Analýza rizik
Kromě toho se můžeme ještě setkat s následujícími pojmy, které již nejsou tak časté, nicméně je vhodné o nich vědět:
Na tomto místě je vhodné upozornit na skutečnost, že dost často dochází ke ztotožnění pojmu riziko a hrozba. Je třeba si uvědomit, že hrozba může být zdrojem pro jedno nebo více rizik a že hrozba sama o sobě riziko nepředstavuje. Hrozby pouze zneužívají zranitelnosti vedoucí k ohrožení, což je riziko, které lze snížit prostřednictvím opatření chránící aktiva před působením těchto hrozeb. Tuto skutečnost nejlépe ilustruje příklad s domem, dveřmi a lupičem.
Dům je aktivum, které chceme chránit. Dveře pak mohou obsahovat zranitelnosti jako zámek, který nefunguje, jsou prosklené nebo příliš slabé. To všechno jsou zranitelnosti, které mohou vést k vykradení domu. Nekvalitní dveře však nejsou hrozbou, protože pokud okolo hrozba (lupič) nejde, tak dům zůstane netknutý. Teprve až se hrozba (lupič) objeví a zjistí, že mu dveře umožňují snadné získání nebo vykradení aktiva (domu), tak zmíněných zranitelností dveří využije.
Pokud jde o vlastní přístup k provedení analýzy, tak např. ISO/IEC 13335 uvádí čtyři různé přístupy:
- Základní přístup – žádná analýza rizik se neprovádí, pouze je vybrána a implementována základní sada opatření z nějakého katalogu.
- Neformální přístup – jedná se o pragmatický přístup k analýze rizik, kdy se provádí rychlá, orientační analýza rizik založená na zkušenostech expertů a vyhodnocení možných scénářů.
- Formální přístup – jedná se o detailní analýzu rizik, kdy se provádí hodnocení aktiv, hrozeb a zranitelností nejčastěji za použití matematického aparátu.
- Kombinovaný přístup – na základě provedené orientační analýzy rizik, kdy byla pro organizaci identifikována kritická aktiva nebo procesy, se provede detailní analýza rizik.
Pokud jde o typy analýz, tak mohu mít kvantitativní (počítá se) nebo kvalitativní (expertní odhad). V podnikové praxi však doporučujeme kvantitativní, kvalitně propočítanou.
Od určité velikosti a komplexnosti informačního systému, který je předmětem analýzy, je vhodné analýzu rizik pojmout jako projekt. Vlastní analýza rizik se skládá z několika fází: identifikace a kvantifikace aktiv, hrozeb, zranitelností a stanovení výsledného rizika. Z pohledu projektového řízení by se daly tyto fáze označit jako milníky. Samotná analýza rizik může být provedena interně nebo externě. V každém případě je třeba v rámci každé fáze provést těchto několik kroků:
- Identifikace respondentů – určit osoby, se kterými budeme komunikovat a na které se budeme s žádostí o poskytnutí informace obracet.
- Získání informací – informace získáme od osob, které jsme identifikovali v předchozím kroku a to formou interview nebo dotazníků.
- Analýza informací – informace, které jsme v předchozím kroku získali, musíme analyzovat.
- Interpretace informací – výsledky analýzy následně vhodným způsobem interpretujeme, a to tak, aby byly pro respondenta srozumitelné.
- Verifikace informací – odpovědi jednotlivých respondentů a závěry, ke kterým jsme dospěli, bychom si měli nechat jednotlivými respondenty schválit.
- Dokumentace informací – to jediné, co zákazníkovi po skončení projektu zůstane, je dokumentace a případně analytický nástroj, ve kterém může dále modelovat.
Analýzou rizik v našem podání získáte výsledky „na klíč“. Pro relevantní výsledky je nezbytná součinnost zákazníka. Spolupráce obvykle probíhá formou osobních interview a workshopů, na přání zákazníka, je možné použít i dotazníkové šetření, jehož výsledky však nebývají tak kvalitní.
Jako analytický nástroj využíváme vlastní metodiku a dle této metodiky i vyvinutou aplikaci, kterou dodáváme zákazníkovi spolu s výstupy analýzy. Díky tomu může klient analýzu provádět následně i sám.
Analýzu provádíme v souladu s legislativními požadavky, tedy buď dle GDPR, BOZP nebo zákona o kybernetické bezpečnosti, resp. příslušné aktuální vyhlášky. Metodiku doplňujeme o vlastní znalosti a zkušenosti kombinované s vhodnými prvky ISO/IEC 27005.
Výstupy
- Seznam aktiv;
- Popis metodiky analýzy rizik;
- Identifikovaná rizika dle různých kritérií;
- Návrhy opatření pro snížení či eliminaci rizik;
- Podklad pro plán zvládání rizik;
- Nástroj na analýzu rizik.
Provedením analýzy rizik organizace získá:
- Přehled priorit pro další investice v oblasti bezpečnosti;
- Optimalizaci nákladů na bezpečnost;
- Stanovení poměru investic a úrovní zabezpečení v poměru cena/výkon;
- Identifikaci rizik a slabých míst ohrožujících organizaci;
- Získání podkladů pro bezpečnostní dokumentaci ICT;
- Identifikaci hrozeb;
- Zvýšení bezpečnosti aplikací a informačních systémů;
- Seznam opatření navržených k implementaci;
- Zajištění souladu s legislativou;
- Argumenty pro rozhodnutí managementu o investicích.