Kvantitativní analýza rizik je náročnější na zdroje a její provedení trvá mnohem déle než kvalitativní analýza rizik. Je tomu tak proto, že hodnotu aktiva je nutné vyjádřit v penězích stejně jako možnou škodu v případě realizace konkrétní hrozby. Vyjádření škody ve finančních jednotkách však umožňuje jednodušší rozhodování ve fázi zvládání rizik, kdy vybíráme vhodná opatření.

Kvalitativní analýza rizik je méně náročná na zdroje a trvá kratší mnohem kratší dobu než kvantitativní analýza rizik. Především proto, že hodnotu aktiva není nutné vyjadřovat v penězích stejně jako možnou škodu v případě realizace konkrétní hroby. To však vede k horší kontrole nákladů ve fázi zvládání rizik, kdy vybíráme vhodná opatření.

Vyjádření škody ve finančních jednotkách má jednu obrovskou výhodu a to, že nám umožňuje porovnat výši škody a celkové náklady na opatření. To u slovního popisu rizika není dost dobře možné, protože chápaní stupňů nízký, střední, vysoký nebo kritický, může být značně subjektivní. V takovém případě totiž nevíme, jak velkou finanční škodu tyto stupně vlastně vyjadřují. Následující tabulka se snaží zachytit výhody a nevýhody kvantitativní a kvalitativní analýzy rizik. 

Pokud jste teď začali počítat plusy a mínusy ve snaze zjistit, která metodika je lepší, zapomeňte na to. Výše zmíněné metodiky nestojí proti sobě, ale vzájemně se doplňují. Kvalitativní analýzu rizik obvykle provádíme v okamžiku, kdy potřebujeme rychle zhodnotit a určit největší rizika, která společnost ohrožují. Jakmile tato rizika známe, můžeme je začít detailně zkoumat. V tuto chvíli je již použití kvantitativní metodiky na místě.

Poznámka: To, že kvantitativní analýza rizik poskytuje poměrně přesné, nikoliv zcela přesné výsledky, je uvedeno záměrně, protože i zde dochází k odhadu pravděpodobnosti výskytu dané hrozby a výše škody.

Závěr: V předchozích příspěvcích jsme si uvedli, jak provést kvalitativní a kvantitativní analýzu rizik. V tomto příspěvku jsme si popsali výhody a nevýhody těchto metodik. Obě metodiky, ač jsou v této podobě ve světě běžně používány, obsahují jednu zásadní slabinu, která při kvantifikaci rizika nebo vyjádření výše škody může být příčinou značně nepřesných nebo zavádějících výsledků. To, že lze analýzu rizik provést i jinak a tuto slabinu eliminovat, je uvedeno v knize „Řízení informačních rizik v praxi“.

Related posts:

1. Analýza rizik: kvantitativní analýza rizik
2. Analýza rizik: kvalitativní analýza rizik
3. Analýza rizik: Jemný úvod do analýzy rizik

Kvalitativní analýza rizik je založena na expertním odhadu jednotlivých aktiv, hrozeb a zranitelností a pro jejich vyjádření používá slovního nebo číselného hodnocení. Umožňuje tak poměrně snadno a rychle identifikovat ta největší rizika.

Analýza aktiv

V tomto kroku bychom měli identifikovat všechna pro společnost kritická aktiva a následně stanovit jejich hodnotu. Uvědomte si, že v případě nežádoucího zpřístupnění, změny nebo zničení informací nejenže přijdete o zisk, ale budete muset i zaplatit pokutu nebo penále, protože např. nebudete schopni poskytovat své služby v souladu s SLA. Obvykle se nejprve sepíší všechna aktiva a poté se slovně ohodnotí jejich důležitost pro společnost např. jako nízká, střední, vysoká nebo kritická. Kolik stupňů používáte pro stanovení hodnoty aktiva vy a na základě čeho tuto hodnotu stanovujete?

Note: There is a poll embedded within this post, please visit the site to participate in this post's poll.

Analýza hrozeb

V tomto kroku bychom měli analyzovat hrozby, kterým je společnost vystavena. U každé hrozby bychom měli stanovit pravděpodobnost jejího výskytu tzv. probability nebo likelihood. Jestliže se hrozba vyskytuje minimálně jedenkrát ročně, můžeme hovořit o tom, že pravděpodobnost výskytu hrozby je jistá. Pokud se daná hrozba prakticky nevyskytuje, můžeme hovořit o tom, že pravděpodobnost výskytu dané hroby je nízká. Kolik stupňů používáte pro stanovení pravděpodobnosti hrozby vy a na základě čeho ji stanovujete?

Note: There is a poll embedded within this post, please visit the site to participate in this post's poll.

Analýza zranitelností

V tomto kroku bychom se měli zamyslet nad tím, jaká je míra zranitelnost daného aktiva vůči působení dané hrozby. V okamžiku, kdy stanovujeme míru zranitelnosti, již bereme v úvahu implementovaná opatření, která účinnost hrozby snižují. V případě, že víme, že žádné opatření ke snížení zranitelnosti nasazeno není, můžeme míru zranitelnosti daného aktiva označit jako kritickou. Pokud se obáváme, že opatření spíše selže, můžeme zranitelnost označit jako vysokou. Pokud doufáme, že opatření spíše neselže, můžeme zranitelnost označit jako střední. A konečně, pokud jsme přesvědčeni, že opatření nikdy neselže, můžeme zranitelnost daného aktiva označit jako nízkou. Kolik stupňů používáte pro stanovení míry zranitelnosti vy a na základě čeho ji stanovujete?

Note: There is a poll embedded within this post, please visit the site to participate in this post's poll.

Stanovení výše rizika

V okamžiku, kdy známe hodnotu dopadu (A), pravděpodobnost hrozby (T) a hodnotu zranitelnosti (V), můžeme přistoupit ke stanovení rizika (R). Oproti kvantitativní analýze rizik, kde je způsob výpočtu víceméně daný a nikdo ho nezpochybňuje, tak v případě kvalitativní analýzy rizik neexistuje pouze jediná možnost, jak se dobrat výsledku. Možnost zvolit si v podstatě jakoukoliv stupnici pro stanovení hodnoty aktiv, hrozeb a zranitelností představuje sice na jednu stranu výhodu, ale na stranu druhou to komplikuje srovnávání výsledků AR provedených nejrůznějšími společnostmi.

Note: There is a poll embedded within this post, please visit the site to participate in this post's poll.

Poznámka: V mezinárodních standardech se dočtete, že jediná podmínka je, aby metodika výpočtu rizika byla uvedena, poskytovala porovnatelné a měřitelné výsledky a v případě, že dojde ke změně hodnoty aktiva, hrozby nebo zranitelnosti, tak aby došlo i ke změně hodnoty rizika. To vede k tomu, že kromě asi nejčastěji používaného vzorce, kde se riziko počítá jako součin jednotlivých veličin (R=A*T*V), je možné použít i vzorec, který stejné veličiny sčítá (R=A+T+V), neboť i ten splňuje výše uvedený požadavek. Že v obou případech dojdeme při použití stejných měřítek k rozdílnému výsledku, snad není nutné zdůrazňovat.

Závěr: V praxi musíme učinit několik zcela zásadních rozhodnutí a to, jakou metodiku výpočtu použít a kolik použít stupňů pro hodnocení aktiv, hrozeb, zranitelností a výsledného rizika. Dále, pokud máme rizika prioritizovat, musíme určit, nejen kolik úrovní rizik budeme používat, ale i kde budou jednotlivé úrovně začínat a končit resp. jakých hodnot mohou jednotlivé úrovně rizik nabývat. Ale o tom si povíme někdy příště. 

Related posts:

1. Analýza rizik: kvantitativní analýza rizik
2. Analýza rizik: kvantitativní vs. kvalitativní
3. Analýza rizik: Jemný úvod do analýzy rizik

Řízení rizik (risk management) je komplexní proces skládající se z několika fází, které na sebe navazují a vytvářejí jakousi smyčku viz obrázek. Cílem řízení rizik je identifikace a kvantifikace rizik, kterým musí společnost čelit a především rozhodnutí o vhodném způsobu zvládání těchto rizik. Všimněte si, že píši o zvládání rizik, nikoliv o jejich snížení na přijatelnou úroveň, jak se dost často uvádí. Je tomu tak proto, že snížení rizika je jen jednou z několika nejčastěji používaných metod.

Stanovení kontextu (establishing the context)

Cílem této fáze je vymezení oblasti, ve které budou rizika řízena, popsání samotného procesu řízení rizik, vydefinování rolí a určení osob odpovědných za jednotlivé činnosti v rámci tohoto procesu, výběr metodiky, která bude použita pro analýzu rizik, stanovení referenční úrovně, kritérií a způsobu hodnocení a zvládání rizik.

Analýza rizik (risk analysis)

V této fázi by měla být odpovědnými pracovníky určenými v předchozí fázi provedena analýza rizik, která obvykle zahrnuje identifikaci a kvantifikaci aktiv, hrozeb a zranitelností a stanovení výše rizika nebo škody v souladu se schválenou metodikou.

Vyhodnocení rizik (risk evaluation)

V okamžiku, kdy máme k dispozici výsledky analýzy rizik, měli bychom se pokusit o prioritizaci rizik, neboť je zřejmé, že ne všem rizikům může být věnována stejná pozornost. Dále bychom měli vybrat vhodná opatření vedoucí ke snížení rizika a provést tzv. cost/benefit analýzu.

Zvládání rizik (risk treatment)

V poslední fázi, když už známe výši rizika nebo škody a též náklady na jednotlivá opatření a odpovědné osoby byly s riziky prokazatelně seznámeny, mělo by dojít k rozhodnutí o vhodném způsobu zvládání rizik, kterými jsou retence, redukce, transfer, pojištění, sdílení a vyhnutí se riziku.

Poznámka: Výše uvedené rozdělení a náplň jednotlivých fází procesu řízení rizik není jediné možné. Např. v AS/NZS 4360 je posloupnost jednotlivých fází následující: stanovení kontextu, identifikace rizik, analýza rizik, vyhodnocení rizik a zvládání rizik. Fáze identifikace, analýzy a vyhodnocení rizik se zde nazývá hodnocení rizik (risk assessment).

Related posts:

1. Analýza rizik: Jemný úvod do analýzy rizik
2. Zvládání rizik: Jemný úvod do zvládání rizik
3. Řízení informačních rizik v praxi

Analýza rizik by měla přinést odpověď na otázku, působení jakých hrozeb je společnost vystavena, jak moc jsou její aktiva vůči těmto hrozbám zranitelná, jak vysoká je pravděpodobnost, že hrozba zneužije určitou zranitelnost a jaký dopad by to na společnost mohlo mít. V analýze rizik se používají následující pojmy:

• aktivum (asset) – vše co má pro společnost nějakou hodnotu a mělo by být odpovídajícím způsobem chráněno,
• hrozba (threat) – jakákoliv událost, která může způsobit narušení důvěrnosti, integrity a dostupnosti aktiva
• zranitelnost (vulnerability) – vlastnost aktiva nebo slabina na úrovni fyzické, logické nebo administrativní bezpečnosti, která může být zneužita hrozbou.
• riziko – pravděpodobnost, že hrozba zneužije zranitelnost a způsobí narušení důvěrnosti, integrity nebo dostupnosti.
• opatření (countermeasure) – opatření na úrovni fyzické logické nebo administrativní bezpečnosti, které snižuje zranitelnost a chrání aktivum před danou hrozbou.

Kromě toho se můžeme ještě setkat s následujícími pojmy, které již nejsou tak časté, nicméně je vhodné o nich vědět: 

• ohrožení (exposure) – skutečnost, že existuje zranitelnost, která může být zneužita hrozbou
• narušení (breach) – situace, kdy došlo k narušení důvěrnosti, integrity nebo dostupnosti v důsledku překonání bezpečnostních opatření.

Na tomto místě bych chtěl tak upozornit na skutečnost, že dost často dochází ke ztotožnění pojmu riziko a hrozba. Je třeba si však uvědomit, že hrozba může být zdrojem pro jedno nebo více rizik a že hrozba sama o sobě riziko nepředstavuje. Hrozby pouze zneužívají zranitelnosti vedoucí k ohrožení, což je riziko, které lze snížit prostřednictvím opatření chránící aktiva před působením těchto hrozeb. Tuto skutečnost nejlépe ilustruje následující obrázek.

Pokud jde o vlastní přístup k provedení analýzy, tak např. ISO/IEC 13335 uvádí čtyři různé přístupy: 

• Základní přístup – žádná analýza rizik se neprovádí, pouze je vybrána a implementována základní sada opatření z nějakého katalogu.
• Neformální přístup – jedná se o pragmatický přístup k analýze rizik, kdy se provádí rychlá, orientační analýza rizik založená na zkušenostech expertů a vyhodnocení možných scénářů.
• Formální přístup – jedná se o detailní analýzu rizik, kdy se provádí hodnocení aktiv, hrozeb a zranitelností nejčastěji za použití matematického aparátu.
• Kombinovaný přístup – na základě provedené orientační analýzy rizik, kdy byla pro organizaci identifikována kritická aktiva nebo procesy, se provede detailní analýza rizik.

Od určité velikosti a komplexnosti informačního systému, který je předmětem analýzy, je vhodné analýzu rizik pojmout jako projekt. Vlastní analýza rizik se skládá z několika fází: identifikace a kvantifikace aktiv, hrozeb, zranitelností a stanovení výsledného rizika. Z pohledu projektového řízení by se daly tyto fáze označit jako milníky. Samotná analýza rizik může být provedena interně nebo externě. Výhody a nevýhody interně a externě prováděných analýz rizik jsou stejně jako popis jednotlivých fází projektu detailně popsány v [1]. V každém případě budeme muset v rámci každé fáze provést těchto několik kroků: 

• identifikace respondentů – určit osoby, se kterými budeme komunikovat a na které se budeme s žádostí o poskytnutí informace obracet
• získání informací – informace budeme získávat od osob, které jsme identifikovali v předchozím kroku a to formou interview nebo dotazníků.
• analýza informací – informace, které jsme v předchozím kroku získali, musíme analyzovat,
• interpretace informací – výsledky analýzy musíme vhodným způsobem interpretovat, a to tak, aby byly pro respondenta srozumitelné
• verifikace informací – odpovědi jednotlivých respondentů a závěry, ke kterým jsme dospěli, bychom si měli nechat jednotlivými respondenty schválit.
• dokumentace informací – to jediné, co zákazníkovi po skončení projektu zbyde, je dokumentace.

Nyní si stručně popíšeme jednotlivé fáze analýzy rizik. Stručně proto, že detailně jsou popsány v [1] a dále v samostatných příspěvcích na tomto webu.

Analýza aktiv

V rámci analýzy rizik musíme identifikovat pro společnost kritická aktiva a určit jejich hodnotu. Tento krok se někdy označuje jako inventarizace aktiv, v rámci kterého se vytváří tzv. registr aktiv. Dále musíme provést dekompozici aktiv a tam kde to bude vhodné jejich agregaci, tyto kroky jsou rovněž detailně popsány v [1].

Analýza hrozeb

Dalším krokem je identifikace hrozeb a kvantifikace hrozeb. Tato fáze se také někdy nazývá analýza hrozeb (threat analysis), při pkteré vycházíme buď ze seznamu obecných (generických) hrozeb nebo specifických hrozeb, které můžeme identifikovat např. za použití ATM (Attack Tree Model), který je též popsán v [1].

Analýza zranitelností

V tomto kroku musíme identifikovat a kvantifikovat všechna slabá místa na úrovni fyzické, logické a administrativní bezpečnosti. Tato fáze se někdy nazývá analýza zranitelností (vulnerability analysis/ vulnerability assessment).

Stanovení výše rizika nebo škody

V okamžiku, kdy známe hodnotu aktiv, pravděpodobnost hrozeb a míru zranitelnosti, může přistoupit k vyjádření rizika. Pokud jsme provedli kvantitativní analýzu rizik, vyjádříme výši rizika v peněžních jednotkách a pokud byla provedena kvalitativní analýza rizik, vyjádříme výši rizika ve stupních.

Závěr: Analýza rizik nám říká, co všechno se může stát, proč se to může stát, jak se to může stát, kde se to může stát a koho se to bude týkat.

Zdroj: [1] Miroslav Čermák, Řízení informačních rizik v praxi

Related posts:

1. Analýza rizik: kvantitativní analýza rizik
2. Řízení rizik: Jemný úvod do řízení rizik
3. Analýza rizik: kvalitativní analýza rizik

Fáze zvládání rizik (risk treatment/handling) spočívá ve volbě vhodné metody zvládání rizik. Mezi nejběžnější metody zvládání rizik patří akceptace a redukce rizika. Ač se jedná o metody nejčastější, nejsou zdaleka jediné. Pojďme se společně podívat i na ostatní metody, stručně si je charakterizovat a zamyslet se nad tím, kdy je vhodné tu či onu metodu použít. 

Ignorování rizika

Jedná se vůbec o nejhorší možný případ, kdy management o riziku neví a ani se nesnaží nějakou analýzu rizik provést a skutečnost, že nějaká rizika existují nebo by mohla existovat, zcela ignoruje (risk ignorance).

Akceptace rizika

Nejčastější metodou zvládání rizik, která spočívá v tom, že se nic nedělá, je akceptace rizika (risk retention, acceptance, toleration). Obecně lze tuto metodu doporučit pouze v případě nízkých a zbytkových rizik. Tento přístup má své opodstatnění, je zbytečné vynakládat prostředky na implementaci opatření proti hrozbě, která se prakticky nevyskytuje a její dopad je zanedbatelný.

Redukce rizika

Další nejběžnější metodou zvládání rizik je redukce rizika (risk reduction, prevention, remediation, minimalization), jejím cílem je snížení rizika na přijatelnou úroveň. Tuto metodu lze doporučit pro všechna rizika, která se vyznačují vysokou pravděpodobností výskytu hrozby, bez ohledu na možný dopad.

Vyhnutí se riziku

K tomu způsobu zvládání rizik je vhodné se uchýlit v okamžiku, kdy riziko vyjde jako kritické a použití ostatních metod není možné. Jedinou možností tak zbývá se riziku vyhnout (risk avoidance, rejection, evade), protože akceptace nepřipadá v úvahu. Jedná se o rizika, kde je pravděpodobnost výskytu hrozby jistá a dopad zničující.

Transfer rizika

Jedná se o přenos odpovědnosti za zvládání rizika (risk transfer) na ekonomicky silnějšího partnera. Z dcery na matku, outsourcingovou nebo pojišťovací společnost. Obvykle se jedná o rizika s nízkou pravděpodobností výskytu hrozby, ale zato se zničujícím dopadem. Je otázka, zda by nebylo vhodnější a výstižnější nazývat tuto metodu zvládání spíše jako sdílení rizika (risk sharing).

Monitoring rizika

Rizika je vhodné monitorovat (risk monitoring) a přezkoumávat (risk review) a to nejen zbytková, za která mohou být prohlášena v podstatě jakákoliv rizika. Důvod je prostý, nikdy nevíme, zda nedošlo ke zvýšení rizika, neboť hodnota dopadu, míra hrozby a zranitelnosti se mohla změnit. Nepřetržitý monitoring (continous monitoring) je vhodný pro ta rizika, která se vyznačují vysokou pravděpodobností hrozby a velkým dopadem. Pravidelný monitoring (periodic monitoring) je vhodný pro ta rizika, která se vyznačují nízkou pravděpodobností hrozby a malým dopadem. Pravidelné přezkoumání (periodic review) je vhodné pro ta rizika, která se vyznačují nízkou pravděpodobností hrozby a velkým dopadem. Soustavné přezkoumávání (continous review) je vhodné pro ta rizika, která se vyznačují vysokou pravděpodobností hrozby a velkým dopadem.

Volba vhodné metody zvládání rizika

Výše jsme si uvedli několik nejčastějších metod zvládání rizik. Pokud použijeme pro hodnocení míry hrozby a hodnoty dopadu 4-bodovou stupnici, bude umístění rizika v jednom ze čtyř kvadrantů dáno pravděpodobností hrozby a hodnotou dopadu. V prvním kvadrantu nám tak vyjdou rizika, která se vyznačují nízkou pravděpodobností hrozby a malým dopadem, ve druhém kvadrantu pak rizika s vysokou pravděpodobností hrozby a malým dopadem, ve třetím rizika nízkou pravděpodobností hrozby a velkým dopadem a konečně ve čtvrtém rizika s vysokou pravděpodobností hrozby a velkým dopadem. Podle umístění rizika v příslušném kvadrantu volíme odpovídající metodu jeho zvládání. Tento přístup ke zvládání rizik je zachycen na následujícím obrázku.

To, že riziko vyjde v příslušném kvadrantu, ještě neznamená, že doporučená metoda zvládání je vždy tou nejvhodnější. Např. pro rizika, co vyjdou ve druhém kvadrantu, se jeví redukce jako nejvhodnější metoda zvládání. Ovšem jen do okamžiku než spočítáme náklady na opatření a zjistíme, že zavedení vhodných opatření by nás přišlo mnohem dráž než možná škoda a že by možná bylo lepší se riziku vyhnout.

Morální hazard

Zastavme se ještě na okamžik u transferu rizika, konkrétně u pojištění proti ztrátě. To se od ostatních metod zvládání rizik liší, neboť žádná opatření se neimplementují a spoléhá se na to, že případnou škodu uhradí pojišťovna. Je otázka, zda to není tak trochu morální hazard. Mohlo by se totiž lehce stát, že bezpečnosti v dané společnosti přestane být věnována odpovídající pozornost, protože vlastník bude vědět a v nepřiměřeně míře spoléhat nato, že když se něco stane, tak mu to pojišťovna zaplatí.

Self insurance vs. market insurance

V okamžiku, kdy by se takto začalo chovat více subjektů, hrozí riziko, že vzroste počet pojistných událostí a pojišťovna bude muset ztrátu pokrýt. Tím ji klesne a zisk a pojišťovna na vzniklou situaci nebude nejspíš reagovat jinak než zvýšením pojistného. A jestliže vzroste cena za pojištění, potom se více subjektů může rozhodnout, že si bude dávat peníze stranou na svůj účet (self insurance), aby měli na tomto rezervním fondu dost peněz v okamžiku, kdy jim vznikne škoda. Jestliže vzroste cena klasického pojištění (market insurance) potom vzroste poptávka po self insurance a naopak, pokud klesne cena za market insurance, potom klesne poptávka po self insurance. Vidíme, že self insurance je substitutem market insurance. Je ovšem otázka, zda peníze z self insurance budou v případě výskytu dané události na její pokrytí vůbec stačit, protože narozdíl od market insurance může být škoda pokryta ihned jen tehdy, pokud byla vytvořena dostatečná finanční rezerva. Self insurance bych z tohoto důvodu doporučoval spíše pro zbytková rizika a rizika, která lze očekávat spíše ve vzdálenější budoucnosti.

Market insurance vs. self protection

Self-insurance a market-insurance můžeme označit jako opatření, která nesnižují pravděpodobnost hrozby nebo zranitelnosti. Jinými slovy neodstraňují příčinu, ale snižují pouze následek (loss protection). Naproti tomu, pokud se rozhodneme implementovat opatření (self-protection), která snižují hrozby nebo zranitelnosti, můžeme hovořit o loss prevention přístupu, protože odstraňujeme příčiny. A tam, kde by pro nás bylo zavedení příslušných opatření příliš nákladné, může zvolit pojištění. Vidíme, že self protection se tak stává komplementem k market insurance.

Self protection vs. self insurance

Jestliže budeme vydávat více peněz na self protection, tj. budeme implementovat vhodná opatření vedoucí ke snížení rizika, potom celkem logicky budeme nuceni dávat měně peněz na self insurance, protože rizika snížíme na akceptovatelnou úroveň.

Dnes jsme zabrousili trochu do ekonomie a pohled na zvládání rizik tak dostal trochu jiný rozměr. S takto exaktním přístupem se však v praxi nejspíš nesetkáte, neboť většina manažerů má tendenci problematiku řízení informačních rizik podceňovat.

Poznámka: Někdy se můžeme též setkat s pojmem zmírnění rizika (risk mitigation), zde je důležité zjistit, co přesně se tím myslí, zda snížení pravděpodobnosti (probability, likelihood) nebo zmírnění následků (consequence, impact). Dalším problematickým pojmem může být přístup ke zvládání rizik označovaný jako terminate the risk, jenž spočívá v tom, že se daná činnost začne provádět jinak a tím dojde k odstranění rizika (removing the risk).

Related posts:

1. Řízení rizik: Jemný úvod do řízení rizik
2. Analýza rizik: Jemný úvod do analýzy rizik
3. Analýza rizik: kvantitativní vs. kvalitativní

V okamžiku, kdy jsme provedli analýzu rizik a známe již celkovou škodu, kterou by mohly jednotlivé hrozby způsobit, měli bychom se zamyslet nad volbou vhodných opatření. Rozhodnutí, zda bude dané opatření vůbec implementováno, by měla předcházet tzv. cost/benefit analýza. V rámci této analýzy bychom měli posoudit, jaká je hodnota aktiva a jaké jsou náklady na jeho ochranu. Pro výpočet hodnoty lze použít následující vzorec:

VOS = ALE1 – ALE2 – ACS

VOS (Value Of the Safeguard) představuje hodnotu opatření
ALE1 je roční ztráta před implementací opatření
ALE2 je roční ztráta po implementaci opatření
ACS (Annual Cost of the Safeguard) jsou roční náklady na opatření

Netřeba snad dodávat, že čím vyšší nám vyjde VOS, tím efektivnější dané opatření je a naopak čím více se VOS blíží k nule, tím méně se opatření jeví jako efektivní. A konečně, pokud VOS dosáhne záporné hodnoty, nemá smysl o jeho nasazení vůbec uvažovat. Tímto způsobem můžeme zároveň velice snadno porovnat jednotlivá opatření mezi sebou. V praxi však budeme muset pro jednotlivá opatření spočítat náklady ne na jeden rok, ale spíše na několik let. V podstatě se bude jednat o výpočet TCO. Dále je třeba vzít v úvahu, že některá opatření, ač mají horší VOS, mohou snižovat více hrozeb nebo zranitelností a tak ač na první pohled mohou vypadat jako méně efektivní, nemusí tomu tak být. Do výpočtu celkových nákladů na opatření by měly být zahrnuty náklady na:

• pořízení,
• implementaci,
• údržbu,
• podporu.

O těchto výše uvedených kritériích může hovořit jako o hard, ovšem kromě nich tu máme i další kritéria, která bychom mohli označit jako soft: 

• účinnost,
• spolehlivost,
• zranitelnost samotného opatření,
• snadná správa,
• integrace s ostatními opatřeními,
• nezávislost na platformě,
• životnost,
• možnost upgradu.

Závěr: Vždy by mělo platit jednoduché pravidlo a to, že náklady na opatření by neměly být vyšší než možná ztráta. Vzhledem k tomu, že hodnota dopadu a míra hrozby a zranitelnosti se může v čase měnit, měla by se vždy implementovat základní sada opatření. Nemělo by se říci, hrozba, zranitelnost a dopad je nízký, tak žádné opatření nasazeno být nemusí.

Poznámka: Pokud jste provedli kvalitativní analýzu rizik, tak není možné výše uvedený vzorec pro vyhodnocení účinnosti opatření použít, protože hodnotu opatření neznáte, ale pouze ji odhadujete a můžete se tak pouze ptát, jak moc dané opatření vlastně snižuje riziko. Nejčastěji používaný vzorec pro výpočet rizika R=AxTxV upravíme na RR=AxTxV/C, kde RR je zbytkové riziko (residual risk) a C je opatření (countermeasure). Pokud výsledné riziko po implementaci opatření není akceptovatelné, měli bychom se zamyslet nad dodatečnými opatřeními, v opačném případě ho můžeme prohlásit za zbytkové.

Related posts:

1. Vyhodnocení rizik: identifikace opatření
2. Analýza rizik: kvantifikace aktiv z pohledu dostupnosti
3. Analýza rizik: kvantifikace hrozeb

Pro termín opatření, někdy též protiopatření, se v informační bezpečnosti používají více či méně zaměnitelná synonyma security measures, countermeasures, safeguards nebo controls. Ať už je ale použit jakýkoliv termín, vždy se jedná o opatření, jehož cílem je snížit riziko na akceptovatelnou úroveň a ochránit tak cenná aktiva. Podle způsobu implementace můžeme opatření rozdělit na:

• fyzická (physical) – kontrola pohybu osob ve střežených prostorách a zabránění průniku neautorizovaných osob do těchto prostor,
• logická (logical/technical) – řízení a vyhodnocování přístupu k informačním zdrojům prostřednictvím identifikace, autentizace, autorizace a odpovědnosti uživatele, bezpečné nastavení HW a SW komponent,
• administrativní (administrative) – politiky, standardy, procedury a směrnice, které definují určitá závazná pravidla a postupy. Dále sem patří aktivity jako řízení rizik a školení v oblasti bezpečnosti.

Pokud má být ochrana informačních aktiv skutečně účinná, měla by být nasazena opatření na úrovni fyzické, logické i administrativní bezpečnosti. Jedině tak je možné cenná informační aktiva spolehlivě ochránit. Důvod je prostý, pokud jedno opatření selže, předpokládáme, že alespoň další opatření v řadě budou účinná. Takovýto přístup k ochraně aktiv se označuje jako „Defense in depth“ nebo „layered security“ a je zachycen na následujícím obrázku.

Logická opatření lze dále dělit na:

• systémová (system) – specifické nastavení na úrovni operačního systému
• aplikační (application) – specifické nastavení na úrovni aplikace
• databázová (database) – specifické nastavení na úrovni databáze
• komunikační (communication) – specifické nastavení aktivních síťových prvků
• kryptografická (cryptography) – správná implementace symetrické a symetrické kryptografie

Další velice často používaný způsob dělení opatření je na:

• preventivní (preventive) – měly by útočníkovi zabránit v realizaci jeho úmyslu a tím předcházet nežádoucím aktivitám
• detektivní (detective) – slouží k odhalení nežádoucí aktivity např. analýzou záznamů z kamer a logů,
• nápravná (corrective) – jejich cílem je zabránit opakování dané události např. změnou stávajícího procesu.

Toto běžně používané schéma lze rozšířit o další typy opatření:

• odstrašující (deterrent) – tato opatření by měla být viditelná, aby útočníka odradila od nežádoucího jednání,
• zdržující (delay) – měla by postup útočníka co nejvíce zpomalit, aby mohla být jeho aktivita detekována,
• reaktivní (reactive) – poté co je nežádoucí aktivita odhalena, je nutné na ni nějak reagovat, reakce může být ofenzivní nebo defenzivní,
• obnova (recovery) - slouží k obnově funkčnosti systému.

Kombinací výše uvedených opatření získáme zajímavou sadu opatření. Je zřejmé, že některá opatření mohu plnit více cílů. Např. mříže nejenže slouží jako preventivní opatření, neboť není možné se do objektu, jejichž okna jsou jimi vybavena snadno dostat, ale zároveň i jako odstrašující, protože útočníka odrazují od útoku nebo jeho postup alespoň zpomalí.

Kromě výše uvedených opatření se někdy hovoří též o opatřeních, která lze označit jako:

• kompenzační (compensation) – mohou nahradit některé běžně nasazované opatření, které však v daném případě z nejrůznějších důvodů nasadit nelze.
• direktivní (directive) – funkčnost jednotlivých opatření musí někdo kontrolovat a musí existovat i postup jak tuto kontrolu provádět.

Reaktivní opatření se někdy označují také jako represivní (repressive) např. v ITIL. Ten dále jako typ opatření uvádí opatření redukující (reductive), které by měly minimalizovat škody např. tím, že se provádí zálohování, testují se DRP, v rámci SDLC se provádí testování, apod. Z tohoto pohledu by se dalo na reduktivní opatření nahlížet jako na preventivní. Pokud jde o nápravná opatření, tak ta mají mezi ostatními opatřeními specifické postavení podobně jako kompenzační nebo direktivní, a proto bych je vyčlenil zvlášť.

Závěr: Vždy bychom měli implementovat minimálně základní sadu opatření a prosazovat tzv. security-in-depth přístup, který spočívá v zavedení preventivních, odstrašujících, zdržujících, detektivních, reaktivních a obnovujících opatření na úrovni fyzické, logické a administrativní bezpečnosti.

Related posts:

1. Vyhodnocení rizik: kvantifikace opatření
2. Analýza rizik: identifikace hrozeb
3. Analýza rizik: Jemný úvod do analýzy rizik

Kvantitativní analýza rizik je založena na vyjádření hodnoty aktiva a dopadu v peněžních jednotkách. Analýza rizik probíhá v několika krocích, ve kterých se snažíme o identifikaci a kvantifikaci aktiv, hrozeb, zranitelností a stanovení celkové výše škody. Jednotlivé kroky nebo chcete-li fáze analýzy rizik, si dále stručně popíšeme.

Identifikace a kvantifikace aktiv

V této fázi bychom měli identifikovat všechna pro společnost kritická aktiva a následně provést jejich kvantifikaci neboli stanovit jejich hodnotu tzv. AV (Asset Value) v peněžních jednotkách. Pro správné stanovení této hodnoty si musíme položit minimálně následující otázky:

• Jak se dané aktivum podílí na výnosech, resp. kolik zisku nám generuje?
• Kolik by stálo opětovné pořízení aktiva a zprovoznění?
• Jakou bychom zaplatili pokutu v případě porušení důvěrnosti, integrity a dostupnosti?

Uvědomte si, že v případě nežádoucího zpřístupnění, změny nebo zničení informací nejenže přijdete o zisk, ale často budete muset zaplatit i pokutu nebo penále, protože např. nebudete schopni poskytovat své služby v souladu s SLA.

Identifikace a kvantifikace hrozeb

V této fázi bychom měli identifikovat a kvantifikovat hrozby, kterým je společnost vystavena. U každé hrozby bychom měli stanovit pravděpodobnost jejího výskytu během roku tzv. ARO (Annualized Rate of Occurence). Jestliže se hrozba vyskytuje 1x za rok, je hodnota ARO rovna 1, v případě výskytu této hrozby 1x za deset let je hodnota ARO rovna 0,1.

Identifikace a kvantifikace zranitelností

V této fázi bychom se měli u každé dvojice hrozba – aktivum zamyslet nad tím, jakou škodu by mohla hrozba způsobit. Tato ztráta se nejčastěji uvádí v procentech a označuje se zkratkou EF (Exposure Factor). Pro její určení si musíme položit podobné otázky jako v případě stanovení hodnoty aktiva, konkrétně:

• O kolik se sníží výnosy resp. zisk v případě narušení důvěrnosti, integrity a dostupnosti?
• Jaké jsou náklady na zotavení se z dané hrozby a obnovu normální funkčnosti?
• Jakou bychom zaplatili pokutu v případě porušení důvěrnosti, integrity a dostupnosti?

V okamžiku, kdy hledáme odpověď na tyto otázky, bereme v úvahu implementovaná opatření, která účinnost hrozby snižují a proto i velikost ztráty bývá zpravidla nižší než celková hodnota aktiva, kterou jsme stanovili v prvním kroku. Vzhledem k tomu, že bereme v úvahu již implementovaná opatření, mohli bychom hovořit o tom, že v podstatě určujeme zranitelnost aktiva. Toto se však nejspíš nikde nedočtete.

Stanovení celkové výše škody

V okamžiku, kdy jsme stanovili hodnotu aktiva (AV), pravděpodobnost hrozby (ARO) a hodnotu zranitelnosti (EF), můžeme přistoupit ke stanovení výše celkové škody tzv. ALE (Annualized Loss Expectancy), kterou získáme součinem těchto hodnot: ALE=AV*EF*ARO.

Poznámka: Někdy se můžeme setkat i se vzorcem: ALE=SLE*ARO, kde SLE=AV*EF a SLE (Single Loss Expectancy) vyjadřuje škodu, která by vznikla při jednom výskytu hrozby. Tímto způsobem bychom měli postupně spočítat výši škody pro každou dvojici aktivum – hrozba.

Related posts:

1. Analýza rizik: kvantitativní vs. kvalitativní
2. Analýza rizik: kvalitativní analýza rizik
3. Analýza rizik: Jemný úvod do analýzy rizik

V příspěvku nazvaném identifikace hrozeb jsme si hrozby rozdělili podle zdroje na interní a externí a dále podle úmyslu na náhodné a úmyslné. Kombinací jsme získali matici, která zachycovala 4 základní typy hrozeb. Pozorný čtenář si jistě všiml, že jich ve skutečnosti bylo 5. (Je zajímavé, že na to nikdo v diskusi pod článkem neupozornil;-). Konkrétně se tedy jedná o hrozby: 

• přírodního původu (ENV)
• technické selhání (TFA)
• lidská chyba (HER)
• hacking (HCK)
• sabotáž (SBT)

 Pokud máme stanovit míru hrozby, musíme zohlednit následující faktory:

• četnost výskytu
• příležitost
• motiv
• schopnosti
• peníze
• vybavení
• čas
• atraktivitu aktiva
• počet osob
• stáří aktiva

Vytvoříme si proto matici, která bude zachycovat, které faktory je třeba vzít při hodnocení jednotlivých hrozeb v úvahu.

Na první pohled vidíme, že u úmyslných hrozeb, bez ohledu na to zda pochází ze vnitř nebo z vnějšku organizace, vstupují do hodnocení všechny faktory. Běžně se sice uvádí, že k realizaci úmyslných hrozeb stačí příležitost, motiv a schopnost, ale je třeba si uvědomit, že útočník si v mnoha případech svůj cíl vybírá. Proto je vhodné vzít v úvahu i další faktory jako je např. atraktivita aktiva a náročnost na zdroje (čas, peníze, vybavení). Níže si jednotlivé faktory stručně popíšeme. 

Četnost výskytu

U všech typů hrozeb můžeme pro stanovení míry hrozby vzít v úvahu četnost výskytu, ať už ze statistik, nejrůznějších průzkumů informační bezpečnosti nebo z ještě lépe z vlastní pečlivě vedené evidence bezpečnostních incidentů. Tímto způsobem můžeme poměrně spolehlivě určit pravděpodobnost výskytu dané hrozby.

Příležitost

Pravděpodobnost realizace hrozby je tím vyšší, čím vyšší je příležitost danou hrozbu realizovat. Pokud zaměstnanci denně přichází do styku s důvěrnými informace a ví, že jejich činnost v systému není monitorována, je větší pravděpodobnost, že některý z nich svého přístupu do systému zneužije a dojde tak např. k úniku informací.

Motiv

Motiv útočníka může být různý a někdy i těžko pochopitelný. Podstatné však je, že pravděpodobnost realizace hrozby je vyšší v době krize, fůzování, outsourcingu. To je dáno tím, že lidé v tomto období velice často přicházejí o místo a svůj příjem. Mohou se chtít pomstít nebo si „jen“ odnést něco, co se dá snadno zpeněžit nebo využít v novém zaměstnání.

Schopnosti

To, že jsou schopnosti uvedené jak u lidského selhání, tak i hackingu a sabotáže není náhoda. Vycházíme z toho, že méně chyb obvykle dělá člověk, který své práci rozumí. U hackingu a sabotáže zase předpokládáme, že pravděpodobnost dané hrozby bude vyšší v případě, kdy žádné speciální znalosti, schopnosti a dovednosti nejsou k realizaci hrozby potřeba.

Peníze

Pravděpodobnost hrozby je tím vyšší, čím nižší jsou náklady na její realizaci. Je to v celku logické, protože i útočník zvažuje, zdali se mu vyplatí do přípravy a realizace útoku investovat své prostředky.

Čas

Pravděpodobnost hrozby je tím vyšší, čím kratší je doba potřebná k přípravě a vlastní realizaci dané hrozby. To je dáno tím, že čím rychleji je možné daný útok provést, tím nižší je pravděpodobnost, že si někdo přípravy nebo vlastního provedení útoku všimne.

Vybavení

Pravděpodobnost hrozby je tím vyšší, čím jsou nižší nároky na HW a SW vybavení útočníka. Je rozdíl, zda nástroj k realizaci hrozby je možné stáhnout z internetu nebo je nutné ho vyvinout.

Atraktivita

Čím atraktivnější cíl, tím vyšší pravděpodobnost hrozby. Když chce hacker provést např. defacement vybere si spíš takový server, který je hodně navštěvován a znám, než web, na který nikdo nechodí. Je to podobné jako u zlodějů aut, jestliže se takový zloděj má rozhodnout, zda ukradne Jaguára nebo Trabanta, které auto to bude? Samozřejmě můžete namítnout, že Škodovka, protože těch je víc a nebude v ní budit takovou pozornost;-)

Počet osob

Čím větší počet osob přichází s hodnoceným aktivem do styku, tím větší je pravděpodobnost, že někdo z nich hrozbu realizuje. Podle jedné studie je v každé společnosti 10% lidí absolutně poctivých, 10% absolutně nepoctivých a ostatních 80% se nachází někde mezi. Do jaké skupiny patříte vy?

Stáří aktiva

To, že je stáří aktiva posuzováno i u lidí, není chyba. Možná to zní trochu cynicky, ale v obou případech je pro stanovení pravděpodobnosti selhání nebo chyby možno použít vanovou křivku, jen bude mít u různých aktiv trochu jiný průběh (např. nezkušený zaměstnanec – zkušený zaměstnanec – opotřebovaný zaměstnanec).

Jednotlivec vs. organizovaný zločin

Usoudíme-li, že danou hrozbu je velice náročné provést a jedinec toho není prakticky schopen, protože nejenže obvykle nemá současně motiv, příležitost a schopnosti, ale nedisponuje ani potřebnými zdroji (vybavení, čas, peníze), nabízí se označit danou hrozbu jako málo pravděpodobnou. To by však mohla být chyba, protože vysoká atraktivita aktiva může vést ve zformování virtuální organizované skupiny a pokud se podíváme na statistiky, zjistíme, že tomu tak skutečně je a dokonce ne jen v případě cenných aktiv. Nejsou to tedy osamocení hackeři, jako tomu bylo v počátku rozvoje internetu, ale organizované skupiny, které stojí za většinou útoků a operující celosvětově bez ohledu na hranice států.

Stanovení míry hrozby

Stanovení výsledné míry hrozby pro konkrétní dvojici hrozba – aktivum není triviální. V případě hrozby přírodního původu je určení míry hrozby poměrně snadné, neboť nám k jejímu stanovení stačí určit pravděpodobnost výskytu dané hrozby. V případě technického selhání můžeme kromě statistik vyjít i ze stáří aktiva a míru hrozby stanovit podle toho, v jakém bodě vanové křivky se právě nacházíme. V případě lidského selhání je možné též vyjít ze statistiky a vzít v úvahu aktuální náladu ve společnosti a kvalitu lidské obsluhy a určit trend. V případě hodnocení úmyslných hrozeb však narazíme na problém. I kdybychom vzali v úvahu jen 3 nejčastěji uváděné faktory jako je schopnost, příležitost a motiv, znamená to zkoumat 7 různých kombinací a posoudit, která z nich je závažnější. V případě, že bychom chtěli vzít v úvahu všech 9 výše uvedených faktorů, které při hodnocení pravděpodobnosti realizace úmyslné hrozby připadají v úvahu, dostali bychom se na 511 různých kombinací. (Z čistě matematického pohledu se jedná o kombinace bez opakování, jejichž počet lze snadno spočítat.) Z tohoto pohledu se jeví vyhodnocení trendu a náročnosti provedení útoku jako zcela dostačující k určení pravděpodobnosti realizace dané hrozby. Vycházíme z toho, že v době, kdy se členem organizované skupiny může stát v podstatě kdokoliv, vždy se najde někdo, kdo má motiv, příležitost, schopnosti a prostředky. Ostatní výše uvedené faktory je tedy třeba brát pouze jako doplňkové nebo se jimi vážně zabývat pouze v okamžiku, kdy statistické údaje nejsou k dispozici.

Závěr: Stanovení míry hrozby na základě četnosti výskytu dané hrozby je managementem obvykle akceptováno, neboť se tento způsob opírá o matematický aparát a míru hrozby je tak možné jednoduše vysvětlit a obhájit.

Poznámka: Co se týká kombinace jednotlivých faktorů, problém spočívá v tom, jak hodnotit např. takovou kombinaci, kdy bude pro jednu hrozbu splněna podmínka motivu a příležitosti, zatímco pro druhou naopak bude existovat příležitost a schopnost. Která hrozba bude v takovém případě závažnější? Jak spočítat míru hrozby? Je lepší vyhodnotit každý faktor a pak spočítat průměr? Nebo je vhodnější přidělit jednotlivým faktorům různé váhy?

Related posts:

1. Analýza rizik: identifikace hrozeb
2. Analýza rizik: kvalitativní analýza rizik
3. Analýza rizik: kvantitativní analýza rizik

V okamžiku, kdy v rámci analýzy rizik provádíme kvantifikaci aktiv, klademe si obvykle otázku, jaký by byl finanční a nefinanční dopad v případě, že by došlo k narušení důvěrnosti, integrity a dostupnosti těchto aktiv.V případě dostupnosti datových aktiv bychom měli sledovat dvě hodnoty a to RPO (Recovery Point Objective) a RTO (Recovery Time Objective). Běžně se však hodnota dopadu stanovuje jen na základě RTO. Takovýto přístup však nemusí být zrovna ten nejvhodnější. Vždy bychom si měli položit tyto dvě otázky:

RTO
Jaké by byly finanční a nefinanční dopady, kdyby data, která jsou předmětem hodnocení, nebyla dostupná po dobu několika: 

• sekund
• minut
• hodin
• dní

RPO
Jaké by byly finanční a nefinanční dopady, kdyby došlo ke ztrátě dat za posledních několik: 

• sekund
• minut
• hodin
• dní

Všimněte si, že se jedná o dvě naprosto rozdílné otázky. Zatímco v prvním případě uvažujeme, že data nebudou dostupná jen po danou dobu, ve druhém případě o data za dané období přijdeme. Vidíme, že hodnota dopadu, co se týká dostupnosti datových aktiv, může teoreticky nabývat až 8 různých hodnot (4 x RPO + 4 x RTO).

Na základě znalosti vztahu mezi hodnotami RTO a RPO můžeme ve fázi zvládání rizik volit vhodná opatření pro zajištění požadované dostupnosti dat.

Z obrázku je zřejmé, že v okamžiku, kdy se požadovaná dostupnost (RPO nebo RTO) pohybuje řádově v sekundách, musíme volit clusterové řešení. Pro dostupnost v řádově minutách se můžeme spokojit s replikací a v případě dostupnosti v hodinách je možno provádět zálohu na disky, a v případě dnů můžeme provádět tradiční zálohu na pásky.

Pro stanovení hodnoty dopadu v případě orientační analýzy rizik můžeme volit i zcela pragmatický přístup a hodnotu aktiva stanovit čistě podle požadavků na dostupnost a to takto: sekunda – kritická hodnota aktiva, minuta – vysoká hodnota aktiva, hodina – střední hodnota aktiva, dny – nízká hodnota aktiva.

Poznámka: Replikaci je možno řešit kopírováním dat do vzdálené lokality a na jiná disková úložiště. Jsou systémy, které umí kopírovat jen data, která se změnila, to znamená, že se nepřenáší celý soubor, ale jen změněná část. Některé systémy navíc umí detekovat data, která se již někde na diskovém úložišti vyskytují a na ty se pak pouze odkazují. Tímto způsobem lze výrazně snížit dobu potřebnou k vytvoření identické kopie dat produkčního prostředí a nároky na diskový prostor. V případě obnovy jsou zase tato řešení schopna obnovit data tak, že jednotlivé datové bloky jsou obnovovány postupně.

Related posts:

1. Analýza rizik: kvantitativní analýza rizik
2. Analýza rizik: kvantifikace hrozeb
3. Analýza rizik: Jemný úvod do analýzy rizik