marți, 23 iulie 2013

Metoda MEHARI


Metodologia MEHARI [1]a fost proiectată inițial şi este actualizată în permanenţă pentru a asista  experţii în analiza unor metodologii noi de audit, în evaluarea riscurilor pe care astfel de metode le pot introduce  pe principiul scenariului Best case-Worst case, cît şi în gestionarea sarcinilor de securitate a informaţiilor.
O descriere mai detaliată a metodologiei si a uneltelor asociate este prevăzută în alte documente disponibile la Clusif, in special:
• MEHARI: Concepte și Specificații funcționale,
• MEHARI: Ghiduri pentru:
-o analiza a mizelor sistemelor de auditare și clasificare,
-o evaluarea serviciilor de securitate și
-o analiza riscului,
• MEHARI: Manual de referință al serviciilor de securitate,
• MEHARI cunoștințe de bază
Principalul obiectiv al MEHARI este de a furniza o evaluare a riscurilor și o metodă de gestiune a acestora, specifice domeniului auditării fluxurilor informaţionale referitoare la calitate din diverse documente , conforme cu cerințele ISO 9001, ISO 9001 IWA 2,  ISO/IEC 27005:2008 și oferind setul de unelte si elemente necesare pentru impementarea sa.
Obiectivele suplimentare sunt:
-Să permită o analiză directă si individuală a situațiilor de risc descrise de scenarii,
-Să ofere un set complet de instrumente special concepute pentru managementul securitații pe termen scurt, mediu si lung, adaptabile la diferite niveluri de maturitate si tipuri de acțiuni considerate.
Intr-adevăr, MEHARI furnizează o metodologie consistentă, cu baze de 
cunoștințe, pentru a veni în ajutor experţilor în audit,  personalului managerial cu funcţii de răspundere, directorilor generali si managerilor de securitate sau altor persoane implicate în reducerea riscurilor, în diferitele lor sarcini și acțiuni.
MEHARI este mai presus de toate o metodă de auditare pentru sistemele de auditare, de evaluare si management a riscului.
In practică, aceasta înseamnă că MEHARI si bazele sale de cunoștințe asociate au fost concepute pentru o analiză precisă a situațiilor de risc descrise prin scenarii.
În termeni de zi cu zi, managementul securitații este o funcție sau activitate care evoluează în lungul timpului. Acțiunile corective sunt diferite in funcție de faptul dacă organizația a făcut ceva vag in domeniu sau – dimpotrivă – a facut investiții substanțiale in ceea ce privește timpul si efortul. În parcurgerea primilor paşi în stabilirea unor sisteme de auditare a calităţii   este fără îndoială recomandabil să se ţină seama de starea măsurilor de securitate existente si politicilor organizației, și să se compare cu cele mai bune practici, pentru a clarifica golul care trebuie umplut.
În urma acestei evaluări a stării şi a deciziei de a implementa securitatea organizaţională,acţiuni concrete vor trebui să fie decise. Astfel de decizii, care vor fi grupate de obicei în planuri, reguli corporatiste, politici sau de un cadru de referinţă al securitații, ar trebui să se facă cu ajutorul unei abordări structurate. Aceasta abordare se poate baza pe analiza riscului,așa cum este solicitat de documentul cadru-ISO 31.000, ISO/IEC 27001 ca parte a ISMS (Sistemul de Management al Securitații Informaționale)-standard necesar dacă vorbim despre servicii furnizate în regim on-line  precum şi de alte documente specifice. 
În acest stadiu, este adevărat că, fără a menţiona în mod deosebit analiza riscului, trebuie adresată problema mizelor implicate. Destul de des, indiferent de modul în care a fost luată decizia, persoana căreia îi aparţine decizia finală pentru alocarea resurselor corespunzătoare va pune fără îndoială întrebarea: ”este acest lucru cu adevărat necesar?”. Din cauza lipsei unei evaluări preliminare a - şi a unui consimţământ general asupra - mizelor implicate, multe proiecte de securitate sunt abandonate sau amânate.Mizele- în concepţia Mehari- pot fi asimilate atingerii obiectivelor propuse de către serviciile  specifice unității economice.
MEHARI este fondat pe principiul că uneltele necesare fiecărui stadiu de dezvoltare a sistemelor de auditare a calităţii şi securitații trebuie sa fie consecvente. Prin aceasta se întelege că orice rezultate generate la un anumit stadiu trebuie sa fie reutilizabile mai târziu de către alte unelte sau oriunde altundeva in organizație.
Diferitele unelte şi module ale setului de metodologie MEHARI, concepute pentru a însoţi o analiză directă și individuală a riscului, pot fi folosite separat una de cealaltă la orice pas al dezvoltării  sistemelor de auditare ale calităţii şi securităţii, folosind diferite abordări ale managementului, şi garantează o consecvenţă a deciziilor rezultate.
Toate aceste unelte și module – descrise pe scurt mai sus – alcătuiesc o metodă consecventă de evaluare a riscului împreună cu uneltele ajutătoare necesare și module pentru analiza mizelor si de control a calitații  serviciuilui educaţional furnizat, a măsurilor de securitate, etc.

Pentru mai mult de 15 ani, MEHARI a furnizat o abordare structurată de evaluare a riscului,bazată pe câteva principii simple.
O situație de risc poate fi caracterizată de diverși factori:
Factori structurali (sau organizaționali), care nu depind de măsurile de securitate, ci de activitatea de bază a organizației ,, de mediul său și de contextul acesteia.
Factori de reducere a riscului care reprezintă o funcție directă a măsurilor de securitate implementate.
Abordarea oferită de MEHARI se bazează pe o baza de cunoștințe cu situații de risc si pe proceduri automatizate pentru evaluarea factorilor ce caracterizează fiecare risc si care permit aprecierea nivelului acestora. Mai mult decât atât, metoda oferă asistență pentru selecția planurilor de mitigare și management de risc  adecvate.

Analiza spontană a situațiilor de risc


În unele moduri de pilotarea  dezvoltării nivelului de calitate și securitate al unității economice  în mod supervizat, pas cu pas pe baza feedback-ului furnizat în mod continuu  vor exista adesea cazuri specifice unde regulile nu pot fi aplicate. Analiza spontană a riscului poate fi utilizată pentru a decide cum este cel mai bine sa se procedeze.

Analiza riscului în proiecte  noi

Modelul și mecanismele de analiză a riscului pot fi folosite şi în managementul proiectelor  noi, care urmează a fi lansate de către unitatea economică pentru
a planifica împotriva riscului și pentru a decide ce măsuri ar trebui utilizate ca urmare a respectivei analize.


Evaluarea şi analiza vulnerabilităţii, un element prioritar de analiză a riscului

MEHARI furnizează un model structurat de risc care ia în considerare ”factorii de reducere a riscului”, sub forma serviciilor de securitate.având deja disponibile modele ale vulnerabilităţii prezumate (PVM-Presumed Vulnerability Models) pentru diferite tipuri de servicii.
Evaluarea rezultată a vulnerabilității va reprezenta, prin urmare, o contribuție importantă în analiza riscului, asigurând faptul că serviciile de asigurare a calităţii-AQ- precum şi serviciile de securitate își îndeplinesc într-adevăr rolul – un punct esențial pentru credibilitatea și fiabilitatea analizei riscului.
Un punct forte esențial al MEHARI este capacitatea sa de a evalua atât nivelul curent de risc, cât și nivelul viitor bazându-se pe o bază de cunoștințe expert fie de evaluare a nivelul de calitate, fie de operare sau decizie.

O posibilă abordare constă în dezvoltarea de planuri de acțiune direct ca urmare a evaluării stării  de securitate.
Procesul de management a securității care urmeaza această abordare este extrem de simplu:se rulează o evaluare si se decide să îmbunătățească toate acele servicii care nu au un nivel de calitate/securitate suficient.
Chestionarele de diagnosticare MEHARI pot fi utilizate în această abordare.
O analiză preliminară a mizelor manageriale   ar trebui să fie planificată, de asemenea, pentru a oferi astfel o legătură către acest modul al MEHARI. Analiza mizelor permite constatarea nivelurilor de calitate necesare pentru serviciile de securitate relevante și, în consecință, ca ceilalți factori să fie ignorați în calitate de parte a evaluării.

Baza de cunoștințe unică MEHARI poate fi utilizată în mod direct pentru a crea un cadru de referință al  calităţii şi securității (sau politici de calitate-securitate-cunoscute şi sub numele de QalSafe- de la Quality and Safety Procedures)) care să conțină și să descrie setul de reguli de securitate și instrucțiuni pe care întreprinderea sau organizația le va urmări.
Acesta ar fi, în mod tipic, cazul organizaţiilor  multinaționale mari cu un număr de filiale; dar se aplică la fel de ușor organizaţiilor  de dimensiuni medii cu un număr mare de sucursale sau agenții regionale. În astfel de cazuri, este efectiv dificil să se efectueze numeroase evaluări sau analize de risc.

Gestionarea excepțiilor de la reguli

Crearea unui set de reguli, prin intermediul unui cadru de referință al calităţii şi securității, de multe ori vine împotriva dificultăților locale de implementare; așadar, derogările și excepțiile de la reguli trebuie gestionate.
Utilizarea unei baze de cunoștințe coerentă, cu un set consistent de instrumente și
metodologie analitică, oferă posibilitatea ca divergențele locale să fie gestionate. Cererile pentru excepții pot fi incluse într-o analiză specifică a riscului, axată pe dificultatea identificată.

ANALIZA MIZELOR DE CALITATE ŞI SECURITATE

 QALSAFE  se referă în principal  la protejarea activelor. Indiferent de orientările politicii de calitate şi securitate, există un principiu asupra căruia toţi managerii sunt de acord; că trebuie să existe un echilibru doar între investiţiile în calitate şi securitate pe de o parte, în special în ceea ce priveşte serviciile   şi importanţa mizelor de afaceri relevante.
Aceasta înseamnă că o înţelegere corespunzătoare a mizelor de afaceri este fundamentală, şi că o analiză a mizelor de calitate şi securitate merită un nivel de prioritate înalt şi o metodă strictă şi structurată de evaluare.
Scopul analizei mizelor de calitate securitate este de a răspunde la două întrebări:
-Ce s-ar putea întâmpla negativ din punct de vedere al calităţii şi securităţii serviciului  furnizat ?
-Dacă se produce un eveniment neprevăzut în funcţionarea acestui serviciu, eveniment care conduce la scăderea temporară sau permanentă a nivelului de calitate şi securitate furnizat de către serviciu, , ar fi el serios?"
Acest lucru arată că, în domeniul QALSAFE, mizele sunt văzute ca fiind consecinţele evenimentelor care deranjează operaţiunile planificate ale organizaţiei .
MEHARI oferă un modul de analiză a mizelor, descris în MEHARI: Analiza mizelor şi clasificare, care produce două tipuri de rezultate:
• O scală a defecțiunilor posibile
• O clasificare a cunoştinţelor legate de riscuri, mai ales în ceea ce privește riscurile informaționale;

Scala defectiunilor

Identificarea defecţiunilor sau a evenimentelor potenţiale este un proces care începe cu activităţile organizaţiei  şi constă în identificarea posibilelor evenimente neprevăzute, probleme de calitate şi defecţiuni din procesele  operaţionale. Aceasta va duce la:

• O descriere a tipurilor de defecţiuni posibile

• O definiţie a parametrilor care influenţează gravitatea fiecărei defecţiuni

• O evaluare a pragurilor critice a acelor parametri care schimbă nivelul de gravitate al defecţiunii.

Acest set de rezultate constituie o scară de valori a defecţiunilor.


Analizarea mizelor, baza pentru o analiză a riscului

Atunci când ai imaginea activelor unității care pot fi afectate de risc ai și imaginea a ce se poate întâmpla în cel mai rău caz- când riscurile acționează în mod compus și la intensitate maximă.
În mod clar, acest modul este un element cheie în analiza riscului.Fără un acord comun asupra consecinţelor defecţiunilor potenţiale, nici o hotărâre privind nivelurile de risc nu poate fi adoptată.
MEHARI prezintă o metodă riguroasă de evaluare a mizelor şi clasificare a activelor, care oferă rezultate obiective şi raţionale.
Evident, analizarea mizelor este necesară pentru punerea în aplicare orice formă de plan de securitate.Efectiv, orice abordare este folosită, la un moment dat, înseamnă ca vor  trebui să fie alocate resurse pentru punerea în aplicare a planurilor de acţiune, şi inevitabil, justificarea pentru astfel de investiţii va atârna în balanță. Foarte mulți manageri de top care n-au o imagine clară a ce se petrece la nivelul locurilor de muncă se întreabă ”De ce să investesc ?” 
Mijloacele şi fondurile care vor fi alocate pentru calitate şi securitate  sunt, ca şi pentru poliţele de asigurare, direct proporţionale  cu riscul ; în cazul în care nu există un acord comun asupra potenţialului defecţiunilor, atunci este foarte puţin probabil ca bugetele vor fi alocate.
 Procesul de analiză a mizelor de securitate, care necesită în mod evident contribuţia managerilor operaţionali, de foarte multe ori duce la nevoia de acţiune imediată.Experienţa arată că, atunci când managementul operaţional de top a fost intervievat,indiferent de mărimea organizaţiei, şi-a explicat punctul de vedere fără să ia în considerare estimarea de defecţiuni grave, iar apariția acestora conduce la nevoi de securitate pe care aceştia nu le-au considerat anterior şi care necesită răspunsuri rapide.



MEHARI este un set consistent de instrumente şi caracteristici metodologice pentru managementul securităţii si măsurilor asociate, pe baza unei analize de risc exacte. Aspectele  fundamentale MEHARI:

• modelul său de risc (calitativ şi cantitativ),
• luarea în considerare a eficienţei măsurilor de securitate în loc sau planificate,
• capacitatea de a evalua şi simula nivelurile de risc rezidual care rezultă din măsuri suplimentare, 
sunt completari obligatorii la cerinţele ISO 9001 IWA 2, ISO 31.000, ISO / IEC 27000 şi, a seriei de standarde ISO / IEC 27005.


MEHARI oferă eficiente elemente detaliate care pot fi folosite pentru a construi un cadru de securitate şi poate fi comparat cu ISO / IEC 27002.
La acest punct, este clar că acoperirea MEHARI este mai largă decât cea a ISO, şi acoperă aspecte esenţiale ale calităţii şi securităţii nu doar a sistemelor informationale ci şi pentru sisteme foarte specifice, cum ar fi cele de e-learning, e-training şi a serviciilor IDD în general.
Abordarea MEHARI este complet compatibilă cu ISO 9001 IWA 2, ISO 31.000 şi  cu ISO 27002 deoarece, în timp ce ele nu au aceleaşi obiective declarate, este relativ uşor să se reprezinte rezultatele unei analize MEHARI în ceea ce priveşte indicatorii ISO.
MEHARI răspunde la necesitatea, exprimată în standarde, pentru
o analiză a calităţii şi a riscului pentru a defini măsurile care ar trebui să fie puse în aplicare.

Punctele de control standard sau cele mai bune practici ale ISO sunt în general
comportamentale sau organizaţionale, în timp ce MEHARI, în plus faţă de ei, subliniază necesitatea unor măsuri a căror eficienţă poate fi garantată.
În ciuda acestor diferente, revizuirea vulnerabilităţii MEHARI oferă tabele de corespondenţă pentru a afişa indicatorii aliniati cu ISO utilizabile pentru cei care au nevoie de a dovedi conformitatea lor cu acest standard.
Merită menţionat aici despre chestionarele Mehari de audit care au fost concepute şi constituite astfel încât să permită managerilor operaţionali sa ruleze revizuiri ale vulnerabilitatii şi a deduce capacitatea fiecărui serviciu de securitate pentru a reduce aceste riscuri.


MEHARI poate fi integrat cu ușurință in procesele PDCA (Planifică – Execută – Verifică –Acționează) după cum se menționează în standardele ISO/IEC referitoare la procesele manageriale, în special faza
PLANIFICĂ” (§4.2.1). Mehari acoperă în totalitate descrierea sarcinilor care permit crearea bazelor ISMS.

Pentru faza EXECUTĂ” (§4.2.2) , care urmărește sa implementeze și să administreze ISMSul, Mehari oferă elemente de început folositoare, precum construirea planurilor pentru managementul riscului, cu prioritizare direct legată de clasificarea riscului și măsurarea progresului în timpul de utilizare al acestora.

Pentru faza VERIFICĂ” (§4.2.3) , Mehari oferă elemente care permit evaluarea riscurilor reziduale și a progreselor realizate în măsurile de securitate. În plus, orice schimbări ale mediului (mizele, amenințările, soluțiile și organizarea) pot fi reevaluate cu ușurință de auditurile vizate care folosesc rezultatele auditului Mehari inițial. Astfel, planurile de securitate pot fi revizuite si pot evolua în timp.

Pentru faza ”ACȚIONEAZĂ” (§4.2.4), Mehari necesită implicit controale și îmbunătăţire continuă a securității, asigurând astfel că obiectivele de reducere a riscurilor sunt îndeplinite. În aceste trei faze, cât timp Mehari nu se află în centrul proceselor, are o mare contribuție la execuția lor și le asigură eficiența.

Compatibilitatea cu standardul ISO/IEC 27005:2008

Cadrul stabilit de acest  standard este pe deplin aplicabil modului în care Mehari permite gestionarea riscului, de exemplu:
• Procesele pentru analiza, evaluarea și tratamentul riscului (preluate din ISO 13335)
• Identificarea activelor primare și de sprijin plus nivelurile de clasificare atașate
acestora, urmărind analiza mizelor
• Identificarea amenințărilor incluzând nivelul lor (expunere naturală) pentru care Mehari este mai precis în descrierea scenariilor de risc.
• Identificarea și cuantificarea eficienței măsurilor (sau controalelor) de securitate în reducerea vulnerabilităților
• Combinația acestor elemente pentru evaluarea nivelului de gravitate a scenariilor de risc, pe o scară cu 4 niveluri.
• Abilitatea de a selecta în mod direct măsurile de securitate necesare pentru planurile de reducere a riscului.
Prin urmare, MEHARI nu este doar integrat cu ușurință într-un proces ISMS, așa cum e promovat de ISO 27001, ci se și conformă în totalitate cu cerințele ISO 27005 în legătură cu o metodă de management a riscului.






[1] Metoda MEHARI-CLUSIF 2011

Niciun comentariu: