Vyhodnocení rizik: kvantifikace opatření

V tomto příspěvku se dozvíte, jakým způsobem provést vyhodnocení jednotlivých opatření a zvolit to nejefektivnější.

V okamžiku, kdy jsme provedli analýzu rizik a známe již celkovou škodu, kterou by mohly jednotlivé hrozby způsobit, měli bychom se zamyslet nad volbou vhodných opatření. Rozhodnutí, zda bude dané opatření vůbec implementováno, by měla předcházet tzv. cost/benefit analýza. V rámci této analýzy bychom měli posoudit, jaká je hodnota aktiva a jaké jsou náklady na jeho ochranu. Pro výpočet hodnoty lze použít následující vzorec:

VOS = ALE1 – ALE2 – ACS

VOS (Value Of the Safeguard) představuje hodnotu opatření
ALE1 je roční ztráta před implementací opatření
ALE2 je roční ztráta po implementaci opatření
ACS (Annual Cost of the Safeguard) jsou roční náklady na opatření

Netřeba snad dodávat, že čím vyšší nám vyjde VOS, tím efektivnější dané opatření je a naopak čím více se VOS blíží k nule, tím méně se opatření jeví jako efektivní. A konečně, pokud VOS dosáhne záporné hodnoty, nemá smysl o jeho nasazení vůbec uvažovat. Tímto způsobem můžeme zároveň velice snadno porovnat jednotlivá opatření mezi sebou. V praxi však budeme muset pro jednotlivá opatření spočítat náklady ne na jeden rok, ale spíše na několik let. V podstatě se bude jednat o výpočet TCO. Dále je třeba vzít v úvahu, že některá opatření, ač mají horší VOS, mohou snižovat více hrozeb nebo zranitelností a tak ač na první pohled mohou vypadat jako méně efektivní, nemusí tomu tak být. Do výpočtu celkových nákladů na opatření by měly být zahrnuty náklady na:

  • pořízení,
  • implementaci,
  • údržbu,
  • podporu.

O těchto výše uvedených kritériích může hovořit jako o hard, ovšem kromě nich tu máme i další kritéria, která bychom mohli označit jako soft:

  • účinnost,
  • spolehlivost,
  • zranitelnost samotného opatření,
  • snadná správa,
  • integrace s ostatními opatřeními,
  • nezávislost na platformě,
  • životnost,
  • možnost upgradu.

Závěr: Vždy by mělo platit jednoduché pravidlo a to, že náklady na opatření by neměly být vyšší než možná ztráta. Vzhledem k tomu, že hodnota dopadu a míra hrozby a zranitelnosti se může v čase měnit, měla by se vždy implementovat základní sada opatření. Nemělo by se říci, hrozba, zranitelnost a dopad je nízký, tak žádné opatření nasazeno být nemusí.

Poznámka: Pokud jste provedli kvalitativní analýzu rizik, tak není možné výše uvedený vzorec pro vyhodnocení účinnosti opatření použít, protože hodnotu opatření neznáte, ale pouze ji odhadujete a můžete se tak pouze ptát, jak moc dané opatření vlastně snižuje riziko. Nejčastěji používaný vzorec pro výpočet rizika R=AxTxV upravíme na RR=AxTxV/C, kde RR je zbytkové riziko (residual risk) a C je opatření (countermeasure). Pokud výsledné riziko po implementaci opatření není akceptovatelné, měli bychom se zamyslet nad dodatečnými opatřeními, v opačném případě ho můžeme prohlásit za zbytkové.


Pokud vás tento příspěvek zaujal, sdílejte ho!
Share on FacebookShare on LinkedInTweet about this on TwitterShare on Google+Email this to someonePrint this page

Štítky: , ,


K článku “Vyhodnocení rizik: kvantifikace opatření” se zde nenachází žádný komentář - buďte první.

Diskuse na tomto webu je moderována. Pod článkem budou zobrazovány jen takové komentáře, které nebudou sloužit k propagaci konkrétní firmy, produktu nebo služby. V případě, že chcete, aby z těchto stránek vedl odkaz na váš web, kontaktujte nás, známe efektivnější způsoby propagace.

Přihlášeným uživatelům se tento formulář nezobrazuje - zaregistrujte se.

Jméno:(požadováno)
E-mail:(požadováno - nebude zobrazen)
Web:

Text vaší reakce: