pot grupa şi totaliza costurile pe clase, corespunzător zonei de impact pe care pe care o afectează riscul produs prin distrugerea sau afectarea resurselor IT. Putem considera trei zone de impact:

- confidenţialitatea;

- integritatea;

- disponibilitatea.

Totalul costurilor pagubelor estimate pe fiecare zonă o vom numi „valoarea impactului” – VIMP

Fiecărei zone de impact i se atribuie un coeficient de importanţă - CI, care va multiplica valoarea pagubelor produse de risc. Valoarea coeficientului de importanţă va fi un număr arbitrar ales, de exemplu pe o scară de la 1 la 6 după cum apreciază managerul, importanţa zonei de impact asupra afacerilor firmei.