După o discuţie pe marginea subiectului cu bunul meu prieten Coco, am spus că e bine să filosofez şi în public pe marginea subiectului acesta.

Nu voi începe cu teoria riscurilor de la Knight sau Rapaport.

Doresc doar a spune că folosirea unor templateuri, indiferent de cine este la originea acestora, fără a înţelege de fapt ce presupune managementul riscurilor, va fi doar o activitate ce aduce costuri suplimentare şi nici un fel de valoare adăugată pentru companie!

Deşi în literatura de specialitate se face de multe ori vorbire de “enterprise risk” eu unul nu prea sînt de acord. Motivul e cît se poate de simplu, pentru mine: riscurile aparţin oamenilor şi nu lucrurilor. Altfel spus: riscul este conştientizat de fiinţa umană şi nu de un obiect/lucru oarecare. Nu compania este expusă riscurilor ci oamenii ce o conduc se expun riscurilor.

Riscul este subiectiv. Riscul nu este altceva decît o cuantificare pe care încercăm să o facem la adresa incertitudinilor din viaţa noastră. Pentru a putea cuantifica cît mai corect riscurile avem nevoie de probabilităţi obiective, obţinute pe baza unor informaţii cît mai exacte. Mai mult, nu vom putea niciodată cuantifica decît riscurile pe care le percepem. Există o muţime de riscuri pe care nu le putem estima pentru simplul motiv că nu le-am conştientizat, încă.

În practică se pot întîlni două situaţii: cel care realizează estimarea riscurilor este din interiorul firmei sau este din exterior. Cînd este din interiorul firmei, va avea o anumită percepţie asupra riscurilor, obiectivitatea sa putînd fi afectată. Cînd este din exterior, percepţia sa poate fi cu totul alta.

Ajungem şi la metrici. Dar  dacă folosim un model sau altul şi în final metricii nu reflectă cu adevărat riscul, efortul este inutil.

În zona securităţii sistemelor informaţionale, standardele, manualele etc..spun cam aşa:

• Riscul este probabilitatea ca ceva rău să se întîmple le nivelul sistemului şi acel “rău” afectează sub o formă sau alta sistemul
• Vulnerabiliatatea este punctul slab din sistem ce poate fi exploatat/folosit pentru a cauza pierderi
• Ameninţarea este orice lucru/acţiune ce are potenţial de a exploata o vulnerabilitate din sistem

Tot aici se face vorbire de impact. În cazul securităţii sistemelor informaţionale impactul trebuie analizat însă în relaţie cu C-I-A pentru că vulnerabilităţile există idependent de ameninţări! Un control poate diminua vulnerabilitatea, nu şi ameninţarea.

După cum spuneam, literatura  şi standardele prezintă cam acelaşi lucruri, cu mici variaţiuni:

Risk = threat * asset value * vulnerability severity

Risk = Threat x Vulnerability  x  Impact
            Countermeasures

Risk = Threat X vulnerability X cost.

Risk = Threat X vulnerability X cost X exposure_time

Total risk to an asset = Σ (risk from single attack)

Risk = Threat × Vulnerability × Consequence

Cum determin, practic, probabilitatea ca o vulnerabilitate să fie exploatată de o ameninţare?

În primul rînd trebuie să analizez sursa ameninţării. Pentru ameninţările naturale, probabilitatea este relativ constantă în timp, indiferent de ce voi face eu.

Altă categorie de ameninţări sînt cele ce au la origine omul. În acest caz ar trebui să cunosc existenţa, motivaţia şi capacitatea “ameninţării” de a deveni realitate. Şi în acest caz există probabilităţi constante, dar şi variabile.

În ambele cazuri este nevoie de date istorice (actuariale, cum li se spune mai corect) pentru a fundamenta în mod real o astfel de analiză.

În final cîteva exemple.

Cutremurul. Pentru această “ameninţare” probabilitatea va fi aceeaşi indiferent de ce controale se vor implementa.

Care este probabilitatea ca, în timp ce circul cu maşina Iaşi-Bucureşti să am parte de un accident auto? Ar trebui să mă interesez la Poliţie şi să aflu numărul şi cauza accidentelor (ameninţările) de circulaţie, pe tronsoane, din ultimii ani…..

Divulgarea de informaţii “confidenţiale”? Vulnerabilitatea există, dar un NDA poate reduce probabilitatea, nu şi ameninţarea…..