Evaluarea riscurilor IT
În cadrul securității IT, rolul uman joacă un rol foarte important: de-a lungul anilor am trecut de la figura tehnicianului de securitate IT la cea a managerului de risc profesional pentru a încerca să definim câtă securitate este suficientă pentru a preveni problemele nedorite.
Noțiuni de bază
Securitatea informațiilor
Securitatea informațiilor a fost întotdeauna un proces important în istoria omenirii . O putem defini ca o misiune de a proteja patru aspecte cheie:
- disponibilitate: accesibilitate motivată la informații;
- integritate: completitudinea și lizibilitatea informațiilor;
- autenticitate: validitatea informațiilor;
- confidențialitate: posibilitatea ca numai cei autorizați să poată citi informațiile.
Prin urmare, securitatea impune ca informațiile și accesul la acestea să fie strict controlate.
Problema securității
Scepticismul în materie de securitate a fost întotdeauna legat de faptul că trebuie cheltuiți mulți bani pentru a combate pierderile potențiale, dar beneficiile securității nu sunt întotdeauna cuantificabile.
Evaluarea și gestionarea riscurilor
În timpul acestor procese de evaluare și gestionare (evaluarea riscurilor și gestionarea riscurilor ) , riscurile sunt identificate prin evaluarea preferințelor, estimarea consecințelor pe care le-ar putea avea evenimentele nedorite, prezicerea posibilității ca aceste evenimente să aibă loc și cântărirea valorii fiecărui mod diferit de act. .
Estimarea riscului este un curs de acțiune în cadrul căruia sunt evaluate diferite strategii și se iau decizii cu privire la riscurile acceptabile. Aceste strategii au efecte diferite asupra riscurilor, inclusiv reducerea, eliminarea și redefinirea riscurilor. În cele din urmă, se determină un nivel acceptabil de risc și se adoptă o strategie în consecință. În acest proces sunt implicați: „calculul cost-beneficiu”, estimarea toleranței la risc și cuantificarea preferințelor.
Speranța anuală de pierdere (ALE)
În 1979 , Biroul Național de Standarde a publicat Standardul Federal de Prelucrare a Informațiilor (FIPS) 65, în cadrul căruia a propus un nou parametru care vizează măsurarea riscului în sistemele de informații: așteptarea anuală de pierdere.
La mijlocul anilor '80, Biroul Național de Standarde și Centrul Național de Securitate a Computerelor au colaborat pentru a dezvolta modele de securitate, obținând în cele din urmă un cadru consensual sau un cadru structural.
Cadrul structural
Acest cadru s-a bazat pe mai multe etape:
- Analiza amenințărilor: sunt evaluate potențialele amenințări (acțiuni umane, calamități naturale, erori involuntare) și resursele care trebuie protejate.
- Analiza vulnerabilității : evaluează punctele slabe de securitate care pot duce la un atac.
- Analiza scenariilor posibile: necesită o estimare exactă a activelor, preocupărilor de securitate, amenințărilor și vulnerabilității. Aceste scenarii sunt apoi utilizate în faza de gestionare a riscurilor , gestionarea riscurilor , pentru a evalua consecințele și pentru a cuantifica dimensiunea riscului.
- Test de acceptabilitate: riscurile măsurate pentru o resursă dată sunt comparate cu nevoile stabilite.
- Deciziile de salvgardare : sunt luate pentru a acoperi decalajul dintre nivelurile de risc măsurate și cereri.
Procesul va fi apoi repetat cu noile rezultate de protecție, rezultând o nouă măsurare a riscului pentru fiecare resursă. Aceste măsurări de risc , cu estimarea costurilor de salvgardare, sunt de asemenea utilizate pentru a genera analize cost-beneficiu pentru fiecare măsură de salvgardare. Aplicațiile dezvoltate între anii 80 și 90 care implementează acest tip de cadru sunt @Risk , BDSS , CRAMM .
Falimentul ALE
Sfârșitul modelului ALE a fost decretat din trei motive importante:
- Mecanismul de elaborare a scenariilor metodologiei a creat o estimare de locuri de muncă supradimensionată.
- Tehnicienii au formulat modele pe deplin deterministe datorită vederii lor „binare” asupra securității.
- ALE depindea prea mult de informațiile care erau și rămân rare.
Abordări de a doua generație
Din anii 1980, atâtea lucruri s-au schimbat, începând cu apariția universalizată a internetului. Mai mult, gestionarea riscurilor este privită din ce în ce mai mult ca o oportunitate de profit. Acest lucru se datorează mai ales interesului reînnoit pentru el.
Cadrul integrat de gestionare a riscurilor de afaceri
Această abordare se dezvoltă prin ideea că riscurile tehnologiei informației trebuie luate la fel de serios ca riscurile financiare și, prin urmare, trebuie gestionate într-un mod similar. Accentul este pus pe „riscurile financiare”, iar planurile de acțiune sunt concepute pentru a proteja informațiile. Companiile care utilizează această abordare sunt: Microsoft , Mitsui , Capital One Financial , Fidelty Management and Research și BOC Gases Australia .
Metodologii bazate pe evaluare
Această abordare este utilizată atât pentru a asigura siguranța, cât și pentru a standardiza procedurile. Un plan studiat este definit și riscurile și resursele sunt evaluate cu atenție.
Abordare bazată pe analiza scenariilor
Aceasta este cea mai comună abordare și se bazează pe construirea diferitelor scenarii posibile, bazate pe riscurile care sunt rulate și acțiunile care sunt implementate pentru a le evita. Aceste planuri îndeplinesc în primul rând funcția de a ilustra clar vulnerabilitățile de securitate.
Cele mai bune practici
Acest tip de abordare implică stabilirea unor „reguli precise” care trebuie respectate pentru a nu fi nevoit să se confrunte cu riscuri. Este precedat de o lucrare minimă de analiză.