V okamžiku, kdy v rámci analýzy rizik provádíme kvantifikaci aktiv, klademe si obvykle otázku, jaký by byl finanční a nefinanční dopad v případě, že by došlo k narušení důvěrnosti, integrity a dostupnosti těchto aktiv.

Pokud jde o důvěrnost, musíme si položit otázku, jaký finanční a nefinanční dopad na organizaci by měl únik nebo nežádoucí zpřístupnění citlivých informací. Je otázka, zda nutit společnost, která již má zavedený proces klasifikace informací, aby prováděla kvantifikaci datových aktiv z pohledu důvěrnosti a zda za tímto účelem nevyjít při stanovení hodnoty dopadu z klasifikačního stupně, který byl dané informace přidělen. Pro orientační analýzu rizik by toto přiřazení mohlo stačit.

Vzhledem k tomu, že v praxi není dost dobře možné, aby každý vlastník informace prováděl analýzu dopadů, bývá obvykle stanoven interním předpisem pro jednotlivé typy informací odpovídající klasifikační stupeň, který by měl být každé informaci přidělen v okamžiku, kdy dojde k jejímu pořízení. Klasifikační stupeň je informacím přidělen proto, aby informace byly odpovídajícím způsobem chráněny a to během celého jejich životního cyklu.

Za tímto účelem organizace zpravidla přijímá určitá bezpečnostní opatření, jejichž zavedení, vynucení a kontrola něco stojí. I proto je potřeba důkladně zvážit, jak budou chráněny informace označené příslušným klasifikačním stupněm. Organizace se třeba může rozhodnout, že přístup k interním informacím budou mít všichni zaměstnanci, přístup k důvěrným informacím bude povolen pouze pro vybrané zaměstnance a přísně důvěrné informace budou navíc šifrovány, bude vyžadována dvoufaktorová autentizace atd.

Jestliže tedy byl určitým typům informací přiřazen na základě analýzy odpovídající klasifikační stupeň, mohli bychom vztah mezi klasifikačním stupněm a hodnotou dopadu definovat takto: interní informace – střední dopad, důvěrná informace – vysoký dopad a přísně důvěrná informace – kritický dopad. U informací, které byly klasifikovány jako veřejné, hodnotu dopadu stanovit nemůže, protože k narušení jejich důvěrnosti nemůže dojít.

Vždy bychom měli uvažovat o nejhorším možném scénáři (worst case scenario), ke kterému by mohlo dojít, takže pokud si teď říkáte, že mohou nastat situace, kdy únik interní informace může mít pro organizaci mnohem závažnější následky, než únik důvěrné informace, tak si položte otázku, zda byl dané informaci opravdu správně přidělen odpovídající klasifikační stupeň. Organizace dost často mají vydán nějak interní předpis ohledně klasifikace informací, ale zpravidla ho nedodržují nebo informace příslušným klasifikačním stupněm označují nesprávně.

Poznámka: Jak zabránit úniku citlivých informací jsme se věnovali v příspěvku Data Loss Prevention.

Related posts:

1. Analýza rizik: kvantifikace aktiv z pohledu dostupnosti
2. Analýza rizik: Identifikace datových aktiv
3. Analýza rizik: kvantifikace hrozeb

Byť se již před mnoha lety hovořilo o tzv. paperless office (bezpapírová kancelář), tak i dnes je spousta informací, které organizace shromažďuje a zpracovává, uložena v papírové podobě. Nezapomínejte prosím na tuto skutečnost, až budete provádět identifikaci datových aktiv. Pokud jsou informace uloženy v elektronické podobě, tak se obvykle nachází na:

• HDD, SSD počítačů a serverů;
• přenosných médiích jako jsou pásky, CD, DVD, flash disky;
• v interní paměti přenosných zařízení.

K těmto datům potom přistupujete jako k souborům v nějaké adresářové struktuře nebo jako k záznamům v databázi. Pokud jde o soubory, tak ty mohou být textové nebo binární, ale můžeme je rozdělit i podle typu. Mohli bychom třeba vyjít z MIME type, ale myslím, že pro naše účely bude mnohem srozumitelnější toto rozdělení:

• Aplikace
• Dokumenty
• Spreadsheety
• Prezentace
• Obrázky
• Audio
• Video
• Text
• Maily
• Výstupy z nejrůznějších aplikací

Bez ohledu na to, o jaký typ souboru se jedná a jakou aplikací je zpracováván, můžeme prohlásit, že naprostá většina organizací obvykle pracuje s informacemi, které se týkají níže uvedených oblastí.

• HR
  • Osobní údaje o zaměstnancích (osobní číslo, kontaktní informace, pracovní zařazení, výše mzdy, výsledky hodnocení)
  • Seznam a popis pracovních pozic
  • Motivační systém (bonusy, zaměstnanecké výhody, systém hodnocení)
• Marketing
  • Informace o klientech
  • Informace o dodavatelích
  • Detaily o proběhlých, stávajících nebo budoucích obchodech
  • Informace o nových produktech a službách
  • Informace o připravovaných marketingových kampaních
  • Výsledky průzkumu trhu, nejrůznější analýzy
• Management
  • Strategické plány
  • Taktické plány
  • Operativní plány
  • Pracovní postupy
  • Projektová dokumentace
  • Bezpečnostní politika, standardy a směrnice
• Finanční řízení
  • Účetní doklady
  • výkazy
• IT
  • Síťová infrastruktura (nastavení, dokumentace, hesla)
  • Systémy (nastavení, dokumentace, hesla)
  • Aplikace (nastavení, dokumentace, hesla)
  • Databáze (nastavení dokumentace, hesla)
  • Zdrojové kódy
• Facility
  • Plány budov
  • Umístění kamer, čidel, spínačů
  • Počet členů ostrahy a jejich úkolů

Výše uvedený výčet samozřejmě není kompletní, ale myslím, že i tak je z něj zřejmé, jaké informace mohou být pro útočníka, kterým dost často bývá i konkurence, zajímavé. Bohužel stále se najde dost firem, které si hodnotu svých dat neuvědomují, a nezavedly proto odpovídající bezpečnostní opatření. Odpověď na otázku, kolik byste měli do ochrany vašich informací investovat prostředků, by vám měla poskytnout analýza rizik.

Related posts:

1. Analýza rizik: kvantifikace aktiv z pohledu dostupnosti
2. Analýza rizik: identifikace hrozeb
3. Analýza rizik: Kvantifikace aktiv z pohledu důvěrnosti

Chtěl bych předeslat, že hodnotu dopadu není možné stanovit přesně, protože ač jsou některé hodnoty, které do výpočtu celkové výše dopadu vstupují, dané, tak jsou zde i takové, u kterých je jejich výši nutné stanovit za použití statistických metod. První, co každého CIO napadne, je spočítat náklady na:

• pořízení nového HW v případě, že došlo k jeho zničení, např. v důsledku živelné pohromy jako je požár nebo vytopení vodou.
• zprovoznění systému – instalaci a konfiguraci operačního systému, aplikace, databáze si nemusí vyžádat jen instalace nového HW, ale může k ní dojít i v důsledku kompromitace stávajícího systému, kdy se nelze spolehnout na image a vše se musí instalovat z originálních médií.
• obnovu dat – v okamžiku zprovoznění infrastruktury musí dojít k obnově dat ze záložních médií nebo jejich opětovnému pořízení a kontrole správnosti, což může být finančně i časově velice náročná záležitost.

Hlavní složkou výše uvedených nákladů na zprovoznění systému a obnovu dat jsou kromě samotné ceny HW především mzdové náklady pracovníků, kteří tuto činnost provádějí. Pokud jde o mzdové náklady, tak je otázka, zda do hodnoty dopadu nezapočíst i náklady na mzdu pracovníků, kteří po dobu nedostupnosti systému nemohou pracovat a nevytváří tak žádnou hodnotu. Ale to je spíš otázka CFO, stejně jako vyčíslení jakou hodnotu představuje:

• ušlý zisk z předem domluvených zakázek (+případné sankce za nedodržení smlouvy), které se měly uskutečnit v době nedostupnosti systému, neuskutečnily se a už se neuskuteční, protože klient se obrátil na jinou společnost.
• ušlý zisk z nových zakázek, které by se pravděpodobně uskutečnily, kdyby byl systém dostupný. Tuto hodnotu lze celkem dobře odhadnout, pokud máme k dispozici historická data.
• ztráta úroků – souvisí s poklesem zisku. Protože pokud nám klient generuje zisk, tak tento zisk mohl být výhodně investován, nebo mohl minimálně generovat úrok, i kdyby byl uložen jen na běžném účtu v bance.

Je zajímavé, že spousta firem se při stanovení hodnoty dopadu spokojí pouze s výše uvedenými náklady a vůbec nebere v úvahu další podstatné skutečnosti. Rozumný CEO se však zajímá i o finanční ztrátu, kterou představuje:

• ztráta důvěry klientů – zde se musíme ptát, zda dojde ke ztrátě důvěry klientů, akcionářů a veřejnosti a kolik klientů pravděpodobně odejde a jak velký zisk nám generuje jeden klient a vůbec jaký bude mít ztráta důvěry dopad na tempo růstu.
• pokles ceny akcií v důsledku ztráty důvěry akcionářů lze těžko odhadnout. Nicméně je možné ji ale přibližně stanovit podle společností, u kterých k poklesu cen akcií ze stejného důvodu došlo.
• náklady na marketing a PR za účelem přesvědčení klientů, akcionářů a veřejnosti, že situace, ke které došlo, byla výjimečná a nebude se již opakovat a tím získat zpět jejich důvěru a postavení na trhu.

Poznámka: Pro stanovení celkové výše dopadu není možné jednotlivé výše uvedené hodnoty dopadu bezmyšlenkovitě sčítat, protože např. v případě narušení integrity nebo důvěrnosti dat si asi těžko budete pořizovat nový hardware, ale vzniknou vám zase jiné náklady. Např. pokud dojde k úniku osobních údajů, může vám ÚOOÚ uložit pokutu. V případě narušení integrity zase můžete realizovat ztrátu plynoucí z chyb, ke kterým za dané období došlo.

Poznámka: Tento příspěvek doplňuje informace uvedené v knize Řízení informačních rizik v praxi.

A jakým způsobem stanovujete hodnotu dopadu vy?

Related posts:

1. Analýza rizik: kvantitativní analýza rizik
2. Analýza rizik: kvalitativní analýza rizik
3. Analýza rizik: kvantifikace aktiv z pohledu dostupnosti

Kvantitativní analýza rizik je náročnější na zdroje a její provedení trvá mnohem déle než kvalitativní analýza rizik. Je tomu tak proto, že hodnotu aktiva je nutné vyjádřit v penězích stejně jako možnou škodu v případě realizace konkrétní hrozby. Vyjádření škody ve finančních jednotkách však umožňuje jednodušší rozhodování ve fázi zvládání rizik, kdy vybíráme vhodná opatření.

Kvalitativní analýza rizik je méně náročná na zdroje a trvá kratší mnohem kratší dobu než kvantitativní analýza rizik. Především proto, že hodnotu aktiva není nutné vyjadřovat v penězích stejně jako možnou škodu v případě realizace konkrétní hrozby. To však vede k horší kontrole nákladů ve fázi zvládání rizik, kdy vybíráme vhodná opatření.

Vyjádření škody ve finančních jednotkách má jednu obrovskou výhodu a to, že nám umožňuje porovnat výši škody a celkové náklady na opatření. To u slovního popisu rizika není dost dobře možné, protože chápaní stupňů nízký, střední, vysoký nebo kritický, může být značně subjektivní. V takovém případě totiž nevíme, jak velkou finanční škodu tyto stupně vlastně vyjadřují. Následující tabulka se snaží zachytit výhody a nevýhody kvantitativní a kvalitativní analýzy rizik. 

Pokud jste teď začali počítat plusy a mínusy ve snaze zjistit, která metodika je lepší, zapomeňte na to. Výše zmíněné metodiky nestojí proti sobě, ale vzájemně se doplňují. Kvalitativní analýzu rizik obvykle provádíme v okamžiku, kdy potřebujeme rychle zhodnotit a určit největší rizika, která společnost ohrožují. Jakmile tato rizika známe, můžeme je začít detailně zkoumat. V tuto chvíli je již použití kvantitativní metodiky na místě.

Poznámka: To, že kvantitativní analýza rizik poskytuje poměrně přesné, nikoliv zcela přesné výsledky, je uvedeno záměrně, protože i zde dochází k odhadu pravděpodobnosti výskytu dané hrozby a výše škody.

Závěr: V předchozích příspěvcích jsme si uvedli, jak provést kvalitativní a kvantitativní analýzu rizik. V tomto příspěvku jsme si popsali výhody a nevýhody těchto metodik. Obě metodiky, ač jsou v této podobě ve světě běžně používány, obsahují jednu zásadní slabinu, která při kvantifikaci rizika nebo vyjádření výše škody může být příčinou značně nepřesných nebo zavádějících výsledků. To, že lze analýzu rizik provést i jinak a tuto slabinu eliminovat, je uvedeno v knize „Řízení informačních rizik v praxi“.

Related posts:

1. Analýza rizik: kvantitativní analýza rizik
2. Analýza rizik: kvalitativní analýza rizik
3. Analýza rizik: Jemný úvod do analýzy rizik

Kvalitativní analýza rizik je založena na expertním odhadu jednotlivých aktiv, hrozeb a zranitelností a pro jejich vyjádření používá slovního nebo číselného hodnocení. Umožňuje tak poměrně snadno a rychle identifikovat ta největší rizika.

Analýza aktiv

V tomto kroku bychom měli identifikovat všechna pro společnost kritická aktiva a následně stanovit jejich hodnotu. Uvědomte si, že v případě nežádoucího zpřístupnění, změny nebo zničení informací nejenže přijdete o zisk, ale budete muset i zaplatit pokutu nebo penále, protože např. nebudete schopni poskytovat své služby v souladu s SLA. Obvykle se nejprve sepíší všechna aktiva a poté se slovně ohodnotí jejich důležitost pro společnost např. jako nízká, střední, vysoká nebo kritická. Kolik stupňů používáte pro stanovení hodnoty aktiva vy a na základě čeho tuto hodnotu stanovujete?

Note: There is a poll embedded within this post, please visit the site to participate in this post's poll.

Analýza hrozeb

V tomto kroku bychom měli analyzovat hrozby, kterým je společnost vystavena. U každé hrozby bychom měli stanovit pravděpodobnost jejího výskytu tzv. probability nebo likelihood. Jestliže se hrozba vyskytuje minimálně jedenkrát ročně, můžeme hovořit o tom, že pravděpodobnost výskytu hrozby je jistá. Pokud se daná hrozba prakticky nevyskytuje, můžeme hovořit o tom, že pravděpodobnost výskytu dané hroby je nízká. Kolik stupňů používáte pro stanovení pravděpodobnosti hrozby vy a na základě čeho ji stanovujete?

Note: There is a poll embedded within this post, please visit the site to participate in this post's poll.

Analýza zranitelností

V tomto kroku bychom se měli zamyslet nad tím, jaká je míra zranitelnost daného aktiva vůči působení dané hrozby. V okamžiku, kdy stanovujeme míru zranitelnosti, již bereme v úvahu implementovaná opatření, která účinnost hrozby snižují. V případě, že víme, že žádné opatření ke snížení zranitelnosti nasazeno není, můžeme míru zranitelnosti daného aktiva označit jako kritickou. Pokud se obáváme, že opatření spíše selže, můžeme zranitelnost označit jako vysokou. Pokud doufáme, že opatření spíše neselže, můžeme zranitelnost označit jako střední. A konečně, pokud jsme přesvědčeni, že opatření nikdy neselže, můžeme zranitelnost daného aktiva označit jako nízkou. Kolik stupňů používáte pro stanovení míry zranitelnosti vy a na základě čeho ji stanovujete?

Note: There is a poll embedded within this post, please visit the site to participate in this post's poll.

Stanovení výše rizika

V okamžiku, kdy známe hodnotu dopadu (A), pravděpodobnost hrozby (T) a hodnotu zranitelnosti (V), můžeme přistoupit ke stanovení rizika (R). Oproti kvantitativní analýze rizik, kde je způsob výpočtu víceméně daný a nikdo ho nezpochybňuje, tak v případě kvalitativní analýzy rizik neexistuje pouze jediná možnost, jak se dobrat výsledku. Možnost zvolit si v podstatě jakoukoliv stupnici pro stanovení hodnoty aktiv, hrozeb a zranitelností představuje sice na jednu stranu výhodu, ale na stranu druhou to komplikuje srovnávání výsledků AR provedených nejrůznějšími společnostmi.

Note: There is a poll embedded within this post, please visit the site to participate in this post's poll.

Poznámka: V mezinárodních standardech se dočtete, že jediná podmínka je, aby metodika výpočtu rizika byla uvedena, poskytovala porovnatelné a měřitelné výsledky a v případě, že dojde ke změně hodnoty aktiva, hrozby nebo zranitelnosti, tak aby došlo i ke změně hodnoty rizika. To vede k tomu, že kromě asi nejčastěji používaného vzorce, kde se riziko počítá jako součin jednotlivých veličin (R=A*T*V), je možné použít i vzorec, který stejné veličiny sčítá (R=A+T+V), neboť i ten splňuje výše uvedený požadavek. Že v obou případech dojdeme při použití stejných měřítek k rozdílnému výsledku, snad není nutné zdůrazňovat.

Závěr: V praxi musíme učinit několik zcela zásadních rozhodnutí a to, jakou metodiku výpočtu použít a kolik použít stupňů pro hodnocení aktiv, hrozeb, zranitelností a výsledného rizika. Dále, pokud máme rizika prioritizovat, musíme určit, nejen kolik úrovní rizik budeme používat, ale i kde budou jednotlivé úrovně začínat a končit resp. jakých hodnot mohou jednotlivé úrovně rizik nabývat. Ale o tom si povíme někdy příště. 

Related posts:

1. Analýza rizik: kvantitativní analýza rizik
2. Analýza rizik: kvantitativní vs. kvalitativní
3. Analýza rizik: Jemný úvod do analýzy rizik

Analýza rizik by měla přinést odpověď na otázku, působení jakých hrozeb je společnost vystavena, jak moc jsou její aktiva vůči těmto hrozbám zranitelná, jak vysoká je pravděpodobnost, že hrozba zneužije určitou zranitelnost a jaký dopad by to na společnost mohlo mít. V analýze rizik se používají následující pojmy:

• aktivum (asset) – vše co má pro společnost nějakou hodnotu a mělo by být odpovídajícím způsobem chráněno,
• hrozba (threat) – jakákoliv událost, která může způsobit narušení důvěrnosti, integrity a dostupnosti aktiva
• zranitelnost (vulnerability) – vlastnost aktiva nebo slabina na úrovni fyzické, logické nebo administrativní bezpečnosti, která může být zneužita hrozbou.
• riziko – pravděpodobnost, že hrozba zneužije zranitelnost a způsobí narušení důvěrnosti, integrity nebo dostupnosti.
• opatření (countermeasure) – opatření na úrovni fyzické logické nebo administrativní bezpečnosti, které snižuje zranitelnost a chrání aktivum před danou hrozbou.

Kromě toho se můžeme ještě setkat s následujícími pojmy, které již nejsou tak časté, nicméně je vhodné o nich vědět: 

• ohrožení (exposure) – skutečnost, že existuje zranitelnost, která může být zneužita hrozbou
• narušení (breach) – situace, kdy došlo k narušení důvěrnosti, integrity nebo dostupnosti v důsledku překonání bezpečnostních opatření.

Na tomto místě bych chtěl tak upozornit na skutečnost, že dost často dochází ke ztotožnění pojmu riziko a hrozba. Je třeba si však uvědomit, že hrozba může být zdrojem pro jedno nebo více rizik a že hrozba sama o sobě riziko nepředstavuje. Hrozby pouze zneužívají zranitelnosti vedoucí k ohrožení, což je riziko, které lze snížit prostřednictvím opatření chránící aktiva před působením těchto hrozeb. Tuto skutečnost nejlépe ilustruje následující obrázek.

Pokud jde o vlastní přístup k provedení analýzy, tak např. ISO/IEC 13335 uvádí čtyři různé přístupy: 

• Základní přístup – žádná analýza rizik se neprovádí, pouze je vybrána a implementována základní sada opatření z nějakého katalogu.
• Neformální přístup – jedná se o pragmatický přístup k analýze rizik, kdy se provádí rychlá, orientační analýza rizik založená na zkušenostech expertů a vyhodnocení možných scénářů.
• Formální přístup – jedná se o detailní analýzu rizik, kdy se provádí hodnocení aktiv, hrozeb a zranitelností nejčastěji za použití matematického aparátu.
• Kombinovaný přístup – na základě provedené orientační analýzy rizik, kdy byla pro organizaci identifikována kritická aktiva nebo procesy, se provede detailní analýza rizik.

Od určité velikosti a komplexnosti informačního systému, který je předmětem analýzy, je vhodné analýzu rizik pojmout jako projekt. Vlastní analýza rizik se skládá z několika fází: identifikace a kvantifikace aktiv, hrozeb, zranitelností a stanovení výsledného rizika. Z pohledu projektového řízení by se daly tyto fáze označit jako milníky. Samotná analýza rizik může být provedena interně nebo externě. Výhody a nevýhody interně a externě prováděných analýz rizik jsou stejně jako popis jednotlivých fází projektu detailně popsány v [1]. V každém případě budeme muset v rámci každé fáze provést těchto několik kroků: 

• identifikace respondentů – určit osoby, se kterými budeme komunikovat a na které se budeme s žádostí o poskytnutí informace obracet
• získání informací – informace budeme získávat od osob, které jsme identifikovali v předchozím kroku a to formou interview nebo dotazníků.
• analýza informací – informace, které jsme v předchozím kroku získali, musíme analyzovat,
• interpretace informací – výsledky analýzy musíme vhodným způsobem interpretovat, a to tak, aby byly pro respondenta srozumitelné
• verifikace informací – odpovědi jednotlivých respondentů a závěry, ke kterým jsme dospěli, bychom si měli nechat jednotlivými respondenty schválit.
• dokumentace informací – to jediné, co zákazníkovi po skončení projektu zbyde, je dokumentace.

Nyní si stručně popíšeme jednotlivé fáze analýzy rizik. Stručně proto, že detailně jsou popsány v [1] a dále v samostatných příspěvcích na tomto webu.

Analýza aktiv

V rámci analýzy rizik musíme identifikovat pro společnost kritická aktiva a určit jejich hodnotu. Tento krok se někdy označuje jako inventarizace aktiv, v rámci kterého se vytváří tzv. registr aktiv. Dále musíme provést dekompozici aktiv a tam kde to bude vhodné jejich agregaci, tyto kroky jsou rovněž detailně popsány v [1].

Analýza hrozeb

Dalším krokem je identifikace hrozeb a kvantifikace hrozeb. Tato fáze se také někdy nazývá analýza hrozeb (threat analysis), při pkteré vycházíme buď ze seznamu obecných (generických) hrozeb nebo specifických hrozeb, které můžeme identifikovat např. za použití ATM (Attack Tree Model), který je též popsán v [1].

Analýza zranitelností

V tomto kroku musíme identifikovat a kvantifikovat všechna slabá místa na úrovni fyzické, logické a administrativní bezpečnosti. Tato fáze se někdy nazývá analýza zranitelností (vulnerability analysis/ vulnerability assessment).

Stanovení výše rizika nebo škody

V okamžiku, kdy známe hodnotu aktiv, pravděpodobnost hrozeb a míru zranitelnosti, může přistoupit k vyjádření rizika. Pokud jsme provedli kvantitativní analýzu rizik, vyjádříme výši rizika v peněžních jednotkách a pokud byla provedena kvalitativní analýza rizik, vyjádříme výši rizika ve stupních.

Závěr: Analýza rizik nám říká, co všechno se může stát, proč se to může stát, jak se to může stát, kde se to může stát a koho se to bude týkat.

Zdroj: [1] Miroslav Čermák, Řízení informačních rizik v praxi

Related posts:

1. Řízení rizik: Jemný úvod do řízení rizik
2. Analýza rizik: kvalitativní analýza rizik
3. Analýza rizik: kvantitativní analýza rizik

Kvantitativní analýza rizik je založena na vyjádření hodnoty aktiva a dopadu v peněžních jednotkách. Analýza rizik probíhá v několika krocích, ve kterých se snažíme o identifikaci a kvantifikaci aktiv, hrozeb, zranitelností a stanovení celkové výše škody. Jednotlivé kroky nebo chcete-li fáze analýzy rizik, si dále stručně popíšeme.

Identifikace a kvantifikace aktiv

V této fázi bychom měli identifikovat všechna pro společnost kritická aktiva a následně provést jejich kvantifikaci neboli stanovit jejich hodnotu tzv. AV (Asset Value) v peněžních jednotkách. Pro správné stanovení této hodnoty si musíme položit minimálně následující otázky:

• Jak se dané aktivum podílí na výnosech, resp. kolik zisku nám generuje?
• Kolik by stálo opětovné pořízení aktiva a zprovoznění?
• Jakou bychom zaplatili pokutu v případě porušení důvěrnosti, integrity a dostupnosti?

Uvědomte si, že v případě nežádoucího zpřístupnění, změny nebo zničení informací nejenže přijdete o zisk, ale často budete muset zaplatit i pokutu nebo penále, protože např. nebudete schopni poskytovat své služby v souladu s SLA.

Identifikace a kvantifikace hrozeb

V této fázi bychom měli identifikovat a kvantifikovat hrozby, kterým je společnost vystavena. U každé hrozby bychom měli stanovit pravděpodobnost jejího výskytu během roku tzv. ARO (Annualized Rate of Occurence). Jestliže se hrozba vyskytuje 1x za rok, je hodnota ARO rovna 1, v případě výskytu této hrozby 1x za deset let je hodnota ARO rovna 0,1.

Identifikace a kvantifikace zranitelností

V této fázi bychom se měli u každé dvojice hrozba – aktivum zamyslet nad tím, jakou škodu by mohla hrozba způsobit. Tato ztráta se nejčastěji uvádí v procentech a označuje se zkratkou EF (Exposure Factor). Pro její určení si musíme položit podobné otázky jako v případě stanovení hodnoty aktiva, konkrétně:

• O kolik se sníží výnosy resp. zisk v případě narušení důvěrnosti, integrity a dostupnosti?
• Jaké jsou náklady na zotavení se z dané hrozby a obnovu normální funkčnosti?
• Jakou bychom zaplatili pokutu v případě porušení důvěrnosti, integrity a dostupnosti?

V okamžiku, kdy hledáme odpověď na tyto otázky, bereme v úvahu implementovaná opatření, která účinnost hrozby snižují a proto i velikost ztráty bývá zpravidla nižší než celková hodnota aktiva, kterou jsme stanovili v prvním kroku. Vzhledem k tomu, že bereme v úvahu již implementovaná opatření, mohli bychom hovořit o tom, že v podstatě určujeme zranitelnost aktiva. Toto se však nejspíš nikde nedočtete.

Stanovení celkové výše škody

V okamžiku, kdy jsme stanovili hodnotu aktiva (AV), pravděpodobnost hrozby (ARO) a hodnotu zranitelnosti (EF), můžeme přistoupit ke stanovení výše celkové škody tzv. ALE (Annualized Loss Expectancy), kterou získáme součinem těchto hodnot: ALE=AV*EF*ARO.

Poznámka: Někdy se můžeme setkat i se vzorcem: ALE=SLE*ARO, kde SLE=AV*EF a SLE (Single Loss Expectancy) vyjadřuje škodu, která by vznikla při jednom výskytu hrozby. Tímto způsobem bychom měli postupně spočítat výši škody pro každou dvojici aktivum – hrozba.

Related posts:

1. Analýza rizik: kvantitativní vs. kvalitativní
2. Analýza rizik: kvalitativní analýza rizik
3. Analýza rizik: Jemný úvod do analýzy rizik

V příspěvku nazvaném identifikace hrozeb jsme si hrozby rozdělili podle zdroje na interní a externí a dále podle úmyslu na náhodné a úmyslné. Kombinací jsme získali matici, která zachycovala 4 základní typy hrozeb. Pozorný čtenář si jistě všiml, že jich ve skutečnosti bylo 5. (Je zajímavé, že na to nikdo v diskusi pod článkem neupozornil;-). Konkrétně se tedy jedná o hrozby: 

• přírodního původu (ENV)
• technické selhání (TFA)
• lidská chyba (HER)
• hacking (HCK)
• sabotáž (SBT)

 Pokud máme stanovit míru hrozby, musíme zohlednit následující faktory:

• četnost výskytu
• příležitost
• motiv
• schopnosti
• peníze
• vybavení
• čas
• atraktivitu aktiva
• počet osob
• stáří aktiva

Vytvoříme si proto matici, která bude zachycovat, které faktory je třeba vzít při hodnocení jednotlivých hrozeb v úvahu.

Na první pohled vidíme, že u úmyslných hrozeb, bez ohledu na to zda pochází ze vnitř nebo z vnějšku organizace, vstupují do hodnocení všechny faktory. Běžně se sice uvádí, že k realizaci úmyslných hrozeb stačí příležitost, motiv a schopnost, ale je třeba si uvědomit, že útočník si v mnoha případech svůj cíl vybírá. Proto je vhodné vzít v úvahu i další faktory jako je např. atraktivita aktiva a náročnost na zdroje (čas, peníze, vybavení). Níže si jednotlivé faktory stručně popíšeme. 

Četnost výskytu

U všech typů hrozeb můžeme pro stanovení míry hrozby vzít v úvahu četnost výskytu, ať už ze statistik, nejrůznějších průzkumů informační bezpečnosti nebo z ještě lépe z vlastní pečlivě vedené evidence bezpečnostních incidentů. Tímto způsobem můžeme poměrně spolehlivě určit pravděpodobnost výskytu dané hrozby.

Příležitost

Pravděpodobnost realizace hrozby je tím vyšší, čím vyšší je příležitost danou hrozbu realizovat. Pokud zaměstnanci denně přichází do styku s důvěrnými informace a ví, že jejich činnost v systému není monitorována, je větší pravděpodobnost, že některý z nich svého přístupu do systému zneužije a dojde tak např. k úniku informací.

Motiv

Motiv útočníka může být různý a někdy i těžko pochopitelný. Podstatné však je, že pravděpodobnost realizace hrozby je vyšší v době krize, fůzování, outsourcingu. To je dáno tím, že lidé v tomto období velice často přicházejí o místo a svůj příjem. Mohou se chtít pomstít nebo si „jen“ odnést něco, co se dá snadno zpeněžit nebo využít v novém zaměstnání.

Schopnosti

To, že jsou schopnosti uvedené jak u lidského selhání, tak i hackingu a sabotáže není náhoda. Vycházíme z toho, že méně chyb obvykle dělá člověk, který své práci rozumí. U hackingu a sabotáže zase předpokládáme, že pravděpodobnost dané hrozby bude vyšší v případě, kdy žádné speciální znalosti, schopnosti a dovednosti nejsou k realizaci hrozby potřeba.

Peníze

Pravděpodobnost hrozby je tím vyšší, čím nižší jsou náklady na její realizaci. Je to v celku logické, protože i útočník zvažuje, zdali se mu vyplatí do přípravy a realizace útoku investovat své prostředky.

Čas

Pravděpodobnost hrozby je tím vyšší, čím kratší je doba potřebná k přípravě a vlastní realizaci dané hrozby. To je dáno tím, že čím rychleji je možné daný útok provést, tím nižší je pravděpodobnost, že si někdo přípravy nebo vlastního provedení útoku všimne.

Vybavení

Pravděpodobnost hrozby je tím vyšší, čím jsou nižší nároky na HW a SW vybavení útočníka. Je rozdíl, zda nástroj k realizaci hrozby je možné stáhnout z internetu nebo je nutné ho vyvinout.

Atraktivita

Čím atraktivnější cíl, tím vyšší pravděpodobnost hrozby. Když chce hacker provést např. defacement vybere si spíš takový server, který je hodně navštěvován a znám, než web, na který nikdo nechodí. Je to podobné jako u zlodějů aut, jestliže se takový zloděj má rozhodnout, zda ukradne Jaguára nebo Trabanta, které auto to bude? Samozřejmě můžete namítnout, že Škodovka, protože těch je víc a nebude v ní budit takovou pozornost;-)

Počet osob

Čím větší počet osob přichází s hodnoceným aktivem do styku, tím větší je pravděpodobnost, že někdo z nich hrozbu realizuje. Podle jedné studie je v každé společnosti 10% lidí absolutně poctivých, 10% absolutně nepoctivých a ostatních 80% se nachází někde mezi. Do jaké skupiny patříte vy?

Stáří aktiva

To, že je stáří aktiva posuzováno i u lidí, není chyba. Možná to zní trochu cynicky, ale v obou případech je pro stanovení pravděpodobnosti selhání nebo chyby možno použít vanovou křivku, jen bude mít u různých aktiv trochu jiný průběh (např. nezkušený zaměstnanec – zkušený zaměstnanec – opotřebovaný zaměstnanec).

Jednotlivec vs. organizovaný zločin

Usoudíme-li, že danou hrozbu je velice náročné provést a jedinec toho není prakticky schopen, protože nejenže obvykle nemá současně motiv, příležitost a schopnosti, ale nedisponuje ani potřebnými zdroji (vybavení, čas, peníze), nabízí se označit danou hrozbu jako málo pravděpodobnou. To by však mohla být chyba, protože vysoká atraktivita aktiva může vést ve zformování virtuální organizované skupiny a pokud se podíváme na statistiky, zjistíme, že tomu tak skutečně je a dokonce ne jen v případě cenných aktiv. Nejsou to tedy osamocení hackeři, jako tomu bylo v počátku rozvoje internetu, ale organizované skupiny, které stojí za většinou útoků a operující celosvětově bez ohledu na hranice států.

Stanovení míry hrozby

Stanovení výsledné míry hrozby pro konkrétní dvojici hrozba – aktivum není triviální. V případě hrozby přírodního původu je určení míry hrozby poměrně snadné, neboť nám k jejímu stanovení stačí určit pravděpodobnost výskytu dané hrozby. V případě technického selhání můžeme kromě statistik vyjít i ze stáří aktiva a míru hrozby stanovit podle toho, v jakém bodě vanové křivky se právě nacházíme. V případě lidského selhání je možné též vyjít ze statistiky a vzít v úvahu aktuální náladu ve společnosti a kvalitu lidské obsluhy a určit trend. V případě hodnocení úmyslných hrozeb však narazíme na problém. I kdybychom vzali v úvahu jen 3 nejčastěji uváděné faktory jako je schopnost, příležitost a motiv, znamená to zkoumat 7 různých kombinací a posoudit, která z nich je závažnější. V případě, že bychom chtěli vzít v úvahu všech 9 výše uvedených faktorů, které při hodnocení pravděpodobnosti realizace úmyslné hrozby připadají v úvahu, dostali bychom se na 511 různých kombinací. (Z čistě matematického pohledu se jedná o kombinace bez opakování, jejichž počet lze snadno spočítat.) Z tohoto pohledu se jeví vyhodnocení trendu a náročnosti provedení útoku jako zcela dostačující k určení pravděpodobnosti realizace dané hrozby. Vycházíme z toho, že v době, kdy se členem organizované skupiny může stát v podstatě kdokoliv, vždy se najde někdo, kdo má motiv, příležitost, schopnosti a prostředky. Ostatní výše uvedené faktory je tedy třeba brát pouze jako doplňkové nebo se jimi vážně zabývat pouze v okamžiku, kdy statistické údaje nejsou k dispozici.

Závěr: Stanovení míry hrozby na základě četnosti výskytu dané hrozby je managementem obvykle akceptováno, neboť se tento způsob opírá o matematický aparát a míru hrozby je tak možné jednoduše vysvětlit a obhájit.

Poznámka: Co se týká kombinace jednotlivých faktorů, problém spočívá v tom, jak hodnotit např. takovou kombinaci, kdy bude pro jednu hrozbu splněna podmínka motivu a příležitosti, zatímco pro druhou naopak bude existovat příležitost a schopnost. Která hrozba bude v takovém případě závažnější? Jak spočítat míru hrozby? Je lepší vyhodnotit každý faktor a pak spočítat průměr? Nebo je vhodnější přidělit jednotlivým faktorům různé váhy?

Related posts:

1. Analýza rizik: identifikace hrozeb
2. Analýza rizik: kvantitativní analýza rizik
3. Analýza rizik: kvalitativní analýza rizik

V okamžiku, kdy v rámci analýzy rizik provádíme kvantifikaci aktiv, klademe si obvykle otázku, jaký by byl finanční a nefinanční dopad v případě, že by došlo k narušení důvěrnosti, integrity a dostupnosti těchto aktiv.V případě dostupnosti datových aktiv bychom měli sledovat dvě hodnoty a to RPO (Recovery Point Objective) a RTO (Recovery Time Objective). Běžně se však hodnota dopadu stanovuje jen na základě RTO, což může mít pro organizaci i katastrofální následky.

RTO

Jaké by byly finanční a nefinanční dopady, kdyby data, která jsou předmětem hodnocení, nebyla dostupná po dobu několika: 

• sekund
• minut
• hodin
• dní

RPO

Jaké by byly finanční a nefinanční dopady, kdyby došlo ke ztrátě dat za posledních několik: 

• sekund
• minut
• hodin
• dní

Všimněte si, že se jedná o dvě naprosto rozdílné otázky. Zatímco v prvním případě uvažujeme, že data nebudou dostupná jen po danou dobu, ve druhém případě o data za dané období přijdeme. Vidíme, že hodnota dopadu, co se týká dostupnosti datových aktiv, může teoreticky nabývat až 8 různých hodnot (4 x RPO + 4 x RTO). Na základě znalosti hodnot RTO a RPO můžeme ve fázi zvládání rizik volit vhodná opatření pro zajištění požadované dostupnosti dat.

Z obrázku je zřejmé, že v okamžiku, kdy se požadovaná dostupnost (RPO nebo RTO) pohybuje řádově v sekundách, musíme volit clusterové řešení. Pro dostupnost v řádově minutách se můžeme spokojit s replikací a v případě dostupnosti v hodinách je možno provádět zálohu na disky, a v případě dnů můžeme provádět tradiční zálohu na pásky. Pro stanovení hodnoty dopadu v případě orientační analýzy rizik můžeme volit i zcela pragmatický přístup a hodnotu aktiva stanovit čistě podle požadavků na dostupnost a to takto: sekunda – kritická hodnota aktiva, minuta – vysoká hodnota aktiva, hodina – střední hodnota aktiva, dny – nízká hodnota aktiva.

Poznámka: Replikaci je možno řešit kopírováním dat do vzdálené lokality a na jiná disková úložiště. Jsou systémy, které umí kopírovat jen data, která se změnila, to znamená, že se nepřenáší celý soubor, ale jen změněná část. Některé systémy navíc umí detekovat data, která se již někde na diskovém úložišti vyskytují a na ty se pak pouze odkazují. Tímto způsobem lze výrazně snížit dobu potřebnou k vytvoření identické kopie dat produkčního prostředí a nároky na diskový prostor. V případě obnovy jsou zase tato řešení schopna obnovit data tak, že jednotlivé datové bloky jsou obnovovány postupně.

Related posts:

1. Analýza rizik: Kvantifikace aktiv z pohledu důvěrnosti
2. Analýza rizik: Identifikace datových aktiv
3. Analýza rizik: kvantitativní analýza rizik

Hrozbu můžeme definovat jako náhodnou nebo úmyslně vyvolanou událost, která může mít negativní dopad na důvěrnost, integritu a dostupnost aktiv. Každý informační systém je vystaven působení mnoha různých hrozeb a pokud chceme těmto hrozbám čelit, musíme nejprve zjistit, které to jsou. Vzhledem k tomu, že většina informačních systémů bývá obvykle vystavena působení stejných hrozeb, můžeme hovořit o tzv. obecných neboli generických hrozbách, jejichž výčet bývá často uveden v nejrůznějších standardech a metodikách. Kromě těchto hrozeb bychom se však měli zamyslet i nad tím, zda náš systém neohrožují ještě nějaké jiné, pro něj specifické hrozby a pokud ano, měli bychom je do našeho seznamu hrozeb přidat. Tento výše uvedený proces se v analýze rizik označuje pojmem identifikace hrozeb.

Hrozby můžeme dělit mnoha různými způsoby. Nejčastěji se hrozby dělí podle úmyslu a umístění zdroje hrozby.

Podle úmyslu:

• náhodné hrozby (accidental threat) – jedná se o hrozby, které byly způsobeny zcela náhodně (původce hrozby se označuje jako threat event);
• úmyslné hrozby (deliberate/intentional threat) – jedná se o hrozby, které byly naplánovány (původce hrozby se označuje jako threat agent).

Podle zdroje:

• vnitřní hrozby (internal/insider threat) – zdroj (příčina) hrozby se nachází uvnitř organizace;
• vnější hrozby (external/outsider threat) – zdroj (příčina) hrozby se nachází mimo organizaci.

Kombinací výše uvedeného způsobu dělení získáváme matici, která zachycuje čtyři základní typy hrozeb.

Další možné dělení hrozeb je podle dopadu na systém. Toto dělení již není tak časté, ale umožňuje určit, na jaký atribut bezpečnosti (důvěrnost, integrita, dostupnost) hrozba působí:

• aktivní hrozby (active threat) – dochází ke změně stavu systému v důsledku narušení integrity a dostupnosti
• pasivní hrozby (passive threat) – nedochází ke změně stavu systému, dochází k úniku informací

Pro vlastní provedení analýzy rizik nemá výše uvedené dělení hrozeb příliš velký smysl. Ovšem v okamžiku, kdy se definuje hloubka analýzy rizik, může být takovéto dělení přínosem, neboť je tímto způsobem možné přibližně vymezit typ hrozeb, které budou předmětem analýzy. Stejně tak nám ve fázi vyhodnocení rizik může zařazení hrozby do odpovídající kategorie poskytnout zajímavý obrázek o tom, který typ hrozeb představuje pro společnost největší riziko. Vzhledem k tomu, že ne všechna aktiva jsou vystavena působení všech hrozeb, je vhodné hrozby seskupit podle toho na jaké aktivum působí:

• operační systém (operating system threats)
• aplikace (application threats)
• databáze (database threats)
• síť (network threats)
• klient (host threats)

V okamžiku, kdy budeme posuzovat míru zranitelnosti aktiva vůči působení hrozby, již nebudeme ztrácet čas vyhodnocováním, zda je daná hrozba relevantní či nikoliv.

Related posts:

1. Analýza rizik: kvantifikace hrozeb
2. Analýza rizik: Jemný úvod do analýzy rizik
3. Analýza rizik: Identifikace datových aktiv