Risc si Vulnerabilitate

[…] Un alt aspect este cel legat de diferenţa între managementul riscului şi managementul vulnerabilităţilor (acesta presupune o succesiune a activităţilor de scanare, analiză a riscului, atenuare şi reluarea activităţilor). În ciuda confuziilor întâlnite, managementul riscului presupune mult mai multe variabile decât cele pe care le presupune managementul vulnerabilităţilor.
Există opinii care susţin că metodologii precum NIST 800-30 sau Octave sunt privite nu ca metodologii de evaluare a riscului, ci mai mult ca cicluri de management al vulnerabilităţilor. Şi aceasta plecând de la ideea că riscurile în mediul IT nu ar trebui evaluate plecând de la obiecte separate, ci plecând de la studierea fluxului de date din cadrul unui proces de afaceri.
În aceste condiţii, lucrând cu o astfel de metodologie obiecte precum serverul de aplicaţie şi baza de date sunt tratate separat, fără a scoate prea mult în evidenţă modul în care interacţionează şi cum gradul de risc la care este supus unul din obiecte afectează celălalt obiect.
Mai mult, o astfel de abordare nu ia în calcul utilizatorul final (care de exemplu într-un sistem de internet banking ar putea fi cu uşurinţă sursa unui atac – vezi phishingul).
(extras din teza de doctorat)

About Valentin Mazareanu

Valentin P. Mazăreanu, doctor în economie. Subiecte de interes: managementul riscului, securitatea informaţională, managementul proiectelor. Ocupaţii în prezent: project manager al www.managementul-riscurilor.ro, Co-Regional Director of PRMIA Bucharest Chapter, Director General al Paideia Consulting SRL Iasi, Expert IT în proiecte cu finanţare nerambursabilă. Studii: liceu militar, facultate de drept, master în Sisteme Informaţionale pentru Afaceri, studii doctorale în economie. Dezvoltare profesională: stagiu de cercetare în Franţa, Poitiers (subiect: managementul riscului); şcoală de vară în Finlanda, Jyvaskyla (subiect: managementul riscului, dreptul de proprietate intectuală, knowledge management); training internaţional Slovenia, Ljubljana (subiect: managementul proiectelor internaţionale); training naţional Romania, Iaşi (subiect: antreprenoriat, Analiză Tranzacţională, NLP, Comunicare şi Negociere).

Lasă un răspuns

Adresa ta de email nu va fi publicată. Câmpurile obligatorii sunt marcate cu *

Acest sit folosește Akismet pentru a reduce spamul. Află cum sunt procesate datele comentariilor tale.