Kvalitativní analýza rizik: pozor na příliš účinná opatření
Tento příspěvek doplňuje informace uvedené v knize „Řízení informačních rizik v praxi“ a upozorňuje na co si dát pozor při výpočtu zbytkového rizika.
V naší úvaze budeme vycházet z předpokladu, že riziko je dáno vztahem R=A*H*Z, kde R je riziko, A je hodnota dopadu, H je pravděpodobnost hrozby a Z je míra zranitelnosti. Dále budeme předpokládat, že zbytkové riziko po implementaci opatření lze vyjádřit jako RR=R/O, přičemž RR je zbytkové riziko a O je opatření, které dané riziko R snižuje.
Bez ohledu na to, jakou použijete v rámci kvalitativní analýzy rizik stupnici pro hodnocení jednotlivých faktorů, musíte si dát pozor na to, abyste opatření nepřisoudili vyšší účinnost než je míra zranitelnosti, kterou tímto opatřením snižujete.
Předpokládejme, že jste se rozhodli použít 4 bodovou stupnici, kdy jednotlivé faktory mohou nabývat hodnot z intervalu celých čísel <1,4>. Dejme tomu, že A=4, H=4 a Z=2. V tomto případě se výsledné riziko R=32.
A teď pozor, rozhodnete-li se implementovat opatření, které považujete téměř za 100% účinné, bude celkem logické, když mu v katalogu opatření přisoudíte tu nejvyšší možnou účinnost, tedy 4.
Zbytkové riziko RR po implementaci tohoto opatření je 8, protože R=32 a O=4. No jo, ale jestliže Z=2, tak by to znamenalo, že toto opatření snižuje zranitelnost ne o 100%, ale dokonce 200%, což je nesmysl.
Chybou by i bylo se domnívat, že opatření zároveň snižuje pravděpodobnost hrozby nebo dopadu, protože ta zůstane ve většině případů v krátkém období stejná, viz příspěvek: snižuje bezpečnostní opatření hrozbu, zranitelnost nebo dopad.
V případech, kdy je hodnota O>Z, musíme provést úpravu spočívající ve snížení hodnoty O, jednoduše provedeme následující úpravu. O přisoudíme hodnotu Z, protože zranitelnost může být při použití skutečně účinného opatření maximálně elimována.
Zbytkové riziko RR po implementaci opatření, je v tomto případě 16, protože R=32 a O=2. Vidíme, že riziko se též snížilo, ale zbytkové RR už není tak nízké jako v předchozím případě, nýbrž jednou takové.
Vzhledem k tomu, že účinnost opatření nikdy není 100%, tak se obvykle zavádí více opatření v řadě, a nespoléhá se jen na jedno. Zde však narazíte na problém, jakou v takovém případě přisoudit hodnotu dané sadě opatření.
Můžete to vyřešit tak, že každé opatření bude mít stejnou váhu. Pokud budu implementována všechna, tak budou disponovat nejvyšší možnou účinností a pokud budou implementována jen některá, tak se hodnota O bude snižovat.
ČERMÁK, Miroslav. Kvalitativní analýza rizik: pozor na příliš účinná opatření. Online. Clever and Smart. 2013. ISSN 2694-9830. Dostupné z: https://www.cleverandsmart.cz/kvalitativni-analyza-rizik-pozor-na-prilis-ucinna-opatreni/. [cit. 2025-01-25].
Štítky: analýza rizik, kvalitativní analýza rizik, řízení informačních rizik
K článku “Kvalitativní analýza rizik: pozor na příliš účinná opatření” se zde nenachází žádný komentář - buďte první.
Diskuse na tomto webu je moderována. Pod článkem budou zobrazovány jen takové komentáře, které nebudou sloužit k propagaci konkrétní firmy, produktu nebo služby. V případě, že chcete, aby z těchto stránek vedl odkaz na váš web, kontaktujte nás, známe efektivnější způsoby propagace.