Analýza rizik: kvantitativní analýza rizik

Cílem tohoto příspěvku je poskytnout čtenáři jednoduchý návod jak provést kvantitativní analýzu rizik a doplnit informace uvedené v knize „Řízení informačních rizik v praxi“.

Kvantitativní analýza rizik je založena na vyjádření hodnoty aktiva a dopadu v peněžních jednotkách. Analýza rizik probíhá v několika krocích, ve kterých se snažíme o identifikaci a kvantifikaci aktiv, hrozeb, zranitelností a stanovení celkové výše škody. Jednotlivé kroky nebo chcete-li fáze analýzy rizik, si dále stručně popíšeme.

Identifikace a kvantifikace aktiv

V této fázi bychom měli identifikovat všechna pro společnost kritická aktiva a následně provést jejich kvantifikaci neboli stanovit jejich hodnotu tzv. AV (Asset Value) v peněžních jednotkách. Pro správné stanovení této hodnoty si musíme položit minimálně následující otázky:

  • Jak se dané aktivum podílí na výnosech, resp. kolik zisku nám generuje?
  • Kolik by stálo opětovné pořízení aktiva a zprovoznění?
  • Jakou bychom zaplatili pokutu v případě porušení důvěrnosti, integrity a dostupnosti?

Uvědomte si, že v případě nežádoucího zpřístupnění, změny nebo zničení informací nejenže přijdete o zisk, ale často budete muset zaplatit i pokutu nebo penále, protože např. nebudete schopni poskytovat své služby v souladu s SLA.

Identifikace a kvantifikace hrozeb

V této fázi bychom měli identifikovat a kvantifikovat hrozby, kterým je společnost vystavena. U každé hrozby bychom měli stanovit pravděpodobnost jejího výskytu během roku tzv. ARO (Annualized Rate of Occurence). Jestliže se hrozba vyskytuje 1x za rok, je hodnota ARO rovna 1, v případě výskytu této hrozby 1x za deset let je hodnota ARO rovna 0,1.

Identifikace a kvantifikace zranitelností

V této fázi bychom se měli u každé dvojice hrozba – aktivum zamyslet nad tím, jakou škodu by mohla hrozba způsobit. Tato ztráta se nejčastěji uvádí v procentech a označuje se zkratkou EF (Exposure Factor). Pro její určení si musíme položit podobné otázky jako v případě stanovení hodnoty aktiva, konkrétně:

  • O kolik se sníží výnosy resp. zisk v případě narušení důvěrnosti, integrity a dostupnosti?
  • Jaké jsou náklady na zotavení se z dané hrozby a obnovu normální funkčnosti?
  • Jakou bychom zaplatili pokutu v případě porušení důvěrnosti, integrity a dostupnosti?

V okamžiku, kdy hledáme odpověď na tyto otázky, bereme v úvahu implementovaná opatření, která účinnost hrozby snižují a proto i velikost ztráty bývá zpravidla nižší než celková hodnota aktiva, kterou jsme stanovili v prvním kroku. Vzhledem k tomu, že bereme v úvahu již implementovaná opatření, mohli bychom hovořit o tom, že v podstatě určujeme zranitelnost aktiva. Toto se však nejspíš nikde nedočtete.

Stanovení celkové výše škody

V okamžiku, kdy jsme stanovili hodnotu aktiva (AV), pravděpodobnost hrozby (ARO) a hodnotu zranitelnosti (EF), můžeme přistoupit ke stanovení výše celkové škody tzv. ALE (Annualized Loss Expectancy), kterou získáme součinem těchto hodnot: ALE=AV*EF*ARO.

Poznámka: Někdy se můžeme setkat i se vzorcem: ALE=SLE*ARO, kde SLE=AV*EF a SLE (Single Loss Expectancy) vyjadřuje škodu, která by vznikla při jednom výskytu hrozby. Tímto způsobem bychom měli postupně spočítat výši škody pro každou dvojici aktivum – hrozba.

Pokud vás tento příspěvek zaujal, sdílejte ho!
Email this to someone
email
Share on LinkedIn
Linkedin
Tweet about this on Twitter
Twitter
Share on Facebook
Facebook
Print this page
Print

Štítky: ,


K článku “Analýza rizik: kvantitativní analýza rizik” se zde nenachází žádný komentář - buďte první.

Diskuse na tomto webu je moderována. Pod článkem budou zobrazovány jen takové komentáře, které nebudou sloužit k propagaci konkrétní firmy, produktu nebo služby. V případě, že chcete, aby z těchto stránek vedl odkaz na váš web, kontaktujte nás, známe efektivnější způsoby propagace.

Přihlášeným uživatelům se tento formulář nezobrazuje - zaregistrujte se.

Jméno:(požadováno)
E-mail:(požadováno - nebude zobrazen)
Web:

Text vaší reakce: