Date post: | 28-Sep-2015 |
Category: |
Documents |
Upload: | andreea91bv |
View: | 42 times |
Download: | 3 times |
Universitatea Cretin Dimitrie Cantemir
Facultatea de Finane, Bnci i Contabilitate Braov
MASTERAT: MANAGEMENT
FINANCIAR-BANCAR
SISTEME INFORMATICE DE
BUSINESS INTELLIGENCE
Conf. univ. dr.
Nicolae BRSAN-PIPU
TEMA 7
MANAGEMENTUL RISCULUI
N SOFTWARE
4
CUPRINS
1. Riscul n proiectele software
2. Procesul de management al
riscului n software
3. Aplicaie: Un model de evaluare a riscurilor n sistemele informatice
5
1. RISCUL N PROIECTELE
SOFTWARE Dezvoltarea fr precedent a informaticii din
ultimele dou decenii, a avut drept consecin creterea complexitii proiectelor de realizare i implementare a sistemelor de aplicaii software.
Proiectele de software au devenit o necesitate, dar i riscurile implicate de realizarea lor au crescut aproape exponenial.
Literatura de specialitate este plin de exemple de proiecte de software care au euat, au ntrziat sau nu s-au mai realizat niciodat.
6
1. RISCUL N PROIECTELE
SOFTWARE
Riscul poate fi definit, n general, ca fiind posibilitatea de a pierde.
El este o funcie dat de probabilitatea unui eveniment advers care poate s apar, ct i de impactul acestuia.
Acest impact poate fi o combinaie de pierderi financiare, ntrzieri sau pierderea performanei.
7
1. RISCUL N PROIECTELE
SOFTWARE
Riscul n software este dat de probabilitatea ca, la un anumit moment din ciclul de via al proiectului software, obiectivele planificate s nu fie atinse cu resursele alocate.
De obicei, riscul nu poate fi eliminat din proiectele software, dar el poate fi tratat.
Managementul riscului este o activitate critic pentru succesul oricrui proiect software, fiind o component strategic de realizare a acestuia.
8
1. RISCUL N PROIECTELE
SOFTWARE
Managementul riscului n software face parte din practicile de inginerie a software-ului i const din procesele, metodele i tehnicile de management a proiectelor software.
El furnizeaz o abordare sistematic i o atitudine pro-activ de adoptare a deciziilor care s evalueze lucrurile care nu merg bine, s determine care sunt riscurile care sunt importante i s implementeze aciunile necesare pentru tratarea acestor riscuri.
9
1. RISCUL N PROIECTELE
SOFTWARE
Ca i n alte domenii ale managementului n general i al managementului proiectelor n special i n acest domeniu implicarea managementului de cel mai nalt nivel al organizaiei este esenial pentru succes.
Top-managementul trebuie s susin managementul riscului prin alocarea resurselor necesare, prin planificare i analize de management dedicate acestui scop.
10
1. RISCUL N PROIECTELE
SOFTWARE
S analizm acum modelul global al procesului de management al riscului n software, care se integreaz modelelor de management al proiectelor n general, fiind de fapt o adaptare i o particularizare pentru ciclul de via i specificitatea proiectelor de software.
Modelul identific funciile fundamentale pentru managementul riscului ce trebuie avute n vedere pentru un management eficace al riscului n proiectele de software.
11
1. RISCUL N PROIECTELE
SOFTWARE
Funciile pentru managementul riscului n software: Identificare Cutarea i localizarea riscurilor nainte ca ele s
devin probleme adverse care s afecteze proiectul.
Analiz Prelucrarea datelor referitoare la riscuri i includerea lor n informaiile pentru procesul de adoptare a deciziilor.
Planificare Translatarea informaiilor referitoare la riscuri n decizii i aciuni (prezente i viitoare) i implementarea acestor aciuni.
Monitorizare Monitorizarea indicatorilor de risc i a aciunilor luate mpotriva manifestrii riscurilor.
Control Corectarea abaterilor de la aciunile planificate pentru riscurile n software.
Comunicare Asigurarea transparenei i a feed-back-ului datelor interne i externe din programul activitilor curente i urgente referitoare la riscuri.
12
1. RISCUL N PROIECTELE
SOFTWARE
Ciclul activitilor continue de realizare a funciilor procesului de monitorizare a riscului n proiectele software:
Contr
ol
Monitorizare P
lani
ficar
e
Analiz
a
Identificare
COMUNICARE
13
2. PROCESUL DE MANAGEMENT
AL RISCULUI N SOFTWARE
Procesul de management al riscului n
software detaliaz funciile modelului general discutat anterior.
Dei paii acestui proces sunt prezentai ntr-o form secvenial, n mod practic pot s aib loc iteraii ale pailor procesului, care se repet dup cum este necesar.
14
2. PROCESUL DE MANAGEMENT
AL RISCULUI N SOFTWARE
Responsabilitile pentru proces sunt alocate unei echipe de evaluare a riscului, coordonat de un manager de risc.
Criteriile care sunt utilizate pentru selecia membrilor echipei sunt legate de cunotinele i experiena n domeniul proiectului software, precum i de experiena privind managementul riscului.
Echipa este, de obicei, un mix de specialiti din diferite domenii (dezvoltare, testare, asigurarea calitii), acoperind toate ariile funcionale considerate critice pentru proiect.
15
2. PROCESUL DE MANAGEMENT
AL RISCULUI N SOFTWARE
Procesul de management al riscului este
constituit din 10 pai pe care i vom detalia n continuare.
Realizarea activitilor asociate cu aceti pai reprezint o abordare acceptabil a managementului riscului n software i trebuie inclus n planul general al proiectului de realizare i implementare al software-ului.
16
CO
MU
NIC
AR
E
Procesul de management al riscului n software
Activitatile
procesului
Sarcinile echipei de
management a risculuiIesiri
Functiile
procesului
IdentificareAnalizeaza riscurile potentiale si
identifica lista riscurilor specifice
proiectului
1. Identificare
riscuri
Lista riscuri
initiale
Analiza2. Analiza
riscuri
3. Prioritizare
riscuri
Lista riscuri
actualizata
Lista riscuri
prioritizate
Planificare4. Identificare
metode de raspuns
6. Identificare
metode de
recuperare
riscuri
7. Definire metrici
ale riscurilor
5. Identificare
metode de
atenuare riscuri
9. Monitorizare
riscuri
10.Implementare
actiuni de control
Monitorizare
Control
Completeaza lista riscurilor cu impactul
asupra costurilor, programului, calitatii
Completeaza lista riscurilor cu
probabilitatile de aparitie si impact
Determina raspunsurile la risc: evitare,
control, acceptare, transfer
Plan
management
risc
Plan
management
risc
Analizeaza riscurile reziduale si actiunile
de atenuare pentru a reduce probabilitatea
si/sau severitatea de impact
Pentru riscurile prioritare sunt
documentate actiunile de recuperare si
semnale de declansare
Plan
management
risc
Identifica si documenteaza metricile
pentru a stabili daca riscul a fost
ndepartat sau a fost atenuat
Monitorizare
metrici risc
8. Implementare
actiuni de
atenuare
Managementul trece proactiv la
implementarea actiunilor de raspuns si de
atenuare identificate
Plan proiect
actualizat
Colecteaza, analizeaza si raporteaza
valorile metricilor, periodic si n functie
de evenimentele aparute
Metrici riscuri
active
Aplica actiunile de control
corespunzatoare, pe baza valorilor
metricilor riscului
Plan proiect
actualizat
17
2.1 Funcia 1: Identificare
nainte ca riscul s fie tratat, el trebuie s fie identificat, pentru a nu deveni o
problem care s afecteze desfurarea proiectului.
Tehnicile de identificare a riscului se aplic de ctre echipa de proiect care are aceste responsabiliti.
18
2.1 Funcia 1: Identificare
Pasul 1: Identificarea riscurilor
Managerul de risc conduce o reuniune de analiz a echipei de managementul riscului i transmite membrilor echipei o clasificare a domeniilor de risc potenial ale proiectului.
Aceast clasificare rezult din lista riscurilor posibile ale proiectului i constituie baza pentru analiza detaliat a riscurilor specifice proiectului.
19
2.1 Funcia 1: Identificare
Pasul 1: Identificarea riscurilor (continuare)
Fiecare membru al echipei, avnd la baz clasificarea general, documenteaz riscurile pe care le consider poteniale pentru proiectul respectiv.
Ieirea din acest pas al procesului o constituie o list a riscurilor identificate ca fiind specifice proiectului, pentru care se vor completa informaiile de analiz i cuantificare n paii urmtori.
20
2.2 Funcia 2: Analiz
Analiza este conversia datelor referitoare
la riscuri n informaii pentru adoptarea deciziilor.
Ea include analiza, prioritizarea i selectarea riscurilor critice.
21
2.2 Funcia 2: Analiz
Pasul 2: Analiza riscurilor
Echipa analizeaz fiecare din riscurile identificate, n funcie de consecinele riscului asupra factorilor de cost, program,
performan i calitatea produsului.
Un anumit risc poate s aib impact asupra uneia sau mai multor categorii din
factorii menionai.
22
2.2 Funcia 2: Analiz
Pasul 2: Analiza riscurilor (continuare) Pentru fiecare risc identificat se determin
severitatea de impact, iar apoi se estimeaz probabilitatea de apariie a riscului respectiv.
La finalul acestui pas, echipa trebuie s ajung la un consens asupra consecinelor, severitii, probabilitii i perioadei de apariie a fiecrui risc identificat.
23
2.2 Funcia 2: Analiz
Pasul 3: Prioritizarea riscurilor
Echipa determin nivelele de prioritate pentru fiecare din riscurile identificate,
considernd matricea de risc
Pe baza nivelelor de prioritate, echipa
stabilete aciunile necesare de tratare a riscurilor.
24
2.2 Funcia 2: Analiz
Pasul 3: Prioritizarea riscurilor
(continuare)
Nivelele scorurilor de impact ale riscurilor
sunt urmtoarele:
Risc tolerabil T: Riscul este identificat ca avnd un efect mic sau nici o consecin asupra obiectivelor proiectului.
Scorul de impact este cuprins ntre 0,01 i 0,03, fiind suficient de mic ca s nu constituie
un motiv de preocupare.
25
2.2 Funcia 2: Analiz
Pasul 3: Prioritizarea riscurilor (continuare)
Risc sczut S: Riscul este identificat ca avnd un efect minor sau o consecin redus asupra obiectivelor proiectului.
Scorul de impact este cuprins ntre 0,04 i 0,06, fiind suficient de mic ca s constituie numai o preocupare sczut.
ntrzierea programului este mai mic de 10%, iar efectul asupra costurilor este mai mic de
2%.
26
2.2 Funcia 2: Analiz
Pasul 3: Prioritizarea riscurilor
(continuare)
Risc mediu M: Riscul este identificat ca putnd s afecteze obiectivele proiectului.
Scorul de impact este cuprins ntre 0,07 i 0,12.
ntrzierea programului este de 10-25%, iar
efectul asupra costurilor este de 2-5%.
27
2.2 Funcia 2: Analiz
Pasul 3: Prioritizarea riscurilor
(continuare)
Risc ridicat R: Riscul este identificat ca fiind suficient de mare ca s afecteze obiectivele proiectului.
Scorul de impact este cuprins ntre 0,14 i 0,24. ntrzierea programului este de 25-50%,
iar efectul asupra costurilor este de 5-10%.
28
2.2 Funcia 2: Analiz
Pasul 3: Prioritizarea riscurilor
(continuare)
Risc intolerabil IN: Riscul este identificat ca fiind foarte mare i va afecta obiectivele proiectului.
Scorul de impact este cuprins ntre 0,28 i 0,72.
ntrzierea programului este mai mare de 50%,
iar efectul asupra costurilor este mai mare de
10%.
29
2.2 Funcia 2: Analiz
Matricea de risc Probabilitate
Severitate
Frecvent
0,90
Probabil
0,70
Ocazional
0,50
ndeprtat 0,30
Improbabil
0,10
Catastrofic
0,80
IN
0,72
IN
0,56
IN
0,40
R
0,24
M
0,08
Critic
0,40
IN
0,36
IN
0,28
R
0,20
M
0,12
S
0,04
Serios
0,20
R
0,18
R
0,14
M
0,10
S
0,06
T
0,02
Minor
0,10
M
0,09
M
0,07
S
0,05
T
0,03
T
0,01
Neglijabil
0,05
S
0,05
S
0,04
T
0,03
T
0,02
T
0,01
Legenda: T = Tolerabil S = Sczut M = Mediu R = Ridicat IN = Intolerabil
30
2.2 Funcia 2: Analiz
Matricea de risc (continuare) Probabilitate Descriere Severitate Consecine
Frecvent
0,90
Va aprea de mai multe ori / Nu este surprinztor
Catastrofic
0,80
ntrziere program > 50%
Depire costuri > 10%
Probabil
0,70
Apare n mod repetat /
Eveniment ateptat Critic
0,40
ntrziere program 25-50%
Depire costuri 5-10%
Ocazional
0,50
Poate s apar la un moment dat
Serios
0,20
ntrziere program 10-25%
Depire costuri 2-5%
ndeprtat 0,30
Puin probabil s apar
Minor
0,10
ntrziere program < 10%
Depire costuri < 2%
Improbabil
0,10
Probabilitate foarte mic s apar
Neglijabil
0,05
Impact neglijabil
asupra proiectului
31
2.2 Funcia 3: Planificare
Funcia de planificare are rolul de a transforma informaia despre riscuri n decizii i aciuni, att pentru prezent, ct i pentru viitor.
Planificarea implic stabilirea aciunilor care se adreseaz fiecrui risc individual, prioritizarea acestor aciuni i crearea planului de management al riscului.
32
2.2 Funcia 3: Planificare
Planul de management al riscului se utilizeaz pentru:
Avertizarea asupra riscurilor, prin schimbarea proiectrii i a proceselor sau prin neadoptarea de aciuni i acceptarea implicit a consecinelor n cazul apariiei riscurilor.
Atenuarea impactului riscurilor prin aciuni de reducere a nivelului de impact.
Dezvoltarea unor strategii de rezerv pentru cazurile n care riscurile apar.
33
2.2 Funcia 3: Planificare
Pasul 4: Identificarea metodelor de rspuns la riscuri
Avnd acum la dispoziie o list a riscurilor cu ordinea lor de prioritate, echipa de management a riscului efectueaz o analiz pentru a determina ce aciuni de rspuns la risc (evitarea, controlul, acceptarea sau transferul riscului) pot fi aplicate sau ce decizii ar putea fi luate pentru a elimina riscurile identificate.
34
2.2 Funcia 3: Planificare
Pasul 4: Identificarea metodelor de
rspuns la riscuri (continuare)
Echipa evalueaz, cuantific i decide asupra posibilelor consecine ale lipsei de aciune pe de o parte respectiv dac beneficiile obinute prin aciunea asupra riscurilor justific cheltuielile de timp i de bani pe de alt parte.
35
2.2 Funcia 3: Planificare
Pasul 4: Identificarea metodelor de
rspuns la riscuri (continuare)
Acest pas trebuie s se concentreze asupra mbuntirii continue a proceselor, identificnd acele procese organizaionale care ar putea conduce la eliminarea sau reducerea
substanial a riscurilor.
36
2.2 Funcia 3: Planificare
Pasul 5: Identificarea metodelor de atenuare a riscurilor
Riscurile care sunt analizate la acest pas sunt considerate ca fiind generate de evenimente externe.
Echipa de management a riscului trebuie s determine ce aciuni sau decizii pot fi aplicate sau adoptate, care s reduc probabilitatea i/sau severitatea impactului fiecrui risc.
37
2.2 Funcia 3: Planificare
Pasul 5: Identificarea metodelor de
atenuare a riscurilor (continuare)
De exemplu, dac contractarea reprezint un risc semnificativ pentru proiect, atunci pentru
minimizarea acestui risc trebuie definite
practicile de management i procedurile pentru monitorizarea, evaluarea i controlul
performanei subcontractanilor.
38
2.2 Funcia 3: Planificare
Pasul 6: Identificarea metodelor de recuperare a riscurilor
Pentru fiecare din primele riscuri din top-ul listei de riscuri prioritizate, echipa de management a riscului analizeaz i valideaz natura evenimentelor care ar putea genera o aciune de recuperare a riscului.
Aceste aciuni de recuperare trebuie documentate n planul de management al riscului, mpreun cu circumstanele msurabile sau observabile care trebuie s apar pentru a semnala necesitatea implementrii aciunilor de recuperare.
39
2.2 Funcia 3: Planificare
Pasul 6: Identificarea metodelor de recuperare a riscurilor (continuare)
Aciunile de recuperare pentru riscurile care au impact asupra calitii produsului pot s includ fr a fi limitative combinaii ale urmtoarelor aciuni: Reproiectare pentru a corecta deficienele constatate.
Realocarea cerinelor pentru a menine performana specificat a ntregului sistem.
Definirea unor praguri mai reduse de performan, dar deasupra cerinelor minim acceptabile.
40
2.2 Funcia 3: Planificare
Pasul 7: Definirea metricilor riscurilor Pentru fiecare risc, echipa de management a riscului
determin i documenteaz ce evenimente msurabile sau observabile pot s fie urmrite pentru a ti dac riscul este ndeprtat, accentuat sau minimizat.
De exemplu, dac testarea software-ului a fost identificat ca fiind o funcie cu risc ridicat, atunci pot fi utilizate ca i metrici ale acestui risc: procentul de defective la testare, rata de eliminare a erorilor la proiectare.
41
2.2 Funcia 3: Planificare
Pasul 7: Definirea metricilor riscurilor (continuare)
Metricile privind procesul de management al riscului n software trebuie s fie stabilite i determinate astfel nct s furnizeze elemente de intrare pentru mbuntirea procesului.
Metricile pot s includ: eforturile i fondurile cheltuite n activitile de managementul
riscului;
datele de realizare a evalurilor riscurilor; numrul de riscuri noi aprute; numrul de riscuri noi evitate
42
2.2 Funcia 3: Planificare
Pasul 8: Implementarea aciunilor de atenuare / reducere a riscurilor
Pentru fiecare risc, echipa de management a riscului realizeaz activitile necesare pentru a implementa aciunile de atenuare / reducere a riscurilor stabilite la Pasul 5.
Aceste activiti sunt documentate n planul de management al riscului pentru fiecare scenariu de reducere a riscului.
43
2.2 Funcia 3: Planificare
Pasul 8: Implementarea aciunilor de atenuare / reducere a riscurilor (continuare)
Exemplele de activiti referitoare la nivelele de risc definite la Pasul 3 sunt: Risc tolerabil: Aplicarea metodelor
corespunztoare de inginerie a software-ului va contribui la atenuarea oricror riscuri de acest nivel.
Risc sczut: Pentru acest nivel nu sunt necesare aciuni suplimentare, n afara celor normale de monitorizare i control a realizrii software-ului.
44
2.2 Funcia 3: Planificare
Pasul 8: Implementarea aciunilor de atenuare / reducere a riscurilor (continuare)
Exemplele de activiti referitoare la nivelele de risc definite la Pasul 3 sunt (continuare): Risc mediu: Acest nivel de risc poate s necesite
adoptarea unor aciuni la analizele de evaluare a riscurilor.
Risc ridicat: Acest nivel de risc necesit adoptarea unor aciuni la analizele de evaluare a riscurilor.
45
2.2 Funcia 3: Planificare
Pasul 8: Implementarea aciunilor de atenuare / reducere a riscurilor (continuare)
Exemplele de activiti referitoare la nivelele de risc definite la Pasul 3 sunt (continuare): Risc intolerabil: Acest nivel implic controlul,
monitorizarea i dezvoltarea de aciuni de recuperare. Fiecare risc de acest nivel are definite evenimentele care genereaz aciunile de recuperare. Valorile abaterilor sunt documentate prin metricile stabilite.
46
2.2 Funcia 4: Monitorizare
Monitorizarea are n vedere starea
riscurilor i aciunile adoptate pentru atenuarea lor.
Monitorizarea se realizeaz prin evaluarea metricilor stabilite i prin funcii de urmrire n cadrul managementului riscului.
47
2.2 Funcia 4: Monitorizare
Pasul 9: Monitorizarea riscurilor
Procedurile de raportare a stadiului
implementrii proiectului trebuie s sesizeze orice situaie n care o metric sau un parametru al proiectului se situeaz sub pragurile stabilite sau nregistreaz abateri prea mari fa de cele planificate.
Managerul de risc primete i analizeaz aceste date i pe baza lor adopt aciunile corective, acolo unde este necesar.
48
2.2 Funcia 5: Control
Funcia de control a riscului are rolul de a corecta abaterile de la aciunile de risc planificate.
Controlul riscului este parte a managementului proiectului i se bazeaz pe procesele care controleaz planurile aciunilor de risc, corecteaz abaterile fa de plan, rspund la evenimentele semnalate i mbuntesc procesele de management al riscului.
Activitile de control al riscului sunt documentate n planul de management al riscului.
49
2.2 Funcia 5: Control
Pasul 10: Implementarea aciunilor de control a riscurilor
Pentru fiecare risc, dac datele disponibile colectate indic realizarea criteriilor de intrare n aceast etap, atunci managerul de proiect trebuie s analizeze necesitatea implementrii aciunilor de control i s aloce resursele necesare aplicrii acestor aciuni.
50
2.2 Funcia 6: Comunicare
Comunicarea este unul din elementele centrale ale procesului de management a riscului, care evideniaz importana i relevana acesteia.
Comunicarea se desfoar n toate fazele procesului de management a riscului.
Ea este, de asemenea, o parte esenial a tuturor celorlalte activiti de management a riscului n software.
51
2.2 Funcia 6: Comunicare
Riscurile sunt identificate de personalul implicat ce particip la realizarea activitilor proiectului.
Managementul de proiect trebuie s asigure un mediu deschis care s permit personalului discuii i exprimarea opiniilor privind riscurile poteniale.
O comunicare eficace furnizeaz att transparena, ct i datele de feed-back, interne sau externe proiectului, referitoare la riscurile curente i poteniale.
52
3. Aplicaie: Un model de evaluare a riscurilor n SI
Vom analiza n cele ce urmeaz un model de evaluare a riscurilor pentru o
organizaie care dispune de un sistem informatic complex, sistem care st la baza integrrii tuturor activitilor organizaiei i pentru care riscurile n acest domeniu sunt deosebit de importante.
53
3. Aplicaie: Un model de evaluare a riscurilor n SI
Principalele clase de riscuri care se pot
manifesta n sistemele informatice sunt
urmtoarele:
Integritate;
Relevan;
Acces;
Disponibilitate;
Infrastructur.
54
3. Aplicaie: Un model de evaluare a riscurilor n SI
Clasa de riscuri de integritate include
toate riscurile asociate cu autorizarea,
completitudinea i acurateea tranzaciilor de introducere, prelucrare, centralizare i raportare realizate n aplicaiile (modulele) sistemului informatic.
55
3. Aplicaie: Un model de evaluare a riscurilor n SI
Clasa de
risc
Surse / Cauze Efecte
Integritate
Coruperea datelor, erori,
omisiuni
Integritatea poate fi
pierdut ca urmare a: erorilor de programare;
erorilor de prelucrare;
erorilor de mentenan; erorilor de management.
Coruperea
datelor
56
3. Aplicaie: Un model de evaluare a riscurilor n SI
Riscurile componente pentru clasa de riscuri de
integritate sunt:
Interfaa utilizator:
Restricii asupra utilizatorilor individuali care sunt autorizai s realizeze anumite funcii ale sistemului, pe baza cerinelor postului, ceea ce implic o repartizare a responsabilitilor.
Alte riscuri din aceast categorie se refer la gradul de adecvare al aciunilor de control preventive i/sau detective care s asigure c n sistem sunt introduse numai date valide i complete.
57
3. Aplicaie: Un model de evaluare a riscurilor n SI
Riscurile componente pentru clasa de riscuri de
integritate sunt (continuare):
Prelucrare: Aciunile de control preventive sau detective care s asigure c datele prelucrate au fost complete i transmise la timp.
Acestea includ i riscurile asociate cu acurateea i integritatea rapoartelor utilizate pentru
centralizarea rezultatelor i/sau pentru luarea deciziilor de afaceri.
58
3. Aplicaie: Un model de evaluare a riscurilor n SI
Riscurile componente pentru clasa de riscuri de
integritate sunt (continuare):
Tratarea
erorilor:
Aceste riscuri se refer la procesele i metodele care s asigure c orice excepii sau erori ale datelor de intrare sau ale
datelor prelucrate ce sunt depistate
sunt corectate n mod
corespunztor i reprelucrate
complet i n timp util.
59
3. Aplicaie: Un model de evaluare a riscurilor n SI
Riscurile componente pentru clasa de riscuri de
integritate sunt (continuare):
Interfee: Aciunile de control preventive sau detective care s asigure c datele prelucrate au fost complete i la timp i au fost transmise ctre alte aplicaii (module) ale sistemului care le utilizeaz.
60
3. Aplicaie: Un model de evaluare a riscurilor n SI
Riscurile componente pentru clasa de riscuri de
integritate sunt (continuare):
Manage-
mentul
schimbrii
Aceste riscuri sunt asociate cu
procese inadecvate de
managementul schimbrii, respectiv implicarea utilizatorilor i instruirea lor, precum i procesele prin care schimbrile n sistemul informatic sunt comunicate i implementate.
61
3. Aplicaie: Un model de evaluare a riscurilor n SI
Riscurile componente pentru clasa de riscuri de
integritate sunt (continuare):
Date: Aceste riscuri sunt asociate cu aciuni inadecvate de control al managementului datelor, incluznd att securitatea / integritatea datelor prelucrate, ct i un management eficace al bazelor i structurilor de date.
Integritatea poate fi pierdut din cauza erorilor de programare, a erorilor de prelucrare sau a erorilor de management sau de proces.
62
3. Aplicaie: Un model de evaluare a riscurilor n SI
Clasa de riscuri de relevan se refer la modul i timpul de utilizare a informaiei generate de sistemul informatic.
Sunt riscurile asociate cu nerealizarea
obiectivului: Informaia corect i necesar, transmis persoanei / procesului / sistemului corespunztor, n timp util pentru a permite luarea deciziei
corespunztoare.
63
3. Aplicaie: Un model de evaluare a riscurilor n SI
Clasa de
risc Surse / Cauze Efecte
Relevan
Lipsa unei comunicri eficace
Nefurnizarea
informaiei necesare la
locul i la timpul potrivit
64
3. Aplicaie: Un model de evaluare a riscurilor n SI
A treia clas o constituie riscurile de acces.
Aceast clas de riscuri se focalizeaz asupra riscurilor legate de accesul necorespunztor la sistem, date sau informaii.
Ea include riscurile unor repartizri neadecvate a sarcinilor, riscurile asociate integritii datelor i bazelor de date i riscurile asociate cu confidenialitatea asupra informaiilor.
65
3. Aplicaie: Un model de evaluare a riscurilor n SI
Clasa de
risc Surse / Cauze Efecte
Acces
Securitatea accesului nu
este corespunztoare Acces necorespunztor
la mediul de prelucrare
sau la reele; Dispozitive fizice
neprotejate la
deteriorare, furt sau la
acces nepermis.
Violarea
confidenialitii Pierderea sau
coruperea
datelor
Infectarea cu
virui Atacul hackerilor
66
3. Aplicaie: Un model de evaluare a riscurilor n SI
Riscurile componente pentru clasa de riscuri de
acces sunt:
Procesul de
afaceri:
Sunt riscurile generate de deciziile
organizatorice care trebuie s separe sarcinile incompatibile i s asigure nivelul corespunztor de responsabilitate i autoritate pentru realizarea funciilor sistemului informatic.
67
3. Aplicaie: Un model de evaluare a riscurilor n SI
Riscurile componente pentru clasa de riscuri de
acces sunt (continuare):
Aplicaii (module):
Sunt determinate de mecanismele
interne ale aplicaiilor (modulelor), care permit utilizatorilor autorizai s execute funciile alocate n sistemul informatic.
68
3. Aplicaie: Un model de evaluare a riscurilor n SI
Riscurile componente pentru clasa de riscuri de
acces sunt (continuare):
Manage-
mentul
datelor:
Aceste riscuri sunt asociate cu
mecanismul de a asigura
utilizatorilor accesul la anumite
date sau baze de date din mediul
de prelucrare.
69
3. Aplicaie: Un model de evaluare a riscurilor n SI
Riscurile componente pentru clasa de riscuri de
acces sunt (continuare):
Mediul de
prelucrare:
Riscurile de acces n aceast zon sunt generate de accesul
necorespunztor la reelele sistemului.
70
3. Aplicaie: Un model de evaluare a riscurilor n SI
Riscurile componente pentru clasa de riscuri de
acces sunt (continuare):
Reelele: n aceast categorie sunt nregistrate riscurile de acces
necorespunztor la mediul de prelucrare, respectiv la aplicaiile (modulele), programele sau datele
stocate n acest mediu.
71
3. Aplicaie: Un model de evaluare a riscurilor n SI
Riscurile componente pentru clasa de riscuri de
acces sunt (continuare):
Accesul
fizic:
Sunt riscurile legate de protecia dispozitivelor fizice fa de deteriorare, sustragere sau
accesare nepermis.
72
3. Aplicaie: Un model de evaluare a riscurilor n SI
Clasa de riscuri de disponibilitate se
refer la riscurile asociate cu funcionarea la parametri normali a sistemului
informatic, riscurile de ntrerupere a
funcionrii sistemului sau cu riscurile legate de posibilele dezastre ce ar putea
s apar.
73
3. Aplicaie: Un model de evaluare a riscurilor n SI
Clasa de
risc Surse / Cauze Efecte
Disponibi-
litate
Dezastre naturale
(incendii, inundaii etc.) ce determin cderea hardware-ului sau software-ului;
ntreruperea
sistemului pe
termen scurt
sau termen
lung.
74
3. Aplicaie: Un model de evaluare a riscurilor n SI
Riscurile componente pentru clasa de riscuri de
disponibilitate sunt:
Monitori-
zarea
performanei:
Sunt riscurile care pot fi evitate
prin monitorizarea performanei sistemului i printr-o abordare pro-activ a problemelor, nainte ca
acestea s apar.
75
3. Aplicaie: Un model de evaluare a riscurilor n SI
Riscurile componente pentru clasa de riscuri de
disponibilitate sunt (continuare):
ntreruperi
ale
sistemului:
Sunt riscurile asociate cu
ntreruperile pe termen scurt ale
sistemului, n care tehnicile de
restaurare / recuperare pot fi
utilizate pentru a minimiza
efectele i duratele ntreruperilor.
76
3. Aplicaie: Un model de evaluare a riscurilor n SI
Riscurile componente pentru clasa de riscuri de
disponibilitate sunt (continuare):
Dezastre: Riscurile asociate dezastrelor determin ntreruperi pe termen lung a funcionrii sistemului informatic, iar aciunile de control se refer la procedurile de salvare a bazelor de date (backup) i la planurile de recuperare.
77
3. Aplicaie: Un model de evaluare a riscurilor n SI
Clasa de riscuri de infrastructur include riscurile ca organizaia s nu aib o infrastructur de tehnologia informaiei (hardware, reele, software, personal, procese), care s susin n mod eficace, dar i eficient, procesele de afaceri ale organizaiei respective.
78
3. Aplicaie: Un model de evaluare a riscurilor n SI
Clasa de
risc Surse / Cauze Efecte
Infrastruc-
tur
O planificare
deficitar sau lipsa planificrii sistemului
informatic n
organizaie.
Decizii nefuncionale n domeniul
tehnologiei informaiei; Lipsa politicilor i
procedurilor n
sistemul informatic sau
inconsistena lor la nivelul organizaiei.
79
3. Aplicaie: Un model de evaluare a riscurilor n SI
Riscurile componente pentru clasa de riscuri de
infrastructur sunt:
Planificare: Sunt riscurile generate de organizarea activitilor pentru tehnologia informaiei (IT).
Este important s existe o structur organizatoric i funcional (persoane i procese) care s garanteze c eforturile n domeniul IT sunt ncununate de succes.
80
3. Aplicaie: Un model de evaluare a riscurilor n SI
Riscurile componente pentru clasa de riscuri de
infrastructur sunt (continuare):
Definirea i utilizarea
aplicaiilor sistemului:
Riscurile din aceast zon se refer la asigurarea c sistemul informatic realizeaz cerinele de afaceri ale organizaiei i cerinele utilizatorilor.
Aici este inclus i procesul de decizie asupra achiziionrii unei aplicaii (sistem) existente sau a dezvolta o
aplicaie specific. De asemenea, asigurarea c modificrile n aplicaii sunt
comunicate, testate i implementate.
81
3. Aplicaie: Un model de evaluare a riscurilor n SI
Riscurile componente pentru clasa de riscuri de
infrastructur sunt (continuare):
Adminis-
trarea
sistemului:
Procesele din aceast arie de activiti asigur c organizaia trateaz n mod corespunztor riscurile de acces, prin stabilirea, meninerea i monitorizarea unui sistem de securitate intern, care s garanteze integritatea i confidenialitatea datelor i informaiilor organizaiei, reducnd riscurile de fraud informaional la nivele acceptabile.
82
3. Aplicaie: Un model de evaluare a riscurilor n SI
Riscurile componente pentru clasa de riscuri de
infrastructur sunt (continuare):
Adminis-
trarea
calculatoarel
or i reelelor:
Aceast zon asigur c sistemul informatic este utilizat ntr-o
manier sigur i protejat, de ctre personal de specialitate, care monitorizeaz funcionarea i performanele calculatoarelor, echipamentelor i reelelor sistemului.
83
3. Aplicaie: Un model de evaluare a riscurilor n SI
Cu ajutorul riscurilor clasificate anterior,
putem s realizm acum o evaluare a riscurilor sistemului informatic, utiliznd
clasele de riscuri i componentele acestora, pentru care stabilim, n urma
analizei i evalurii, probabilitile de apariie i nivelele de severitate pe baza matricei de risc
84
3. Aplicaie: Un model de evaluare a riscurilor n SI Clasa de risc Componentele de risc Apariie Severitate Scor
1. Integritate 1.1 Interfaa utilizator 0,50 0,20 0,10
1.2 Prelucrare 0,70 0,40 0,28
1.3 Tratarea erorilor 0,90 0,40 0,36
1.4 Interfee 0,30 0,20 0,06
1.5 Managementul schimbrii
0,30 0,20 0,06
1.6 Date 0,50 0,20 0,10
2. Relevana 2.1 Utilizarea informaiei generate de sistemul informatic
0,50 0,40 0,20
2.2 Timpul de utilizare a informaiei transmise de sistemul informatic
0,50 0,20 0,10
85
3. Aplicaie: Un model de evaluare a riscurilor n SI Clasa de risc Componentele de risc Apariie Severitate Scor
3. Accesul 3.1 Procesul de afaceri
0,30 0,10 0,03
3.2 Aplicaii (module) 0,50 0,40 0,20
3.3 Managementul datelor
0,50 0,40 0,20
3.4 Mediul de prelucrare
0,30 0,20 0,06
3.5 Reelele 0,30 0,80 0,24
3.6 Accesul fizic 0,10 0,80 0,08
4. Disponibilitatea 4.1 Monitorizarea performanei
0,30 0,40 0,12
4.2 ntreruperi ale sistemului
0,30 0,40 0,12
4.3 Dezastre 0,10 0,80 0,08
86
3. Aplicaie: Un model de evaluare a riscurilor n SI
Clasa de risc Componentele de risc Apariie Severitate Scor
5. Infrastructura 5.1 Planificare 0,30 0,10 0,03
5.2 Definirea i utilizarea
aplicaiilor sistemului
0,50 0,20 0,10
5.3 Administrarea
sistemului 0,70 0,40 0,28
5.4 Administrarea
calculatoarelor i reelelor
0,70 0,40 0,28
87
3. Aplicaie: Un model de evaluare a riscurilor n SI
Pe baza datelor de evaluare i a probabilitilor de apariie i a nivelelor de severitate acordate pentru diferitele componente de risc, se poate realiza o list a riscurilor prioritizate, n funcie de scorul de impact rezultat. Aceast list, care conine primele cinci riscuri identificate i cuantificate, este prezentat n urmtor.
Din evaluare a rezultat c riscul cel mai important, asupra cruia trebuie s se aplice metodele de rspuns la risc, este cel legat de tratarea erorilor.
Scoruri mari au nregistrat i riscurile de administrare a sistemului i a reelelor.
88
3. Aplicaie: Un model de evaluare a riscurilor n SI
Lista riscurilor prioritizate
Componenta de risc Scorul
1.3 Tratarea erorilor 0,36
1.2 Prelucrare 0,28
5.3 Administrarea sistemului 0,28
5.4 Administrarea calculatoarelor i reelelor 0,28
3.5 Reelele 0,24
89
3. Aplicaie: Un model de evaluare a riscurilor n SI
Continund evaluarea i considernd media scorurilor pe clasele de risc,
obinem nivelele de riscuri prezentate n matricea de risc din tabelul urmtor
Din datele obinute pentru clasele de riscuri, rezult c riscurile de infrastructur au potenialul cel mai ridicat, n timp ce riscurile de disponibilitate au un nivel
mediu.
90
3. Aplicaie: Un model de evaluare a riscurilor n SI
Nivelele claselor de risc
Clasa de risc Scorul Nivelul
1. Integritate 0,16 Ridicat
2. Relevana 0,15 Ridicat
3. Accesul 0,14 Ridicat
4. Disponibilitatea 0,11 Mediu
5. Infrastructura 0,17 Ridicat
91
3. Aplicaie: Un model de evaluare a riscurilor n SI
Efectund i o analiz Pareto a ponderii riscurilor la nivelul ntregului sistem
informatic, observm c n urma evalurii, riscurile de infrastructur, de integritate i de relevan prezint ponderi mai mari, n timp ce riscurile de acces i de disponibilitate a sistemului au o pondere
mai redus.
92
3. Aplicaie: Un model de evaluare a riscurilor n SI
Diagrama Pareto a ponderii claselor de risc
24% 22% 21% 19%15%
46%
67%
85%100%
0%
20%
40%
60%
80%
100%
Infr
ast
ructu
ra
Inte
gri
tate
Relev
ana
Accesu
l
Dis
po
nib
ilit
ate
a