Objevte naše služby
Analýza rizik
Na tomto místě je vhodné upozornit na skutečnost, že dost často dochází ke ztotožnění pojmu riziko a hrozba. Je třeba si uvědomit, že hrozba může být zdrojem pro jedno nebo více rizik a že hrozba sama o sobě riziko nepředstavuje. Hrozby pouze zneužívají zranitelnosti vedoucí k ohrožení, což je riziko, které lze snížit prostřednictvím opatření chránící aktiva před působením těchto hrozeb. Tuto skutečnost nejlépe ilustruje příklad s domem, dveřmi a lupičem.
V jakých oblastech Vám pomůžeme?
Dům je aktivum, které chceme chránit. Dveře pak mohou obsahovat zranitelnosti jako zámek, který nefunguje, jsou prosklené nebo příliš slabé. To všechno jsou zranitelnosti, které mohou vést k vykradení domu. Nekvalitní dveře však nejsou hrozbou, protože pokud okolo hrozba (lupič) nejde, tak dům zůstane netknutý. Teprve až se hrozba (lupič) objeví a zjistí, že mu dveře umožňují snadné získání nebo vykradení aktiva (domu), tak zmíněných zranitelností dveří využije.
Jaké výstupy získáte?
- Seznam aktiv;
- Popis metodiky analýzy rizik;
- Identifikovaná rizika dle různých kritérií;
- Návrhy opatření pro snížení či eliminaci rizik;
- Podklad pro plán zvládání rizik;
- Nástroj na analýzu rizik.
Co získáte?
- Přehled priorit pro další investice v oblasti bezpečnosti;
- Optimalizaci nákladů na bezpečnost.
- Stanovení poměru investic a úrovní zabezpečení v poměru cena/výkon;
- Stanovení poměru investic a úrovní zabezpečení v poměru cena/výkon;
- Identifikaci rizik a slabých míst ohrožujících organizaci;
- Získání podkladů pro bezpečnostní dokumentaci ICT;
- Identifikaci hrozeb;
- Zvýšení bezpečnosti aplikací a informačních systémů;
- Seznam opatření navržených k implementaci;
- Zajištění souladu s legislativou;
- Argumenty pro rozhodnutí managementu o investicích.
Máme skutečně hluboké znalosti a zkušenosti, které neustále prohlubujeme.
Jsme pružní, a vždy pracujeme s vědomím souvislostí. Tedy, s ohledem na Váš obchod a zisk.
Jsme spolehliví, kvalitní, znalí a zkušení. Víme co děláme.
Pojmy
Aktivum (asset): Vše co má pro společnost nějakou hodnotu a mělo by být odpovídajícím způsobem chráněno.
Hrozba (threat): Jakákoliv událost, která může způsobit narušení důvěrnosti, integrity a dostupnosti aktiva.
Zranitelnost (vulnerability): vlastnost aktiva nebo slabina na úrovni fyzické, logické nebo administrativní bezpečnosti, která může být zneužita hrozbou.
Riziko (risk): Pravděpodobnost, že hrozba zneužije zranitelnost a způsobí narušení důvěrnosti, integrity nebo dostupnosti.
Opatření (countermeasure): Opatření na úrovni fyzické logické nebo administrativní bezpečnosti, které snižuje zranitelnost a chrání aktivum před danou hrozbou.
Kromě toho se můžeme ještě setkat s následujícími pojmy, které již nejsou tak časté, nicméně je vhodné o nich vědět:
Ohrožení (exposure): Skutečnost, že existuje zranitelnost, která může být zneužita hrozbou.
Narušení (breach): Situace, kdy došlo k narušení důvěrnosti, integrity nebo dostupnosti v důsledku překonání bezpečnostních opatření.
Pokud jde o vlastní přístup k provedení analýzy, např. ISO/IEC 13335 uvádí čtyři různé přístupy:
Základní přístup – žádná analýza rizik se neprovádí, pouze je vybrána a implementována základní sada opatření z nějakého katalogu.
Neformální přístup – jedná se o pragmatický přístup k analýze rizik, kdy se provádí rychlá, orientační analýza rizik založená na zkušenostech expertů a vyhodnocení možných scénářů.
Formální přístup – jedná se o detailní analýzu rizik, kdy se provádí hodnocení aktiv, hrozeb a zranitelností nejčastěji za použití matematického aparátu.
Kombinovaný přístup – na základě provedené orientační analýzy rizik, kdy byla pro organizaci identifikována kritická aktiva nebo procesy, se provede detailní analýza rizik.
Pokud jde o typy analýz, mohu mít kvantitativní (počítá se) nebo kvalitativní (expertní odhad). V podnikové praxi však doporučujeme kvantitativní, kvalitně propočítanou.
Udržujte svou pozornost a rozvíjejte své znalosti
Proč právě my?
Analýza jako projekt
Od určité velikosti a komplexnosti informačního systému, který je předmětem analýzy, je vhodné analýzu rizik pojmout jako projekt. Vlastní analýza rizik se skládá z několika fází: identifikace a kvantifikace aktiv, hrozeb, zranitelností a stanovení výsledného rizika. Z pohledu projektového řízení by se daly tyto fáze označit jako milníky. Samotná analýza rizik může být provedena interně nebo externě. V každém případě je třeba v rámci každé fáze provést těchto několik kroků:
Identifikace respondentů
určit osoby, se kterými budeme komunikovat a na které se budeme s žádostí o poskytnutí informace obracet.
Získání informací
informace získáme od osob, které jsme identifikovali v předchozím kroku a to formou interview nebo dotazníků.
Analýza informací
informace, které jsme v předchozím kroku získali, musíme analyzovat.
Interpretace informací
výsledky analýzy následně vhodným způsobem interpretujeme, a to tak, aby byly pro respondenta srozumitelné.
Verifikace informací
odpovědi jednotlivých respondentů a závěry, ke kterým jsme dospěli, bychom si měli nechat jednotlivými respondenty schválit.
Dokumentace informací
to jediné, co zákazníkovi po skončení projektu zůstane, je dokumentace a případně analytický nástroj, ve kterém může dále modelovat.
Analýzou rizik v našem podání získáte výsledky „na klíč“. Pro relevantní výsledky je nezbytná součinnost zákazníka. Spolupráce obvykle probíhá formou osobních interview a workshopů, na přání zákazníka, je možné použít i dotazníkové šetření, jehož výsledky však nebývají tak kvalitní.
Jako analytický nástroj využíváme vlastní metodiku a dle této metodiky i vyvinutou aplikaci, kterou dodáváme zákazníkovi spolu s výstupy analýzy. Díky tomu může klient analýzu provádět následně i sám.
Analýzu provádíme v souladu s legislativními požadavky, tedy buď dle GDPR, BOZP nebo zákona o kybernetické bezpečnosti, resp. příslušné aktuální vyhlášky. Metodiku doplňujeme o vlastní znalosti a zkušenosti kombinované s vhodnými prvky ISO/IEC 27005.
Komu jsme již pomohli?
