Sisteme Informatice Bi - Tema 7

Universitatea Cretin Dimitrie Cantemir

Facultatea de Finane, Bnci i Contabilitate Braov

MASTERAT: MANAGEMENT

FINANCIAR-BANCAR

SISTEME INFORMATICE DE

BUSINESS INTELLIGENCE

Conf. univ. dr.

Nicolae BRSAN-PIPU

TEMA 7

MANAGEMENTUL RISCULUI

N SOFTWARE

4

CUPRINS

1. Riscul n proiectele software

2. Procesul de management al

riscului n software

3. Aplicaie: Un model de evaluare a riscurilor n sistemele informatice

5

1. RISCUL N PROIECTELE

SOFTWARE Dezvoltarea fr precedent a informaticii din

ultimele dou decenii, a avut drept consecin creterea complexitii proiectelor de realizare i implementare a sistemelor de aplicaii software.

Proiectele de software au devenit o necesitate, dar i riscurile implicate de realizarea lor au crescut aproape exponenial.

Literatura de specialitate este plin de exemple de proiecte de software care au euat, au ntrziat sau nu s-au mai realizat niciodat.

6


SOFTWARE

Riscul poate fi definit, n general, ca fiind posibilitatea de a pierde.

El este o funcie dat de probabilitatea unui eveniment advers care poate s apar, ct i de impactul acestuia.

Acest impact poate fi o combinaie de pierderi financiare, ntrzieri sau pierderea performanei.

7


SOFTWARE

Riscul n software este dat de probabilitatea ca, la un anumit moment din ciclul de via al proiectului software, obiectivele planificate s nu fie atinse cu resursele alocate.

De obicei, riscul nu poate fi eliminat din proiectele software, dar el poate fi tratat.

Managementul riscului este o activitate critic pentru succesul oricrui proiect software, fiind o component strategic de realizare a acestuia.

8


SOFTWARE

Managementul riscului n software face parte din practicile de inginerie a software-ului i const din procesele, metodele i tehnicile de management a proiectelor software.

El furnizeaz o abordare sistematic i o atitudine pro-activ de adoptare a deciziilor care s evalueze lucrurile care nu merg bine, s determine care sunt riscurile care sunt importante i s implementeze aciunile necesare pentru tratarea acestor riscuri.

9


SOFTWARE

Ca i n alte domenii ale managementului n general i al managementului proiectelor n special i n acest domeniu implicarea managementului de cel mai nalt nivel al organizaiei este esenial pentru succes.

Top-managementul trebuie s susin managementul riscului prin alocarea resurselor necesare, prin planificare i analize de management dedicate acestui scop.

10


SOFTWARE

S analizm acum modelul global al procesului de management al riscului n software, care se integreaz modelelor de management al proiectelor n general, fiind de fapt o adaptare i o particularizare pentru ciclul de via i specificitatea proiectelor de software.

Modelul identific funciile fundamentale pentru managementul riscului ce trebuie avute n vedere pentru un management eficace al riscului n proiectele de software.

11


SOFTWARE

Funciile pentru managementul riscului n software: Identificare Cutarea i localizarea riscurilor nainte ca ele s

devin probleme adverse care s afecteze proiectul.

Analiz Prelucrarea datelor referitoare la riscuri i includerea lor n informaiile pentru procesul de adoptare a deciziilor.

Planificare Translatarea informaiilor referitoare la riscuri n decizii i aciuni (prezente i viitoare) i implementarea acestor aciuni.

Monitorizare Monitorizarea indicatorilor de risc i a aciunilor luate mpotriva manifestrii riscurilor.

Control Corectarea abaterilor de la aciunile planificate pentru riscurile n software.

Comunicare Asigurarea transparenei i a feed-back-ului datelor interne i externe din programul activitilor curente i urgente referitoare la riscuri.

12


SOFTWARE

Ciclul activitilor continue de realizare a funciilor procesului de monitorizare a riscului n proiectele software:

Contr

ol

Monitorizare P

lani

ficar

e

Analiz

a

Identificare

COMUNICARE

13

2. PROCESUL DE MANAGEMENT

AL RISCULUI N SOFTWARE

Procesul de management al riscului n

software detaliaz funciile modelului general discutat anterior.

Dei paii acestui proces sunt prezentai ntr-o form secvenial, n mod practic pot s aib loc iteraii ale pailor procesului, care se repet dup cum este necesar.

14



Responsabilitile pentru proces sunt alocate unei echipe de evaluare a riscului, coordonat de un manager de risc.

Criteriile care sunt utilizate pentru selecia membrilor echipei sunt legate de cunotinele i experiena n domeniul proiectului software, precum i de experiena privind managementul riscului.

Echipa este, de obicei, un mix de specialiti din diferite domenii (dezvoltare, testare, asigurarea calitii), acoperind toate ariile funcionale considerate critice pentru proiect.

15



Procesul de management al riscului este

constituit din 10 pai pe care i vom detalia n continuare.

Realizarea activitilor asociate cu aceti pai reprezint o abordare acceptabil a managementului riscului n software i trebuie inclus n planul general al proiectului de realizare i implementare al software-ului.

16

CO

MU

NIC

AR

E

Procesul de management al riscului n software

Activitatile

procesului

Sarcinile echipei de

management a risculuiIesiri

Functiile

procesului

IdentificareAnalizeaza riscurile potentiale si

identifica lista riscurilor specifice

proiectului

1. Identificare

riscuri

Lista riscuri

initiale

Analiza2. Analiza

riscuri

3. Prioritizare

riscuri

Lista riscuri

actualizata

Lista riscuri

prioritizate

Planificare4. Identificare

metode de raspuns

6. Identificare

metode de

recuperare

riscuri

7. Definire metrici

ale riscurilor

5. Identificare

metode de

atenuare riscuri

9. Monitorizare

riscuri

10.Implementare

actiuni de control

Monitorizare

Control

Completeaza lista riscurilor cu impactul

asupra costurilor, programului, calitatii

Completeaza lista riscurilor cu

probabilitatile de aparitie si impact

Determina raspunsurile la risc: evitare,

control, acceptare, transfer

Plan

management

risc

Plan

management

risc

Analizeaza riscurile reziduale si actiunile

de atenuare pentru a reduce probabilitatea

si/sau severitatea de impact

Pentru riscurile prioritare sunt

documentate actiunile de recuperare si

semnale de declansare

Plan

management

risc

Identifica si documenteaza metricile

pentru a stabili daca riscul a fost

ndepartat sau a fost atenuat

Monitorizare

metrici risc

8. Implementare

actiuni de

atenuare

Managementul trece proactiv la

implementarea actiunilor de raspuns si de

atenuare identificate

Plan proiect

actualizat

Colecteaza, analizeaza si raporteaza

valorile metricilor, periodic si n functie

de evenimentele aparute

Metrici riscuri

active

Aplica actiunile de control

corespunzatoare, pe baza valorilor

metricilor riscului

Plan proiect

actualizat

17

2.1 Funcia 1: Identificare

nainte ca riscul s fie tratat, el trebuie s fie identificat, pentru a nu deveni o

problem care s afecteze desfurarea proiectului.

Tehnicile de identificare a riscului se aplic de ctre echipa de proiect care are aceste responsabiliti.

18


Pasul 1: Identificarea riscurilor

Managerul de risc conduce o reuniune de analiz a echipei de managementul riscului i transmite membrilor echipei o clasificare a domeniilor de risc potenial ale proiectului.

Aceast clasificare rezult din lista riscurilor posibile ale proiectului i constituie baza pentru analiza detaliat a riscurilor specifice proiectului.

19


Pasul 1: Identificarea riscurilor (continuare)

Fiecare membru al echipei, avnd la baz clasificarea general, documenteaz riscurile pe care le consider poteniale pentru proiectul respectiv.

Ieirea din acest pas al procesului o constituie o list a riscurilor identificate ca fiind specifice proiectului, pentru care se vor completa informaiile de analiz i cuantificare n paii urmtori.

20

2.2 Funcia 2: Analiz

Analiza este conversia datelor referitoare

la riscuri n informaii pentru adoptarea deciziilor.

Ea include analiza, prioritizarea i selectarea riscurilor critice.

21


Pasul 2: Analiza riscurilor

Echipa analizeaz fiecare din riscurile identificate, n funcie de consecinele riscului asupra factorilor de cost, program,

performan i calitatea produsului.

Un anumit risc poate s aib impact asupra uneia sau mai multor categorii din

factorii menionai.

22


Pasul 2: Analiza riscurilor (continuare) Pentru fiecare risc identificat se determin

severitatea de impact, iar apoi se estimeaz probabilitatea de apariie a riscului respectiv.

La finalul acestui pas, echipa trebuie s ajung la un consens asupra consecinelor, severitii, probabilitii i perioadei de apariie a fiecrui risc identificat.

23


Pasul 3: Prioritizarea riscurilor

Echipa determin nivelele de prioritate pentru fiecare din riscurile identificate,

considernd matricea de risc

Pe baza nivelelor de prioritate, echipa

stabilete aciunile necesare de tratare a riscurilor.

24



(continuare)

Nivelele scorurilor de impact ale riscurilor

sunt urmtoarele:

Risc tolerabil T: Riscul este identificat ca avnd un efect mic sau nici o consecin asupra obiectivelor proiectului.

Scorul de impact este cuprins ntre 0,01 i 0,03, fiind suficient de mic ca s nu constituie

un motiv de preocupare.

25


Pasul 3: Prioritizarea riscurilor (continuare)

Risc sczut S: Riscul este identificat ca avnd un efect minor sau o consecin redus asupra obiectivelor proiectului.

Scorul de impact este cuprins ntre 0,04 i 0,06, fiind suficient de mic ca s constituie numai o preocupare sczut.

ntrzierea programului este mai mic de 10%, iar efectul asupra costurilor este mai mic de

2%.

26



(continuare)

Risc mediu M: Riscul este identificat ca putnd s afecteze obiectivele proiectului.

Scorul de impact este cuprins ntre 0,07 i 0,12.

ntrzierea programului este de 10-25%, iar

efectul asupra costurilor este de 2-5%.

27



(continuare)

Risc ridicat R: Riscul este identificat ca fiind suficient de mare ca s afecteze obiectivele proiectului.

Scorul de impact este cuprins ntre 0,14 i 0,24. ntrzierea programului este de 25-50%,

iar efectul asupra costurilor este de 5-10%.

28



(continuare)

Risc intolerabil IN: Riscul este identificat ca fiind foarte mare i va afecta obiectivele proiectului.

Scorul de impact este cuprins ntre 0,28 i 0,72.

ntrzierea programului este mai mare de 50%,

iar efectul asupra costurilor este mai mare de

10%.

29


Matricea de risc Probabilitate

Severitate

Frecvent

0,90

Probabil

0,70

Ocazional

0,50

ndeprtat 0,30

Improbabil

0,10

Catastrofic

0,80

IN

0,72

IN

0,56

IN

0,40

R

0,24

M

0,08

Critic

0,40

IN

0,36

IN

0,28

R

0,20

M

0,12

S

0,04

Serios

0,20

R

0,18

R

0,14

M

0,10

S

0,06

T

0,02

Minor

0,10

M

0,09

M

0,07

S

0,05

T

0,03

T

0,01

Neglijabil

0,05

S

0,05

S

0,04

T

0,03

T

0,02

T

0,01

Legenda: T = Tolerabil S = Sczut M = Mediu R = Ridicat IN = Intolerabil

30


Matricea de risc (continuare) Probabilitate Descriere Severitate Consecine

Frecvent

0,90

Va aprea de mai multe ori / Nu este surprinztor

Catastrofic

0,80

ntrziere program > 50%

Depire costuri > 10%

Probabil

0,70

Apare n mod repetat /

Eveniment ateptat Critic

0,40

ntrziere program 25-50%

Depire costuri 5-10%

Ocazional

0,50

Poate s apar la un moment dat

Serios

0,20

ntrziere program 10-25%

Depire costuri 2-5%

ndeprtat 0,30

Puin probabil s apar

Minor

0,10

ntrziere program < 10%

Depire costuri < 2%

Improbabil

0,10

Probabilitate foarte mic s apar

Neglijabil

0,05

Impact neglijabil

asupra proiectului

31

2.2 Funcia 3: Planificare

Funcia de planificare are rolul de a transforma informaia despre riscuri n decizii i aciuni, att pentru prezent, ct i pentru viitor.

Planificarea implic stabilirea aciunilor care se adreseaz fiecrui risc individual, prioritizarea acestor aciuni i crearea planului de management al riscului.

32


Planul de management al riscului se utilizeaz pentru:

Avertizarea asupra riscurilor, prin schimbarea proiectrii i a proceselor sau prin neadoptarea de aciuni i acceptarea implicit a consecinelor n cazul apariiei riscurilor.

Atenuarea impactului riscurilor prin aciuni de reducere a nivelului de impact.

Dezvoltarea unor strategii de rezerv pentru cazurile n care riscurile apar.

33


Pasul 4: Identificarea metodelor de rspuns la riscuri

Avnd acum la dispoziie o list a riscurilor cu ordinea lor de prioritate, echipa de management a riscului efectueaz o analiz pentru a determina ce aciuni de rspuns la risc (evitarea, controlul, acceptarea sau transferul riscului) pot fi aplicate sau ce decizii ar putea fi luate pentru a elimina riscurile identificate.

34


Pasul 4: Identificarea metodelor de

rspuns la riscuri (continuare)

Echipa evalueaz, cuantific i decide asupra posibilelor consecine ale lipsei de aciune pe de o parte respectiv dac beneficiile obinute prin aciunea asupra riscurilor justific cheltuielile de timp i de bani pe de alt parte.

35



rspuns la riscuri (continuare)

Acest pas trebuie s se concentreze asupra mbuntirii continue a proceselor, identificnd acele procese organizaionale care ar putea conduce la eliminarea sau reducerea

substanial a riscurilor.

36


Pasul 5: Identificarea metodelor de atenuare a riscurilor

Riscurile care sunt analizate la acest pas sunt considerate ca fiind generate de evenimente externe.

Echipa de management a riscului trebuie s determine ce aciuni sau decizii pot fi aplicate sau adoptate, care s reduc probabilitatea i/sau severitatea impactului fiecrui risc.

37



atenuare a riscurilor (continuare)

De exemplu, dac contractarea reprezint un risc semnificativ pentru proiect, atunci pentru

minimizarea acestui risc trebuie definite

practicile de management i procedurile pentru monitorizarea, evaluarea i controlul

performanei subcontractanilor.

38


Pasul 6: Identificarea metodelor de recuperare a riscurilor

Pentru fiecare din primele riscuri din top-ul listei de riscuri prioritizate, echipa de management a riscului analizeaz i valideaz natura evenimentelor care ar putea genera o aciune de recuperare a riscului.

Aceste aciuni de recuperare trebuie documentate n planul de management al riscului, mpreun cu circumstanele msurabile sau observabile care trebuie s apar pentru a semnala necesitatea implementrii aciunilor de recuperare.

39


Pasul 6: Identificarea metodelor de recuperare a riscurilor (continuare)

Aciunile de recuperare pentru riscurile care au impact asupra calitii produsului pot s includ fr a fi limitative combinaii ale urmtoarelor aciuni: Reproiectare pentru a corecta deficienele constatate.

Realocarea cerinelor pentru a menine performana specificat a ntregului sistem.

Definirea unor praguri mai reduse de performan, dar deasupra cerinelor minim acceptabile.

40


Pasul 7: Definirea metricilor riscurilor Pentru fiecare risc, echipa de management a riscului

determin i documenteaz ce evenimente msurabile sau observabile pot s fie urmrite pentru a ti dac riscul este ndeprtat, accentuat sau minimizat.

De exemplu, dac testarea software-ului a fost identificat ca fiind o funcie cu risc ridicat, atunci pot fi utilizate ca i metrici ale acestui risc: procentul de defective la testare, rata de eliminare a erorilor la proiectare.

41


Pasul 7: Definirea metricilor riscurilor (continuare)

Metricile privind procesul de management al riscului n software trebuie s fie stabilite i determinate astfel nct s furnizeze elemente de intrare pentru mbuntirea procesului.

Metricile pot s includ: eforturile i fondurile cheltuite n activitile de managementul

riscului;

datele de realizare a evalurilor riscurilor; numrul de riscuri noi aprute; numrul de riscuri noi evitate

42


Pasul 8: Implementarea aciunilor de atenuare / reducere a riscurilor

Pentru fiecare risc, echipa de management a riscului realizeaz activitile necesare pentru a implementa aciunile de atenuare / reducere a riscurilor stabilite la Pasul 5.

Aceste activiti sunt documentate n planul de management al riscului pentru fiecare scenariu de reducere a riscului.

43


Pasul 8: Implementarea aciunilor de atenuare / reducere a riscurilor (continuare)

Exemplele de activiti referitoare la nivelele de risc definite la Pasul 3 sunt: Risc tolerabil: Aplicarea metodelor

corespunztoare de inginerie a software-ului va contribui la atenuarea oricror riscuri de acest nivel.

Risc sczut: Pentru acest nivel nu sunt necesare aciuni suplimentare, n afara celor normale de monitorizare i control a realizrii software-ului.

44



Exemplele de activiti referitoare la nivelele de risc definite la Pasul 3 sunt (continuare): Risc mediu: Acest nivel de risc poate s necesite

adoptarea unor aciuni la analizele de evaluare a riscurilor.

Risc ridicat: Acest nivel de risc necesit adoptarea unor aciuni la analizele de evaluare a riscurilor.

45



Exemplele de activiti referitoare la nivelele de risc definite la Pasul 3 sunt (continuare): Risc intolerabil: Acest nivel implic controlul,

monitorizarea i dezvoltarea de aciuni de recuperare. Fiecare risc de acest nivel are definite evenimentele care genereaz aciunile de recuperare. Valorile abaterilor sunt documentate prin metricile stabilite.

46

2.2 Funcia 4: Monitorizare

Monitorizarea are n vedere starea

riscurilor i aciunile adoptate pentru atenuarea lor.

Monitorizarea se realizeaz prin evaluarea metricilor stabilite i prin funcii de urmrire n cadrul managementului riscului.

47

2.2 Funcia 4: Monitorizare

Pasul 9: Monitorizarea riscurilor

Procedurile de raportare a stadiului

implementrii proiectului trebuie s sesizeze orice situaie n care o metric sau un parametru al proiectului se situeaz sub pragurile stabilite sau nregistreaz abateri prea mari fa de cele planificate.

Managerul de risc primete i analizeaz aceste date i pe baza lor adopt aciunile corective, acolo unde este necesar.

48

2.2 Funcia 5: Control

Funcia de control a riscului are rolul de a corecta abaterile de la aciunile de risc planificate.

Controlul riscului este parte a managementului proiectului i se bazeaz pe procesele care controleaz planurile aciunilor de risc, corecteaz abaterile fa de plan, rspund la evenimentele semnalate i mbuntesc procesele de management al riscului.

Activitile de control al riscului sunt documentate n planul de management al riscului.

49

2.2 Funcia 5: Control

Pasul 10: Implementarea aciunilor de control a riscurilor

Pentru fiecare risc, dac datele disponibile colectate indic realizarea criteriilor de intrare n aceast etap, atunci managerul de proiect trebuie s analizeze necesitatea implementrii aciunilor de control i s aloce resursele necesare aplicrii acestor aciuni.

50

2.2 Funcia 6: Comunicare

Comunicarea este unul din elementele centrale ale procesului de management a riscului, care evideniaz importana i relevana acesteia.

Comunicarea se desfoar n toate fazele procesului de management a riscului.

Ea este, de asemenea, o parte esenial a tuturor celorlalte activiti de management a riscului n software.

51

2.2 Funcia 6: Comunicare

Riscurile sunt identificate de personalul implicat ce particip la realizarea activitilor proiectului.

Managementul de proiect trebuie s asigure un mediu deschis care s permit personalului discuii i exprimarea opiniilor privind riscurile poteniale.

O comunicare eficace furnizeaz att transparena, ct i datele de feed-back, interne sau externe proiectului, referitoare la riscurile curente i poteniale.

52

3. Aplicaie: Un model de evaluare a riscurilor n SI

Vom analiza n cele ce urmeaz un model de evaluare a riscurilor pentru o

organizaie care dispune de un sistem informatic complex, sistem care st la baza integrrii tuturor activitilor organizaiei i pentru care riscurile n acest domeniu sunt deosebit de importante.

53


Principalele clase de riscuri care se pot

manifesta n sistemele informatice sunt

urmtoarele:

Integritate;

Relevan;

Acces;

Disponibilitate;

Infrastructur.

54


Clasa de riscuri de integritate include

toate riscurile asociate cu autorizarea,

completitudinea i acurateea tranzaciilor de introducere, prelucrare, centralizare i raportare realizate n aplicaiile (modulele) sistemului informatic.

55


Clasa de

risc

Surse / Cauze Efecte

Integritate

Coruperea datelor, erori,

omisiuni

Integritatea poate fi

pierdut ca urmare a: erorilor de programare;

erorilor de prelucrare;

erorilor de mentenan; erorilor de management.

Coruperea

datelor

56


Riscurile componente pentru clasa de riscuri de

integritate sunt:

Interfaa utilizator:

Restricii asupra utilizatorilor individuali care sunt autorizai s realizeze anumite funcii ale sistemului, pe baza cerinelor postului, ceea ce implic o repartizare a responsabilitilor.

Alte riscuri din aceast categorie se refer la gradul de adecvare al aciunilor de control preventive i/sau detective care s asigure c n sistem sunt introduse numai date valide i complete.

57



integritate sunt (continuare):

Prelucrare: Aciunile de control preventive sau detective care s asigure c datele prelucrate au fost complete i transmise la timp.

Acestea includ i riscurile asociate cu acurateea i integritatea rapoartelor utilizate pentru

centralizarea rezultatelor i/sau pentru luarea deciziilor de afaceri.

58




Tratarea

erorilor:

Aceste riscuri se refer la procesele i metodele care s asigure c orice excepii sau erori ale datelor de intrare sau ale

datelor prelucrate ce sunt depistate

sunt corectate n mod

corespunztor i reprelucrate

complet i n timp util.

59




Interfee: Aciunile de control preventive sau detective care s asigure c datele prelucrate au fost complete i la timp i au fost transmise ctre alte aplicaii (module) ale sistemului care le utilizeaz.

60




Manage-

mentul

schimbrii

Aceste riscuri sunt asociate cu

procese inadecvate de

managementul schimbrii, respectiv implicarea utilizatorilor i instruirea lor, precum i procesele prin care schimbrile n sistemul informatic sunt comunicate i implementate.

61




Date: Aceste riscuri sunt asociate cu aciuni inadecvate de control al managementului datelor, incluznd att securitatea / integritatea datelor prelucrate, ct i un management eficace al bazelor i structurilor de date.

Integritatea poate fi pierdut din cauza erorilor de programare, a erorilor de prelucrare sau a erorilor de management sau de proces.

62


Clasa de riscuri de relevan se refer la modul i timpul de utilizare a informaiei generate de sistemul informatic.

Sunt riscurile asociate cu nerealizarea

obiectivului: Informaia corect i necesar, transmis persoanei / procesului / sistemului corespunztor, n timp util pentru a permite luarea deciziei

corespunztoare.

63


Clasa de

risc Surse / Cauze Efecte

Relevan

Lipsa unei comunicri eficace

Nefurnizarea

informaiei necesare la

locul i la timpul potrivit

64


A treia clas o constituie riscurile de acces.

Aceast clas de riscuri se focalizeaz asupra riscurilor legate de accesul necorespunztor la sistem, date sau informaii.

Ea include riscurile unor repartizri neadecvate a sarcinilor, riscurile asociate integritii datelor i bazelor de date i riscurile asociate cu confidenialitatea asupra informaiilor.

65


Clasa de


Acces

Securitatea accesului nu

este corespunztoare Acces necorespunztor

la mediul de prelucrare

sau la reele; Dispozitive fizice

neprotejate la

deteriorare, furt sau la

acces nepermis.

Violarea

confidenialitii Pierderea sau

coruperea

datelor

Infectarea cu

virui Atacul hackerilor

66



acces sunt:

Procesul de

afaceri:

Sunt riscurile generate de deciziile

organizatorice care trebuie s separe sarcinile incompatibile i s asigure nivelul corespunztor de responsabilitate i autoritate pentru realizarea funciilor sistemului informatic.

67



acces sunt (continuare):

Aplicaii (module):

Sunt determinate de mecanismele

interne ale aplicaiilor (modulelor), care permit utilizatorilor autorizai s execute funciile alocate n sistemul informatic.

68




Manage-

mentul

datelor:

Aceste riscuri sunt asociate cu

mecanismul de a asigura

utilizatorilor accesul la anumite

date sau baze de date din mediul

de prelucrare.

69




Mediul de

prelucrare:

Riscurile de acces n aceast zon sunt generate de accesul

necorespunztor la reelele sistemului.

70




Reelele: n aceast categorie sunt nregistrate riscurile de acces

necorespunztor la mediul de prelucrare, respectiv la aplicaiile (modulele), programele sau datele

stocate n acest mediu.

71




Accesul

fizic:

Sunt riscurile legate de protecia dispozitivelor fizice fa de deteriorare, sustragere sau

accesare nepermis.

72


Clasa de riscuri de disponibilitate se

refer la riscurile asociate cu funcionarea la parametri normali a sistemului

informatic, riscurile de ntrerupere a

funcionrii sistemului sau cu riscurile legate de posibilele dezastre ce ar putea

s apar.

73


Clasa de


Disponibi-

litate

Dezastre naturale

(incendii, inundaii etc.) ce determin cderea hardware-ului sau software-ului;

ntreruperea

sistemului pe

termen scurt

sau termen

lung.

74



disponibilitate sunt:

Monitori-

zarea

performanei:

Sunt riscurile care pot fi evitate

prin monitorizarea performanei sistemului i printr-o abordare pro-activ a problemelor, nainte ca

acestea s apar.

75



disponibilitate sunt (continuare):

ntreruperi

ale

sistemului:

Sunt riscurile asociate cu

ntreruperile pe termen scurt ale

sistemului, n care tehnicile de

restaurare / recuperare pot fi

utilizate pentru a minimiza

efectele i duratele ntreruperilor.

76



disponibilitate sunt (continuare):

Dezastre: Riscurile asociate dezastrelor determin ntreruperi pe termen lung a funcionrii sistemului informatic, iar aciunile de control se refer la procedurile de salvare a bazelor de date (backup) i la planurile de recuperare.

77


Clasa de riscuri de infrastructur include riscurile ca organizaia s nu aib o infrastructur de tehnologia informaiei (hardware, reele, software, personal, procese), care s susin n mod eficace, dar i eficient, procesele de afaceri ale organizaiei respective.

78


Clasa de


Infrastruc-

tur

O planificare

deficitar sau lipsa planificrii sistemului

informatic n

organizaie.

Decizii nefuncionale n domeniul

tehnologiei informaiei; Lipsa politicilor i

procedurilor n

sistemul informatic sau

inconsistena lor la nivelul organizaiei.

79



infrastructur sunt:

Planificare: Sunt riscurile generate de organizarea activitilor pentru tehnologia informaiei (IT).

Este important s existe o structur organizatoric i funcional (persoane i procese) care s garanteze c eforturile n domeniul IT sunt ncununate de succes.

80



infrastructur sunt (continuare):

Definirea i utilizarea

aplicaiilor sistemului:

Riscurile din aceast zon se refer la asigurarea c sistemul informatic realizeaz cerinele de afaceri ale organizaiei i cerinele utilizatorilor.

Aici este inclus i procesul de decizie asupra achiziionrii unei aplicaii (sistem) existente sau a dezvolta o

aplicaie specific. De asemenea, asigurarea c modificrile n aplicaii sunt

comunicate, testate i implementate.

81




Adminis-

trarea

sistemului:

Procesele din aceast arie de activiti asigur c organizaia trateaz n mod corespunztor riscurile de acces, prin stabilirea, meninerea i monitorizarea unui sistem de securitate intern, care s garanteze integritatea i confidenialitatea datelor i informaiilor organizaiei, reducnd riscurile de fraud informaional la nivele acceptabile.

82




Adminis-

trarea

calculatoarel

or i reelelor:

Aceast zon asigur c sistemul informatic este utilizat ntr-o

manier sigur i protejat, de ctre personal de specialitate, care monitorizeaz funcionarea i performanele calculatoarelor, echipamentelor i reelelor sistemului.

83


Cu ajutorul riscurilor clasificate anterior,

putem s realizm acum o evaluare a riscurilor sistemului informatic, utiliznd

clasele de riscuri i componentele acestora, pentru care stabilim, n urma

analizei i evalurii, probabilitile de apariie i nivelele de severitate pe baza matricei de risc

84

3. Aplicaie: Un model de evaluare a riscurilor n SI Clasa de risc Componentele de risc Apariie Severitate Scor

1. Integritate 1.1 Interfaa utilizator 0,50 0,20 0,10

1.2 Prelucrare 0,70 0,40 0,28

1.3 Tratarea erorilor 0,90 0,40 0,36

1.4 Interfee 0,30 0,20 0,06

1.5 Managementul schimbrii

0,30 0,20 0,06

1.6 Date 0,50 0,20 0,10

2. Relevana 2.1 Utilizarea informaiei generate de sistemul informatic

0,50 0,40 0,20

2.2 Timpul de utilizare a informaiei transmise de sistemul informatic

0,50 0,20 0,10

85

3. Aplicaie: Un model de evaluare a riscurilor n SI Clasa de risc Componentele de risc Apariie Severitate Scor

3. Accesul 3.1 Procesul de afaceri

0,30 0,10 0,03

3.2 Aplicaii (module) 0,50 0,40 0,20

3.3 Managementul datelor

0,50 0,40 0,20

3.4 Mediul de prelucrare

0,30 0,20 0,06

3.5 Reelele 0,30 0,80 0,24

3.6 Accesul fizic 0,10 0,80 0,08

4. Disponibilitatea 4.1 Monitorizarea performanei

0,30 0,40 0,12

4.2 ntreruperi ale sistemului

0,30 0,40 0,12

4.3 Dezastre 0,10 0,80 0,08

86


Clasa de risc Componentele de risc Apariie Severitate Scor

5. Infrastructura 5.1 Planificare 0,30 0,10 0,03

5.2 Definirea i utilizarea

aplicaiilor sistemului

0,50 0,20 0,10

5.3 Administrarea

sistemului 0,70 0,40 0,28

5.4 Administrarea

calculatoarelor i reelelor

0,70 0,40 0,28

87


Pe baza datelor de evaluare i a probabilitilor de apariie i a nivelelor de severitate acordate pentru diferitele componente de risc, se poate realiza o list a riscurilor prioritizate, n funcie de scorul de impact rezultat. Aceast list, care conine primele cinci riscuri identificate i cuantificate, este prezentat n urmtor.

Din evaluare a rezultat c riscul cel mai important, asupra cruia trebuie s se aplice metodele de rspuns la risc, este cel legat de tratarea erorilor.

Scoruri mari au nregistrat i riscurile de administrare a sistemului i a reelelor.

88


Lista riscurilor prioritizate

Componenta de risc Scorul

1.3 Tratarea erorilor 0,36

1.2 Prelucrare 0,28

5.3 Administrarea sistemului 0,28

5.4 Administrarea calculatoarelor i reelelor 0,28

3.5 Reelele 0,24

89


Continund evaluarea i considernd media scorurilor pe clasele de risc,

obinem nivelele de riscuri prezentate n matricea de risc din tabelul urmtor

Din datele obinute pentru clasele de riscuri, rezult c riscurile de infrastructur au potenialul cel mai ridicat, n timp ce riscurile de disponibilitate au un nivel

mediu.

90


Nivelele claselor de risc

Clasa de risc Scorul Nivelul

1. Integritate 0,16 Ridicat

2. Relevana 0,15 Ridicat

3. Accesul 0,14 Ridicat

4. Disponibilitatea 0,11 Mediu

5. Infrastructura 0,17 Ridicat

91


Efectund i o analiz Pareto a ponderii riscurilor la nivelul ntregului sistem

informatic, observm c n urma evalurii, riscurile de infrastructur, de integritate i de relevan prezint ponderi mai mari, n timp ce riscurile de acces i de disponibilitate a sistemului au o pondere

mai redus.

92


Diagrama Pareto a ponderii claselor de risc

24% 22% 21% 19%15%

46%

67%

85%100%

0%

20%

40%

60%

80%

100%

Infr

ast

ructu

ra

Inte

gri

tate

Relev

ana

Accesu

l

Dis

po

nib

ilit

ate

a

Date post:	28-Sep-2015
Category:	Documents
Upload:	andreea91bv
View:	42 times
Download:	3 times

Sisteme Informatice Bi - Tema 7

Documents