Metodologia MEHARI [1]a fost
proiectată inițial şi este actualizată în permanenţă pentru a asista experţii în analiza unor metodologii noi de
audit, în evaluarea riscurilor pe care astfel de metode le pot introduce pe principiul scenariului Best case-Worst
case, cît şi în gestionarea sarcinilor de securitate a informaţiilor.
O descriere mai detaliată a metodologiei si a uneltelor
asociate este prevăzută în alte documente disponibile la Clusif, in special:
• MEHARI: Concepte și Specificații funcționale,
• MEHARI: Ghiduri pentru:
-o analiza a mizelor sistemelor de auditare și
clasificare,
-o evaluarea serviciilor de securitate și
-o analiza riscului,
• MEHARI: Manual de referință al serviciilor de
securitate,
• MEHARI cunoștințe de bază
Principalul obiectiv al MEHARI este de a furniza o
evaluare a riscurilor și o metodă de gestiune a acestora, specifice domeniului auditării fluxurilor
informaţionale referitoare la calitate din diverse documente , conforme cu
cerințele ISO 9001, ISO 9001 IWA 2,
ISO/IEC 27005:2008 și oferind setul de unelte si elemente necesare
pentru impementarea sa.
Obiectivele suplimentare sunt:
-Să permită o analiză directă si individuală a situațiilor
de risc descrise de scenarii,
-Să ofere un set complet de instrumente special concepute
pentru managementul securitații pe termen scurt, mediu si lung, adaptabile la
diferite niveluri de maturitate si tipuri de acțiuni considerate.
Intr-adevăr, MEHARI furnizează o metodologie consistentă,
cu baze de
cunoștințe, pentru a veni în ajutor experţilor în
audit, personalului managerial cu
funcţii de răspundere, directorilor generali si managerilor de securitate sau
altor persoane implicate în reducerea riscurilor, în diferitele lor sarcini și
acțiuni.
MEHARI este mai presus de toate o metodă de auditare
pentru sistemele de auditare, de evaluare si management a riscului.
In practică, aceasta înseamnă că MEHARI si bazele sale de cunoștințe
asociate au fost concepute pentru o analiză precisă a situațiilor de risc descrise prin
scenarii.
În termeni de zi cu zi, managementul securitații este o
funcție sau activitate care evoluează în lungul timpului. Acțiunile corective
sunt diferite in funcție de faptul dacă organizația a făcut ceva vag in domeniu sau – dimpotrivă – a facut investiții
substanțiale in ceea ce privește timpul si efortul. În parcurgerea primilor paşi în stabilirea unor
sisteme de auditare a calităţii este fără
îndoială recomandabil să se ţină seama de starea măsurilor de securitate
existente si politicilor organizației, și să se compare cu cele mai bune
practici, pentru a clarifica golul care trebuie umplut.
În urma acestei evaluări a stării şi a deciziei de a
implementa securitatea organizaţională,acţiuni concrete vor trebui să fie decise. Astfel de
decizii, care vor fi grupate de obicei în planuri, reguli corporatiste, politici sau de un cadru de
referinţă al securitații, ar trebui să se facă cu ajutorul unei abordări structurate. Aceasta abordare
se poate baza pe analiza riscului,așa cum este solicitat de documentul
cadru-ISO 31.000, ISO/IEC 27001 ca parte a ISMS (Sistemul de Management al
Securitații Informaționale)-standard necesar dacă vorbim despre
servicii furnizate în regim on-line
precum şi de alte documente specifice.
În acest stadiu, este adevărat că, fără a menţiona în mod
deosebit analiza riscului, trebuie adresată problema mizelor implicate. Destul de des,
indiferent de modul în care a fost luată decizia, persoana căreia îi aparţine decizia finală pentru
alocarea resurselor corespunzătoare va pune fără îndoială întrebarea: ”este acest lucru cu
adevărat necesar?”. Din cauza lipsei unei evaluări preliminare a - şi a unui consimţământ general
asupra - mizelor implicate, multe proiecte de securitate sunt abandonate sau amânate.Mizele-
în concepţia Mehari- pot fi asimilate atingerii obiectivelor propuse de către
serviciile specifice unității economice.
MEHARI este fondat pe principiul că uneltele necesare
fiecărui stadiu de dezvoltare a sistemelor de auditare a calităţii şi securitații
trebuie sa fie consecvente. Prin aceasta se întelege că orice rezultate
generate la un anumit stadiu trebuie sa fie reutilizabile mai târziu de către
alte unelte sau oriunde altundeva in organizație.
Diferitele unelte şi module ale setului de metodologie
MEHARI, concepute pentru a însoţi o analiză directă și individuală a riscului, pot
fi folosite separat una de cealaltă la orice pas al dezvoltării sistemelor de auditare ale calităţii şi securităţii,
folosind diferite abordări ale managementului, şi garantează o consecvenţă a
deciziilor rezultate.
Toate aceste unelte și module – descrise pe scurt mai sus
– alcătuiesc o metodă consecventă de evaluare a riscului împreună cu uneltele
ajutătoare necesare și module pentru analiza mizelor si de control a calitații serviciuilui educaţional furnizat, a măsurilor
de securitate, etc.
Pentru mai mult de 15 ani,
MEHARI a furnizat o abordare structurată de evaluare a riscului,bazată pe câteva principii
simple.
O situație de risc poate fi
caracterizată de diverși factori:
• Factori structurali (sau organizaționali), care nu depind de
măsurile de securitate, ci de activitatea de bază a organizației ,, de mediul
său și de contextul acesteia.
• Factori de reducere a riscului care reprezintă o funcție directă a
măsurilor de securitate implementate.
Abordarea oferită de MEHARI se
bazează pe o baza de cunoștințe cu situații de risc si pe proceduri automatizate pentru
evaluarea factorilor ce caracterizează fiecare risc si care permit aprecierea nivelului acestora.
Mai mult decât atât, metoda oferă asistență pentru selecția planurilor de mitigare și management de risc adecvate.
Analiza spontană a situațiilor de risc
În unele moduri de pilotarea dezvoltării nivelului de calitate și securitate al unității economice în mod supervizat, pas cu pas pe baza
feedback-ului furnizat în mod continuu vor exista adesea cazuri specifice unde regulile nu pot fi
aplicate. Analiza spontană a riscului poate fi utilizată pentru a decide cum
este cel mai bine sa se procedeze.
Analiza riscului în proiecte noi
Modelul și mecanismele de
analiză a riscului pot fi folosite şi în managementul proiectelor noi, care urmează a fi lansate de către
unitatea economică pentru
a planifica împotriva riscului
și pentru a decide ce măsuri ar trebui utilizate ca urmare a respectivei
analize.
Evaluarea şi analiza vulnerabilităţii, un element prioritar de analiză a riscului
MEHARI furnizează un model
structurat de risc care ia în considerare ”factorii de reducere a riscului”, sub forma serviciilor
de securitate.având deja disponibile modele ale vulnerabilităţii prezumate
(PVM-Presumed Vulnerability Models) pentru diferite tipuri de servicii.
Evaluarea rezultată a
vulnerabilității va reprezenta, prin urmare, o contribuție importantă în analiza riscului, asigurând
faptul că serviciile de asigurare a calităţii-AQ- precum şi serviciile de
securitate își îndeplinesc într-adevăr rolul – un punct esențial pentru
credibilitatea și fiabilitatea analizei riscului.
Un punct forte esențial al
MEHARI este capacitatea sa de a evalua atât nivelul curent de risc, cât și
nivelul viitor bazându-se pe o bază de cunoștințe expert fie de evaluare a
nivelul de calitate, fie de operare sau decizie.
O posibilă abordare constă în dezvoltarea de planuri de acțiune direct ca urmare a evaluării stării de securitate.
Procesul de management a
securității care urmeaza această abordare este extrem de simplu:se rulează o
evaluare si se decide să îmbunătățească toate acele servicii care nu au un nivel
de calitate/securitate suficient.
Chestionarele de diagnosticare
MEHARI pot fi utilizate în această abordare.
O analiză preliminară a mizelor
manageriale ar
trebui să fie planificată, de asemenea, pentru a oferi astfel o legătură către
acest modul al MEHARI. Analiza mizelor permite constatarea nivelurilor de
calitate necesare pentru serviciile de securitate relevante și, în consecință,
ca ceilalți factori să fie ignorați în calitate de parte a evaluării.
Baza de cunoștințe unică MEHARI
poate fi utilizată în mod direct pentru a crea un cadru de referință al calităţii şi securității (sau politici de
calitate-securitate-cunoscute şi sub numele de QalSafe- de la Quality and
Safety Procedures)) care să conțină și să descrie setul de reguli de securitate
și instrucțiuni pe care întreprinderea sau organizația le va urmări.
Acesta ar fi, în mod tipic, cazul organizaţiilor multinaționale mari cu un număr de filiale;
dar se aplică la fel de ușor organizaţiilor
de dimensiuni medii cu un număr mare de sucursale sau agenții regionale.
În astfel de cazuri, este efectiv dificil să se efectueze numeroase evaluări
sau analize de risc.
Gestionarea excepțiilor de la reguli
Crearea unui set de reguli, prin intermediul unui cadru de
referință al calităţii şi securității, de multe ori vine împotriva
dificultăților locale de implementare; așadar, derogările și excepțiile de la
reguli trebuie gestionate.
Utilizarea unei baze de cunoștințe coerentă, cu un set
consistent de instrumente și
metodologie analitică, oferă posibilitatea ca divergențele
locale să fie gestionate. Cererile pentru excepții pot fi incluse într-o analiză specifică a
riscului, axată pe dificultatea identificată.
ANALIZA MIZELOR DE CALITATE ŞI SECURITATE
Aceasta înseamnă că o înţelegere corespunzătoare a mizelor
de afaceri este fundamentală, şi că o analiză a mizelor de calitate şi
securitate merită un nivel de prioritate înalt şi o metodă strictă şi
structurată de evaluare.
Scopul analizei mizelor de calitate securitate este de a
răspunde la două întrebări:
-Ce s-ar putea întâmpla negativ din punct de
vedere al calităţii şi securităţii serviciului furnizat ?
-Dacă
se produce un eveniment neprevăzut în funcţionarea acestui serviciu, eveniment
care conduce la scăderea temporară sau permanentă a nivelului de calitate şi
securitate furnizat de către serviciu, , ar fi el serios?"
Acest lucru arată că, în domeniul QALSAFE, mizele sunt
văzute ca fiind consecinţele evenimentelor care deranjează operaţiunile planificate ale
organizaţiei .
MEHARI oferă un modul de analiză a mizelor, descris
în MEHARI: Analiza mizelor şi clasificare, care produce două tipuri de rezultate:
• O scală a defecțiunilor posibile
• O clasificare a cunoştinţelor legate de riscuri, mai ales în ceea ce privește riscurile informaționale;
Scala defectiunilor
Identificarea defecţiunilor sau a evenimentelor potenţiale
este un proces care începe cu activităţile organizaţiei şi constă în identificarea posibilelor
evenimente neprevăzute, probleme de calitate şi defecţiuni din procesele operaţionale. Aceasta va duce la:
• O descriere a tipurilor de defecţiuni posibile
• O definiţie a parametrilor care influenţează gravitatea
fiecărei defecţiuni
• O evaluare a pragurilor critice a acelor parametri care
schimbă nivelul de gravitate al defecţiunii.
Acest set de rezultate constituie o scară de valori a
defecţiunilor.
Analizarea mizelor, baza pentru o analiză a riscului
Atunci când ai imaginea activelor unității care pot fi afectate de risc ai și imaginea a ce se poate întâmpla în cel mai rău caz- când riscurile acționează în mod compus și la intensitate maximă.
În mod clar, acest modul este un
element cheie în analiza riscului.Fără un acord comun asupra consecinţelor
defecţiunilor potenţiale, nici o hotărâre privind nivelurile de risc nu poate
fi adoptată.
MEHARI prezintă o metodă
riguroasă de evaluare a mizelor şi clasificare a activelor, care oferă rezultate
obiective şi raţionale.
Evident, analizarea mizelor este
necesară pentru punerea în aplicare orice formă de plan de securitate.Efectiv, orice abordare este
folosită, la un moment dat, înseamnă ca vor trebui să fie alocate resurse pentru punerea
în aplicare a planurilor de acţiune, şi inevitabil, justificarea pentru astfel
de investiţii va atârna în balanță. Foarte mulți manageri de top care n-au o imagine clară a ce se petrece la nivelul locurilor de muncă se întreabă ”De ce să investesc ?”
Mijloacele şi fondurile care vor
fi alocate pentru calitate şi securitate sunt, ca şi pentru poliţele de asigurare,
direct proporţionale cu riscul ; în cazul
în care nu există un acord comun asupra potenţialului defecţiunilor, atunci
este foarte puţin probabil ca bugetele vor fi alocate.
MEHARI este un set consistent de
instrumente şi caracteristici metodologice pentru managementul securităţii si
măsurilor asociate, pe baza unei analize de risc exacte. Aspectele fundamentale MEHARI:
• modelul său de risc (calitativ
şi cantitativ),
• luarea în considerare a
eficienţei măsurilor de securitate în loc sau planificate,
• capacitatea de a evalua şi
simula nivelurile de risc rezidual care rezultă din măsuri suplimentare,
sunt completari obligatorii la
cerinţele ISO 9001 IWA 2, ISO 31.000, ISO / IEC 27000 şi, a seriei de standarde
ISO / IEC 27005.
MEHARI oferă eficiente elemente
detaliate care pot fi folosite pentru a construi un cadru de securitate şi
poate fi comparat cu ISO / IEC 27002.
La acest punct, este clar că
acoperirea MEHARI este mai largă decât cea a ISO, şi acoperă aspecte esenţiale
ale calităţii şi securităţii nu doar a sistemelor informationale ci şi pentru
sisteme foarte specifice, cum ar fi cele de e-learning, e-training şi a
serviciilor IDD în general.
Abordarea MEHARI este complet
compatibilă cu ISO 9001 IWA 2, ISO 31.000 şi cu ISO 27002 deoarece, în timp ce ele nu au aceleaşi
obiective declarate, este relativ uşor să se reprezinte rezultatele unei analize
MEHARI în ceea ce priveşte indicatorii ISO.
MEHARI răspunde la necesitatea,
exprimată în standarde, pentru
o analiză a calităţii şi a riscului
pentru a defini măsurile care ar trebui să fie puse în aplicare.
Punctele de control standard sau
cele mai bune practici ale ISO sunt în general
comportamentale sau
organizaţionale, în timp ce MEHARI, în plus faţă de ei, subliniază necesitatea unor măsuri a căror
eficienţă poate fi garantată.
În ciuda acestor diferente,
revizuirea vulnerabilităţii MEHARI oferă tabele de corespondenţă pentru a afişa indicatorii
aliniati cu ISO utilizabile pentru cei care au nevoie de a dovedi conformitatea lor cu
acest standard.
Merită menţionat aici despre
chestionarele Mehari de audit care au fost concepute şi constituite astfel încât să
permită managerilor operaţionali sa ruleze revizuiri ale vulnerabilitatii şi a
deduce capacitatea fiecărui serviciu de securitate pentru a reduce aceste
riscuri.
MEHARI poate fi integrat cu
ușurință in procesele PDCA (Planifică – Execută – Verifică –Acționează) după cum se
menționează în standardele ISO/IEC referitoare la procesele manageriale, în
special faza
”PLANIFICĂ” (§4.2.1).
Mehari acoperă în totalitate descrierea sarcinilor care permit crearea bazelor ISMS.
Pentru faza ”EXECUTĂ”
(§4.2.2) , care urmărește sa implementeze și să administreze ISMSul, Mehari
oferă elemente de început folositoare, precum construirea planurilor pentru managementul riscului, cu
prioritizare direct legată de clasificarea riscului și măsurarea progresului în timpul de
utilizare al acestora.
Pentru faza ”VERIFICĂ”
(§4.2.3) , Mehari oferă elemente care permit evaluarea riscurilor reziduale și a progreselor
realizate în măsurile de securitate. În plus, orice schimbări ale mediului (mizele, amenințările,
soluțiile și organizarea) pot fi reevaluate cu ușurință de auditurile vizate care folosesc
rezultatele auditului Mehari inițial. Astfel, planurile de securitate pot fi
revizuite si pot evolua în timp.
Pentru faza ”ACȚIONEAZĂ”
(§4.2.4), Mehari necesită implicit controale și îmbunătăţire continuă a securității,
asigurând astfel că obiectivele de reducere a riscurilor sunt îndeplinite. În aceste
trei faze, cât timp Mehari nu se află în centrul proceselor, are o mare
contribuție la execuția lor și le asigură
eficiența.
Compatibilitatea cu standardul ISO/IEC 27005:2008
Cadrul stabilit de acest standard este pe deplin aplicabil modului în care Mehari permite gestionarea riscului, de
exemplu:
• Procesele pentru analiza,
evaluarea și tratamentul riscului (preluate din ISO 13335)
• Identificarea activelor
primare și de sprijin plus nivelurile de clasificare atașate
acestora, urmărind analiza
mizelor
• Identificarea amenințărilor
incluzând nivelul lor (expunere naturală) pentru care Mehari este mai precis în descrierea
scenariilor de risc.
• Identificarea și cuantificarea
eficienței măsurilor (sau controalelor) de securitate în reducerea vulnerabilităților
• Combinația acestor elemente
pentru evaluarea nivelului de gravitate a scenariilor de risc, pe o scară cu 4 niveluri.
• Abilitatea de a selecta în mod
direct măsurile de securitate necesare pentru planurile de reducere a riscului.
Prin urmare, MEHARI nu este doar
integrat cu ușurință într-un proces ISMS, așa cum e promovat de ISO 27001, ci se și
conformă în totalitate cu cerințele ISO 27005 în legătură cu o metodă de
management a riscului.
Niciun comentariu:
Trimiteți un comentariu