Mělo by být řízení informační bezpečnosti postavené na rizicích nebo opatřeních?

Nedávno jsem narazil na otázku, zda by měl být přístup k řízení bezpečnosti založen na rizicích nebo opatřeních.
V zásadě se jedná o problém, který zahraniční literatura popisuje jako risk driven approach vs. control driven approach. Osobně jsem přesvědčen o tom, že pokud má být řízení informační bezpečnosti skutečně efektivní, tak je nutné zkombinovat oba tyto přístupy, neboť tyto přístupy nestojí proti sobě, ale vzájemně se doplňují.
Control driven approach
V tomto případě dochází k implementaci příslušných bezpečnostních opatření a jejich vyhodnocování na základě jejich pouhého uvedení v nějakém standardu, kdy musí být implementována všechna opatření, a pokud nejsou, tak musí být uvedeno, proč ne.
Risk driven approach
V tomto případě dochází k implementaci vybraných bezpečnostních opatření až na základě identifikovaných inherentních rizik a mělo by být zřejmé, jaká bude úroveň zbytkového rizika po jejich implementaci.
Kombinace obou přístupů
Oba přístupy mají samozřejmě své výhody a nevýhody, kterou jsou zachyceny v následující tabulce.
Control driven approach | Risk driven approach |
+Bezpečnostní opatření jsou uvedena ve standardu, takže je snadné učinit rozhodnutí, že mají být implementována. | -Bezpečnostní opatření je nutné navrhnout ve vztahu k identifikovanému riziku, což nemusí být triviální. |
-Mohou být implementována i opatření, která nejsou nezbytně nutná, a tudíž se zbytečně zvyšují náklady. | +Jsou implementována jen opatření, která jsou nezbytně nutná, takže nedochází k neúčelnému vynaložení nákladů. |
+Musí být zavedena všechna opatření uvedená ve standardu, takže by se nemělo stát, že nějaké bude scházet. | -Nemusí být identifkována všechna rizika a tudíž nemusí být zavedena všechna potřebná opatření. |
-Obtížně se odpovídá na otázku, proč investovat do zavedení daného opatření a jaké riziko se tím snižuje. | +Každé opatření je odůvodněno nějakým rizikem, které se tímto snižuje. |
Pokud soulad s normativem není vyžadován, je vždy vhodné implementovat základní sadu bezpečnostních opatření a následně provést identifikaci a analýzu rizik v oblastech uvedených ve standardu a tam rovněž vyhledat i vhodná opatření. Tím by mělo být zaručeno, že nic podstatného neopomenete.
Štítky: řízení informačních rizik
K článku “Mělo by být řízení informační bezpečnosti postavené na rizicích nebo opatřeních?” se zde nenachází žádný komentář - buďte první.
Diskuse na tomto webu je moderována. Pod článkem budou zobrazovány jen takové komentáře, které nebudou sloužit k propagaci konkrétní firmy, produktu nebo služby. V případě, že chcete, aby z těchto stránek vedl odkaz na váš web, kontaktujte nás, známe efektivnější způsoby propagace.