Riscurile şi controlul sistemelor informatice

 În ultimii ani auditul a trecut de la o abordare orientată spre controlul sistemului la o abordare orientată spre riscurile la care este expus acesta.

 Noţiunea de

risc

în cadrul sistemului informaţional reprezintă probabilitatea de apariţie a unei pierderi care să afecteze negativ resursele informaţionale şi funcţionalitatea sistemului

.



Managementul riscului poate fi definit ca fiind procesul de identificare a vulnerabilităţilor şi ameninţărilor din cadrul unei întreprinderi, precum şi de elaborare a unor măsuri de minimizare a impactului acestora asupra resurselor informaţionale din întreprindere.

Identificarea riscurilor informatice Evaluarea riscurilor Identificarea controalelor informatice Documentarea controalelor

 Identificarea riscurilor: 

Liste de control (chestionare).



Interviuri.



Foi de lucru specifice.



Aplicatii informatice specializate.

 Metode de evaluare a riscurilor: 

Metode calitative.



Metode cantitative.

 Nivelul riscului total = Ameninţări × Vulnerabilităţi × Valoarea mijloacelor informaţionale

 Exemplu (metoda calitativa):  Nivelul de risc pentru accesul neautorizat într-o aplicaţie informatică de evidenţă a personalului şi salariilor poate fi evaluat astfel: 

Ameninţare

:utilizatori (salariaţi) neautorizaţi    Matrice de evaluare  Procent angajaţi  10% din angajaţi  10% - 50%  Peste 50%

Vulnerabilităţi:

Scor 1 (scazut) 2 (mediu) 3 (ridicat)  Matrice de evaluare   Vulnerabilitate Aplicaţie neparolată dar fisierele     sunt criptate Fişiere necriptate dar aplicatia este parolata Fişiere necriptate şi aplicatia Scor importanţă 1 2  neparolata 3 Valoare sau importanţa resursei informaţionale:  Matrice de evaluare   Nivel Scăzută   Medie Ridicată Scor 1 2 3  Nivel de risc = 2 X 2 X 2 = 8

 Exemplu (metoda cantitativa):  În cadrul auditul unei aplicaţii informatice pentru gestiunea mărfurilor existentă pe un server conectat la Internet, s-a determinat că în ultimul an au avut loc 3 atacuri soldate cu furtul datelor şi 2 virusări care au condus la ştergerea unor fişiere din baza de date. De asemenea s-a constatat că după fiecare atac volumul vânzărilor a scăzut cu 5% din volumul mediu al vânzărilor din ultimul an, iar în urma fiecărei virusări pentru recuperarea datelor s-au cheltuit 1.000 EUR. Volumul mediu al vânzărilor din ultimul an fiind de 500.000 EUR, valoarea pierderii anuale datorată expunerii la cei doi factori de risc este de:  Valoare pierderii anuale = 3 X 500.000 X 5% + 2 X 1.000 = 77.000 EUR

 Riscul de audit: 

Riscul inerent.

Reprezintă probabilitatea ca o eroare sau o fraudă să se producă în mod inerent datorită naturii activităţii desfăşurate în întreprindere.



Riscul de control.

intern.

Reprezintă probabilitatea ca o eroare sau o fraudă să se producă fără a fi detectată sau prevenită de către controlul 

Riscul de nedetectare.

Reprezintă probabilitatea ca un auditor să nu detecteze prin testele aplicate o eroare din cadrul sistemului de control auditat.

 Nivelul riscului de audit = Riscul inerent × Riscul de control × Riscul de nedetectare



Riscul sistemului informaţional.

Reprezintă probabilitatea de apariţie a unor erori sau fraude datorită utilizării inadecvate a sistemului informaţional. Riscul sistemului informaţional cuprinde: 

Riscurile la nivelul aplicaţiilor şi operaţiilor din sistemul informatic.



Riscul de continuare a activităţii sistemului informatic.



Riscurile la nivelul aplicaţiilor şi operaţiilor din sistemul informatic. Acestea pot fi:

          

accesul neautorizat la datele sistemului; introducerea unor date inadecvate sau false; procesarea incompletă a datelor; dublarea datelor tranzacţionate; procesarea cu întârziere a datelor; nefuncţionarea corectă a transmisiei datelor; segregarea inadecvată sau inexistentă a funcţiilor şi responsabilităţilor; analiza şi proiectarea defectuoasă a aplicaţiilor; incompatibilitatea dintre aplicaţiile informatice; infectarea aplicaţiilor cu viruşi electronici; instruirea inadecvată a utilizatorilor;



suportul şi mentenanţa inadecvată a aplicaţiilor.



Riscul de continuare a activităţii sistemului informatic

.



Riscul disponibilităţii sistemului

probabilitatea ca sistemul să devină indisponibil utilizatorilor datorită securităţii sale (de exemplu atacul de tip DoS al hacker-ilor). reprezintă 

Riscul recuperării sistemului

reprezintă probabilitatea ca datele şi operaţiile sistemului să nu mai poată fi recuperate în vederea continuării activităţii întreprinderii (de exemplu inexistenţa unor copii de siguranţă şi a procedurilor de recuperare şi continuare a activităţii conduc la creşterea nivelului acestui risc).

Evaluarea riscurilor din sistemul informaţional

 Pentru identificarea şi evaluarea riscurilor, în general, se parcurg următorii paşi:      identificarea factorilor de risc; ierarhizarea factorilor de risc după importanţa acestora pentru sistemul auditat; determinarea frecvenţei şi duratei de apariţie a fiecărui factor de risc; cuantificarea şi evaluarea nivelului de risc; programarea auditului şi alocarea resurselor de audit corespunzătoare nivelului de risc stabilit.