Acceptați imaginea de mai sus? Este corectă? O consider ca fiind baza de la care trebuie pornită discuția legată de evaluarea riscurilor securității sistemelor informaționale! Dilemele mele filosofico aplicative se limitează strict la acest domeniu. Pentru alte domenii, managementul riscurilor, așa după cum este el matematizat, este aplicabil.

Mai am o motivație pentru care scriu despre acest subiect: mi se pare că se scriu prea multe materiale, oarecum independente unele față de altele, în loc de a se încerca o combinare a tot ceea ce practica a validat.

Mă voi ajuta în cele ce urmeză de un exemplu din „Iluzia utilizatorului. Despre limitele conştiinţei” (o recomand celor ce doresc să deslușească modul în care funcționează creierul nostru):

Care sînt liniile ce apar în prim plan?

Normalul este dat de percepţia majorităţii. Un exemplu? Îmi aduc aminte de ceea ce îmi povestea un fost coleg cînd a ajuns să muncească într-o ţară nordică: să te uiţi la ceas, să vezi ca este miezul zilei, dar afară să fie întuneric. Asta era o stare de normalitate, acolo!

ISO Guide 73 defineşte riscul ca fiind probabilitatea unui eveniment de a produce consecinţe negative. Voi relua unele lucruri deja scrise, cu riscul de a plictisi, avînd această definiție drept punct de plecare.

Posibilitatea – este o condiţie. A fi sau a nu fi. Zero sau unu!

Probabilitatea este cea prin care verificăm posibilitatea!

Cutremurul este posibil sau imposibil! Dacă spunem că este imposibil, evaluarea s-a încheiat. Dacă luăm în calcul posibilitatea trebuie să estimăm probabilitatea! Din acest moment mai intervine o variabilă: impactul acestui eveniment! Prin urmare, putem greşi nu numai în cazul estimării probabilității ci și în cazul estimării impactului! Altfel spus, estimarea noastră se bazează în fapt pe frecvențe probabile și pe impact probabil!

Metodele de evaluare cantitativă a riscurilor operează cu probabilități și cuantificări monetare în încercarea de a estima o pierdere viitoare. Obiectivul evaluării îl reprezintă estimarea pierderilor anticipate. Pierderea anticipată este produsul a trei factori: ameninţarea, rata apariţiei şi pierderea pe apariţie

În cazul asigurărilor se elimină evenimentele cu probabilități reduse dar impact cu consecințe majore. De exemplu, de ce ar trebui să ne mai doară capul în cazul unui război atomic (amenințare)? Sau dacă lucrezi în orașul în care există o centrală nucleară….Mai contează vulnerabilitățile?

Problema cea mai spinoasă este dată de credibilitatea estimărilor. Pentru ameninţări cu consecinţe mari sau mici putem face estimări exacte: nu putem estima cu exactitate probabilitatea apariţiei unui cutremur, dar putem spune care este impactul său asupra companiei. Probabilitățile nu mai contează, în aces caz.

Estimările sînt dificil de realizat pentru evenimentele care nu sînt la extreme, pentru evenimentele normale!

Cum tratăm însă pierderile datorate nefuncționării serverului de baze de date ca urmare a unui atac DDOS (exemplu pur teoretic). Întreruperea unei afaceri este un caz, să spunem, special deoarece suma pierderilor datorate acestei amenințări depinde de durata întreruperii funcţiilor companiei ! Alte variabile! Dacă serverul cu pricina nu este accesibil 10 ore, vînzările suferă? Sau Contabilitatea? Sau Logistica?

Ameninţările au orar de funcţionare? Altfel spus o amenințare se suprapune pe intervalul în care trebuie îndeplinită funcţia respectivă? Să presupunem că pe serverul de aplicații ce se bazează pe serverul de BD ce tocmai a picat, avem două aplicaţii “A” și “B”. Dacă serverul BD nu funcționează 1 oră, nu avem pierderi. Dacă nu funcționează 1 zi vom avea pierderi potențiale de 10.000 lei. Orarul de funcționare a celor două aplicații este diferit: aplicația “A” rulează zilnic timp de 10 ore, “B” rulează o dată pe lună timp de 10 ore….Va fi pierderea aceeaşi?

Atenționare

Nu scriu ceea ce scriu pentru că îmi doresc neapărat să dau naștere la controverse. Sau să fiu purtătorul unui anumit steag. Scriu pentru că atunci cînd doresc să pun unele lucruri în practică descopăr cu mare plăcere că lucrurile devin …sublime. Și îmi plac provocările!