Budowanie SZBI

System zarządzania bezpieczeństwem informacji cz. III

System zarządzania bezpieczeństwem informacji – Analiza i szacowanie ryzyka.

Jeżeli przeprowadziliśmy inwentaryzację aktywów oraz określiliśmy zakres systemu możemy przejść do analizy ryzyka. Na tym etapie wiemy w posiadaniu jakich aktywów jesteśmy oraz w jakim obszarze i granicach możemy dokonać szacowania. Teraz powinniśmy zadecydować czy wykonujemy analizę ryzyka tylko dla aktywów o znaczeniu krytycznym czy analizujemy organizację kompleksowo. Dla organizacji, które przeprowadzają taką operację po raz pierwszy polecam zająć się tylko aktywami krytycznymi i w miarę postępu poszerzać analizę o nowe elementy. Wszak szacowania nie wykonuje się raz na zawsze. To ciągły proces obejmujący monitorowanie zmian w czynnikach zewnętrznych i wewnętrznych oddziałujących na organizację. Należy również pamiętać, że szacowanie to nie tylko właściwa identyfikacja ryzyka ale również poszukiwanie szans.

Działania odnoszące się do ryzyk.

Zatem co powinniśmy zrobić w ramach szacowania?

Każdy kto tylko otarł się o wykonywanie takiej analizy, powie: „proste, zidentyfikuj ryzyko, określ prawdopodobieństwo i oszacuj skutki”. Następnie „pomnóż wartość prawdopodobieństwa razy wartość skutków i masz gotową analizę ryzyka”. „Jeżeli prawdopodobieństwo masz małe i konsekwencje małe to ryzyko jest niskie i w ogóle nie masz się czym przejmować”. I rzeczywiście, może to być prawda jeżeli do zarządzania ryzykiem wykorzystamy jedynie wytyczne normy ISO 27001. Po pierwsze problem polega na tym, że wykonując taką operację po raz pierwszy większość ryzyk będzie na poziomie niskim. Dlaczego? Ponieważ zarządzanie ryzykiem ma na celu przewidzieć zdarzenia, które dotąd nie nastąpiły. Po drugie nie wiemy co de facto wskaźnik „małe” i „niskie” oznacza. Po trzecie jeżeli miarą prawdopodobieństwa ma być jedynie liczba wystąpień zdarzenia w szacowanym okresie np. „dwa razy do roku” to jesteśmy na równi pochyłej w dół do katastrofy.

Zatem co powinniśmy w praktyce zrobić aby analiza ryzyka była wykonana kompleksowo i wspierała system zarządzania bezpieczeństwem informacji?

Kryteria ryzyka

W pierwszej kolejności powinniśmy sformułować kryteria ryzyka, czyli: kryteria oceny, kryteria skutków i kryteria akceptacji. Kryteria oceny to obszary działalności, które zostaną dotknięte konsekwencjami w momencie jego materializacji np. „finanse” = strata finansowa. Kryteria skutków to kategorie następstw wraz z opisem rozmiaru konsekwencji dla każdego poziomu np. „mała” = strata finansowa do 1000 zł. Kryteria akceptacji to określenie progów istotności ryzyka np „niska” = nie podejmujemy działań korygujących. Oczywiście liczba poszczególnych kryteriów, kategorii, progów, nazw i wartości zależy w zupełności od nas samych. Zalecam jednak stosowanie szerszej skali niż za wąskiej. Wąska skala spowoduje, że będziemy musieli zająć się większą ilością zagrożeń z tzw. średniej grupy ryzyka. Możemy również doświadczyć sytuacji gdy ryzyko o niskim stopniu, w wyniku poważnego incydentu, znajdzie się nagle na nieakceptowalnym poziomie.

Szacowanie ryzyka

Następnie powinniśmy zidentyfikować ryzyka, przeprowadzić szacowanie prawdopodobieństwa i następstw oraz ocenić ich poziom. Identyfikacja ryzyka obejmuje określenie rodzajów zagrożeń np. włamanie, weryfikację zabezpieczeń np. drzwi przeciwwłamaniowe, wskazanie podatności np. ściany z karton-gipsu. Na tej podstawie wskazujemy prawdopodobieństwo ziszczenia się niepomyślnego scenariusza. Czyli przeprowadzamy szacowanie prawdopodobieństwa np. „średnie” – łatwość pokonania karton-gipsu. Kolejno wskazujemy jakich konsekwencji doświadczymy jeżeli ktoś dokona włamania. Czyli przeprowadzamy szacowanie następstw np. „średnie” – koszt odtworzenia przewyższy 1000 zł.. Kolejno wskazujemy poziom ryzyka mnożąc prawdopodobieństwo razy skutek i wykorzystujemy kryteria akceptacji do wskazania istotności. Średnie x średnie = istotny poziom ryzyka. Jeżeli na etapie kryteriów określiliśmy, że „istotny” poziom ryzyka wymaga od nas reakcji, powinniśmy dodatkowo zabezpieczyć takie pomieszczenie.

Postępowanie z ryzykiem

W kolejnym kroku powinniśmy wybrać metodę postępowania z ryzykiem. Norma wspomina o czterech sposobach postępowania: zachowanie, modyfikowanie, dzielenie i unikanie. Zachowanie ryzyka to metoda polegająca na przyjęciu ryzyka takim jakie wyszło z szacowania bez podejmowania dalszych działań. Modyfikowanie ryzyka to metoda polegająca na wdrożeniu dodatkowych zabezpieczeń. Dzielenie ryzyka to metoda współdzielenia ryzyka a tym samym konsekwencji z innym podmiotem. Unikanie ryzyka to metoda wskazująca na niepodejmowanie działań lub rezygnacji z aktywów wywołujących powstanie ryzyka. W przypadku naszego felernego pomieszczenia możemy, aczkolwiek nie powinniśmy wybierać „zachowania”. Modyfikując ryzyko możemy dodatkowo objąć to pomieszczenie alarmem, dzieląc ryzyko możemy wynająć firmę do ochrony, a unikając ryzyka opróżnić pomieszczenie z wartościowych rzeczy. Wybór metody może prowadzić do konieczności sformułowania planu postępowania z ryzykiem.

Właściciel ryzyka

Przed wykonaniem ostatniego kroku pozostało nam zidentyfikowanie właściciela ryzyka. Mówiąc w dużym skrócie, właścicielem nazwiemy osobę, którą najbardziej zabolą konsekwencje zmaterializowania się ryzyka. Nie zawsze właścicielem ryzyka jest osoba, która ponosi odpowiedzialność za aktywo dotknięte incydentem. Jeżeli dział księgowości korzysta z oprogramowania w chmurze, brak dostępu do internetu powoduje ograniczenie w funkcjonowaniu organizacji. Co prawda za utrzymanie połączenia odpowiada dział IT, a dział administracyjny lub dyrektor finansowy za zapewnienie zasobów, ale jeżeli wina jest po stronie dostawcy nie zawsze mamy pole manewru a księgować trzeba. Jeżeli podczas szacowania poziomu istotności ryzyka okazało się, że należy wprowadzić plan postępowania z ryzykiem to właśnie właściciel ryzyka odpowiada za jego akceptację.

Akceptacja ryzyka

Akceptacja to ostateczny etap analizy ryzyka. Zidentyfikowane poziomy istotności, plany postępowania i wskazanie ryzyka cząstkowego powinno być przedłożone osobom odpowiedzialnym za podejmowanie decyzji w obszarze zarządzania ryzykiem lub organizacją. Należy zauważyć, że najwyższe kierownictwo ma uprawnienie do akceptowania ryzyk na poziomie najwyższym jak i nieakceptowania ryzyk na poziomie najniższym. Nazywamy to apetytem na ryzyko. Wyniki analizy ryzyka powinny być dostępne jako udokumentowana informacja. Z tego też względu zalecam prowadzenie zapisów na każdym etapie i przy każdej iteracji aby zapewnić pełną rozliczalność. Jeżeli w międzyczasie powstanie spór o uwzględnienie ryzyka, na podstawie zapisów będziemy mogli określić, kto zaproponował, modyfikował, odrzucał lub akceptował propozycje.

Właśnie w taki sposób wygląda rzetelna analiza i szacowanie ryzyka, planując system zarządzania bezpieczeństwem informacji. A przynajmniej ja stosuję takie podejście i takie podejście, jako aud_IT_ownia, polecamy klientom. Oczywiście to nie zamyka tematu zarządzania ryzykiem, ale z uwagi na konieczność upchnięcia wiedzy w tak krótkim materiale pominąłem niektóre aspekty. Artykuł nie obejmuje kwestii informowania o ryzyku, monitorowania, przeglądania i doskonalenia procesu zarządzania ryzykiem.

Spodobał Ci się ten wpis? Zajrzyj i polub nasz profil na Facebook’u, Twitterze lub LinkedIn aby otrzymywać najświeższe informacje. A jeśli potrzebujesz wsparcia w zakresie bezpieczeństwa informacji, skontaktuj się z nami. Przygotujemy ofertę dostosowaną do potrzeb Twojej organizacji. Auditownia świadczy usługi w zakresie przeprowadzania audytów, analizy ryzyka, przygotowania polityk, doradztwa i wsparcia w obszarze bezpieczeństwa informacji.