Proč kritická zranitelnost automaticky neznamená kritické riziko

V tomto příspěvku se pokusím vysvětlit, jak je možné, že kritická zranitelnost, které je možno zneužít vzdáleně, a zcela bez interakce uživatele kompletně ovládnout jeho zařízení, nemusí vůbec představovat významné riziko.

Jako příklad použijeme nedávno zveřejněnou kritickou zranitelnost v Adobe Flash Playeru.

Štítky:
celý článek

Krátké zamyšlení nad reputačním rizikem

O reputačním riziku mluvíme zpravidla v souvislosti s negativní publicitou, kdy hrozí, že zveřejnění určité informace, bez ohledu na to, zda je tato informace pravdivá či nikoliv, by mohlo způsobit ztrátu důvěry klientů, obchodních partnerů nebo akcionářů a v konečném důsledku vést k finanční ztrátě nebo i k ukončení činnosti dané společnosti na trhu.

V rámci analýzy rizik bychom se měli pokusit odhadnout, jaký dopad na business by tato negativní publicita mohla mít, a jaká je pravděpodobnost, že tato skutečnost nastane.

Štítky: ,
celý článek

Není vyjádření nízkého rizika pomocí zelené barvy zavádějící?

Byť se při vizualizaci jednotlivých úrovní rizik běžně používá zelená pro nízké, žlutá pro střední, oranžová pro vysoké a červená pro kritické riziko, tak si kladu otázku, zda není vyjádření nízkého rizika právě pomocí zelené barvy tak trochu zavádějící.

Nemám nic proti zelené barvě, naopak. Ale nemůže v mnoha lidech zelená barva budit zdání, že tam žádné riziko není, a tudíž že s ním není třeba nic dělat? A přitom ono riziko tam pořád je, a je třeba ho minimálně monitorovat.

Štítky: ,
celý článek

Ambicí analýzy rizik není předvídat budoucnost

Riziko je odvozeno z pravděpodobnosti hrozby, míry zranitelnosti a hodnoty dopadu.

Riziko můžeme definovat jako pravděpodobnost, že se vyskytne určitá hrozba, která překoná bezpečnostní opatření, zneužije nějaké zranitelnosti a způsobí škodu plynoucí z úniku citlivých informací, jejich nežádoucí změny nebo zničení. Hrozba je pak někdo/něco, kdo/co má potenciál způsobit nějakou škodu na aktivu a zranitelnost je vlastnost samotného aktiva.

Štítky: ,
celý článek

Analýza rizik: nízká pravděpodobnost hrozby a kritický dopad

Je způsob výpočtu rizika, tak jak je uveden v mezinárodních standardech, použitelný i v případech, kdy jedna hodnota nabývá svého minima a druhá naopak svého maxima?

Při analýze rizik zcela jistě narazíte jak na hrozby vyskytující se velice často, a mající na organizaci naprosto zanedbatelný dopad, tak i na hrozby, které se nevyskytují prakticky vůbec, ale přitom by jejich dopad na organizaci mohl být zdrcující. V rámci analýzy rizik vám však v obou těchto případech vyjde riziko spíše nízké nebo střední, a to bez ohledu na to, jaký použijete matematický aparát. Je to tak ale v pořádku?

Štítky: , ,
celý článek

Kvalitativní analýza rizik: pozor na příliš účinná opatření

Tento příspěvek doplňuje informace uvedené v knize „Řízení informačních rizik v praxi“ a upozorňuje na co si dát pozor při výpočtu zbytkového rizika.

V naší úvaze budeme vycházet z předpokladu, že riziko je dáno vztahem R=A*H*Z, kde R je riziko, A je hodnota dopadu, H je pravděpodobnost hrozby a Z je míra zranitelnosti. Dále budeme předpokládat, že zbytkové riziko po implementaci opatření lze vyjádřit jako RR=R/O, přičemž RR je zbytkové riziko a O je opatření, které dané riziko R snižuje.

Štítky: , ,
celý článek

Snižuje bezpečnostní opatření hrozbu, zranitelnost nebo dopad?

Pokud zavedete ta správná opatření, mělo by to vést ke snížení rizika.

Na první pohled se zdá, že následující obrázek je srozumitelný a naprosto přesně vystihuje podstatu. Jenže opravdu se v okamžiku, kdy zavedete nějaké opatření, zmenší všechny tři hodnoty, jak se obrázek snaží naznačit? Řekl bych, že ve většině případů tomu tak není.

Štítky:
celý článek

Analýza rizik: hodnocení aktiv, hrozeb a zranitelností

V rámci analýzy rizik musíme provést zhodnocení aktiv, hrozeb a zranitelností. Pojďme se společně zamyslet nad tím, čím vlastně začít.

Teoreticky by bylo možné v rámci analýzy rizik přistoupit k hodnocení aktiv, hrozeb a zranitelností šesti různými způsoby. Pokud si aktiva označíme jako A (assets), hrozby jako T (threat) a zranitelnosti jako V (vulnerability), pak by mohly být tyto faktory vyhodnoceny v tomto pořadí: A-T-V, A-V-T, T-V-A, T-A-V, V-T-A, V-A-T, přičemž T-A-V a V-A-T je asi nejméně pravděpodobný přístup k hodnocení těchto rizikových faktorů.

Štítky:
celý článek

Analýza rizik: Kvantifikace aktiv z pohledu důvěrnosti

Tento příspěvek se snaží přinést jiný pohled na kvantifikaci datových aktiv.

V okamžiku, kdy v rámci analýzy rizik provádíme kvantifikaci aktiv, klademe si obvykle otázku, jaký by byl finanční a nefinanční dopad v případě, že by došlo k narušení důvěrnosti, integrity a dostupnosti těchto aktiv.

Štítky: ,
celý článek

Analýza rizik: Identifikace datových aktiv

Cílem tohoto příspěvku je zamyslet se nad tím, jaké informace a na jakém médiu mohou být uloženy.

Byť se již před mnoha lety hovořilo o tzv. paperless office (bezpapírová kancelář), tak i dnes je spousta informací, které organizace shromažďuje a zpracovává, uložena v papírové podobě. Nezapomínejte prosím na tuto skutečnost, až budete provádět identifikaci datových aktiv. Pokud jsou informace uloženy v elektronické podobě, tak se obvykle nachází na:

Štítky: , ,
celý článek