COBRA (COntrols Based on Risk Assessment) este o aplicație dezvoltata de ing. Florin-Mihai Iliescu,CISA,CISSP,CEH, pentru modelarea analizelor de risc și totodată pentru a urmări implementarea anumitor cerințe legale ce impun adoptarea unor controale specifice, sau a unor măsuri de securitate. Instrumentul este destinat profesioniștilor, ofițeri de risc, ofițeri de securitate, auditori de sisteme informatice, directori executivi ai companiilor ce trebuie să dezvolte analize de risc, să urmărească implementarea măsurilor de securitate, să asigure conformarea cu anumite cerințe legale de securitate și control.
Analiza de risc modelează relația între factorii de amenințare, amenințări, active vulnerabile, scenariile prin care amenințările pot compromite aceste active, probabilitatea ca aceste scenarii să rezulte în pierderi pentru companie, valoarea acestor pierderi. Se obține astfel o valoare inerentă a riscului în funcție de probabilitate și impact. Pentru tratarea acestui risc trebuie adoptate o serie de măsuri care vor reduce în funcție de eficacitatea acestora riscul inerent. În plus, o serie de riscuri pot apărea ca urmare a neadoptării unor reglementări specifice.
COBRA menține un inventar al activelor grupate pe categorii: Hardware, Software, Informații, Oameni, Locații. Propune pentru fiecare resursă lista de amenințări specifice în funcție de categoria în care a fost definită. Propune lista de măsuri de securitate ce trebuie adoptate în conformitate cu un anumit standard sau reglementare. Modelarea analizei de risc este astfel mult simplificată, gestionată centralizat în baza de date a aplicației. Utilizatorului nu trebuie decât să asocieze amenințările cu fiecare resursă, rezultând scenariile de risc. Riscurile sunt tratate prin asocierea măsurilor din bibliotecile predefinite oferite de Cobra. Utilizatorul are însă și posibilitatea să adauge noi amenințări, sau să definească propriile biblioteci de controale. Aplicația calculează automat nivelul de risc rezidual pe baza riscului inerent, a maturității și eficacității măsurilor de securitate. Riscul rezidual poate fi ușor actualizat dacă în urma unui audit se constată că maturitatea sau eficacitatea unei măsuri nu a fost apreciată corect în faza de analiză. Printr-un singur panou de analiză, COBRA permite modelarea și analizarea relației Resurse - Amenințări - Riscuri - Măsuri - Valoare Risc Rezidual.
Organizarea Analizelor de Risc
Organizarea analizelor de risc este făcută la nivel de proiect/companie și sistem/proces analizat. Un proiect grupeaza mai multe sisteme/procese care la rândul lor conțin o colecție de resurese grupate in categorii. Accesul este permis pe baza drepturilor acordate pentru fiecare proiect și sistem în parte. Rolurile asociate fiecărui utilizator stabilesc acțiunile permise la nivelul fiecărui sistem / analiză de risc.
Definirea Resurselor și Identificarea Amenințărilor
Resursele sunt grupate în categorii pentru care aplicatia propune o listă de amenințări specifice. Utilizatorul are posibilitatea să defineasca pentru fiecare resursă informațiile necesare în documentarea corectă a scenariului de risc, cum ar fi rolul și caracteristicile fiecărei resurse și valoarea resursei.
Definirea Riscurilor
Riscul reprezinta un eveniment cu un potential negativ care rezulta din materializarea unei amenintari asupra unei resurse vulnerabile. Gruparea resurselor in categorii de resurse pentru care sunt propuse doar amenintari specifice, cum ar fi malware pentru software sau furt pentru hardware ajuta utilizatorul in tratarea rapida a riscurilor importante. Utilizatorul are insa si posibilitatea sa adauge si amenintari noi daca nu este confortabil cu lista propusa de aplicatie sau sa editeze amenintarile existente. Riscul este calculat automat ca un produs cartezian intre probabilitate si impact, rezultand o valoare de la 1-10.
Pentru fiecare resursa se pot adauga mai multe riscuri, acestea fiind afisate in lista de riscuri asociata.
Tratarea Riscurilor
Riscurile inerente sunt reduse la un nivel minim prin aplicarea unui plan de măsuri. Acest proces laborios este mult ușurat de COBRA, aplicația furnizând o biblioteca de controale/măsuri organizată în standarde și reglementări. Utilizatorul alege masură pe care dorește să o aplice, apreciază capacitatea acesteia în reducerea riscului inerent, rezultând astfel o valoare reziduală a riscului. Eficacitatea măsurii este ponderată cu nivelul de maturitate. Pentru apreciarea maturiății este folosit modelul CMMI adoptat si de ISACA in COBIT.
Pentru un risc se pot adauga mai multe măsuri până când se atinge un nivel de risc rezidual acceptabil sau sunt implementate toate cerintele legale pentru care organizația trebuie să raspundă un plan de implementare.
Raportarea în Timp a Riscurilor Reziduale
Riscul rezidual este calculat in functie de setul de masuri asociate, riscul inerent fiind diminuat de eficacitatea acestor masuri. In situatia in care unele masuri nu sunt inca implementate utilizatorul are posibilitatea sa specifice data de la care vor produce efecte in calculul riscului rezidual. De asemenea va putea indica si termenul limita pana la care aceste masuri trebuie revizuite de responsabilul cu implementarea masurii. Selectand o data de referinta se vor putea vizualiza valorile riscului rezidual calculate cu masurile existente la acea data.