Jistě jste si všimli, že určité kombinace hodnoty dopadu a pravděpodobnosti hrozby dávají stejnou výši rizika. To nás sice v tuto chvíli nemusí příliš trápit, nicméně měli bychom tuto skutečnost zohlednit ve fázi zvládáni rizik, protože je rozdíl, zda riziko vyšlo jako střední z důvodu vysoké pravděpodobnosti hrozby nebo vysoké hodnoty aktiva. Pojďme se nyní zamyslet nad tím, jak si rizika rozdělit.

2 úrovně rizik

Jistě vás napadlo, že by se rizika dala rozdělit na pouhé dvě skupiny a to na rizika co se budou řešit a dále na rizika co se prostě řešit nebudou. Ovšem používání pouhých dvou úrovní náš problém neřeší, protože opět si budete klást otázku, která rizika z těch, co máte řešit, byste měli řešit jako první.

3 úrovně rizik

Rozumným kompromisem je proto rozdělení rizik do tří skupin, kde rozlišujeme riziko nízké, kdy žádné kroky nepodnikáme, riziko střední, které je vhodné řešit hned poté, co byla vyřešena rizika vysoká a konečně samotná vysoká rizika, která by se měla řešit, jakmile to je možné. Ale toto rozdělení, byť v praxi poměrně oblíbené, není jediné možné.

4 úrovně rizik

Zde se nám nabízí možnost rozdělit rizika podle úrovně managementu, který se jimi bude zabývat a který bude v konečném důsledku za jejich zvládání zodpovědný na tři stupně, neboť obvykle rozlišujeme i tři úrovně řízení: operativní, taktické a strategické a tedy nižší, střední a vyšší management. Vzhledem k tomu, že zcela jistě vyjdou i taková rizika, kterým se nebude věnovat nikdo, dostaneme se ve výsledku na čtyři stupně rizika: nízké, střední, vysoké a kritické.

X úrovní rizik

Větší počet úrovní rizik je extrém, stejně jako v prvním případě, kdy jsme se zamýšleli nad pouhými dvěma úrovněmi. V obou případech je správa takto klasifikovaných rizik značně komplikovaná. Je tomu tak proto, že jen s obtížemi budeme hledat pro jednotlivé úrovně rizik slovní popis, který by byl srozumitelný a jednoznačný.

Matice rizik

Matice rizik (risk matrix) by nám měla pomoci stanovit prioritu řešení jednotlivých rizik. Pokud pro vizualizaci rizik použijeme nějaký spreadsheet, a pro stanovení pravděpodobnosti hrozby a hodnoty dopadu použijme 4bodovou stupnici, bude pravděpodobnost hrozby a hodnota dopadu nabývat hodnot z intervalu <1,4>. Pokud riziko vyjádříme jako součin pravděpodobnosti hrozby a hodnoty dopadu, vyjde nám matice rizik, která je zachycena na následujícím obrázku.

Pokud se podíváme na hodnoty, které nám vyšly, zjistíme, že výsledkem je nespojitá funkce, jejíž obor hodnot je dán intervalem <1,16>. Pokud použijeme např. MS Excel 2007, a jeho funkci podmíněného formátování a podbarvíme hodnoty v jednotlivých buňkách, získáme následující matici.

Na první pohled vidíme, kde jsou ta největší rizika. Ovšem těch barevných odstínů je tam nějak moc, že? Pokud bychom považovali každý barevný odstín za jiný stupeň rizika, dostali bychom se dokonce na 9 stupňů. To je moc, a proto zredukujeme počet barev na pouhé čtyři odstíny a tím získáme 4 rizikové stupně.

Musí však být jednotlivé úrovně rizika znázorněny zrovna takhle? Nemusí. Narazili jsme však na poměrně zajímavý problém a to, kde bude končit jedna úroveň a kde bude začínat druhá. Je mi jasné, že ve výsledku si stejně rizika asi rozdělíte na ta, která budete řešit hned, poté na ta, co budete řešit později a konečně na rizika, která nebudete řešit vůbec. A začít byste měli logicky těmi riziky, která vám vyšla jako nejvyšší. Stačí je jen seřadit sestupně.

Poznámka: Tento příspěvek doplňuje některé informace uvedené v knize „Řízení informačních rizik v praxi“.

Zajímalo by mne, nejen kolik úrovní rizik považujete za optimální, ale především jaké byste zvolili intervaly pro jednotlivé úrovně a proč?

Related posts:

1. Vyhodnocení rizik: kvantifikace opatření
2. Vyhodnocení rizik: identifikace opatření
3. Analýza rizik: kvalitativní analýza rizik

V okamžiku, kdy v rámci analýzy rizik provádíme kvantifikaci aktiv, klademe si obvykle otázku, jaký by byl finanční a nefinanční dopad v případě, že by došlo k narušení důvěrnosti, integrity a dostupnosti těchto aktiv.

Pokud jde o důvěrnost, musíme si položit otázku, jaký finanční a nefinanční dopad na organizaci by měl únik nebo nežádoucí zpřístupnění citlivých informací. Je otázka, zda nutit společnost, která již má zavedený proces klasifikace informací, aby prováděla kvantifikaci datových aktiv z pohledu důvěrnosti a zda za tímto účelem nevyjít při stanovení hodnoty dopadu z klasifikačního stupně, který byl dané informace přidělen. Pro orientační analýzu rizik by toto přiřazení mohlo stačit.

Vzhledem k tomu, že v praxi není dost dobře možné, aby každý vlastník informace prováděl analýzu dopadů, bývá obvykle stanoven interním předpisem pro jednotlivé typy informací odpovídající klasifikační stupeň, který by měl být každé informaci přidělen v okamžiku, kdy dojde k jejímu pořízení. Klasifikační stupeň je informacím přidělen proto, aby informace byly odpovídajícím způsobem chráněny a to během celého jejich životního cyklu.

Za tímto účelem organizace zpravidla přijímá určitá bezpečnostní opatření, jejichž zavedení, vynucení a kontrola něco stojí. I proto je potřeba důkladně zvážit, jak budou chráněny informace označené příslušným klasifikačním stupněm. Organizace se třeba může rozhodnout, že přístup k interním informacím budou mít všichni zaměstnanci, přístup k důvěrným informacím bude povolen pouze pro vybrané zaměstnance a přísně důvěrné informace budou navíc šifrovány, bude vyžadována dvoufaktorová autentizace atd.

Jestliže tedy byl určitým typům informací přiřazen na základě analýzy odpovídající klasifikační stupeň, mohli bychom vztah mezi klasifikačním stupněm a hodnotou dopadu definovat takto: interní informace – střední dopad, důvěrná informace – vysoký dopad a přísně důvěrná informace – kritický dopad. U informací, které byly klasifikovány jako veřejné, hodnotu dopadu stanovit nemůže, protože k narušení jejich důvěrnosti nemůže dojít.

Vždy bychom měli uvažovat o nejhorším možném scénáři (worst case scenario), ke kterému by mohlo dojít, takže pokud si teď říkáte, že mohou nastat situace, kdy únik interní informace může mít pro organizaci mnohem závažnější následky, než únik důvěrné informace, tak si položte otázku, zda byl dané informaci opravdu správně přidělen odpovídající klasifikační stupeň. Organizace dost často mají vydán nějak interní předpis ohledně klasifikace informací, ale zpravidla ho nedodržují nebo informace příslušným klasifikačním stupněm označují nesprávně.

Poznámka: Jak zabránit úniku citlivých informací jsme se věnovali v příspěvku Data Loss Prevention.

Related posts:

1. Analýza rizik: kvantifikace aktiv z pohledu dostupnosti
2. Analýza rizik: Identifikace datových aktiv
3. Analýza rizik: kvantifikace hrozeb

Byť se již před mnoha lety hovořilo o tzv. paperless office (bezpapírová kancelář), tak i dnes je spousta informací, které organizace shromažďuje a zpracovává, uložena v papírové podobě. Nezapomínejte prosím na tuto skutečnost, až budete provádět identifikaci datových aktiv. Pokud jsou informace uloženy v elektronické podobě, tak se obvykle nachází na:

• HDD, SSD počítačů a serverů;
• přenosných médiích jako jsou pásky, CD, DVD, flash disky;
• v interní paměti přenosných zařízení.

K těmto datům potom přistupujete jako k souborům v nějaké adresářové struktuře nebo jako k záznamům v databázi. Pokud jde o soubory, tak ty mohou být textové nebo binární, ale můžeme je rozdělit i podle typu. Mohli bychom třeba vyjít z MIME type, ale myslím, že pro naše účely bude mnohem srozumitelnější toto rozdělení:

• Aplikace
• Dokumenty
• Spreadsheety
• Prezentace
• Obrázky
• Audio
• Video
• Text
• Maily
• Výstupy z nejrůznějších aplikací

Bez ohledu na to, o jaký typ souboru se jedná a jakou aplikací je zpracováván, můžeme prohlásit, že naprostá většina organizací obvykle pracuje s informacemi, které se týkají níže uvedených oblastí.

• HR
  • Osobní údaje o zaměstnancích (osobní číslo, kontaktní informace, pracovní zařazení, výše mzdy, výsledky hodnocení)
  • Seznam a popis pracovních pozic
  • Motivační systém (bonusy, zaměstnanecké výhody, systém hodnocení)
• Marketing
  • Informace o klientech
  • Informace o dodavatelích
  • Detaily o proběhlých, stávajících nebo budoucích obchodech
  • Informace o nových produktech a službách
  • Informace o připravovaných marketingových kampaních
  • Výsledky průzkumu trhu, nejrůznější analýzy
• Management
  • Strategické plány
  • Taktické plány
  • Operativní plány
  • Pracovní postupy
  • Projektová dokumentace
  • Bezpečnostní politika, standardy a směrnice
• Finanční řízení
  • Účetní doklady
  • výkazy
• IT
  • Síťová infrastruktura (nastavení, dokumentace, hesla)
  • Systémy (nastavení, dokumentace, hesla)
  • Aplikace (nastavení, dokumentace, hesla)
  • Databáze (nastavení dokumentace, hesla)
  • Zdrojové kódy
• Facility
  • Plány budov
  • Umístění kamer, čidel, spínačů
  • Počet členů ostrahy a jejich úkolů

Výše uvedený výčet samozřejmě není kompletní, ale myslím, že i tak je z něj zřejmé, jaké informace mohou být pro útočníka, kterým dost často bývá i konkurence, zajímavé. Bohužel stále se najde dost firem, které si hodnotu svých dat neuvědomují, a nezavedly proto odpovídající bezpečnostní opatření. Odpověď na otázku, kolik byste měli do ochrany vašich informací investovat prostředků, by vám měla poskytnout analýza rizik.

Related posts:

1. Analýza rizik: kvantifikace aktiv z pohledu dostupnosti
2. Analýza rizik: identifikace hrozeb
3. Analýza rizik: Kvantifikace aktiv z pohledu důvěrnosti

Pokud nechcete, aby se k datům na vašem smartphonu dostal někdo jiný, nastavte si ho tak, aby se vám po určité době nečinnosti sám uzamkl. Zadávat ale v okamžiku, kdy chcete svůj smartphone použít, nějaké dlouhé heslo je otrava. To si uvědomil i Google, který majitelům smartphonů s operačním systémem Google Android umožňuje telefon odemykat pomocí tzv. Android password pattern.

Tuto funkci ve svém telefonu naleznete v menu „Informace o poloze a zabezpečení“ pod volbou „Nastavit zámek displeje“, kde si můžete zvolit, zda pro odemknutí displeje budete používat znak, PIN nebo heslo. Pokud se rozhodnete pro odemykání displeje pomocí znaku, budete vyzváni, abyste nakreslili nějaký znak. To provedete spojením minimálně 4 bodů, které se vám zobrazí na displeji vašeho telefonu. Od této chvíle pak tento znak budete muset nakreslit pokaždé, když budete chtít telefon použít.

Google vychází z toho, že pro většinu lidí je mnohem snazší si zapamatovat nějaký znak, než řadu po sobě jdoucích nic neříkajících znaků nebo čísel, které obvykle tvoří PIN nebo heslo. Pokud si body, které se na displeji zobrazí, očíslujeme od 1 do 9, můžeme pak znak, který si vytvoříme, snadno zapsat jako řadu po sobě jdoucích čísel. Pokud by vaším tajným znakem bylo například šestka, tak tu bychom mohli vyjádřit jako číslo 321478965. Takhle dlouhý 9ciferný PIN by vám dalo asi práci si zapamatovat, ale spojit devět bodů na displeji vašeho smartphonu ve správném pořadí, to vám jistě nebude činit žádný problém. Na obrázku je uveden příklad, kdy bylo jako tajný znak zvoleno písmeno „Z“.

Bohužel, stejně jako všechny ostatní autentizační metody, je i tato metoda zranitelná. Na uživatele smartphonu s dotykovým displejem je možné vést tzv. šmouhový útok (Smudge attack), což je technika, která umožňuje útočníkovi zjistit, jaký znak uživatel používá pro odemčení svého smartphonu. Tato technika využívá skutečnosti, že každý z nás zanechává běžným používáním na displeji svého smartphonu stopy v podobě mastných šmouh, které jsou pod správným úhlem a při správném nasvícení poměrně dobře viditelné. Zkuste se sami podívat na displej svého smartphonu pod různými úhly a možná budete překvapeni.

Této skutečnosti si všimli i vědečtí pracovníci z Pensylvánské univerzity, kteří zjistili, že nejčitelnější je ona šmouha ihned po odemknutí telefonu (to je vskutku objev;-), ale může být dobře patrná i po nějaké době používání telefonu, kdy je překryta dalšími šmouhami a otisky (to už je zajímavější). Záleží jen na tom, jakým způsobem a k čemu svůj smartphone používáte. Pokud třeba jen telefonujete, tak velice pravděpodobně po displeji prstem všemi směry nepřejíždíte. Pak je i jedno, zda hovor ukončujete HW nebo SW tlačítkem, protože stopa, kterou jste na displeji odemknutím telefonu zanechali, zůstává zřetelná a dokonce ani občasné nebo nechtěné dotyky prsty ji nijak výrazně nepoškodí, stejně jako zasouvání smartphonu do pouzdra nebo do kapsy.

Scénář útoku je poměrně jednoduchý. Útočník, který chce zjistit, jaký znak pro odemknutí telefonu používáte, v nestřeženém okamžiku displej vašeho telefonu zbaví všech otisků a šmouh. Potom vám zatelefonuje, pošle SMS, e-mail. Váš momentálně uzamčený telefon vám oznámí příchozí hovor nebo zprávu a vy ho přirozeně odemknete. Tím se na telefonu objeví čerstvá šmouha. Nyní útočníkovi nezbývá, než počkat, až se od telefonu opět vzdálíte.

Vězte, že útočníkem může být kdokoliv, váš kolega z práce, přítelkyně, manželka apod. Test jsme zopakovali a dospěli jsme k závěru, že pro provedení útoku není zapotřebí žádné složité a drahé vybavení, nýbrž úplně obyčejná stolní lampa, která je na každém pracovním stole nebo nočním stolku. A neříkejte, že svůj smartphone nikdy neodkládáte. Do sprchy, do postele, do bazénu nebo na hřiště ho sebou asi neberete.

Pokud si myslíte, že si vytvoříte nějaký dlouhý a jedinečný znak, který bude obtížné rozpoznat, musím vás zklamat. Těch možných znaků, které můžete vytvořit, totiž není nekonečně mnoho, jak by se mohlo na první pohled zdát. Jejich omezený počet není dán pouze tím, že každý bod můžete použít jen jednou, ale především tím, že většina z vás bude mít tendenci vytvářet znaky, které mají obraz v reálném světě.

Byť teoreticky můžete vytvořit nejrůznější znaky obsahující 4 až 9 bodů, málokdo si bude vytvářet např. znak, který by byl založen na spojení bodů 1-8, 8-3, 2-7, 2-9, 9-4, 4-3, 1-6, 6-7, jednoduše proto, že tyto body se velice obtížně spojují, obzvlášť v případě, kdy se znak při zadávání nezobrazuje, což doporučuji, protože jinak lze takový znak odpozorovat ještě snadněji než běžný PIN nebo heslo.

Poznámka: Originální research paper, ve kterém jsou uvedeny technické detaily, je zde.

Závěr: Opatření proti útoku tohoto typu je poměrně jednoduché. Stačí, když dříve než se od svého telefonu vzdálíte, otřete důkladně jeho displej kusem látky. Vězte, že přejet po něm párkrát prstem mnohdy opravdu nestačí.

Related posts:

1. Chytré telefony a shoulder surfing attack
2. Chytré telefony a motion sensor attack
3. Zrádné smartphony aneb chytré telefony, které vás mohou i zničit

Chtěl bych předeslat, že hodnotu dopadu není možné stanovit přesně, protože ač jsou některé hodnoty, které do výpočtu celkové výše dopadu vstupují, dané, tak jsou zde i takové, u kterých je jejich výši nutné stanovit za použití statistických metod. První, co každého CIO napadne, je spočítat náklady na:

• pořízení nového HW v případě, že došlo k jeho zničení, např. v důsledku živelné pohromy jako je požár nebo vytopení vodou.
• zprovoznění systému – instalaci a konfiguraci operačního systému, aplikace, databáze si nemusí vyžádat jen instalace nového HW, ale může k ní dojít i v důsledku kompromitace stávajícího systému, kdy se nelze spolehnout na image a vše se musí instalovat z originálních médií.
• obnovu dat – v okamžiku zprovoznění infrastruktury musí dojít k obnově dat ze záložních médií nebo jejich opětovnému pořízení a kontrole správnosti, což může být finančně i časově velice náročná záležitost.

Hlavní složkou výše uvedených nákladů na zprovoznění systému a obnovu dat jsou kromě samotné ceny HW především mzdové náklady pracovníků, kteří tuto činnost provádějí. Pokud jde o mzdové náklady, tak je otázka, zda do hodnoty dopadu nezapočíst i náklady na mzdu pracovníků, kteří po dobu nedostupnosti systému nemohou pracovat a nevytváří tak žádnou hodnotu. Ale to je spíš otázka CFO, stejně jako vyčíslení jakou hodnotu představuje:

• ušlý zisk z předem domluvených zakázek (+případné sankce za nedodržení smlouvy), které se měly uskutečnit v době nedostupnosti systému, neuskutečnily se a už se neuskuteční, protože klient se obrátil na jinou společnost.
• ušlý zisk z nových zakázek, které by se pravděpodobně uskutečnily, kdyby byl systém dostupný. Tuto hodnotu lze celkem dobře odhadnout, pokud máme k dispozici historická data.
• ztráta úroků – souvisí s poklesem zisku. Protože pokud nám klient generuje zisk, tak tento zisk mohl být výhodně investován, nebo mohl minimálně generovat úrok, i kdyby byl uložen jen na běžném účtu v bance.

Je zajímavé, že spousta firem se při stanovení hodnoty dopadu spokojí pouze s výše uvedenými náklady a vůbec nebere v úvahu další podstatné skutečnosti. Rozumný CEO se však zajímá i o finanční ztrátu, kterou představuje:

• ztráta důvěry klientů – zde se musíme ptát, zda dojde ke ztrátě důvěry klientů, akcionářů a veřejnosti a kolik klientů pravděpodobně odejde a jak velký zisk nám generuje jeden klient a vůbec jaký bude mít ztráta důvěry dopad na tempo růstu.
• pokles ceny akcií v důsledku ztráty důvěry akcionářů lze těžko odhadnout. Nicméně je možné ji ale přibližně stanovit podle společností, u kterých k poklesu cen akcií ze stejného důvodu došlo.
• náklady na marketing a PR za účelem přesvědčení klientů, akcionářů a veřejnosti, že situace, ke které došlo, byla výjimečná a nebude se již opakovat a tím získat zpět jejich důvěru a postavení na trhu.

Poznámka: Pro stanovení celkové výše dopadu není možné jednotlivé výše uvedené hodnoty dopadu bezmyšlenkovitě sčítat, protože např. v případě narušení integrity nebo důvěrnosti dat si asi těžko budete pořizovat nový hardware, ale vzniknou vám zase jiné náklady. Např. pokud dojde k úniku osobních údajů, může vám ÚOOÚ uložit pokutu. V případě narušení integrity zase můžete realizovat ztrátu plynoucí z chyb, ke kterým za dané období došlo.

Poznámka: Tento příspěvek doplňuje informace uvedené v knize Řízení informačních rizik v praxi.

A jakým způsobem stanovujete hodnotu dopadu vy?

Related posts:

1. Analýza rizik: kvantitativní analýza rizik
2. Analýza rizik: kvalitativní analýza rizik
3. Analýza rizik: kvantifikace aktiv z pohledu dostupnosti

Kvantitativní analýza rizik je náročnější na zdroje a její provedení trvá mnohem déle než kvalitativní analýza rizik. Je tomu tak proto, že hodnotu aktiva je nutné vyjádřit v penězích stejně jako možnou škodu v případě realizace konkrétní hrozby. Vyjádření škody ve finančních jednotkách však umožňuje jednodušší rozhodování ve fázi zvládání rizik, kdy vybíráme vhodná opatření.

Kvalitativní analýza rizik je méně náročná na zdroje a trvá kratší mnohem kratší dobu než kvantitativní analýza rizik. Především proto, že hodnotu aktiva není nutné vyjadřovat v penězích stejně jako možnou škodu v případě realizace konkrétní hrozby. To však vede k horší kontrole nákladů ve fázi zvládání rizik, kdy vybíráme vhodná opatření.

Vyjádření škody ve finančních jednotkách má jednu obrovskou výhodu a to, že nám umožňuje porovnat výši škody a celkové náklady na opatření. To u slovního popisu rizika není dost dobře možné, protože chápaní stupňů nízký, střední, vysoký nebo kritický, může být značně subjektivní. V takovém případě totiž nevíme, jak velkou finanční škodu tyto stupně vlastně vyjadřují. Následující tabulka se snaží zachytit výhody a nevýhody kvantitativní a kvalitativní analýzy rizik. 

Pokud jste teď začali počítat plusy a mínusy ve snaze zjistit, která metodika je lepší, zapomeňte na to. Výše zmíněné metodiky nestojí proti sobě, ale vzájemně se doplňují. Kvalitativní analýzu rizik obvykle provádíme v okamžiku, kdy potřebujeme rychle zhodnotit a určit největší rizika, která společnost ohrožují. Jakmile tato rizika známe, můžeme je začít detailně zkoumat. V tuto chvíli je již použití kvantitativní metodiky na místě.

Poznámka: To, že kvantitativní analýza rizik poskytuje poměrně přesné, nikoliv zcela přesné výsledky, je uvedeno záměrně, protože i zde dochází k odhadu pravděpodobnosti výskytu dané hrozby a výše škody.

Závěr: V předchozích příspěvcích jsme si uvedli, jak provést kvalitativní a kvantitativní analýzu rizik. V tomto příspěvku jsme si popsali výhody a nevýhody těchto metodik. Obě metodiky, ač jsou v této podobě ve světě běžně používány, obsahují jednu zásadní slabinu, která při kvantifikaci rizika nebo vyjádření výše škody může být příčinou značně nepřesných nebo zavádějících výsledků. To, že lze analýzu rizik provést i jinak a tuto slabinu eliminovat, je uvedeno v knize „Řízení informačních rizik v praxi“.

Related posts:

1. Analýza rizik: kvantitativní analýza rizik
2. Analýza rizik: kvalitativní analýza rizik
3. Analýza rizik: Jemný úvod do analýzy rizik

Kvalitativní analýza rizik je založena na expertním odhadu jednotlivých aktiv, hrozeb a zranitelností a pro jejich vyjádření používá slovního nebo číselného hodnocení. Umožňuje tak poměrně snadno a rychle identifikovat ta největší rizika.

Analýza aktiv

V tomto kroku bychom měli identifikovat všechna pro společnost kritická aktiva a následně stanovit jejich hodnotu. Uvědomte si, že v případě nežádoucího zpřístupnění, změny nebo zničení informací nejenže přijdete o zisk, ale budete muset i zaplatit pokutu nebo penále, protože např. nebudete schopni poskytovat své služby v souladu s SLA. Obvykle se nejprve sepíší všechna aktiva a poté se slovně ohodnotí jejich důležitost pro společnost např. jako nízká, střední, vysoká nebo kritická. Kolik stupňů používáte pro stanovení hodnoty aktiva vy a na základě čeho tuto hodnotu stanovujete?

Note: There is a poll embedded within this post, please visit the site to participate in this post's poll.

Analýza hrozeb

V tomto kroku bychom měli analyzovat hrozby, kterým je společnost vystavena. U každé hrozby bychom měli stanovit pravděpodobnost jejího výskytu tzv. probability nebo likelihood. Jestliže se hrozba vyskytuje minimálně jedenkrát ročně, můžeme hovořit o tom, že pravděpodobnost výskytu hrozby je jistá. Pokud se daná hrozba prakticky nevyskytuje, můžeme hovořit o tom, že pravděpodobnost výskytu dané hroby je nízká. Kolik stupňů používáte pro stanovení pravděpodobnosti hrozby vy a na základě čeho ji stanovujete?

Note: There is a poll embedded within this post, please visit the site to participate in this post's poll.

Analýza zranitelností

V tomto kroku bychom se měli zamyslet nad tím, jaká je míra zranitelnost daného aktiva vůči působení dané hrozby. V okamžiku, kdy stanovujeme míru zranitelnosti, již bereme v úvahu implementovaná opatření, která účinnost hrozby snižují. V případě, že víme, že žádné opatření ke snížení zranitelnosti nasazeno není, můžeme míru zranitelnosti daného aktiva označit jako kritickou. Pokud se obáváme, že opatření spíše selže, můžeme zranitelnost označit jako vysokou. Pokud doufáme, že opatření spíše neselže, můžeme zranitelnost označit jako střední. A konečně, pokud jsme přesvědčeni, že opatření nikdy neselže, můžeme zranitelnost daného aktiva označit jako nízkou. Kolik stupňů používáte pro stanovení míry zranitelnosti vy a na základě čeho ji stanovujete?

Note: There is a poll embedded within this post, please visit the site to participate in this post's poll.

Stanovení výše rizika

V okamžiku, kdy známe hodnotu dopadu (A), pravděpodobnost hrozby (T) a hodnotu zranitelnosti (V), můžeme přistoupit ke stanovení rizika (R). Oproti kvantitativní analýze rizik, kde je způsob výpočtu víceméně daný a nikdo ho nezpochybňuje, tak v případě kvalitativní analýzy rizik neexistuje pouze jediná možnost, jak se dobrat výsledku. Možnost zvolit si v podstatě jakoukoliv stupnici pro stanovení hodnoty aktiv, hrozeb a zranitelností představuje sice na jednu stranu výhodu, ale na stranu druhou to komplikuje srovnávání výsledků AR provedených nejrůznějšími společnostmi.

Note: There is a poll embedded within this post, please visit the site to participate in this post's poll.

Poznámka: V mezinárodních standardech se dočtete, že jediná podmínka je, aby metodika výpočtu rizika byla uvedena, poskytovala porovnatelné a měřitelné výsledky a v případě, že dojde ke změně hodnoty aktiva, hrozby nebo zranitelnosti, tak aby došlo i ke změně hodnoty rizika. To vede k tomu, že kromě asi nejčastěji používaného vzorce, kde se riziko počítá jako součin jednotlivých veličin (R=A*T*V), je možné použít i vzorec, který stejné veličiny sčítá (R=A+T+V), neboť i ten splňuje výše uvedený požadavek. Že v obou případech dojdeme při použití stejných měřítek k rozdílnému výsledku, snad není nutné zdůrazňovat.

Závěr: V praxi musíme učinit několik zcela zásadních rozhodnutí a to, jakou metodiku výpočtu použít a kolik použít stupňů pro hodnocení aktiv, hrozeb, zranitelností a výsledného rizika. Dále, pokud máme rizika prioritizovat, musíme určit, nejen kolik úrovní rizik budeme používat, ale i kde budou jednotlivé úrovně začínat a končit resp. jakých hodnot mohou jednotlivé úrovně rizik nabývat. Ale o tom si povíme někdy příště. 

Related posts:

1. Analýza rizik: kvantitativní analýza rizik
2. Analýza rizik: kvantitativní vs. kvalitativní
3. Analýza rizik: Jemný úvod do analýzy rizik

Řízení rizik (risk management) je komplexní proces skládající se z několika fází, které na sebe navazují a vytvářejí jakousi smyčku viz obrázek. Cílem řízení rizik je identifikace a kvantifikace rizik, kterým musí společnost čelit a především rozhodnutí o vhodném způsobu zvládání těchto rizik. Všimněte si, že píši o zvládání rizik, nikoliv o jejich snížení na přijatelnou úroveň, jak se dost často uvádí. Je tomu tak proto, že snížení rizika je jen jednou z několika nejčastěji používaných metod.

Stanovení kontextu (establishing the context)

Cílem této fáze je vymezení oblasti, ve které budou rizika řízena, popsání samotného procesu řízení rizik, vydefinování rolí a určení osob odpovědných za jednotlivé činnosti v rámci tohoto procesu, výběr metodiky, která bude použita pro analýzu rizik, stanovení referenční úrovně, kritérií a způsobu hodnocení a zvládání rizik.

Analýza rizik (risk analysis)

V této fázi by měla být odpovědnými pracovníky určenými v předchozí fázi provedena analýza rizik, která obvykle zahrnuje identifikaci a kvantifikaci aktiv, hrozeb a zranitelností a stanovení výše rizika nebo škody v souladu se schválenou metodikou.

Vyhodnocení rizik (risk evaluation)

V okamžiku, kdy máme k dispozici výsledky analýzy rizik, měli bychom se pokusit o prioritizaci rizik, neboť je zřejmé, že ne všem rizikům může být věnována stejná pozornost. Dále bychom měli vybrat vhodná opatření vedoucí ke snížení rizika a provést tzv. cost/benefit analýzu.

Zvládání rizik (risk treatment)

V poslední fázi, když už známe výši rizika nebo škody a též náklady na jednotlivá opatření a odpovědné osoby byly s riziky prokazatelně seznámeny, mělo by dojít k rozhodnutí o vhodném způsobu zvládání rizik, kterými jsou retence, redukce, transfer, pojištění, sdílení a vyhnutí se riziku.

Poznámka: Výše uvedené rozdělení a náplň jednotlivých fází procesu řízení rizik není jediné možné. Např. v AS/NZS 4360 je posloupnost jednotlivých fází následující: stanovení kontextu, identifikace rizik, analýza rizik, vyhodnocení rizik a zvládání rizik. Fáze identifikace, analýzy a vyhodnocení rizik se zde nazývá hodnocení rizik (risk assessment).

Related posts:

1. Analýza rizik: Jemný úvod do analýzy rizik
2. Zvládání rizik: Jemný úvod do zvládání rizik
3. Řízení informačních rizik v praxi

Analýza rizik by měla přinést odpověď na otázku, působení jakých hrozeb je společnost vystavena, jak moc jsou její aktiva vůči těmto hrozbám zranitelná, jak vysoká je pravděpodobnost, že hrozba zneužije určitou zranitelnost a jaký dopad by to na společnost mohlo mít. V analýze rizik se používají následující pojmy:

• aktivum (asset) – vše co má pro společnost nějakou hodnotu a mělo by být odpovídajícím způsobem chráněno,
• hrozba (threat) – jakákoliv událost, která může způsobit narušení důvěrnosti, integrity a dostupnosti aktiva
• zranitelnost (vulnerability) – vlastnost aktiva nebo slabina na úrovni fyzické, logické nebo administrativní bezpečnosti, která může být zneužita hrozbou.
• riziko – pravděpodobnost, že hrozba zneužije zranitelnost a způsobí narušení důvěrnosti, integrity nebo dostupnosti.
• opatření (countermeasure) – opatření na úrovni fyzické logické nebo administrativní bezpečnosti, které snižuje zranitelnost a chrání aktivum před danou hrozbou.

Kromě toho se můžeme ještě setkat s následujícími pojmy, které již nejsou tak časté, nicméně je vhodné o nich vědět: 

• ohrožení (exposure) – skutečnost, že existuje zranitelnost, která může být zneužita hrozbou
• narušení (breach) – situace, kdy došlo k narušení důvěrnosti, integrity nebo dostupnosti v důsledku překonání bezpečnostních opatření.

Na tomto místě bych chtěl tak upozornit na skutečnost, že dost často dochází ke ztotožnění pojmu riziko a hrozba. Je třeba si však uvědomit, že hrozba může být zdrojem pro jedno nebo více rizik a že hrozba sama o sobě riziko nepředstavuje. Hrozby pouze zneužívají zranitelnosti vedoucí k ohrožení, což je riziko, které lze snížit prostřednictvím opatření chránící aktiva před působením těchto hrozeb. Tuto skutečnost nejlépe ilustruje následující obrázek.

Pokud jde o vlastní přístup k provedení analýzy, tak např. ISO/IEC 13335 uvádí čtyři různé přístupy: 

• Základní přístup – žádná analýza rizik se neprovádí, pouze je vybrána a implementována základní sada opatření z nějakého katalogu.
• Neformální přístup – jedná se o pragmatický přístup k analýze rizik, kdy se provádí rychlá, orientační analýza rizik založená na zkušenostech expertů a vyhodnocení možných scénářů.
• Formální přístup – jedná se o detailní analýzu rizik, kdy se provádí hodnocení aktiv, hrozeb a zranitelností nejčastěji za použití matematického aparátu.
• Kombinovaný přístup – na základě provedené orientační analýzy rizik, kdy byla pro organizaci identifikována kritická aktiva nebo procesy, se provede detailní analýza rizik.

Od určité velikosti a komplexnosti informačního systému, který je předmětem analýzy, je vhodné analýzu rizik pojmout jako projekt. Vlastní analýza rizik se skládá z několika fází: identifikace a kvantifikace aktiv, hrozeb, zranitelností a stanovení výsledného rizika. Z pohledu projektového řízení by se daly tyto fáze označit jako milníky. Samotná analýza rizik může být provedena interně nebo externě. Výhody a nevýhody interně a externě prováděných analýz rizik jsou stejně jako popis jednotlivých fází projektu detailně popsány v [1]. V každém případě budeme muset v rámci každé fáze provést těchto několik kroků: 

• identifikace respondentů – určit osoby, se kterými budeme komunikovat a na které se budeme s žádostí o poskytnutí informace obracet
• získání informací – informace budeme získávat od osob, které jsme identifikovali v předchozím kroku a to formou interview nebo dotazníků.
• analýza informací – informace, které jsme v předchozím kroku získali, musíme analyzovat,
• interpretace informací – výsledky analýzy musíme vhodným způsobem interpretovat, a to tak, aby byly pro respondenta srozumitelné
• verifikace informací – odpovědi jednotlivých respondentů a závěry, ke kterým jsme dospěli, bychom si měli nechat jednotlivými respondenty schválit.
• dokumentace informací – to jediné, co zákazníkovi po skončení projektu zbyde, je dokumentace.

Nyní si stručně popíšeme jednotlivé fáze analýzy rizik. Stručně proto, že detailně jsou popsány v [1] a dále v samostatných příspěvcích na tomto webu.

Analýza aktiv

V rámci analýzy rizik musíme identifikovat pro společnost kritická aktiva a určit jejich hodnotu. Tento krok se někdy označuje jako inventarizace aktiv, v rámci kterého se vytváří tzv. registr aktiv. Dále musíme provést dekompozici aktiv a tam kde to bude vhodné jejich agregaci, tyto kroky jsou rovněž detailně popsány v [1].

Analýza hrozeb

Dalším krokem je identifikace hrozeb a kvantifikace hrozeb. Tato fáze se také někdy nazývá analýza hrozeb (threat analysis), při pkteré vycházíme buď ze seznamu obecných (generických) hrozeb nebo specifických hrozeb, které můžeme identifikovat např. za použití ATM (Attack Tree Model), který je též popsán v [1].

Analýza zranitelností

V tomto kroku musíme identifikovat a kvantifikovat všechna slabá místa na úrovni fyzické, logické a administrativní bezpečnosti. Tato fáze se někdy nazývá analýza zranitelností (vulnerability analysis/ vulnerability assessment).

Stanovení výše rizika nebo škody

V okamžiku, kdy známe hodnotu aktiv, pravděpodobnost hrozeb a míru zranitelnosti, může přistoupit k vyjádření rizika. Pokud jsme provedli kvantitativní analýzu rizik, vyjádříme výši rizika v peněžních jednotkách a pokud byla provedena kvalitativní analýza rizik, vyjádříme výši rizika ve stupních.

Závěr: Analýza rizik nám říká, co všechno se může stát, proč se to může stát, jak se to může stát, kde se to může stát a koho se to bude týkat.

Zdroj: [1] Miroslav Čermák, Řízení informačních rizik v praxi

Related posts:

1. Řízení rizik: Jemný úvod do řízení rizik
2. Analýza rizik: kvalitativní analýza rizik
3. Analýza rizik: kvantitativní analýza rizik

Fáze zvládání rizik (risk treatment/handling) spočívá ve volbě vhodné metody zvládání rizik. Mezi nejběžnější metody zvládání rizik patří akceptace a redukce rizika. Ač se jedná o metody nejčastější, nejsou zdaleka jediné. Pojďme se společně podívat i na ostatní metody, stručně si je charakterizovat a zamyslet se nad tím, kdy je vhodné tu či onu metodu použít. 

Ignorování rizika

Jedná se vůbec o nejhorší možný případ, kdy management o riziku neví a ani se nesnaží nějakou analýzu rizik provést a skutečnost, že nějaká rizika existují nebo by mohla existovat, zcela ignoruje (risk ignorance).

Akceptace rizika

Nejčastější metodou zvládání rizik, která spočívá v tom, že se nic nedělá, je akceptace rizika (risk retention, acceptance, toleration). Obecně lze tuto metodu doporučit pouze v případě nízkých a zbytkových rizik. Tento přístup má své opodstatnění, je zbytečné vynakládat prostředky na implementaci opatření proti hrozbě, která se prakticky nevyskytuje a její dopad je zanedbatelný.

Redukce rizika

Další nejběžnější metodou zvládání rizik je redukce rizika (risk reduction, prevention, remediation, minimalization), jejím cílem je snížení rizika na přijatelnou úroveň. Tuto metodu lze doporučit pro všechna rizika, která se vyznačují vysokou pravděpodobností výskytu hrozby, bez ohledu na možný dopad.

Vyhnutí se riziku

K tomu způsobu zvládání rizik je vhodné se uchýlit v okamžiku, kdy riziko vyjde jako kritické a použití ostatních metod není možné. Jedinou možností tak zbývá se riziku vyhnout (risk avoidance, rejection, evade), protože akceptace nepřipadá v úvahu. Jedná se o rizika, kde je pravděpodobnost výskytu hrozby jistá a dopad zničující.

Transfer rizika

Jedná se o přenos odpovědnosti za zvládání rizika (risk transfer) na ekonomicky silnějšího partnera. Z dcery na matku, outsourcingovou nebo pojišťovací společnost. Obvykle se jedná o rizika s nízkou pravděpodobností výskytu hrozby, ale zato se zničujícím dopadem. Je otázka, zda by nebylo vhodnější a výstižnější nazývat tuto metodu zvládání spíše jako sdílení rizika (risk sharing).

Monitoring rizika

Rizika je vhodné monitorovat (risk monitoring) a přezkoumávat (risk review) a to nejen zbytková, za která mohou být prohlášena v podstatě jakákoliv rizika. Důvod je prostý, nikdy nevíme, zda nedošlo ke zvýšení rizika, neboť hodnota dopadu, míra hrozby a zranitelnosti se mohla změnit. Nepřetržitý monitoring (continous monitoring) je vhodný pro ta rizika, která se vyznačují vysokou pravděpodobností hrozby a velkým dopadem. Pravidelný monitoring (periodic monitoring) je vhodný pro ta rizika, která se vyznačují nízkou pravděpodobností hrozby a malým dopadem. Pravidelné přezkoumání (periodic review) je vhodné pro ta rizika, která se vyznačují nízkou pravděpodobností hrozby a velkým dopadem. Soustavné přezkoumávání (continous review) je vhodné pro ta rizika, která se vyznačují vysokou pravděpodobností hrozby a velkým dopadem.

Volba vhodné metody zvládání rizika

Výše jsme si uvedli několik nejčastějších metod zvládání rizik. Pokud použijeme pro hodnocení míry hrozby a hodnoty dopadu 4-bodovou stupnici, bude umístění rizika v jednom ze čtyř kvadrantů dáno pravděpodobností hrozby a hodnotou dopadu. V prvním kvadrantu nám tak vyjdou rizika, která se vyznačují nízkou pravděpodobností hrozby a malým dopadem, ve druhém kvadrantu pak rizika s vysokou pravděpodobností hrozby a malým dopadem, ve třetím rizika nízkou pravděpodobností hrozby a velkým dopadem a konečně ve čtvrtém rizika s vysokou pravděpodobností hrozby a velkým dopadem. Podle umístění rizika v příslušném kvadrantu volíme odpovídající metodu jeho zvládání. Tento přístup ke zvládání rizik je zachycen na následujícím obrázku.

To, že riziko vyjde v příslušném kvadrantu, ještě neznamená, že doporučená metoda zvládání je vždy tou nejvhodnější. Např. pro rizika, co vyjdou ve druhém kvadrantu, se jeví redukce jako nejvhodnější metoda zvládání. Ovšem jen do okamžiku než spočítáme náklady na opatření a zjistíme, že zavedení vhodných opatření by nás přišlo mnohem dráž než možná škoda a že by možná bylo lepší se riziku vyhnout.

Morální hazard

Zastavme se ještě na okamžik u transferu rizika, konkrétně u pojištění proti ztrátě. To se od ostatních metod zvládání rizik liší, neboť žádná opatření se neimplementují a spoléhá se na to, že případnou škodu uhradí pojišťovna. Je otázka, zda to není tak trochu morální hazard. Mohlo by se totiž lehce stát, že bezpečnosti v dané společnosti přestane být věnována odpovídající pozornost, protože vlastník bude vědět a v nepřiměřeně míře spoléhat nato, že když se něco stane, tak mu to pojišťovna zaplatí.

Self insurance vs. market insurance

V okamžiku, kdy by se takto začalo chovat více subjektů, hrozí riziko, že vzroste počet pojistných událostí a pojišťovna bude muset ztrátu pokrýt. Tím ji klesne a zisk a pojišťovna na vzniklou situaci nebude nejspíš reagovat jinak než zvýšením pojistného. A jestliže vzroste cena za pojištění, potom se více subjektů může rozhodnout, že si bude dávat peníze stranou na svůj účet (self insurance), aby měli na tomto rezervním fondu dost peněz v okamžiku, kdy jim vznikne škoda. Jestliže vzroste cena klasického pojištění (market insurance) potom vzroste poptávka po self insurance a naopak, pokud klesne cena za market insurance, potom klesne poptávka po self insurance. Vidíme, že self insurance je substitutem market insurance. Je ovšem otázka, zda peníze z self insurance budou v případě výskytu dané události na její pokrytí vůbec stačit, protože narozdíl od market insurance může být škoda pokryta ihned jen tehdy, pokud byla vytvořena dostatečná finanční rezerva. Self insurance bych z tohoto důvodu doporučoval spíše pro zbytková rizika a rizika, která lze očekávat spíše ve vzdálenější budoucnosti.

Market insurance vs. self protection

Self-insurance a market-insurance můžeme označit jako opatření, která nesnižují pravděpodobnost hrozby nebo zranitelnosti. Jinými slovy neodstraňují příčinu, ale snižují pouze následek (loss protection). Naproti tomu, pokud se rozhodneme implementovat opatření (self-protection), která snižují hrozby nebo zranitelnosti, můžeme hovořit o loss prevention přístupu, protože odstraňujeme příčiny. A tam, kde by pro nás bylo zavedení příslušných opatření příliš nákladné, může zvolit pojištění. Vidíme, že self protection se tak stává komplementem k market insurance.

Self protection vs. self insurance

Jestliže budeme vydávat více peněz na self protection, tj. budeme implementovat vhodná opatření vedoucí ke snížení rizika, potom celkem logicky budeme nuceni dávat měně peněz na self insurance, protože rizika snížíme na akceptovatelnou úroveň.

Dnes jsme zabrousili trochu do ekonomie a pohled na zvládání rizik tak dostal trochu jiný rozměr. S takto exaktním přístupem se však v praxi nejspíš nesetkáte, neboť většina manažerů má tendenci problematiku řízení informačních rizik podceňovat.

Poznámka: Někdy se můžeme též setkat s pojmem zmírnění rizika (risk mitigation), zde je důležité zjistit, co přesně se tím myslí, zda snížení pravděpodobnosti (probability, likelihood) nebo zmírnění následků (consequence, impact). Dalším problematickým pojmem může být přístup ke zvládání rizik označovaný jako terminate the risk, jenž spočívá v tom, že se daná činnost začne provádět jinak a tím dojde k odstranění rizika (removing the risk).

Related posts:

1. Řízení rizik: Jemný úvod do řízení rizik
2. Analýza rizik: Jemný úvod do analýzy rizik
3. Vyhodnocení rizik: prioritizace rizik