În opinia mea, riscurile securităţii sistemelor informaţionale sînt diferite de celelalte tipuri de riscuri. Putem face o distribuţie probabilistică cu privire la profitul pe care îl va produce modificarea unei aplicaţii? Şi care sînt riscurile ca acest profit să nu poată fi obţinut?

Teoria scrisă cu privire la managementul riscurilor în IT este suficientă. Cea autohtonă respectă principiul “cărţile din cărţi se scriu”…..Nu am găsit însă, pînă la această dată, nimic scris care să pornească de la practică. Nimic scris, plecînd de la experienţele practice din organizaţii. Şi slavă domnului “experţi” în IT security risk sînt destui. Cu toate acestea, dincolo de “modele”, literatura suferă la capitolul practică…..În mediul de afaceri s-ar spune că “nu am apelat la consultantul potrivit” 😀

Tot în teorie, se referenţiază de multe ori simularea Monte Carlo. Această metodă însă se bazează pe  teorema numerelor mari! Şi este folosită în special pentru fundamnetarea deciziilor! Este nevoie de multe iteraţii pentru a obţine o distribuţie probabilistică apropiată de realitate. În domeniul financiar rezultatele sînt dovedite….În IT oare cum stă treaba? Există o multitudine de evenimente pentru care nu se pot realiza predicţii. Numerele sînt uşor de folosit. Cu analiza este mai greu….

Cu ceva ani în urmă, de 1 aprilie făceam apropiaţilor o glumă: le trimiteam un mail în care scriam =RAND(100,100) (n.b. se vor genera cîteva sute de pagini de text). Aceeaşi funcţie folosită în Excel va afişa rezultate cuprinse intre 0 şi 1, valori pe care le putem folosi pentru distribuţii probabilistice.

Plecăm de la formula clasică: Risk = Threat × Vulnerability × Consequence. Vrem să vedem care este probabilitatea ca o ameninţare să devină realitate. Indiferent dacă avem date istorice sau nu, vom încerca să vedem distribuţia probabilistică. Pentru asta am folosit funcţia amintită anterior şi am generat 1000 de încercări (cam puţine…..). Apoi am numărat apariţiile pe intervale de 0,25. Vom observa că la 1000 de încercări, probabilităţile sînt distribuite aproximativ egal!

Dacă reiterăm de mai multe ore generarea datelor vom observa că pentru un interval dat nu se depăşeşte maximul de 29% şi nu se scade sub 22%.

Decizia aparţine acum celui ce face analiza!