Proč kritická zranitelnost automaticky neznamená kritické riziko

V tomto příspěvku se pokusím vysvětlit, jak je možné, že kritická zranitelnost, které je možno zneužít vzdáleně, a zcela bez interakce uživatele kompletně ovládnout jeho zařízení, nemusí vůbec představovat významné riziko.

Jako příklad použijeme nedávno zveřejněnou kritickou zranitelnost v Adobe Flash Playeru.

Štítky:
celý článek

Enterprise risk management a agregované a kaskádové riziko

S pojmem agregované a kaskádové riziko se můžeme setkat spíše v akademické sféře než v běžné praxi.

V oblasti informační bezpečnosti pak na tyto  pojmy můžeme narazit především v materiálech od organizace ISACA, když se diskutuje o míře homogenity prostředí a z ní vyplývajících rizik.

Štítky:
celý článek

Krátké zamyšlení nad reputačním rizikem

O reputačním riziku mluvíme zpravidla v souvislosti s negativní publicitou, kdy hrozí, že zveřejnění určité informace, bez ohledu na to, zda je tato informace pravdivá či nikoliv, by mohlo způsobit ztrátu důvěry klientů, obchodních partnerů nebo akcionářů a v konečném důsledku vést k finanční ztrátě nebo i k ukončení činnosti dané společnosti na trhu.

V rámci analýzy rizik bychom se měli pokusit odhadnout, jaký dopad na business by tato negativní publicita mohla mít, a jaká je pravděpodobnost, že tato skutečnost nastane.

Štítky: ,
celý článek

Není vyjádření nízkého rizika pomocí zelené barvy zavádějící?

Byť se při vizualizaci jednotlivých úrovní rizik běžně používá zelená pro nízké, žlutá pro střední, oranžová pro vysoké a červená pro kritické riziko, tak si kladu otázku, zda není vyjádření nízkého rizika právě pomocí zelené barvy tak trochu zavádějící.

Nemám nic proti zelené barvě, naopak. Ale nemůže v mnoha lidech zelená barva budit zdání, že tam žádné riziko není, a tudíž že s ním není třeba nic dělat? A přitom ono riziko tam pořád je, a je třeba ho minimálně monitorovat.

Štítky: ,
celý článek

Jakou výši rizika jste ochotni tolerovat?

information-risk-management

V minulém příspěvku jsem psal o risk appetite, dnes bych se rád krátce zmínil o risk tolerance.

Tyto pojmy se v oblasti řízení informačních rizik příliš nepoužívají a setkáme se s nimi spíše v akademické sféře a v publikacích nejrůznějších institucí. A pokud už někdo s těmito pojmy pracuje, tak je používá ve stejném kontextu, tj. špatně. Navíc zde můžeme narazit na dvě rozdílné interpretace těchto pojmů.

Štítky:
celý článek

Hodnocení zranitelností – 3. díl

Pojďme se společně podívat, jak se provádí hodnocení zranitelností podle metodiky CVSS.

Aby se na zranitelnosti dalo snadno odkazovat, definuje CVE jak nové zranitelnosti přidělit jednoznačný identifikátor. Detailní popis a skóre, kterého jednotlivé zranitelnosti dosáhly, je pak uveden v National Vulnerability Database, zkr. NVD. Samotné skóre je pak počítáno podle metodiky pro hodnocení zranitelností, kterou spravuje First a je nazýváno CVSS, což je zkratka pro Common Vulnerability Scoring System.

Štítky:
celý článek

Z extrému do extrému anebo jaký je aktuální trend ve vnímání rizik managementem

Zatímco v minulých letech jsme byli svědky toho, že informační rizika byla velmi často bagatelizována a management většiny organizací měl snahu tato rizika akceptovat, dnes je situace přesně opačná.

Ano, tam kde se dříve management nad vysokými riziky pozastavoval a ptal se, zda jsou opravdu tak vysoká, hledí nyní se stejnou nedůvěrou na nízká rizika. Možná že je to dáno jen nešťastným způsobem prezentace některých kybernetických útoků v bulvárních mediích, a zvýšenou pozorností, která je těmto útokům věnována.

Štítky:
celý článek

Jaký je váš risk appetite v oblasti řízení informačních rizik?

Risk appetite je klíčový faktor v procesu řízení rizik, neboť vyjadřuje úroveň rizika, kterou je organizace ochotna akceptovat.

V mezinárodním standardu ISO 31000, Risk management – Principles and guidelines, který určuje základní rámec pro řízení rizik, je risk appetite definován jako „Amount and type of risk that an organization is prepared to pursue, retain or take“.

Štítky:
celý článek

Ambicí analýzy rizik není předvídat budoucnost

Riziko je odvozeno z pravděpodobnosti hrozby, míry zranitelnosti a hodnoty dopadu.

Riziko můžeme definovat jako pravděpodobnost, že se vyskytne určitá hrozba, která překoná bezpečnostní opatření, zneužije nějaké zranitelnosti a způsobí škodu plynoucí z úniku citlivých informací, jejich nežádoucí změny nebo zničení. Hrozba je pak někdo/něco, kdo/co má potenciál způsobit nějakou škodu na aktivu a zranitelnost je vlastnost samotného aktiva.

Štítky: ,
celý článek

Analýza rizik: nízká pravděpodobnost hrozby a kritický dopad

Je způsob výpočtu rizika, tak jak je uveden v mezinárodních standardech, použitelný i v případech, kdy jedna hodnota nabývá svého minima a druhá naopak svého maxima?

Při analýze rizik zcela jistě narazíte jak na hrozby vyskytující se velice často, a mající na organizaci naprosto zanedbatelný dopad, tak i na hrozby, které se nevyskytují prakticky vůbec, ale přitom by jejich dopad na organizaci mohl být zdrcující. V rámci analýzy rizik vám však v obou těchto případech vyjde riziko spíše nízké nebo střední, a to bez ohledu na to, jaký použijete matematický aparát. Je to tak ale v pořádku?

Štítky: , ,
celý článek