Analýza rizik: kvantitativní analýza rizik
Cílem tohoto příspěvku je poskytnout čtenáři jednoduchý návod jak provést kvantitativní analýzu rizik a doplnit informace uvedené v knize „Řízení informačních rizik v praxi“.
Kvantitativní analýza rizik je založena na vyjádření hodnoty aktiva a dopadu v peněžních jednotkách. Analýza rizik probíhá v několika krocích, ve kterých se snažíme o identifikaci a kvantifikaci aktiv, hrozeb, zranitelností a stanovení celkové výše škody. Jednotlivé kroky nebo chcete-li fáze analýzy rizik, si dále stručně popíšeme.
Identifikace a kvantifikace aktiv
V této fázi bychom měli identifikovat všechna pro společnost kritická aktiva a následně provést jejich kvantifikaci neboli stanovit jejich hodnotu tzv. AV (Asset Value) v peněžních jednotkách. Pro správné stanovení této hodnoty si musíme položit minimálně následující otázky:
- Jak se dané aktivum podílí na výnosech, resp. kolik zisku nám generuje?
- Kolik by stálo opětovné pořízení aktiva a zprovoznění?
- Jakou bychom zaplatili pokutu v případě porušení důvěrnosti, integrity a dostupnosti?
Uvědomte si, že v případě nežádoucího zpřístupnění, změny nebo zničení informací nejenže přijdete o zisk, ale často budete muset zaplatit i pokutu nebo penále, protože např. nebudete schopni poskytovat své služby v souladu s SLA.
Identifikace a kvantifikace hrozeb
V této fázi bychom měli identifikovat a kvantifikovat hrozby, kterým je společnost vystavena. U každé hrozby bychom měli stanovit pravděpodobnost jejího výskytu během roku tzv. ARO (Annualized Rate of Occurence). Jestliže se hrozba vyskytuje 1x za rok, je hodnota ARO rovna 1, v případě výskytu této hrozby 1x za deset let je hodnota ARO rovna 0,1.
Identifikace a kvantifikace zranitelností
V této fázi bychom se měli u každé dvojice hrozba – aktivum zamyslet nad tím, jakou škodu by mohla hrozba způsobit. Tato ztráta se nejčastěji uvádí v procentech a označuje se zkratkou EF (Exposure Factor). Pro její určení si musíme položit podobné otázky jako v případě stanovení hodnoty aktiva, konkrétně:
- O kolik se sníží výnosy resp. zisk v případě narušení důvěrnosti, integrity a dostupnosti?
- Jaké jsou náklady na zotavení se z dané hrozby a obnovu normální funkčnosti?
- Jakou bychom zaplatili pokutu v případě porušení důvěrnosti, integrity a dostupnosti?
V okamžiku, kdy hledáme odpověď na tyto otázky, bereme v úvahu implementovaná opatření, která účinnost hrozby snižují a proto i velikost ztráty bývá zpravidla nižší než celková hodnota aktiva, kterou jsme stanovili v prvním kroku. Vzhledem k tomu, že bereme v úvahu již implementovaná opatření, mohli bychom hovořit o tom, že v podstatě určujeme zranitelnost aktiva. Toto se však nejspíš nikde nedočtete.
Stanovení celkové výše škody
V okamžiku, kdy jsme stanovili hodnotu aktiva (AV), pravděpodobnost hrozby (ARO) a hodnotu zranitelnosti (EF), můžeme přistoupit ke stanovení výše celkové škody tzv. ALE (Annualized Loss Expectancy), kterou získáme součinem těchto hodnot: ALE=AV*EF*ARO.
Poznámka: Někdy se můžeme setkat i se vzorcem: ALE=SLE*ARO, kde SLE=AV*EF a SLE (Single Loss Expectancy) vyjadřuje škodu, která by vznikla při jednom výskytu hrozby. Tímto způsobem bychom měli postupně spočítat výši škody pro každou dvojici aktivum – hrozba.
Štítky: analýza rizik, řízení informačních rizik
K článku “Analýza rizik: kvantitativní analýza rizik” se zde nenachází žádný komentář - buďte první.
Diskuse na tomto webu je moderována. Pod článkem budou zobrazovány jen takové komentáře, které nebudou sloužit k propagaci konkrétní firmy, produktu nebo služby. V případě, že chcete, aby z těchto stránek vedl odkaz na váš web, kontaktujte nás, známe efektivnější způsoby propagace.