Evaluarea riscurilor: un formalism consumator de timp?

În prezentarea de la Eset Security Days am pornit de la opinia mea: multe din cele ce se fac sau ar trebui făcute în practică în domeniul securității cibernetice își au rădăcina în zona militară. De ce? Pentru că ”armata” înseamnă rigoare (regulamente/proceduri), ierarhie și disciplină (RACI), management de risc și chiar ”zero trust”, iar atunci cînd apare un ”incident” nu prea stă nimeni în ”calls”. Toate conceptele pe care le aplicăm astăzi în domeniul securității cibernetice se regăsesc de ani buni în domeniul militar (și vechile cetăți aveau firewall, IDS/IPS și totuși calul troian și-a atins ”ținta”) și al serviciilor de informații (DLP, SIEM, SOAR). Strategiile sînt cam aceleași, doar instrumentele și tacticile sînt altele.

Evaluarea riscurilor este considerată de multe ori o cerință care este doar consumatoare de timp motiv pentru care ajunge să fie un simplu formalism, ”o bifă”…Sînt de acord că identificarea, evaluarea și estimarea riscurilor nu este un exercițiu simplu. Nici greu nu este dacă nu este pus doar pe seama CISO sau ”băiatului de la IT”. Riscurile IT sînt riscuri operaționale, au cel puțin impact financiar și trebuie asumate de responsabilul procesului cu pricina, implicit top management și, în nici un caz, doar de IT. Riscurile IT sînt reduse/eliminate prin ”controale interne” iar ”sistemul de control intern” este responsabilitatea managementului. Dacă managementul își asumă ”bifa”/formalismul, atunci nu trebuie să se plîngă…”pe oaia care nu își duce blana o mănîncă lupul”. Cine o fi el ”lupul”…diferă de la caz la caz.

Cu referire la cerințele minime de securitate alicabile OSE, acum managementul trebuie să stabilească

o metodologie de gestionare a riscurilor furnizării serviciilor esențiale care va reflecta procesul de evaluare a riscurilor operatorului economic, criteriile de analiză, de acceptare și de reducere a riscurilor.

Cum stabilește această metodologie? Cel mai bine ar fi să selecteze din lista standardelor pe care trebuie să le aplice, de exemplu, ISO 27005, ISO 31000 sau NIST800-30 (există industrii în care RA are reglementări specifice). Spun asta din următoarele motive:

  • OSE trebuie să se raporteze la standardele publicate de DNSC;
  • Auditorul trebuie să se raporteze la standardele folosite de OSE;
  • Auditorul trebuie să opineze „cu privire la plauzibilitatea metodologiei/tehnicilor utilizate, precum și asupra măsurilor de control implementate în vederea gestionării riscurilor operaționale identificate.„.

ENISA a publicat luna trecută Compendium of Risk Management Frameworks with Potential Interoperability, document care cuprinde o colecție a celor mai cunoscute cadre de lucru și metodologii de RA și care este foarte util celor aflați la început de drum.

Mulţumesc.

Completează mai jos detaliile tale sau dă clic pe un icon pentru a te autentifica:

Logo WordPress.com

Comentezi folosind contul tău WordPress.com. Dezautentificare /  Schimbă )

Poză Twitter

Comentezi folosind contul tău Twitter. Dezautentificare /  Schimbă )

Fotografie Facebook

Comentezi folosind contul tău Facebook. Dezautentificare /  Schimbă )

Conectare la %s

Acest site folosește Akismet pentru a reduce spamul. Află cum sunt procesate datele comentariilor tale.