COBRA (COntrols Based on Risk Assesment)

Un proces de management al riscului nu poate fi eficace fără o analiză corectă de risc. Elaborarea unei analize de risc a securității informatice este însă în proces laborios care necesită cunoștințe de specialitate, cunoașterea amenințărilor specifice la adresa sistemelor IT și corelarea acestora cu vulnerabilitățile tuturor componentelor sistemului informatic. Ofițerul de securitate al informației (CISO) care se ocupă de acest proces are de gestionat un număr mare de amenințări, vulnerabilități scenarii de risc, pe care trebuie să le documenteze, să le evalueze din punct de vedere al probabilității și impactului și să conceapă un plan de măsuri pentru reducerea riscului inerent la un nivel rezidual acceptabil.

Măsurile de securitate în final adoptate, ce compun un plan de tratare a riscurilor, trebuie și ele evaluate din punct de vedere eficacității, pentru că numai așa se poate determina ponderea prin care acestea pot reduce valoarea riscului inițial. Pentru a asigura conformitatea cu cerințele legale și reglementările specifice industriei trebuie avute în vedere și măsurile impuse de de autoritățile supraveghere din domeniu.

COBRA oferă suportul pentru tot acest proces prin definirea activelor informatice, modelarea scenariilor de risc în baza unor cataloage de amenințări și vulnerabilități puse la dispoziție de aplicație. Prin alegerea amenințării și a vulnerabilității din cataloagele predefinite este generat automat scenariul de risc pe care specialistul care utilizează platforma îl poate reformula, îi atribuie probabilitatea și impactul în funcție de importanța resursei asupra căreia este aplicat scenariu de risc. Aplicația calculează valoarea riscului inerent pentru care utilizatorul adaugă de măsuri de securitate care pot reduce probabilitatea și impactul unui incident. În funcție de eficacitatea măsurilor adăugate asupra unui scenariu de risc este calculat riscul rezidual.

Principalele funcționalități ale aplicației COBRA:

• Registrul Activelor Informatice: sisteme, software, hardware, date, rețele, personal, facilități.
• Documentarea proceselor și corelarea acestora cu resursele din registrul activelor informatice.
• Definirea scenariilor de risc: selectarea vulnerabilității, a amenințării, probabilitate, impact, C/I/A, completare automată a scenariului de risc, calculul riscului inerent.
• Tratarea riscului: propunerea automată a măsurilor de reducere a riscului, calcului eficacității măsurilor de securitate, calcului riscului rezidual.
• Documentarea constatărilor și a recomandărilor, a răspunsului managementului, a planului de acțiune, termenul de implementare și persoana responsabilă.
• Documentarea constatărilor și a recomandărilor, a răspunsului managementui, a planului de acțiune, termenul de implementare și persoana responsabilă.

Diagrama de risc, scenariile, probabilitatea și impactul acestor scenarii de risc, măsurile aplicate pentru reducerea acestor riscuri, eficacitatea acestora, valoarea riscului reziduală rezultată după aplicarea acestor măsuri sunt generate automat de aplicație.

Și pentru că testarea măsurilor de securitate, auditul periodic, sunt etape esențiale în procesul de management al riscului, aplicația oferă posibilitatea definirii testelor de audit pentru fiecare măsură din plan de tratarea riscului. Dovezile de audit pot fi și ele încărcate în platformă în cadrul fiecărui test și astfel atât ofițerul de securitate, cel de conformitate cât și managementul pot avea o imagine completă, corectă și transparentă a întregului proces de management al riscului din organizație.