Organizacje w sektorze publicznym jak i prywatnym polegają na IT, aby z powodzeniem osiągać wyznaczone cele. Systemy informatyczne są przedmiotem poważnych zagrożeń, które mogą mieć negatywny wpływ na organizacje. Dlatego konieczne jest, aby liderzy i menedżerowie wszystkich szczebli zrozumieli swoje obowiązki i odpowiedzialność za zarządzanie ryzykiem bezpieczeństwa informacji, to znaczy z ryzykiem związanym z eksploatacją i użytkowaniem systemów informatycznych wspierających misje i funkcje biznesowe.

Ocena ryzyka

Ocena ryzyka znana jest również jako analiza ryzyka, bądź kalkulacja ryzyka. W tym artykule nazwy te będę stosował zamiennie. Analiza ryzyka powinna być kojarzona z zagrożeniami, podatnościami, wpływem na biznes, czy z możliwością utraty informacji samej w sobie. Podatność (vulnerability) jest to słabość, która może być wykorzystana przez zagrożenie (threat). Każde ryzyko powinno zostać:

  • określone
  • opisane
  • ocenione pod kątem prawdopodobieństwa wysępienia

Najważniejsze jest myślenie „out of the box”. Konwencyjne zagrożenia i ryzyka są często zbyt ograniczone podczas rozważania oceny ryzyka.

Szacować ryzyko możemy ilościowo (bazując na kosztach, obiektywnie) jak i jakościowo (bazując na opinii, subiektywnie).

Metoda jakościowa (qualitative)

W tym przypadku ryzyko (najczęściej bazując na tabeli) jest pokazywane jako jako niskie / średnie / wysokie / krytyczne. 

Wyobraź sobie, że dostałeś zlecenie, aby pomóc firmie, o której wcześniej nie słyszałeś. Ich jedyny serwer uległ awarii pozostawiając ich backupy bezużytecznymi. Na (nie)szczęście na serwerze znajdywały się tylko zdjęcia pracowników robione od początku istnienia firmy. Strata plików nie zaburzyła marki firmy, nie doprowadziła do strat finansowych, ale była bolesna dla pracowników. W przypadku tego scenariusza wpływ (impact) był niski, ale prawdopodobieństwo (likelihood) było wysokie, ponieważ firma nie wykonywała kopii zapasowych.

Po więcej odsyłam do OWASP Risk Rating Metodology

Metoda ilościowa (quantitative)

Ta sama firma miesiąc później ponownie miała awarie, ale tym razem straciła bazę z danymi klientów. Firma bez tych informacji nie może funkcjonować, dlatego dane muszą być odtworzone z archiwum fizycznego – ponownie wpisane do systemu komputerowego. Strata ta może być obliczona za pomocą wartości wyrażonej w pieniądzach i czasie, jakim zajęło wprowadzenie danych do nowej bazy.

Przy metodzie ilościowej wartość ryzyka wyliczamy ze wzoru podanego poniżej.

Jak obliczać ryzyko?

Bardzo ważne jest prioretyzowanie zagrożeń. Część incydentów może mieć większe szanse na wystąpienie niż inne. Czasami zdarzyć się może, że firma niektóre ryzyka może zaakceptować (koszt zapobiegnięcia przewyższa potencjalną szkodę), a inne są katastroficzne w skutkach.

Obliczenia ryzyka

  • ALE, czyli annual loss expectancy. Wartość podawana jako ilość pieniędzy, jakie możemy potencjalnie stracić w ciągu roku.
  • SLE, również wartość pieniężna. Mówi nam ile możemy stracić jednorazowo. SLE (single loss expectancy) może zostać podzielone na dwa komponenty:
    • AV – asset value
    • EF – exposure factor
  • ARO – Annualized rate of accurance. Prawdopodobieństwo z jakim ryzyko występuje w ciągu roku.

Wzór: ALE = SLE * ARO

Przykład

Jesteśmy administratorem aplikacji internetowa, która przynosi firmie 10000 zł przychodu na godzinę. W ciągu roku prawdopodobieństwo, że serwer, na którym stoi aplikacja zostanie zepsuty wynosi 15%. Aby uruchomić drugi zapasowy serwer firma musi zapłacić 8000 zł i poczekać 2 godziny na wdrożenie go.

SLE wynosi 28000 (10000zł * 2h + 8000 zł), ARO to 0,15. Więc ALE wynosi 4200zł (28000zł * 0,15).

Sposoby radzenia sobie z ryzykiem

Po zidentyfikowaniu i ocenieniu istnienia ryzyka mamy kilka możliwości, które możemy podjąć:

  • Unikanie ryzyka polega na zidentyfikowaniu zagrożenia i podjęciu decyzji, aby nie wykonywać czynności powiązanych z tym ryzykiem. Na przykład firma może zdecydować się na zablokowaniu dostępu do social mediów.
  • Ograniczenie ryzyka, czyli jak nazwa wskazuje staramy się ograniczyć ryzyko np. poprzez instalację oprogramowania antywirusowego, edukowanie pracowników, dodanie firewalla itp.
  • Odstraszanie polega na poinformowaniu otoczenia (potencjalnych napastników), że jeśli oni spowodują nam szkodę, to my odwdzięczymy się tym samym. Często jest to dokonywane poprzez umieszczanie informacji w panelu logowania (np. że każda próba zalogowania jest rejestrowana).
  • Przeniesienie ryzyka, czyli przeniesienie części ciężaru związanego z ryzykiem na kogoś innego, na przykład firmę ubezpieczeniową.
  • Akceptacja ryzyka. Czasami zdarza się, że koszt implementacji któregoś z powyższych rozwiązań przekracza wartość możliwej szkody. Musimy zdawać sobie sprawę z istnienia ryzyka i podjąć decyzję o jego dalszym istnieniu. Można to nazwać podejściem „nie rób nic”.

Bardzo ważne jest, aby nie przeinwestować w bezpieczeństwo. Należy odpowiednio ustalić budżet, aby nie był zbyt niski ani zbyt wysoki.

ZOSTAW ODPOWIEDŹ

Please enter your comment!
Please enter your name here