Analýza rizik: kvantitativní analýza rizik

Cílem tohoto příspěvku je poskytnout čtenáři jednoduchý návod jak provést kvantitativní analýzu rizik a doplnit informace uvedené v knize „Řízení informačních rizik v praxi“.

Kvantitativní analýza rizik je založena na vyjádření hodnoty aktiva a dopadu v peněžních jednotkách. Analýza rizik probíhá v několika krocích, ve kterých se snažíme o identifikaci a kvantifikaci aktiv, hrozeb, zranitelností a stanovení celkové výše škody. Jednotlivé kroky nebo chcete-li fáze analýzy rizik, si dále stručně popíšeme.

Identifikace a kvantifikace aktiv

V této fázi bychom měli identifikovat všechna pro společnost kritická aktiva a následně provést jejich kvantifikaci neboli stanovit jejich hodnotu tzv. AV (Asset Value) v peněžních jednotkách. Pro správné stanovení této hodnoty si musíme položit minimálně následující otázky:

• Jak se dané aktivum podílí na výnosech, resp. kolik zisku nám generuje?
• Kolik by stálo opětovné pořízení aktiva a zprovoznění?
• Jakou bychom zaplatili pokutu v případě porušení důvěrnosti, integrity a dostupnosti?

Uvědomte si, že v případě nežádoucího zpřístupnění, změny nebo zničení informací nejenže přijdete o zisk, ale často budete muset zaplatit i pokutu nebo penále, protože např. nebudete schopni poskytovat své služby v souladu s SLA.

Identifikace a kvantifikace hrozeb

V této fázi bychom měli identifikovat a kvantifikovat hrozby, kterým je společnost vystavena. U každé hrozby bychom měli stanovit pravděpodobnost jejího výskytu během roku tzv. ARO (Annualized Rate of Occurence). Jestliže se hrozba vyskytuje 1x za rok, je hodnota ARO rovna 1, v případě výskytu této hrozby 1x za deset let je hodnota ARO rovna 0,1.

Identifikace a kvantifikace zranitelností

V této fázi bychom se měli u každé dvojice hrozba – aktivum zamyslet nad tím, jakou škodu by mohla hrozba způsobit. Tato ztráta se nejčastěji uvádí v procentech a označuje se zkratkou EF (Exposure Factor). Pro její určení si musíme položit podobné otázky jako v případě stanovení hodnoty aktiva, konkrétně:

• O kolik se sníží výnosy resp. zisk v případě narušení důvěrnosti, integrity a dostupnosti?
• Jaké jsou náklady na zotavení se z dané hrozby a obnovu normální funkčnosti?
• Jakou bychom zaplatili pokutu v případě porušení důvěrnosti, integrity a dostupnosti?

V okamžiku, kdy hledáme odpověď na tyto otázky, bereme v úvahu implementovaná opatření, která účinnost hrozby snižují a proto i velikost ztráty bývá zpravidla nižší než celková hodnota aktiva, kterou jsme stanovili v prvním kroku. Vzhledem k tomu, že bereme v úvahu již implementovaná opatření, mohli bychom hovořit o tom, že v podstatě určujeme zranitelnost aktiva. Toto se však nejspíš nikde nedočtete.

Stanovení celkové výše škody

V okamžiku, kdy jsme stanovili hodnotu aktiva (AV), pravděpodobnost hrozby (ARO) a hodnotu zranitelnosti (EF), můžeme přistoupit ke stanovení výše celkové škody tzv. ALE (Annualized Loss Expectancy), kterou získáme součinem těchto hodnot: ALE=AV*EF*ARO.

Poznámka: Někdy se můžeme setkat i se vzorcem: ALE=SLE*ARO, kde SLE=AV*EF a SLE (Single Loss Expectancy) vyjadřuje škodu, která by vznikla při jednom výskytu hrozby. Tímto způsobem bychom měli postupně spočítat výši škody pro každou dvojici aktivum – hrozba.

Štítky: analýza rizik, řízení informačních rizik

K článku “Analýza rizik: kvantitativní analýza rizik” se zde nenachází žádný komentář - buďte první.

Diskuse na tomto webu je moderována. Pod článkem budou zobrazovány jen takové komentáře, které nebudou sloužit k propagaci konkrétní firmy, produktu nebo služby. V případě, že chcete, aby z těchto stránek vedl odkaz na váš web, kontaktujte nás, známe efektivnější způsoby propagace.

Přihlášeným uživatelům se tento formulář nezobrazuje - zaregistrujte se.

Jméno:(požadováno)
E-mail:(požadováno - nebude zobrazen)
Web:

Text vaší reakce:

Δ

 Chci zasílat upozornění na nové komentáře e-mailem.