Managementul riscului - Theodor Octavian Adam, Larisa ......s Norma nr.612075 privind gestionarea...
13
a&wxx$ 3t&3 Wd e8 w3 X I ,r*:** aau&$# t}ti un n trl !u!+ t)t) \/ lt t ',,,^"5 !a!]c {J/ r #{Das ts alDuoyed j e] al KffiW nuvloH uCI-tltA 31t$v^ nNvS0ngvc ysrHy*t lllv0v NViAYIS0 u00031"{r
Transcript of Managementul riscului - Theodor Octavian Adam, Larisa ......s Norma nr.612075 privind gestionarea...
a&wxx$
3t&3 Wd e8 w3
XI
,r*:**
aau&$#
t}ti un n trl !u!+ t)t) \/ lt t
',,,^"5!a!]c {J/ r #{Das ts
alDuoyed j e] al
KffiW
nuvloH uCI-tltA 31t$v^ nNvS0ngvc ysrHy*t lllv0v NViAYIS0 u00031"{r
I f.i-:' :' ..
t.top4 li ut?'.:.. '
ltolpzuqt 7p
,a
L9I""""of,IleuJoJur oletualsls ur JolaleoJluof, EoJeluaueldul'9'St9I """""""' ""'rJnJSrJ e1 rnlnsundsgr e rS JolrJnf,srJ EeJezrJolruohtr 'S'g
29I"""'""'' rnpdruS lnJpeJ ur eJelrun rJEpJoqE Joun eoJeJn8tsV't't'S09I """"""" """"""""'II aletrrnras ap alaf, rS apuos;ad rolatep
e a{ca1o.rd ap alaiur.lac aJlur JSrJ el mpsundseJ eaJeleJol .t.r.S
BSI "":"1""" "":"""""""" f,srJ el sundspr ap aluelsxaelesaco.ld ur Jolelep e a{ca1o;d ap rolepadse ea;er8a1q.Z.t.g
rsrr el sundsp.r ap el.rndrg'1'7'g""'JsrJ e1 ynsundseg't'S
BtI """"""" uqr8al rnpsaJalur eoJef,rJrluepr
tS [VlaA) rsrJ ap razrleue earezllear n;]ued ar3o1opo1a6'g'g'g621""""""" """"'alep ap xng aorJo nJlued lezrpue ap apedsy'7'g'gszl]ezlpue ap e1e(uasa ere;cnlerd ap r€o1odr1'g'g'g821"""""""""""""""""'i" """"""'3sIJapIezIIEueasndnselllpels'Z't'S6II """"""" ,apuosrad etep, ap pldacuo3 .1.g.9
9II"""'"""'""""""""""" """"""""""'lnlnJSrJ rrJpnlela rS u.rporgrluapr
Inlxeluoo ur eleuosJad rolalep e{calord puurrrd acgrcads epadsy.g'gh0r""""" [VgWg - srsr{puy speJJA pue apohl e.lnleg)
- [gOhlV) rol rolapaJg e rS a;epagaq ep rolrrnpohl enpuy'Z'Z'S00I """"""" "':"""""r"""""""'rslr ep IezIIeuE aladelg '1'7'g
66 """"""""""""""""" 3slu 3p EZrlEuv.z.sI8""""""""' "'JI JolrJnlsrJ Ie lueue8eueru ap FsaJoJd 'I'S
""'II JolrJnf,srJ Inluaua8eue6y .g
1L""""'JolUnJsIJ lnluaua8euBru nJluad aleuorieuJalul apJepuels rS epo1a61 .p
rerierurogur ealEJrJn3asu; roleiueu;og"rad e aJeJnselu ap ue;3o;d rnun eeJrnJlsuof .t.g
82""""""""" 'JolrJnf,srJ lnluarua8eueu uud I$pq.rncasrnlnlueua8euer,u EarEpJoqV - roletrEp e a{cato.ld ap lruapge ppotehtr .Z.t
6I """"""""""""""":""""' .'.............ladeuroJul Ealetrrnras .I.t9I """"""""' """"'arperuroJur orualsrs nrluad FInJsIr pluetua8euel4tr .t
rnlnf,srJ lnluaua8euehtr'Z
alureu[-]uv^nJ
surJdnJIrruno] OlJ alurpaslulounag o8nl
ep alrrurl nes rlnJSrtInruauop ur JaprJ EJ
leuos;ad lelJEJef, n
nJ rrlrqesuodsal ag
@
5.7. Integrarea procesului de i:r::- -- l: r- : - . .. - - ' .' .:'. :rocesele IT ...........1'77
5.7.1. Modelul de manageme:::r:'.r' ' . -:-:: : ,., : --:.i-ea
managementului de rrsc i: ll 1,7 7
181
5.7.3. Analiza transferului datelor personale in contextul mai multorsisteme IT interne gi/sau externe....... ..............'...i..............'.'...181
5.7.4.lntegrarea protecliei datelor in procesul de dezvoltare software .......L82
5.8. Riscuri specifice in cazul utilizirii unei organizalii terle... ..'...'189
6. Registrul Riscurilor .................... ..........................L94
7. Rolul liniilor de apirare intr-o organizafie gi asigurarea conformitifii....2037.1. Rolul liniilor de apirare intr-o organizalie .203
7.1.1. Prima Linie de Apira4e - Managementul OperalionaI............'................2067.t.2. A doua linie de aplrare - Funcliile de conformitate 9i
managementul riscurilor .................... ....................207
7.7.3. Atreia linie de apirare - Auditul intern.......... ........................208
7.1.4. Liniile de apirare pentru proteclia datelor personale ......209
7.2. Asigtxarea conformidlii ............ ..............270
8. Standarde minime de risc informatic aliniate cu strategia afaceriigi cu apetitul definit pentru risc ............., ..2t6
9. Factorul uman.......... .........................222
10. Rezilienla - Strategii impotriva evenimentelor necunoscute,sau cu un nivel ridicat de incertitudine....................... ..................'.'.'..230
12. Termeni, definilii ,,,,,,,,,,,',,,,,,,,.',,23 6
5.7 .2. indeplinire a obli galiilor de rispuns la solicitirile p ers o anelorvizate gi a obligaliilor referitoare la investigafii fpentru protecliadatelor personale)
Societatea nc,.foarte dinamic, r=,dezvoltiri a fost .modalit5lii de cor..noliunea de dista:.:
Pentru a rea..:procesele din cai:,plus, diversitatea :nostru de afacer. :contracarare a e..'.protecfie, devine c.este necesari o ab.
La aceasti e,,'c
proteja aspectele L
segmentului de p..
financiar-bancar, a(
ce privegte aborda:recent o serie de o:gi a sistemele infor:
AvAnd in vedementate metodolc:abordate riscurile,al riscului. Conco:trebuie respectateprocesele organiza.
Pentru a armcpracticile autorititdologie de creare, r
Aceasti carte '
prezentAnd un setevaluarea gi monitcacestora. Integrarealt aspect importaimportante ce fac p
nJelou Jo]lln altsen /nueapnqpg esrr- *=a? uet^elto.topoaqf
'pluerJua aJqrreuraldrur o plrqrsod ce; ao aluegodrurt{euuogut IaJlsE purJaJo 'rupJJnl ps-lncted ad letell U En al luepodur padse 11e
un alsa InlnJsrJ p luaua8eueu ap p;aua8 lnsa:o:d uJ JI rnlnJsu eare-lSalul 'EJolsaf,e
aleseJpe aleoJluoJ Joun eaJellotzep e1 rS runcard'lolgnlsrJ eaJezrJolruotu rS ea;enlezra'earergquapr e1 e1n[e JoA aJ rrferu.to;ur ap IEnpE rS laldruoc retu ]V3 las un pugluaza;d':o1t{eztue8Jo ale Iipllsarau Jolsaf,e JoJnln} ea:eurdruelur ur eurl auef, E}sEeJV
'IJnJSIJ ap e1e8a1 ;olasaco;d E aJezrluarJga rS a:ezr.rolruoru 'eJeaJJ ap arSolop-oJar.u o eJesalau alsa 'JEJuEq-JeDuEuU Inruauop uJ alElol .ro1{q1uo1ne agoqcetdtS alaiutrac nJ JollJnf,sl.t pluarua8eueu rS Ezrleue er8alur rS ezruoru.re E nJluad
'ra{ezrue8ro alasacordnc a1e;3a1ut tS aleluarualdur arJ ES JEsef,eu alsa 'oJEruJn ur"rd 'r$ elepadsar arnqaJle;e1uaua18oJ ep Jolatusrue8ro ep rS alrlelsr8al alaiurrar lualruoJuo3 'rnlnf,srJ IEluaue8eueu ap Inlnplo aledela e1eo1 e;adoJe af, euJalur asacord rS [a1;ncsu alepJoqeIJ JoA eJeJ uI eaurpJo ezrlr.lorrd e n.rluadJ rnlnosrJ e erleue ep rfolopolau alelueru-e1dur pqle ES arnqoJl apiezrueS;o 'eluaaca.rg rJpqurqls alsaJe aJepel uJ puglv
'alrleruJoJur alauralsrs e rS
Jolelep eticalord agSarrud aJ eaal ur pnads ur'aJelualurldns rrie8rlqo ap arJas o ]uaJoJosnporlul pUIIJ'Ellqerrlde erielsr8al rS auralur alaseco.rd'pield ed EeJEpJoqe a1(alud eceaaJ uI aAIleJIJIuuas IJ9JIJIpotu snpe ne art3olouqal rJEqr.urr.l:S alsoJe';erueq-;enueugInJopas nrlued 'ealelrlrlre preoSp;sap rS3 eriezrue8ro erer ug pield ap rnlnluau8asealellllqels ';o1a1ep ericelord toprolerunsuor ericalord ep uri ec alapadse e[alo;de n-nuad rarfelsr8al elqcadsrad urp alr.lods uo8u rS g8nepe as arinlona plseeJe e.I
'eJElrun eJEpJoqe o EJEseJau alsaIf,unle tS puorierado nJlsou Inrpeu rueuoqsa8 es ner8 reru eJ uJ al urp aurlap'a(calordap Jolepoleur ttfplrxaldruoc ea.talSaJl nJ Elepo 'rJnJele Jolalenluala E eJeJef,eJluoJtS edcalo.rd ep rlruqa] rS apoleur gcpcerd ur ruaund ps g8rlqo eu rJateJe ap nJlsouInlnlparu e areuo(cunJ Eunq rS a1a1ep piuluarue aJeJ Jolaloluad ealelrs;arrrp 'sn1dul'alualla4 trglsn[e Ellsa]ou rS axalduoc reru urlep rariezrue8ro InJpEJ urp elasaoo.ldtS 11 alttinlos 'pie1d ap egrirpuoo el Enurluoc a;eldepe ElsEarE ezrleal e nrluad
'Elelnue 1so; e piuetslp ap eaunriou- redezrue8Jo eJEJE ur rS pror-lalur ur Jolelep e aJalrusue;1/arerrunuoJ ap Idpillepoue eJEqurqJS o aJnpoJd as 'eiurcasuoo ldarq 'rar8olouqa1 elinlola lsoJ E IJpllolzapIalsaJE IE lteJlp lellnzal un Jer 'r{an alapadse eleol uI llirulsoJ 'crtueurp aueoJaJellolzap ep saro;d un-r1ur.rd apetep alaurlln ur lnoaJl e eJlseou ealelerJos
aJeJnpoJlul'I
IBIeri:a1otd n.r1-.
JOIaUeosi;
11T"""""".,.
LLt"""""'tt atesaro.
laliezrue6ro ;nrpe: u1 rarli
10
Corelat cu riscul IT, vom prezeitia s. :rn::::::r'.1t1 riscurilor din perspectiva
protecliei datelor personale, atAt in cazul unor pl'oi=c:e noi [privacy by design), cAt 9i
in cazul modificirii proiectelor existente sau r.no:ltorizarri activitSlii de prelucrare
existenti. Abordarea managementului risculur va ir-iclLtde toate etapele relevante, de la
identificare, evaluare, remediere pAni la rnonitorizat'e, concentrAndu-se asupra
mecanismelor de cooperare gi proceselor ce pot fi stabilite in interiorul 9i in exteriorul
organizafiei. Scopul este de a identifica in totalitate riscurile gi a minimiza impactul
acestora.Vom exemplifica situafii frecventintAlnite in practici pentru riscurile IT 9i riscurile
privind datele personale, pentru a evidenlia pagii ce pot fi urmali in stabilirea unor
procese clare pentru adaptarea la noile cerinle Iegale.
Pentru a completa intreaga suiti de noliuni necesare unei organizalii in vederea
unui management de risc eficient, am prezentat aspecte legate de factorul uman 9i roluldeterminant al acestuia in toate activitifile organizaliei, inclusiv a celor de
management al riscului, precum gi cu privire Ia mdsurile care ar trebui luate in vederea
cregterii rezilienlei organizaliei.in afari de legislalia existenti, au fost introduse norme noi pentru a reglementa
aspectele legate de schimbirile tehnologice referitoare la: utilizarea soluliilor de cloud
computing [ghidurile EBAI referitoare Ia cloud computing2, Cloud Act adoptat inStatele Unite ale Americii3J, securitatea informatici [Directiva NIS adoptati de UEa),
serviciile oferite Ia distanli [Directiva serviciilor de plati, dispozilii legate de
securitatea serviciilor de tip internet-banking).Specific pentru aspectele legate de risc, in contextul reglementirilor legale in
vigoare, Autoritatea de Supraveghere Financiari a stabilit in 2015 un set de cerinleminimale obligatorii elaborat sub denumirea de Normas nr. 6/2015 privindgestionarea riscurilor operafionale generate de sistemele informatice. Ulterior, a fost
modificati gi imbunit;Fti prin Norma nr. 4/20L86. Norma stabilegte procese 9i
indicatori pentru evaluarea, supravegherea gi controlul riscurilor operalionale IT.
StrAns legat de riscurile operafionale privind sistemele informatice, trebuie avute
in vedere gi riscurile privind prelucrarea datelor personale. Aceste doui tipuri de
riscuri sunt corelate intr-o anumiti misurS, in special in aspecte ce lin de
1 European Banking Authority.2 EBA/REC/2017/03, ,,Recommandations on outsourcing to cloud sewice providers".: The Clariflring Lawful Overseas Use of Data Act or CLOUD Act [H.R. 4943) https://www.congress.
gov/bill/11Sth-congress/house-bill/4943/text, accesat Ia data de 4 octombrie 2019.+ Directiva (UE) 2016/1,148 privind misuri pentru un nivel comun ridicat de securitate a relelelor 9i
a sistemelor informatice in Uniune.s Norma nr.612075 privind gestionarea riscurilor operalionale generate de sistemele informatice
utilizate de entitifile reglementate, autorizate/a\/izate gi/sau supravegheate de ASF qi Ghidul de indru-mare aferent.
6 Norma nr.4/2018 privind gestionarea riscurilor operalionale generate de sistemele informatice
utilizate de entitilile attorizatefavizate/inregist|ate, reglementate gi/sau supravegheate de citreAutoritatea de Supraveghere Financiari.
Theodor Octavian Adam, Larisa Gibudeanu, Vasile Victor Rotaru
confidenlialitatea :
administrare? zcc=:
tractanfi, furnizorPentru aspec-=
european a fost a--.
RomAniain 2001 :.gi existd gi alti )eg:s
datelor personale s
Convenlia Consili:prisma procesirtt a
De-a lungul t.:unitari a fost nece,
organizalii. Relel'a::
emis diferite ghrdLrr
De asemenea, au foEDPBs ghiduri pent
in plus, releva:'menfionate in Capit
conformitate cu pr€
La nivel europeRegulamentul EU .informatice gi a tel:prin prisma admiri.informatici a prod'.
in RomAnia, pe:
personale este in r
Supraveghere a Prconduitl nu conli:riscurilor.
Astfel, din pers
situaliile practice dpornire pentru ana
inci de la incelunor posibile amerAbilitatea de a idnefavorabile gi de a
z Grupul de Lucr
r e c omme ndati o n / i n d e x-B European Data P
o Regulamentul [Ltehnologia informaliei :
Th
nJelou Jo])n altsen /nueapnqpg esue'l ';=p7 ue Aello lopoaql
'[grrlauraqro ea]ElIJnf,as purmrd 1n1uaue1n5a6J tolrriecrunuoc r( ra{eruto;ur erSolouqalnrluad a:r1au;aqrc njplrrncas Ealeluruar pumrrd lS VSINS pur.u-rd IBB/610Z [gg] pluaurep8a1 6
'prEog uortlalord EIECI ueadorng s'5I02 atJquo]to t Elep EI tesarrE'w1q'ua xapw/uotlDpuawwo)a)
-uorutdo/uorloluawn)op /67-ap4to/acqsn[/na'ndotna.ca//:sdyq ,62 Inlorruv nr]n.I ap Indntg /
EaJIniaIAEJdns nrluad pllqesuadslpur elsa piueproruol ur Euorif,e E ep rS olrqeJoleJau
IEriualod alal ap alrqero^eJ olrrienlrs a8uqsrp E ap rS eJrJrluapr e ap ealelrlrqv'AlllledruoJ feluele un IJaJo]od af, IiplunUodo Joun E rS rc'ugiuluaue alrqrsod,tounEiualsxa .reop aundnsaJd nu InJSTJ Ef, IedeJ leuoriuatu ernqaJl lndaour EI ap Elul
'alEuosJed Jolalep lolilaloJd Er.usrJd urJd JolrJnlsrJ ezrlEue nJluad aJruJodap pund un PluIZaJdaJ sns rctu aleuoriuau alrJnprq8 'nruauop urp arqce:d ag{en1rseJeJaprsuos uJ pugnt rs a;eo3m ur erielsrSel nt rripl[uJoJuoJ EAr]JadsJad urp 'laJ]sv
'JOIrJnlSrJ
EaJaf,npal rS EeJeJlsru[upE 'EaJeJrJrtruepr ap alB8al apadse auriuoJ nu E]rnpuolep rnFpos InlJaroJd ESul 'lEuosJad JaIJEJES nr rolelBC rrJPJJnlard e aJarlSa^eJdnsap EleuodeN eelElrJolnv rS nrueuop ulp eldplrlue aJluJ arinrsrp uJ alse aleuosradJolalep EaJEJf,nlaJd nJluad pllnpuoo ap poJ un'JeJuEq InJo]las nJlued'erueruog u1
'.tolasaco.rd rS JolrrJrAJas tolasnpord E pJrler.uJoJurEeJeJIJnf,as n;]uad nJpef, Inun eaJezIIEaJ purlrqEJs 'rnlnJsrJ rrJeJlsru[upe eursr.ld uudtS piueaalar aJe aJeJuerualSal ElsEatV'GoJef,runuoJ ep Jolr#olouqel e rS arrleu;o;urIliPll;nces earerlJluar IS VSINII e1 aturud nr pugrnr ap ]Eldope 1g lngueueln8aguud sap reur'ruezrp-lepuels e{carrp ur rinJEJlsoJ ne {uacar rSed'ueado.lna Ialru e.I
'JolalEp ericalo;d purArJd aluapazra.ld nJ alelrtuJoJuoJap nJpeJ rnun EaJezrpat lerceds ur ezeapJoqE aJEf,'ruelcnl p p 1n1o1rde3 ur aleuoriuauelapJepuels luns nrualuop ug e(e1s€a1 nc alelruJoJuoJ nJluad alueleloJ ,sn1d u1
'Ud61C ep ateluaualSe; ecrgrcads epadse n-rluad r.rnprq8 efld61ilaJlpr ap 'rode 'rS ,,62 Inlolryv" nJf,n.I ap lndn.rg aJIEJ ep asruo lsoJ nE 'Eeuaruase aC'l apuosrad Jolelep e(calord ap a1e8a1 alenpund apadse n;luad r.rnprq8 alrraJrp sruae ,,62 InloJrUV" nJtn.I ap pdnrg ueedotna Ia^ru EI 'suas gsace uJ lue^alau .rdezrue8to
aJle3 op pcpcerd ut asnd epullslp ro[.rg]ard;a]ur eznEJ urp pJBsaleu lsoJ E EJelruna;elerd;alur JoJEJ e apadse n-nuad r.rnprq8 astua ]soJ nE 'rnlndurrl yn8unl e-aq
'Z00Zqeluetuog ap FIETIJIIeJ 'apuosrad Jolalep e aletuolnE uresacord erusuduud acrzg ;olaueos;ad erioalo.ld el aJeolrJaJal B0I '.tu redo;ng rnlnrlrsuoJ e(uazruo3nes ectlqnd -tolttiectunruol InJopas ug uiplrprfueprJuor eare[alord rS aleuosrad Jolalepearercnlard puurud g)/Bs/zooz E^rparrc rJ re runr 'ptuenale; arfelsrSal EllE rs plsxa rslelsxa e acgroads apadse n;luad '-ln8rsaq 'GOOZI Ltg 'ru ea8al uud 1gg7 uJ Erugr.uoguJ pteluatrtaldrur pulu) lg/9yf 96etlrltelq ur.rd S66I uJ EtEtdope ]soJ e ueado:na
IaAIU el arielsr8al eur-ld 'apuosrad Jolalep ericalo.rd ap a1e8a1 alapadse nluad'Jolalep earernlard ur (uozru"tn;'riuelce;J
-uof,-qns 'nldruaxa apJ rielarcos Jolle earecrldurr rS alep EI rnlnsa3]e eaJeJlsrunupeelSaltrd eJ EaaJ ur rS runca"td 'Jolelep ealelrlrqruodsrp rS ealelu8alur'ea1e1r1e{uaprJuoJ
aJlEf, ap aleaqEa :_:arrlPru.loJur alaua_! :
-nJpur ap InprqS ls i.alrlEruJoJur alarur_ j :
rS rolelaja.r E alElut. ;.
'ssatOuoc'mnn//.s:' ,
ep uli af, allacs:ap undrl pnop a_s
aln^e arnqaJl'el:t'.';1 aleuorjer;;
rS asaco.rd alSa 1 .::1so; e 'rortalln 'ar _
puurud SIOZ/gaiur:er ap les ur- .ur a1e8a1 JolrJqtua.
ap a1e8a1 glilzoc-.'[rllfl aP pleldopr; ;ug leldope try p:-
pnolr ap roprjnlos :eluarualSar E lt-u-;-
eeJepa^ ur elErlJ I] Jep Jola3 E z\tST-.'_l
1n1o.l tS uEuln In,to---leeJapal ur r{ezru::
Joun EaJrlrqEls Lri ._
alrJnlsrJ rS ;1 a1r-rn:s
lnlredurr ezrurrulLr;
InJorJelxa ur rS 1n:cterdnse as-npuV-rlLl.e1 ap'alueaalel aiaca;e;rn1a;d ap IIipritS ggr '[u8rsap lq ,irrerrtpads;ad urp -roil
ttara)n porlu IteriezrueDlo lnlpe) ul to l
12
gi dezvoltarea afacerii, fiind necesare n-.=,rr..-..r-: - -. - ,-- . .al'ora potenlialele riscuri
si fie identificate gi si fie linute sub conrroIndiferent de gradul de maturitate la c.rlc prrcc-;... .i: l-rlall?Eement al riscului a
ajuns, acesta se poate dovedi foarte ineficient daca n,,i se :ile cotlt de un factor critic in
tot acest tablou, gi anume cel uman. Abordarea corecta gi preventivi in aceastd privin!5este la fel de importanti, iar experienfa ne-a dovedit frecvet-it ci misurile de prevenire
eficiente au drept consecin!5 reducerea costurilor opera!ionale. Lucrarea va infdliga
aceste concepte precum gi bunele practici ce pot fi adoptate pentru a obline un mediu
controlabil.Managementul organizaliei cu ajutorul unor procese clar definite, bazate pe
bunele practici folosite de intreprinderi gi institulii mature, este cel care face posibilS
infelegerea riscurilor gi reducerea lor prin instaurarea controalelor potrivite. In lipsa
acestora, este evident ci misiunea reducerii riscurilor ar fi imposibili. Operatiunile
organizafiei, precum gi implementarea schimbirilor necesare nu se pot realiza in
absen!a unor procese potrivite cu obiectivele dorite'Pentru a oferi un set complet de informalii care sd poati fi utilizate ;i si produci
rezultate imediat, lucrarea igi propune si prezinte cAteva tehnici de bazd privind
optimizarea proceselor. Vom prezenta cunogtinlele minime necesare pentru identi-
ficarea, definirea, implementarea, evaluarea gi optimizarea fluxurilor de informaliicare constituie procesele operafionale. Acestea vor acoperi atAt aspectele operalionale
din organizafie, cAt gi aspectele interacliunii acesteia cu persoanele fizice ale ciror date
personale sunt prelucrate [de exemplu, clienfiJ, ori cu furnizori de servicii [de exemplu,
sub-contractanfi, producitori).Cititorul va avea Ia dispozilie informalii cu ajutorul cirora si inleleagi modul in
care mai multe standarde gi practici pot fi utilizate pentru a realiza din procesele 9i
elementele de control implementate un ecosistem informatic orientat citreperformanli gi cu posibilitatea de optimizare continui, pentru a reduce cAt mai multnivelul riscului operalional.
in manrgementul riscurilor este crucial ca evaluarea riscurilor gi identificarea
eventualelor vulnerabiliteli se se realizeze in TOATE activitilile organizafiei. Doar
astfel este posibilS luarea unor misuri corecte care si ajute la menlinerea sub control
a riscurilor operalionale.
Theodor Octavian Adam, Larisa Gibudeanu, Vasile Victor Rotaru
in contextul ir: --
menteazd sunt din ;=cu ajutorul ciruia siposibilitatea de a ec:
trebuie sI fim capar'noastre. Astfel, respi.trebuie si aiba o pa:evaluate, monitoriza:
Managementul :abilitatea de a puneinstan!i, manager-nelorganizaliile ar treb.chinezi,limba unei c
definegte criza insea:
A. Cum a incepStudiul manage:
R5zboi Mondial, des
protejeze indivizii s:
sunt legate de na;ternoroc, riscul i-a ingri'invdgatul pluridiscinnumirul de rezultar,matematicienii Fern:peste mai putrn de i.
,,future" pe prelul o:
pentru mai multe prr
to Georges DiotrneInteruniversi[r ResearchDepartment of Finance, H
1t Gerolamo Carcl
G ero I o m o Ca rdo no acces a
nJeloE ro]lrn alrsen /nueapnqgg es I e-t -L ecv uetAelto lopoaqlIt
16 I 0Z tsnSne / EJ lr?salre ouDprD)-owDlorag
/tytnr/6Lo'orpadoym ua//:sdllq ,,Erpadop{lua aa{ aqt 'urpadr>1r,11" - ouepre3 orueloraJ rr'EpEueJ'[EaJ]uol 'auuaqlEJ-atulEs-algl '000t 'lEgrluotA JgH 'arueurcJo luarul;edag
pue [JlgUUl]l uotlepodsue.rl pue scrlsrSoJ'slro^\taN asr-rdlalug uo artuo3 qrreasag {1rsra,rrunra1u1
/I-t t0Z-JTSUSl3 ',,anbr1r;3 puE uortruqaq 'fuo1sr;1 :guatua8eueyl IsrU" 'auuorC sa8roag 61
alJo?qJtt eeJeJJnl EJtlqnd Jarlaqleg srno.l'006I el'alof,u3E esnpoJd allnl'u rEr.u nJluadapEJluof, eaueruose alerurJd urrsE8 oBeJrqJ el'ygBI ul 'lnlnzoJo InieJd ad ,,atn1ng"drl lce;luoc InurJd lelsole elsa 'gtll rnpue eruodef ur 'lof,as un ap udnd rctu a]sadJet 'JolIiPlIIIqeqoJd euIJlJop aJdsap nppuodsaJoJ e[ap IeJSed rS lEruJoC rruarJrJetuale{u'eal-ll1x IE Inloras ul 'alellnzeJ ap lElol Inrerunu rS elrqeJoleJ alellnzal ap InreunuaJlulp InUodEJ ad eJ esues eaur;ap rrouEpJEJ orueloJas JBurldrJsrprJnld InlEipAuI'Eel-lAX Ie Inlo3as ul 'luatueo ad lEurf,sEJ e-r druq rselare uJ rS leJoIuBUJ E-r InJSTJ'JoJouap rolrJnloI Eriuede el ep 'ruE ap IIru e( 'JolriplrlrqeqoJd rarJoa] eaJalspu ep ale8al lunsnluatuop Inlsef,e alIuIrFppU'0rJolaluaproce errr.4odruJ elrrueduoJ rS rrzrlrpur aza[a1o.rd
Ps elruetu alrJEJnSrse n3 druq llnur op lerrose lsoJ E Inlrerqns r6ap lerpuow IoqzEueallog IE-ap Iar Ednp erqe ArlJaJa lndaJuJ e rnlnJsrJ rnlnluaua8eueu Inrpnls
etndaJul E run] 'v
'csr.r rS lgl alelrungodo lgle eurueesur EzrJJ elSeuuapaJ Inuuas llnieJdau ap JnEZal un rriplrue(Un ]rnJpp B oJ rripzrlr^rJ raun Eql'ull'pzeurqf,eqtull ur eqeaSap nN 'aJrJrpn4 al ps rs eJeJaprsuoJ uJ er al ps rnqoJl Jp alrdezrueSroaJeJ ad rolipltungodo EeJef,IJpuepl rS aundnsa;d rnlncsr.r Inlueua8eueru 'eiue1sulpurpln uJ nN 'alruJauaq/alasuadruocar rS a1;ncsrJ EiuBIEq uJ aund e ap eoletrrltqeaJdsap rS nrqrlqca e.ldsap'rueeunds runJ e$e'a16aqrol eu rnlnJsrJ plueua8eue6
'eletpeua;/aleuorinlos'1nzec alse apun'rS alezrJolruotu'alenpna'eleJurluapr luns alrJnJsrJ aleo] ec ern8rse as ps rS pllpe aJedrf,rued o pqle ps arnqaJlInlnJsIJ 1e luerua8eueu ap tnlnsaoo.td EeJeluaualdur nc rrlrqesuodseJ 'laJlsv'aJlseoualeseco-td rS a[iglrlrpE aleq u1 poqcerd p]seaJE lupJ8atur ps rlrqEdEl I'uU ps emqaJlelseaJe nrluad gsul 'riglrunpodo rS rJnJsrJ aJlul EiuEIeq Erqrlrqoa E ep ealelryqrsodeJaJo au InInJSIJ lnluaue8eueyq'ta{ezruE8Jo aluriJsrJ r.ueuorlsa8 gs ern;gr p;ogn[e ncluerua8eueu ap ruelsls un ap elolau uane 'exeldruof, rer.u af, uI aJ urp luns pzealuaur-eldur al Ealsaf,e arec ad aleseco.ld rS 1e: agrieaueBto lgle aJef, ur InlxaluoJ ul
rnlnJsrJ Inlualuefleueytr' 7
IOJlUol qns Ea,lar: i.;eoq 'rarjezrue8-rc
EaJEJrJquapr rS -ro'
llnlu retu lgl aln'J=-arJEJ leluauo t:_,rS alasaco"rd urp EZ
ur Inpou e8ealalL::
'nldruaxa apJ rr: r_i-;,alep JotEJ alE altz:-aleuo(e;ado alall-.r{eu;o;ur ep lolt-:-lluapl n;1uad a_l:s.pur.Lud EZeq ap .--
eonpord ps rS alez '-
ur ezrleal lod as r ..
apunrje.radg'pllqls.esdrl u1 'a1mr,r1od ,:c
elqrsod aleJ e,rei i;-ad alezeq 'alruga:
nrpeu un auriqo e r,_
eSlipJuJ eA earerlnlerruaaerd ap alunsEiPiu1nlrd ptseare r-rr E..
ur JrlUf, JolJeJ un ape rnlnJsrl 1e 1uaua8:
rJnf,srJ a1a1e(ua1od e.
tariezruebro ;nlpe: u1 rarje
o\
14 Managementul riscului, protec!ia datelor personale Si securitatea informaliei in cadrul organizaliei
de la spdculation". Din secolul al XX-lea, cdnd American Association of UniversiQt
Teachers of Insurance publici primul numir din revista ,,The Journal of Risk and
Insurance", gi pAni in zilele noastre, cAnd reglementirile legate de managementul
riscului includ deja acordurile Basel gi Solvency, aceastl disciplina a cipltat din ce ince mai multd importan!5.
in secolul al XXI-lea se spune ci ,,Datele sunt noul aur", ceea ce face din
managementul riscului informatic o preocupare vitalS oricirei organizatii.
B. Ce este managementul riscului?Conform standardului ISO31000, riscul se definegte ca ,,efectul incertitudinii
asupra obiectivelor". Aceasti exprimare a apirut in anul 2009 gi a schimbat modul de
percepfie asupra riscului. Daci anterior conceptul de risc, definit ca ,,probabilitateaunei pierderi", indica doar consecinlele negative ale incertitudinii, odatd cu noua
defini[ie s-a addugat gi sensul unor consecinle pozitive. Obiectivele pot avea,
bineinfeles, diferite dimensiuni - financiare, ce !in de respectarea normelor in vigoare,
de siguran!5, de protecfia mediului sau de sinitate, gi pot fi aplicate la diferite niveluri:
la nivel strategic,la nivel organizafiona], la nivel de proiect, produs sau chiar de proces.
in general, riscul este caracterizat ca fiind produsul dintre consecinlele unui
eveniment (impactul) gi probabilitatea ca acel eveniment sd se materializeze.
Astfel, avem:
R=PxlUnde:R = riscP = probabilitateI = impact potentialin mare, relalia dintre risc, probabilitate gi impact poate fi descrisa de graficul de
mal los:
Existi o rela!;=pe misurd ce imp:. -.
cregte. Privind gra . -
ale impactului saLr =.
acceptabili. Aceas::risc. Este misura .:.
ci meritd 9i benei'i;.,relativ improbabi.=organizalie, ei tre: ..
cu strategia afaceri.,
Pentru manag.:a$a cum este preze:.
o ameninlare si er.:
I-ar avea asupra o:nalitate directi, ir-r i.r
R=AxVxIUnde:
R = riscA = ameninfare.V = vulnerabilit.I = impactul pot
C. Procesul de
Putem privi prodin mai multe sub-p
sub-procese vor fi p:
ansamblu este nece:
aplicabilitat e. Fig u r t
alriscului.
12 NIST Special Publ
:o(E
a
lllr
Probabilitate lP1
Figura 2.7. - Definifia riscului
TheodorOct:. =- -,-- -. ,.:.-,:-.' - ..;ieVictorRotaru
nrelou Joprn alrsen /nueapnqpg es,?- .-::r' uel^e]lo Jopoaql
'sluaussassv {sru SurtrnpuoJ loJ ap:n! - 0 t-008 uortertlqnd IErrads ISIN zr
'rnlnf,srJ Ietuatrra8eueru ep mFserord e nlquesue ap eeut8ewl plulzoJd 'Z'ZDJnfill 'elEtrlrqetrldp
ap Inlnlualuop e IS InplxoluoJ E aJa8eleiuJ Eunq retu o nJluad eresacau alsa nlquesuEap trur8erur e aJef,npoJlur o FSuJ'g 1n1o1rde3 uJ nrlElep ur eleluazeJd g rol asacord-qnsalsaJv'nnulJuof, uraS.lnored al ES elnqaJl a.lec ad edela nes asacord-qns ellnr,u rEru urp
lBruJoJ nJrnl op nJpeJ un puru ef, rnlnosrJ p.rluaua8eueru op psacord urrrd ura1n4
InlnJslr IB tuarue8eueru ap FsaJoJd ')
pduatod ppedun = 1
EelelrlrqEJauln - Aea;eiutuarue = y
ssrJ - u:apun
lx/lxf=fl:pou InJolpruJn ur'glcarrp alelrleu
-odrodord o ec tS eurudxa aleod es erirurgap ElseaJV'ra(ezrue8ro e;dnse eaAE JE-l
luatulua^a ]sa3e oJef, ad ppedrul ap IS alelrlrclpJeuln^ o ezelEoldxe ps erefuruarue oEr ealetrlrqEqord ap arioun; o etsa Inrsru .0t-008 dSJSI^I ep Etetuazard elsa runc eSe
'Elualellqf,a'arirurgap plp o rS EIIIn e5a'crleuuogur rnlnf,srJ pluaua8euEru nluedrrJef,eJe e€a1e;1s nc
tS cqeurro;ur JsrJ ap erurunu alepJepuels no ernlp8al uI ilugap arnqeJ] Ia ,edezrue8;o
o-.t1ul'tErrpap plolrdec ugErel ad suosap rJ eA rsrJ n-4uad FlEedV.elqeqordur AneloralBJepIsuoJ'aatle8au aiutcasuoc alelenluale osaSpdap elelda$e alrroueuaq IS EllJaur pJepaJf, af,aJBoap JSIJ ]ltunuE un atunse rS; es sndsrp alsa EAeulJ aJeJ ur EJnsEru alsg 'f,srJ
el ,,lllade" Fllwnu lsog e 5ge;3 ad eq.lno o ef, Eleluaza;da.r 'pllrull p$ealv 'ppqeldacce
Elltull ldarp plndacrad a.leopl o afa5pdap 1nlsrr'rol rnpsnpord a1e nes lnppedtur a1e
'lfPllllqeqo;d ap ueur tJolEA nJluad ec mlur eleod as 'sns IEur ep pcge.r8 purAIJd 'a1Sa.n
tSndxa ualuns aJeJ el pcsr.r rs'csarc ealelrpqeqord rs priualod ppedwr ac e.tnseru ad
- eletlllqeqo.rd rS tcedurt tS rsr.l artul etElrleuorirodord Fparlp ap arielar o Etslxg
L'- t) -
ap lncqe.r8 ap ESr,its.
'azazllet)a-=
rnun e;ajulcasrroJ:.:'saoo.id ap Jerql nes sl:rtnlen ru allJeJtp E[;_:'a;eo8rn ut JoIaLUJo.: i
'ea,te 1od a[eArlJa _
enou nJ Plepo ,rrui:'
eatelrlrqeqo;d,, e: I .;
ap lnpou ]equtrqls i
rrurpnlruaf,ur Inlla_la
'rriezr ueE.r
urp eleJ a3 eael ,, i:
ur at urp lelpdpc e gu:
lnluaua8eueu ap atEpue ISIU 3o 1eu;nof ;[lrstaaru2 lo uo4nrso:
SIrnln)su ;nluar-ua6eue gr,laliezlue6ro lnrper ul lqrtnu-
16 Managementul riscului, protectla daielor personale $i securitatea informaliei in cadrul organizaliei
Figura 2.2. - Procesul de management al riscului
D. Tipuri de risc
Existi mai multe metode de a implrli riscurile in categorii precum interne 9iexterne (mai precis, endogene gi exogenel3), sau precum topuri ale celor mai impor-tante x tipuri de risc care afecteazi o anumiti industrie. Am ales categoriile principale
de mai jos, considerAndu-le cele mai potrivite pentru studierea gi incadrarea risculuiinformatic in industria financiarS.
Riscul strategic se manifesti cAnd strategia organizaliei devine ineficace, iar dinaceastl cauzi afacerea are de suferit prin neatingerea obiectivelor. Cauzele din care
acest risc poate si apari sunt multiple: intrarea pe pia!5 a unui competitor nou 9i
puternic, o tehnologie noui, cregterea semnificativl a costului anumitor materiale etc.
Riscgl de conformitate se referi la sistemul de reglementiri din lara 9i din
industria in care activeazd, o organizafie. Daci nu sunt respectate, afacerea nu are viali
13 D. Anthony Miles, ,,Risk Factors and Business Models: Understanding the Five Forces ofEnfrepreneurial Risk and the Causes of Business Fhilure", Universal-Publishers, (207L).
Theodor Octavian Adam, Larisa Gibudeanu, Vasile Victor Rotaru
lungd. Chiar dac= . -Vlgoafe,aceSte:S--.cu care firma ::=: .
investeasci in s--.. --.civile, care ridi:1 :.Iegale, riscurile :. .
conformitate,Riscul operatiot
ele pot egua sau ::-interiorul firmel c=:natural. De cele n'.este inclus in ace:--:=
cu toate celelalte :
personale sunt inc. -Riscul de imagi
unui produs defec- .
intr-un timp indel:::.risunet gi relevai.:clienlii firmei din ca -
reputalie, uneori ci.Riscul financiat
veniturilor comprc:intri gi ies din firnr:
Vom reveni as';rmai sus in capitoleie
Thr
n.relou Jo])n alrsen 'nueapnqpg estrel '[riepy uetAe]lo Jopoaql
'IedeuJoJul Ilipq.rnoas e;dnse agrfecqdrur pugnlueJoe'eJeouelln elalolrdeo ur sns retuap rJnf,srJ ap agrro8alec rS 11 ag.rncsrJ a4urp;olaiuapuadapJalur erdnse rualal tuo1
'agnrq a)enueug u"pr"id,"u., ra,p"dsred u1p'nlduraxa ap !u;g urp sar rS p4u1eJef, Iueq ep ellJnxng e1 lercads uJ EJaJaJ as JEp 'ealsaf,E ep asruo-rdruoJ JolrJnlrualp nes JolrJnlsoJ ppedur ur.rd u.lo8aleo allelalal ap rS 1e8e1else JETJuEuU InJsrU
'rrJaf,eJe pleleJ Jerql rJoaun'arielnda.rap aJelu pualqo.rd o etaua8 aleod epeaJv'JrlauJaqr3 3ElE rnun ezneJ urp rauJrJ rrfuarlca;dsap alep ep e;e8tnos o alsa ra{eu;o;ur ealelrJnf,as n.Euad luelalal rS launserap 'lualJa^U nlduraxe ug 'rz p.rn8urs o-J}uJ aprard aleod as.rep le8unlapug drurl un-Jlural(am.rlsuol as punq erietndau 'raruJrJ lelualur saco.rd rnun IE rJo paJap snpo;d rnunp 'alrrte8au tdprtcqqnd 1ntellnzpJ g aleod (puorielnda.r nes) eur8erur ap Intsrg
'erro8alec Elseaf,e u! asnllur luns apuos.ladJolelep erirelord ep e1e8a1 rJnJSrJ autunue 'easepv 'ruo8alec alplaloJ alpol nJeyaiuapuadepJalur eJepal urp aledprs mqaJl JE nu Jep'auo8alec plseaf,e uJ snlJur elso
[11 lncsr.r nes) ra{eutogur e€olouqo] op lereua8 InJSTJ rJo alpru retu alaf, eC .leJnleu
nJlsezap un IJo luaJnJ ap pued o unca;d euJalxa aluaruruala ap rS rcp rauJrJ InJorJalururp aualsrs nes asaco-ld'ruarueo ep aleznef, g lod a1g 'rJoJa af,npord nes ensa 1od a1e
ts arec 'ra{ezrue8ro ap rz nf, rz ap apiplrrrrpe a;dsug alsaar.rd puorierado Inlsru'elelrluJoJuos
ap ImsIJ ug eged eJetu ur elelf,aual luns alpuos.lad a1a1ep purlud alrJnf,srJ .ap8al
agtitzodsrp no r$gt1ru.lo;uoc errqcadsred urg 1pru reru Jerr.lf, ezrtu pllplJ a-ler lalurnesaco;d nes IzuaLuE ap InJSIJ g8nepe ag 'ezea[eluene o aJEJ rJEqr.urr.lJs ur eJsBe]sa^ural Es lol uJ 'rJnpuoJ rS es;nsa; rou pueJole 'azaru;o;uof, as ES arnqeJl EruJU aJEJ nJ'JolrrA ur rTn8ar rou ep rarirrede InJSTJ slsrxa rS rr.rpqurqcs asndns luns ealsaJe ,a;eo8ur
ug rolln8ar 15;oy8al JoJnlnl ezeeuJoJuoJ as EruJrJ 1ep ]uetuotu un el plep rerq3 .p8un1
rnlnlsu lnluaLla6eueyl
Jo salroj ",.,,
ar, -.,
piem e;e nu Eara::-ulp IS erei urp r..:'3le alPrJalEru lot..--.tS nou -rolrladuo:aJer urp alaznE] _..
ulp JeI 'aleogaut ;-.
InlnssrJ ea-IEJpEl":.elednurrd a1rr.ro3;_:-rodrur reur Jolal .'rS au.ta1ur tunf,a,rc
reriezrue6ro lnrpe: u1 rarje LL
3. Managementul riscului pentru sisteme informatice
Managementul Riscului Informatic [Mnllt+ poate fi definit ca ansamblul eforturilor
depuse in vederea combaterii ameninfirilor, a vulnerabiliti-tilor gi a c6nsecinlelor
datorate datelor neprotejate. Acest concept cuprinde managementul riscului in
proteclia datelor.Pentru a simplifica lucrurile, vom folosi definiliile care urmeazi. InformaFals este
componenta unui proces din activitatea organizaliei [flux de informafii) suslinut de
tehnologie. intreg ansamblul de procese din activitateaorganizafiei, tehnologia pe care
acesta se sprijini, roluri gi responsabiliteli pentru transformarea informaliei [adici de
r ealizar eaactivitililor procesului) il denumim sistem informaticr0.
Atunci cAnd sunt evaluate riscurile unui sistem informatic, analiza de risc porneste
de la vulnerabilitalile acestuia. Sunt evaluate potenliale modalitSli de atac al sistemului
informatic gi, in cazul in care se observi ci atacul ar putea avea succes, sunt luate
misurile necesare pentru a impiedica sau intdrzia reugita acestuia. Dinamica
incredibili cu care noi tipuri de amenin!5ri la adresa mediului nostru de activitate apar
[aproape zilnic) ne obligi sI luim decizii din ce in ce mai dificile 9i firi vreun precedent
pe a cirui similitudine si ne bazim.Evolulia tehnologiei gi cregterea mobilitigii utilizatorilor determinl ca delimitarea
intre viala profesional5 gi cea personalS si fie din ce in ce mai greu de realizat. in acest
sens, este necesar si intreprindem acliuni care si ia in seamd ambele perspective, atAt
cea profesionalS cAt gi cea personal5, firi insl a le afecta independenfa. Suntem in
situalia unei schimbiri de paradigm[ privind securitatea informaliei 9i de aceea este
necesar si avem o abordare holistici privind managementul riscului.
in acest context, avem nevoie de un sistem de lucru simplu 9i eficient care si ne
asigure eficacitatea eforturilor de proteclie a datelor. Practicile in acest domeniu ne
1a Managementul Riscului Informatic [MRI) - IT Risk - definilie - https://en.wikipedia.org/
wiki/lT_risk; ittp://www.opensecurigtarchitecture.org/cms/definitions/it-rlsk, accesat la 10 octombrie
20L9.rs Informalie - definilie - https://ro.wikipedia.org/wiki/nformaa/oCB0/a9Bie, accesat la 10 octombrie
2019.16 Sistem informatic - definilie - https://ro.wikipedia.org/t'iki/Sistem informatic, accesat la
10 octombrie 2019.
Theodor Octavian Adam, Larisa G5budeanu, Vasiie V ctor Rotaru
demonstreazi ci es
cadrul de Iucru pen:procesului), cAt gi :abordare simplific::ci proteclia datelo: .
din urmi delinAnc :
datelorJ. Astfel, r'::managementul ns-informaliei intr-u:rconformitate cu le:.,
:,,r,,r 3.L, SeCUfiE
Si incepem pr.:sale de activitate s.
confundati.Securitatea inio:
matice de accesul ne
rizati sau distruge:Securitatea informa:.practici, proceduri, s
tehnice care, impreuiSecuritatea info:
- cadru de lucru
- dezvoltare de :
- campanii de cc
- dezvoltare de r
- continuitatea :
- sistemul de m:
- analiza de risc,
- ghid de bune p
- confidenlialita
- management i
- plan de securit
- conformitate.
- implementare
- gi altele.
The
