Risk management plan - Librăria Cărturești

Întrucât organizațiile încep proiecte noi, ele încep să opereze într-o zonă de incertitudine care vine în același timp cu dezvoltarea de produse și servicii noi și unice.

Procedând astfel, aceste organizații își asumă șanse, ceea ce înseamnă riscri, în dezvoltarea oricărui proiect.

Scopul planului de gestionare a riscurilor este stabilirea cadrului în care echipa de proiect va identifica riscurile și va elabora strategii de atenuare sau evitare a acestor riscuri.

Cu toate acestea, înainte de identificarea și gestionarea riscurilor, există elemente preliminare ale proiectului care trebuie finalizate.

Aceste elemente sunt prezentate în abordarea managementului riscului.

Acest proiect este considerat un proiect cu risc mediu deoarece are un scor general de risc de 24 pe o scară de la 0 la 100.

Scorul de risc al proiectului este media scorurilor de risc ale celor mai semnificative riscuri pentru acest proiect.

Un scor de risc mai mic de 16 este un proiect cu risc scăzut, un scor între 16 și 45 este un proiect cu risc mediu și un scor mai mare de 45 este un proiect cu risc ridicat.

Înainte de a începe gestionarea riscurilor, este imperativ ca o fundația să furnizeze informații structurate despre proiect, astfel încât următoarele elemente de proiect au fost finalizate și definite înainte de elaborarea acestui Plan de management al riscului:

- Se definește domeniul de activitate: Comert cu amanuntul al cartilor in magazine specializate. Libraria este un concept-store, deci teoretic vizeaza aceiasi clienti.

o Elaborarea programului general și a programelor detaliate: Programul general va consta in diminuarea preturilor, oferirea de reduceri, tinand cont ca libraria Carturesti nu ofera aceste reduceri, iar programul detaliat tine de scutirea costurilor de transport pentru comenzi in valoare de peste 300 lei

o Estimarea costul proiectului și finalizarea bugetului: 4500 ron

Managementul Vulnerabilităților este un proces prin care, pe baza riscului și costurilor asociate determinăm dacă vulnerabilitățile cu care ne putem confrunta trebuie îndepărtate, atenuate sau chiar tolerate. După stabilirea vulnerabilităților începe procesul de prevenție prin folosirea unei analize de risc care aparține de Managementul Vulnerabilităților.

- Această analiză conține următoarele procese:

- Identificarea tuturor bunurilor ( calculatoare, date etc.) ;

- Identificarea vulnerabilităților fiecărui bun;

- Analiza impactului acestor vulnerabilități;

- Prioritizarea amenințărilor;

- Identificarea tehnicii de protejare;

- Evaluarea riscurilor reziduale.

De asemenea, există mai multe tipuri de analiză.

- Calitativă prin care se stabilește tehnica de diminuare (mitigation) a riscului fără a calcula efectiv costurile.

Risk = Probabilitate x Pierdere

- Cantitativă prin care se calculează costul pentru fiecare risc și ce pierderi poate aduce acesta.

Așteptarea de pierdere unică (APU) = valoarea bunului ($) x factorul de expunere (%)

După calcularea așteptării de pierdere unică putem calcula:

Așteptarea de pierdere anuală = APU x rata anuală de apariție

În concluzie, de îndată ce au fost identificate și ierarhizate amenințările, se va decide ce trebuie făcut pentru gestionarea acestor riscuri.

CELE 3 RISCURI MAJORE

Primele trei riscuri înalte și riscuri ridicate pentru acest proiect sunt:

Vulnerabiliatatea datelor

In cazul in care pagina Carturesti online ar fi una vulnerabila îi poate permite unui atacator să exploateze întreaga gamă de privilegii ale aplicației. Astfel, Carturesti reprezintă un vector potențial pentru declanșarea unui atac de securitate la ecosistemele în care sunt integrate.

Întârziere în livrarea echipamentulul serverului

Datorită întârzierii de producție a producătorului, serverele nu sunt disponibile pentru testarea aplicațiilor la scară largă, ceea ce determină o întârziere în planificarea proiectului.

Managerul de proiect va atenua acest risc prin utilizarea de servere din centrul de date de rezervă, dacă este necesar.

Lipsa reducerilor, avantaj pentru concurenta

Din cauza faptului ca libraria Carturesti nu ofera reduceri la articolele pe care le ofera spre vanzare, concurenta va inainta in spre varful liderilor de piata. Aceasta este un risc destul de mare, deoarece libraria Carturesti a investit foarte mult pentru a devein un concept, dar pierde din cauza igonarii acestui aspect.

ABORDAREA MANAGEMENTULUI RISCULUI

Gestionarea riscurilor acestui proiect a inclus un proces metodic prin care echipa de proiect a identificat, marcat și clasificat diferitele riscuri. Acest proces consta in definirea cerințelor tehnice ale unei aplicatii, definirea arhitecturii acesteia, identificarea riscurilor în ceea ce privește confidențialitatea, disponibilitatea și integritatea și actualizarea continuă a modelului de evaluare a riscului pe baza problemelor de securitate emergente. Realizarea acestor pași, în vederea dezvoltării unui model de evaluare a riscului, necesită o înțelegere mai profundă cerințelor tehnice ale aplicației, a arhitecturii și a studiilor de caz, aspecte pe care furnizorul de librării nu le deține. Prin urmare, dezvoltarea unui model de evaluare a riscului pentru libraria Carturesti este o provocare. Riscurile care derivă din înlănțuirea sau moștenirea vulnerabilităților sunt parte componentă a unei aplicații și nu sunt supuse modelului de evaluare a riscului. Dezvoltarea unor instrumente sau mecanisme de protecție în API- urile pentru Carturesti precum validarea inputului, pot fi considerate drept o responsabilitate a aplicației, care, la rândul ei, mărește suprafața/oportunitățile de atac.

Managerii de risc vor furniza, în cadrul întâlnirilor bianuale ale echipei de proiect, actualizări de stare privind riscurile atribuite.

La finalizarea proiectului, managerul de proiect va analiza fiecare risc, precum și procesul de gestionare a riscurilor.

IDENTIFICAREA RISCULUI

Pentru acest proiect, identificarea riscurilor de vulnerabilitate a datelor de pe siteul online al librariei Carturesti a fost efectuată în cadrul întâlnirii inițiale de evaluare a riscului pentru proiect.

Vulnerabilitățile în domeniul securității informatice pot fi împărțite în mai multe categorii: tehnice, legate de procedurile de acces ale angajaților în sistemele IT, organizatorice sau erori umane.