Analýza rizik

Analýza rizik přináší odpověď na otázku, jaká rizika hrozí subjektům údajů (klientům, zaměstnancům) nebo organizaci, pokud dojde k problému u některého z procesů. Z analýzy se dozvíme, zda jsou aktiva vůči hrozbám zranitelná, jak vysoká je pravděpodobnost, že hrozba zneužije určitou zranitelnost a jaký dopad by to na organizaci nebo subjekty údajů mohlo mít.

 
  • Aktivum (asset): Vše co má pro společnost nějakou hodnotu a mělo by být odpovídajícím způsobem chráněno.
  • Hrozba (threat): Jakákoliv událost, která může způsobit narušení důvěrnosti, integrity a dostupnosti aktiva.
  • Zranitelnost (vulnerability): vlastnost aktiva nebo slabina na úrovni fyzické, logické nebo administrativní bezpečnosti, která může být zneužita hrozbou.
  • Riziko (risk): Pravděpodobnost, že hrozba zneužije zranitelnost a způsobí narušení důvěrnosti, integrity nebo dostupnosti.
  • Opatření (countermeasure): Opatření na úrovni fyzické logické nebo administrativní bezpečnosti, které snižuje zranitelnost a chrání aktivum před danou hrozbou.

Kromě toho se můžeme ještě setkat s následujícími pojmy, které již nejsou tak časté, nicméně je vhodné o nich vědět:

  • Ohrožení (exposure): Skutečnost, že existuje zranitelnost, která může být zneužita hrozbou.
  • Narušení (breach): Situace, kdy došlo k narušení důvěrnosti, integrity nebo dostupnosti v důsledku překonání bezpečnostních opatření.

Na tomto místě je vhodné upozornit na skutečnost, že dost často dochází ke ztotožnění pojmu riziko a hrozba. Je třeba si uvědomit, že hrozba může být zdrojem pro jedno nebo více rizik a že hrozba sama o sobě riziko nepředstavuje. Hrozby pouze zneužívají zranitelnosti vedoucí k ohrožení, což je riziko, které lze snížit prostřednictvím opatření chránící aktiva před působením těchto hrozeb. Tuto skutečnost nejlépe ilustruje příklad s domem, dveřmi a lupičem.

Dům je aktivum, které chceme chránit. Dveře pak mohou obsahovat zranitelnosti jako zámek, který nefunguje, jsou prosklené nebo příliš slabé. To všechno jsou zranitelnosti, které mohou vést k vykradení domu. Nekvalitní dveře však nejsou hrozbou, protože pokud okolo hrozba (lupič) nejde, tak dům zůstane netknutý. Teprve až se hrozba (lupič) objeví a zjistí, že mu dveře umožňují snadné získání nebo vykradení aktiva (domu), tak zmíněných zranitelností dveří využije.

Pokud jde o vlastní přístup k provedení analýzy, tak např. ISO/IEC 13335 uvádí čtyři různé přístupy:

  • Základní přístup – žádná analýza rizik se neprovádí, pouze je vybrána a implementována základní sada opatření z nějakého katalogu.
  • Neformální přístup – jedná se o pragmatický přístup k analýze rizik, kdy se provádí rychlá, orientační analýza rizik založená na zkušenostech expertů a vyhodnocení možných scénářů.
  • Formální přístup – jedná se o detailní analýzu rizik, kdy se provádí hodnocení aktiv, hrozeb a zranitelností nejčastěji za použití matematického aparátu.
  • Kombinovaný přístup – na základě provedené orientační analýzy rizik, kdy byla pro organizaci identifikována kritická aktiva nebo procesy, se provede detailní analýza rizik.

Pokud jde o typy analýz, tak mohu mít kvantitativní (počítá se) nebo kvalitativní (expertní odhad). V podnikové praxi však doporučujeme kvantitativní, kvalitně propočítanou.

Od určité velikosti a komplexnosti informačního systému, který je předmětem analýzy, je vhodné analýzu rizik pojmout jako projekt. Vlastní analýza rizik se skládá z několika fází: identifikace a kvantifikace aktiv, hrozeb, zranitelností a stanovení výsledného rizika. Z pohledu projektového řízení by se daly tyto fáze označit jako milníky. Samotná analýza rizik může být provedena interně nebo externě. V každém případě je třeba v rámci každé fáze provést těchto několik kroků:

  • Identifikace respondentů – určit osoby, se kterými budeme komunikovat a na které se budeme s žádostí o poskytnutí informace obracet.
  • Získání informací – informace získáme od osob, které jsme identifikovali v předchozím kroku a to formou interview nebo dotazníků.
  • Analýza informací – informace, které jsme v předchozím kroku získali, musíme analyzovat.
  • Interpretace informací – výsledky analýzy následně vhodným způsobem interpretujeme, a to tak, aby byly pro respondenta srozumitelné.
  • Verifikace informací – odpovědi jednotlivých respondentů a závěry, ke kterým jsme dospěli, bychom si měli nechat jednotlivými respondenty schválit.
  • Dokumentace informací – to jediné, co zákazníkovi po skončení projektu zůstane, je dokumentace a případně analytický nástroj, ve kterém může dále modelovat.

Analýzou rizik v našem podání získáte výsledky „na klíč“. Pro relevantní výsledky je nezbytná součinnost zákazníka. Spolupráce obvykle probíhá formou osobních interview a workshopů, na přání zákazníka, je možné použít i dotazníkové šetření, jehož výsledky však nebývají tak kvalitní.

Jako analytický nástroj využíváme vlastní metodiku a dle této metodiky i vyvinutou aplikaci, kterou dodáváme zákazníkovi spolu s výstupy analýzy. Díky tomu může klient analýzu provádět následně i sám.

Analýzu provádíme v souladu s legislativními požadavky, tedy buď dle GDPR, BOZP nebo zákona o kybernetické bezpečnosti, resp. příslušné aktuální vyhlášky. Metodiku doplňujeme o vlastní znalosti a zkušenosti kombinované s vhodnými prvky ISO/IEC 27005.

  • Aktivum (asset): Vše co má pro společnost nějakou hodnotu a mělo by být odpovídajícím způsobem chráněno.
  • Hrozba (threat): Jakákoliv událost, která může způsobit narušení důvěrnosti, integrity a dostupnosti aktiva.
  • Zranitelnost (vulnerability): vlastnost aktiva nebo slabina na úrovni fyzické, logické nebo administrativní bezpečnosti, která může být zneužita hrozbou.
  • Riziko (risk): Pravděpodobnost, že hrozba zneužije zranitelnost a způsobí narušení důvěrnosti, integrity nebo dostupnosti.
  • Opatření (countermeasure): Opatření na úrovni fyzické logické nebo administrativní bezpečnosti, které snižuje zranitelnost a chrání aktivum před danou hrozbou.
Výstupy
  • Seznam aktiv;
  • Popis metodiky analýzy rizik;
  • Identifikovaná rizika dle různých kritérií;
  • Návrhy opatření pro snížení či eliminaci rizik;
  • Podklad pro plán zvládání rizik;
  • Nástroj na analýzu rizik.
Provedením analýzy rizik organizace získá:
  • Přehled priorit pro další investice v oblasti bezpečnosti;
  • Optimalizaci nákladů na bezpečnost;
  • Stanovení poměru investic a úrovní zabezpečení v poměru cena/výkon;
  • Identifikaci rizik a slabých míst ohrožujících organizaci;
  • Získání podkladů pro bezpečnostní dokumentaci ICT;
  • Identifikaci hrozeb;
  • Zvýšení bezpečnosti aplikací a informačních systémů;
  • Seznam opatření navržených k implementaci;
  • Zajištění souladu s legislativou;
  • Argumenty pro rozhodnutí managementu o investicích.