Ghid pentru realizarea unei metodologii de analiză a riscului

Management & Calitate

de Mihai Gheorghe

Acest ghid oferă indicaţii pentru realizarea unei metodologii în vederea gestionării riscurilor de securitate a informaţiei. Metodologia aleasă se bazează pe determinarea incertitudinii de realizare a obiectivelor, a ameninţărilor ce pot exploata vulnerabilităţile organizaţiei în raport cu aceste obiective.

 

Descriere

Metodologia descrisă se bazează pe identificarea efectului incertitudinii asupra atingerii obiectivelor. Astfel, metoda aleasă pentru calculul nivelului de risc este: Risc = Probabilitate x 10 x Impact.

 

Probabilitatea va avea valori între 0 şi 100%, iar impactul între 0 şi 5, conform tabelului de mai jos:

 

Probabilitate de apariţie

Tip impact

Numărapariţii/an

Punctaj

Foarteridicat

[....]

(80%-100%] = prezenţă extrem de probabilă

Ridicat

 

(60%-80%] = prezenţă foarte probabilă

Medie  

 

(40%-60%]= prezenţă probabilă

Redus

 

(20%-40%]= prezenţă puţin probabilă

Foarte redus

 

(0%-20%]= prezenţă neglijabilă

 

Impact

Tip impact

Valoare impact / lei

Punctaj

Foarte ridicat    

[........] 

5 = impact major

Ridicat  

 

4 =impact considerabil

Mediu  

 

3 = impact moderat

Redus

 

2 = impact minor

Foarte redus     

 

1 = impact neglijabil

 

Întrucât produsul maxim poate avea valoarea 50, pentru nivelul de risc se defineşte valoarea 20 ca fiind valoarea pragului de risc acceptat. Orice risc sub această valoare este asumat de organizaţie.

Riscurile identificate cu valori între (20,50] nu sunt acceptate şi trebuie tratate pentru a fi reduse sub valoarea pragului de risc acceptat, prin aplicarea sistematică a măsurilor de securitate. CSI informează conducerea dacă, totuşi, nivelul de risc rămâne peste valoarea de prag stabilită, chiar şi după aplicarea măsurilor de securitate.Riscurile care depăşesc valoarea de 20 se pot asuma de către conducere sau se încearcă transferarea lor prin încheierea unei poliţe de asigurare sau prin luarea unor măsuri de evitare a lor.

Pentru noile riscuri ce vor fi identificate şi introduse ulterior în analiza de risc se va folosi, întotdeauna, aceeaşi formulă de calcul pentru a se asigura obţinerea de rezultate comparabile şi care pot fi reproduse. Pentru aceasta, se va ţine seama de încadrarea cea mai bună a probabilităţii de apariţie şi a impactului, în funcţie de nivelurile definite mai sus.

Se va ţine seama de riscurile specifice zone igeografice în care se afla organizaţia, dar şi de datele statistice furnizate de diverse instituţii specializate.

 

Elemente lămuritoare cu privire la identificarea riscurilor

 

La identificarea riscurilor din cadrul organizaţiei se va ţine cont de următoarele aspecte:

 

  • Riscurile trebuie identificate la orice nivel unde se sesizează că există consecinţe asupra atingerii obiectivelor şi pot fi luate măsuri specifice de soluţionare a problemelor ridicate de respectivele riscuri.
  • Riscurile nu pot fi identificate şi definite decât în raport cu obiectivele a căror realizare este afectată de materializarea lor. Din această cauză, existenţa unui sistem de obiective clar definite în organizaţie constituie premisa esenţială pentru identificarea şi definirea riscurilor.
  • Riscul este o incertitudine şi nu ceva sigur. Prin urmare, atunci când este identificat, ,,riscul” trebuie analizat dacă nu este vorba despre o situaţie existentă, care are un impact asupra obiectivului. De cele mai multe ori, situaţia existentă reprezintă un risc materializat, adică unul care s-a produs. În niciunul din cazurile de mai sus nu mai este vorba despre un risc, ci despre o problemă dificilă, care trebuie gestionată sau despre o oportunitate care trebuie exploatată. Nu constituie riscuri probleme (situaţii, evenimente) care nu pot apărea. Riscurile sunt probleme care pot apărea şi nu probleme (situaţii, evenimente) a căror apariţie este imposibilă.
  • Nu constituie risc o problemă care va apărea cu siguranţă. Acestea nu sunt riscuri, ci certitudini.
  • Riscurile nu trebuie definite prin impactul lor asupra obiectivelor. Impactul nu este risc, ci consecinţa materializării riscurilor asupra realizării obiectivelor. Impactul este un efect ce îşi are orginea în risc şi nu riscul însuşi. Riscurile sunt situaţii, evenimente probabile, care, dacă s-ar materializa, ar avea consecinţe asupra obiectivelor.
  • Nu se identifică riscuri care nu afectează obiectivele. Nu există riscuri în mod absolut, ci numai riscuri corelate cu obiectivele.
  • Identificarea riscurilor nu este un scop în sine.

 

Scopul identificării riscurilor este tocmai inventarierea acelor probleme care ar putea conduce la nerealizarea obiectivelor, dacă s-ar materializa (ar deveni situaţii de fapt).

 

Elemente lămuritoare cu privire la evaluarea riscurilor

 

La evaluarea riscurilor se va ţine cont de următoarele aspecte:

 

  • Evaluarea riscurilor presupune evaluarea probabilităţii de materializare a riscurilor şi a impactului (consecinţelor) asupra obiectivelor, în cazul în care acestea se materializează. Combinaţia dintre nivelul estimat al probabilităţii şi nivelul estimat al impactului constituie expunerea la risc, în baza căreia se realizează profilul riscurilor.
  • Se calculează riscul (prima iteraţie) pe baza formulei de mai sus şi a tabelului  pentru determinarea probabilităţii şi a impactului şi va rezulta un nivel de risc cu valoare între 0 şi 50.
  • Se stabileşte, împreună cu conducerea, nivelul de prag pentru ca riscul minim acceptat să aibă valoarea 20. Orice risc ce depăşeşte această valoare trebuie tratat prin aplicarea unor măsuri de securitate, de transfer sau de asumare (în cazul în care primele două metode de tratare sunt considerate ca fiind costisitoare).
  • Se stabilesc aspectele cele mai expuse (nivelul de risc cel mai ridicat). Aceste zone vor fi tratate primele. Pentru aceasta se elaborează ,,Planul de tratare a riscului”, care constă în alegerea măsurilor adecvate pentru reducerea riscului la un nivel acceptabil, identificarea deţinătorilor de resurse, termene de timp privind implementarea măsurilor şi resursele necesare. În,,Planul de tratare a riscului” are loc a doua iteraţie, riscul calculat acum fiind cel estimat ca real după aplicarea măsurilor de securitate.
  • Responsabilii pentru atingerea obiectivelor sunt înştiinţaţi asupra riscurilor identificate, dar, mai ales, asupra celor reziduale.

 

NOTĂ: Trebuie precizat faptul că, încă din etapa de Planificare a SMSI, se stabilesc şi măsurile de securitate ce vor fi luate pentru reducerea riscurilor (aplicarea efectivă a măsurilor se va face în etapa de Implementare a SMSI). Tot în faza de planificare se vor estima şi riscurile reziduale ce rămân în urma aplicării măsurilor selectate.

Toate riscurile reziduale se vor conştientiza şi accepta de către conducere. Dovada acceptării o poate constitui semnătura managementului de vârf pe planul de analiză şi de tratare a riscurilor.

 

Înregistrări aplicabile

Formular – Analiza riscului şi plan de tratare a riscului, cod:………

Analiza riscului şi planul de tratare a riscului (partea I)

Obiectiv

Tipul de risc

Ameninţarea

Vulnerabilitatea

Probabilitatea

(Input) 

Impactul (Input)

Riscul calculat

 

 

 

 

 

 

 

 

Analiza riscului ş iplanul de tratare a riscului (partea II)

Plan de tratare: 

Măsurile de securitate propuse

Plan de tratare: Termen  de implemente/  responsabili/resurse

Plan de tratare: Eficacitatea măsurilor (Input)

 

Plan de tratare: Riscul residual propus 

PLAN TRATARE: Observaţii

 

 

 

 

 

 

În ediţiile viitoare ale revistei vom prezenta alte elemente privind managementul riscurilor în cadrul unui sistem de management.


Mihai Gheorghe este dr. ing., Director Calitate Indaco Systems



Accept cookie

Acest site web utilizează module cookie în scopuri funcţionale, de confort şi statistică.

Dacă sunteţi de acord cu această utilizare a modulelor cookie, faceţi clic pe "Da, sunt de acord". Termeni si conditii

Nu sunt de acord Accept doar cookie functional Da, sunt de acord