ANALIZA RISCULUI - METODA MEHARI

ANALIZA RISCULUI - METODA MEHARI

ANALIZA RISCULUI IN DOMENIUL ORGANIZARII SECURITATII

Societatea are la nivelul organizarii domeniului securitatii un risc de 2.6667, adica un risc mediu. Aceasta se datoreaza faptului ca domeniul securitatii este foarte bine acoperit in ceea ce priveste personalul de specialitate, astfel: exista un IT Manager la nivel de companie (sediul central din Bucuresti) ,un specialist IT la punctul de lucru Turda, iar pentru securitatea generala la locul de munca exista un Safety Manager. Aceste aspecte sunt intregite de adoptarea unei politici de securitate in conformitate cu doctrina impusa de grupul din care face parte compania Rigips (Saint - Gobain).

ANALIZA RISCULUI IN DOMENIUL CONTROLULUI ACCESULUI

Societatea are la nivelul domeniului controlului accesului un risc de , adica un risc mediu spre ridicat. Acesta este cauzat de faptul ca nu exista camere de filmat care sa monitorizeze accesul in companiei, si care la randul lor sa fie in permanenta sub observatie. IT Managerul cu care s-a discutat considera suficiente sistemul de acces impeuna cu serviciile companiei de paza si protectie.

ANALIZA RISCULUI IN DOMENIUL SECURITATII FIZICE

Societatea are la nivelul domeniului securitatii fizice un risc de , adica un risc mediu. Aceasta se datoreaza faptului ca accesul la spatiile vulnerabile din punct de vedere IT este foarte bine coordonata, astfel ca in compania auditata exista o camera a serverelor si a componentelor hardware si materialelor software, cu accesul restrictionat doar pentru personalul IT; exista de asemenea si un seif folosit de departamentul IT in scopul depozitarii suporturilor media ce contin date condifentiale si importante.

ANALIZA RISCULUI IN DOMENIUL RETEI EXTERNE

Societatea are la nivelul domeniului arhitecturii retelei externe un risc de , adica un risc mediu. Acesta este cauzat de faptul ca nu se garanteaza ca sistemul de control este actualizat in timp real, deoarece exista utilizatori care folosesti conturi de autenficare ale altor persoane, care nu mai sunt angajati in companie; din diverse motive, necunoscute inca, nu s-a revocat conturile si nu s-au creat conturi noi pentru actualii utilizatori.

ANALIZA RISCULUI IN DOMENIUL RETELEI LOCALE

Societatea are la nivelul domeniului arhitecturii retelei locale un risc de , adica un risc mediu. Acesta se datoreaza faptului ca exista un plan de back-up bine stabilit: backup-ul se realizeaza saptmanal pentru fiecare utilizator in parte, in fiecare zi de joi a saptmanii. In caz ca nu se realizeaza operatiunea de back-up pentru un utilizator din diferite motive (are laptop si este plecat in delegatie, acesta trebuie sa contacteze urgent IT Manager pentru derularea operatiunii la intoarcere.

ANALIZA RISCULUI IN DOMENIUL OPERATIILOR EFECTUATE IN RETEA

Societatea are la nivelul operatiilor efectuate in retea un risc de , adica un risc mediu. Acesta este cauzat de faptul ca in cadrul companiei audiate nu exista mecanisme automatizate care sa verifice sistematic datele transmise prin reteaua de telefonie; exista in schimb monitorizare stricta asupra accesului la internet pentru fiecare utilizator in parte, in fiecare zi de lucru.

ANALIZA RISCULUI IN DOMENIUL SECURITATII ARHITECTURII SISTEMULUI

Societatea are la nivelul domeniului securitatii arhitecturii sistemului un risc de , adica un risc scazut. Acesta se datoreaza faptului ca procesul de atribuire sau modificare a conturilor utilizatorilor respecta o serie de reguli care asigura validitatea intrinseca a acestora, iar in cazul unor multiple greseli de autentificare, exista un proces automat care nevalideaza pentru 30 de minute utilizatorul respectiv

ANALIZA RISCULUI IN DOMENIUL MEDIULUI IT DE PRODUCTIE

Societatea are la nivelul domeniului mediului IT de productie un risc de , adica un risc mediu. Acesta este cauzat de faptul ca birourile Rigips Romania sunt organizate in formatul open - space. Spre exemplu, imprimanta este situate de asemenea in spatiu deschis, ceea ce determina prezenta riscurilor de deturnare a documentelor importante in cursul elaborarii sau in asteptarea distributiei.

ANALIZA RISCULUI IN DOMENIUL SECURITATII APLICATIILOR

Societatea are la nivelul domeniului securitatii aplicatiilor un risc de , adica un risc mediu. Acesta se datoreaza faptului ca in compania auditata, este adoptata o politica foarte stricta in ceea ce priveste drepturile de acces/ autorizatiile utilizatorilor. Se urmareste evitarea unor roluri care sa cuprinda autorizatii la tranzactii complementare, cu ajutorul carora pot fi efectuate fraude; de exemplu, persoana care faca plati prin banca nu trebuie sa aiba si autorizatia de a inregistra facturi in system; solicitarea de autorizatii este efectuata la angajare, cand se atribuie noului utilizator un "rol" de autorizatii si drepturi, atribuite avand la baza o analiza cerintelor de securitate.

ANALIZA RISCULUI IN DOMENIUL SECURITATII APLICARII PROIECTELOR SI A DEZVOLTARII

Societatea are la nivelul domeniului securitatii aplicarii proiectelor si dezvoltarii un risc de , adica un risc scazut. Acesta se datoreaza faptului ca toate aplicatiile complementare sistemului contabil SAP, mai exact soft-urile MULTIX is MULTICASH prin care se fac operatiuni de trezorerie beneficiaza de suport tehnic in orice moment al zilei, care asigura asistenta telefonica rapida si competenta; de aceeasi asistenta au parte si angajatii Rigips Romania in orice moment al zilei din partea IT Manager si IT Specialist

ANALIZA RISCULUI IN DOMENIUL SECURITATII DESFASURARII ACTIVITATII

Societatea are la nivelul domeniului desfasurarii activitatii un risc de 1.3333, adica un risc scazut. Acesta se datoreaza faptului ca nu exista un departament responsabil cu arhivarea sau o persoana responsabila cu acest lucru, ci se apeleaza anual la serviciile unei firme specializata in arhivarea documentelor, pentru toate departamentele companiei; prin externalizarea acestui departament, se considera ca se asigura un risc mai scazut in domeniul acesta, decat in cazul delagarii interne a unor astfel de responsabilitati.

12. ANALIZA RISCULUI IN DOMENIUL SECURITATII LEGISLATIVE

Societatea are la nivelul domeniului securitatii legislative un risc de 2.400, adica un risc mediu. Acesta este cauzat de faptul ca nu exista o politica de protectie a datelor personale adresata angajatilor; exista in schimb o referire la protectia datelor personale legate de parole/ conturi de utilizatori in politica de securitate

ANALIZA RISCULUI IT LA NIVELUL COMPANIEI

Societatea are la nivel general un risc de 2.6948, considerat un risc mediu.

Acesta se datoreaza faptului ca domeniul securitatii este foarte bine reprezentat in compania Rigips, atat in ceea ce priveste personalul de specialitate, cat si de adoptarea unei politici de securitate in conformitate cu doctrina impusa de grupul din care face parte compania Rigips (Saint - Gobain); exista un plan de back-up al datelor respectat cu strictete de toti angajatii. Compania mai are puncte slabe in ceea ce priveste adaptarea la un spatiu de lucru deschis ( se puncteaza ca firma s-a mutat de doar o luna intr-un nou sediu, cu organizare open - space).