Din nou despre evaluarea riscurilor…..

image

 

Acceptați imaginea de mai sus? Este corectă? O consider ca fiind baza de la care trebuie pornită discuția legată de evaluarea riscurilor securității sistemelor informaționale! Dilemele mele filosofico aplicative se limitează strict la acest domeniu. Pentru alte domenii, managementul riscurilor, așa după cum este el matematizat, este aplicabil.

Mai am o motivație pentru care scriu despre acest subiect: mi se pare că se scriu prea multe materiale, oarecum independente unele față de altele, în loc de a se încerca o combinare a tot ceea ce practica a validat.

Mă voi ajuta în cele ce urmeză de un exemplu din „Iluzia utilizatorului. Despre limitele conştiinţei” (o recomand celor ce doresc să deslușească modul în care funcționează creierul nostru):

 

image

 

Care sînt liniile ce apar în prim plan?

Normalul este dat de percepţia majorităţii. Un exemplu? Îmi aduc aminte de ceea ce îmi povestea un fost coleg cînd a ajuns să muncească într-o ţară nordică: să te uiţi la ceas, să vezi ca este miezul zilei, dar afară să fie întuneric. Asta era o stare de normalitate, acolo!

ISO Guide 73 defineşte riscul ca fiind probabilitatea unui eveniment de a produce consecinţe negative. Voi relua unele lucruri deja scrise, cu riscul de a plictisi, avînd această definiție drept punct de plecare.

Posibilitatea – este o condiţie. A fi sau a nu fi. Zero sau unu!

Probabilitatea este cea prin care verificăm posibilitatea!

Cutremurul este posibil sau imposibil! Dacă spunem că este imposibil, evaluarea s-a încheiat. Dacă luăm în calcul posibilitatea trebuie să estimăm probabilitatea! Din acest moment mai intervine o variabilă: impactul acestui eveniment! Prin urmare, putem greşi nu numai în cazul estimării probabilității ci și în cazul estimării impactului! Altfel spus, estimarea noastră se bazează în fapt pe frecvențe probabile și pe impact probabil!

Metodele de evaluare cantitativă a riscurilor operează cu probabilități și cuantificări monetare în încercarea de a estima o pierdere viitoare. Obiectivul evaluării îl reprezintă estimarea pierderilor anticipate. Pierderea anticipată este produsul a trei factori: ameninţarea, rata apariţiei şi pierderea pe apariţie

În cazul asigurărilor se elimină evenimentele cu probabilități reduse dar impact cu consecințe majore. De exemplu, de ce ar trebui să ne mai doară capul în cazul unui război atomic (amenințare)? Sau dacă lucrezi în orașul în care există o centrală nucleară….Mai contează vulnerabilitățile?

Problema cea mai spinoasă este dată de credibilitatea estimărilor. Pentru ameninţări cu consecinţe mari sau mici putem face estimări exacte: nu putem estima cu exactitate probabilitatea apariţiei unui cutremur, dar putem spune care este impactul său asupra companiei. Probabilitățile nu mai contează, în aces caz.

Estimările sînt dificil de realizat pentru evenimentele care nu sînt la extreme, pentru evenimentele normale!

Cum tratăm însă pierderile datorate nefuncționării serverului de baze de date ca urmare a unui atac DDOS (exemplu pur teoretic). Întreruperea unei afaceri este un caz, să spunem, special deoarece suma pierderilor datorate acestei amenințări depinde de durata întreruperii funcţiilor companiei ! Alte variabile! Dacă serverul cu pricina nu este accesibil 10 ore, vînzările suferă? Sau Contabilitatea? Sau Logistica?

Ameninţările au orar de funcţionare? Altfel spus o amenințare se suprapune pe intervalul în care trebuie îndeplinită funcţia respectivă? Să presupunem că pe serverul de aplicații ce se bazează pe serverul de BD ce tocmai a picat, avem două aplicaţii “A” și “B”. Dacă serverul BD nu funcționează 1 oră, nu avem pierderi. Dacă nu funcționează 1 zi vom avea pierderi potențiale de 10.000 lei. Orarul de funcționare a celor două aplicații este diferit: aplicația “A” rulează zilnic timp de 10 ore, “B” rulează o dată pe lună timp de 10 ore….Va fi pierderea aceeaşi?

 

Atenționare

Nu scriu ceea ce scriu pentru că îmi doresc neapărat să dau naștere la controverse. Sau să fiu purtătorul unui anumit steag. Scriu pentru că atunci cînd doresc să pun unele lucruri în practică descopăr cu mare plăcere că lucrurile devin …sublime. Și îmi plac provocările!

3 gânduri despre “Din nou despre evaluarea riscurilor…..

  1. Frumos. Ma obisnuisem cu chestii scurte concise si cu mult substrat. Asta e mai mult decat o lectie. Pacat ca nu ai facut mai multe scheme poate intelegeau si cine ar trebui.

    Apreciază

  2. Hmm…o să țin cont de recomandarea cu schemele….Deocamdată poveștile acestea au drept scop ridicarea vălului „asta ştiu” pe care îl lasă teoria.
    Al doilea scop este să arăt că o abordare „bottom up” în evaluarea riscurilor nu va fi o carte cîștigătoare: pea multe variabile și prea puține informații. E foarte greu de falizat. Mai mult, dacă ne ducem din zona asta către management, vom decoperi că trebuie să justificăm niște costuri….Dar e altă poveste despre care voi face vorbire mai încolo….

    Apreciază

  3. Pingback: Metodele cantitative de evaluare a riscurilor: Fata Morgana (sau de ce cred eu că aceste modele NU SÎNT VALIDE) |

Mulţumesc.

Completează mai jos detaliile despre tine sau dă clic pe un icon pentru autentificare:

Logo WordPress.com

Comentezi folosind contul tău WordPress.com. Dezautentificare / Schimbă )

Poză Twitter

Comentezi folosind contul tău Twitter. Dezautentificare / Schimbă )

Fotografie Facebook

Comentezi folosind contul tău Facebook. Dezautentificare / Schimbă )

Fotografie Google+

Comentezi folosind contul tău Google+. Dezautentificare / Schimbă )

Conectare la %s