Jaký je přínos asistované analýzy rizik

V tomto příspěvku bych se chtěl zamyslet nad tím, jaký je přínos asistované analýzy rizik.

Pokud organizace nemá s analýzou rizik informačního systému praktické zkušenosti, tak je celkem logické, že se v této záležitosti obrací na externího konzultanta.

Asistovaná analýza rizik pak je taková analýza, kdy analýzu rizik provádí přímo zaměstnanec dané organizace, ale za asistence externího konzultanta, jehož hlavní přínos spočívá v tom, že zná detailně proces řízení rizik, jednotlivé fáze analýzy rizik a především pak bravurně ovládá metodiku, nástroje a techniky použitelné pro identifikaci a kvantifikaci aktiv, hrozeb, zranitelností a výsledného rizika.

Dále má nebo by alespoň měl mít povědomí o tom, jaká je pravděpodobnost výskytu generických hrozeb v dané lokalitě nebo odvětví, ve kterém daná organizace působí, jaká opatření organizační a technické povahy by měla být zavedena, co jsou to primární a podpůrná aktiva, a jaký dopad by mohlo mít narušení důvěrnosti, integrity a dostupnosti informací a služeb na danou organizaci.

Ovšem vzhledem k tomu, že externí konzultant detailně nezná fungování dané organizace, tak je zcela závislý na poskytnutých informacích. Pokud má být výstup z analýzy rizik použitelný, musíte konzultantovi potřebné informace poskytnout a nezamlčovat podstatné skutečnosti.

Teprve pak může konzultant na základě svých předchozích zkušeností tyto informace vyhodnotit a v případě, že pojme podezření, např. pokud je v hodnocení respondentů patrný určitý rozpor*, tak může požadovat vysvětlení a pomocí dalších otázek se pak snažit dobrat pravdy, aby mohl pokud možno objektivně popsat realitu a navrhnout vhodnou metodu zvládání rizik a navrhnout účinná bezpečnostní opatření.

Konzultant však neověřuje, a vlastně by ani neměl, zda informace, které mu respondenti poskytli, jsou pravdivé či nikoliv, protože analýza rizik není bezpečnostní audit. Ten by měl následovat až poté a maximálně využít výstupů z analýzy rizik, a ověřit, jak to s tou úrovní zavedení a účinností jednotlivých bezpečnostních opatření opravdu je.

Na tomto místě je nutné uvést, že ve fázi identifikace rizik je zpravidla jen málokdy identifikováno riziko, o kterém by nikdo v organizaci doposud neměl ani tušení. A pokud ano, tak spíš proto, že bezpečnostní povědomí a vůbec úroveň bezpečnosti je v takové organizaci tristní.

To uvádím především proto, že se občas, zpravidla ihned poté, co je vyhotovena a managementu organizace předložena závěrečná zpráva o rizicích a doporučeném způsobu jejich zvládání, setkávám s názorem typu: „No jo, ale v té zprávě není nic nového.“

Odpověď, proč tomu tak je, je nasnadě. Je třeba si uvědomit, že identifikace a kvantifikace aktiv, hrozeb, zranitelností a výsledného rizika je z větší části založena na informacích, které se k analytikovi dostávají od respondentů, se kterými jsou vedena interview, a kteří se účastní facilitovaných workshopů.

A cílem analýzy rizik pak je zmapovat, kde se nacházejí ta nejcennější aktiva, jakými zranitelnostmi hodnocený systém trpí, působení jakých hrozeb je systém vystaven, jaký dopad by na něj měla realizace daných hrozeb, a konečně, jaká rizika by organizace měla zvládat.

Pokud jde o přínos takto pojaté analýzy rizik, tak už samotný proces identifikace a analýzy rizik bývá pro organizaci obrovským přínosem, protože si její zaměstnanci a především pak manažeři uvědomí, že i oni mohou být cílem kybernetického útoku, že proti němu nejsou dostatečně chráněni, neboť stávající bezpečnostní opatření nejsou dostatečná, a že vhodná opatření by přitom nebylo až tak náročné implementovat.

Další nesporným přínosem je skutečnost, že v rámci tohoto procesu dochází k transformaci tacitních znalostí o jednotlivých aktivech, hrozbách a zranitelnostech, které byly doposud fragmentovány napříč organizací na explicitní a jejich syntéze do podoby matice a registru rizik, ve kterém jsou všechna tato rizika exaktně popsána.

Snadno pak lze zjistit, co jsou to ta nejcennější aktiva, kde se nacházejí ty největší zranitelnosti, které hrozby jsou nejpravděpodobnější, kde dochází ke kumulaci rizik, a následně lze tato rizika prioritizovat a mnohem lépe a efektivněji zvládat a nedochází tak k jejich nevědomé retenci.

*Tomu, jak identifikovat hrozby, zranitelnosti a dopady a stanovit pak následně pravděpodobnost jejich výskytu, míru zranitelnosti a velikosti dopadu, když každý respondent tvrdí něco trochu jiného, se budu věnovat v samostatném příspěvku.

Pokud vás tento článek zaujal, můžete odkaz na něj sdílet.

Štítky:


K článku “Jaký je přínos asistované analýzy rizik” se zde nenachází žádný komentář - buďte první.

Diskuse na tomto webu je moderována. Pod článkem budou zobrazovány jen takové komentáře, které nebudou sloužit k propagaci konkrétní firmy, produktu nebo služby. V případě, že chcete, aby z těchto stránek vedl odkaz na váš web, kontaktujte nás, známe efektivnější způsoby propagace.

Přihlášeným uživatelům se tento formulář nezobrazuje - zaregistrujte se.

Jméno:(požadováno)
E-mail:(požadováno - nebude zobrazen)
Web:

Text vaší reakce: