Vyhodnocení rizik: kvantifikace opatření

V tomto příspěvku se dozvíte, jakým způsobem provést vyhodnocení jednotlivých opatření a zvolit to nejefektivnější.

V okamžiku, kdy jsme provedli analýzu rizik a známe již celkovou škodu, kterou by mohly jednotlivé hrozby způsobit, měli bychom se zamyslet nad volbou vhodných opatření. Rozhodnutí, zda bude dané opatření vůbec implementováno, by měla předcházet tzv. cost/benefit analýza. V rámci této analýzy bychom měli posoudit, jaká je hodnota aktiva a jaké jsou náklady na jeho ochranu. Pro výpočet hodnoty lze použít následující vzorec:

VOS = ALE1 – ALE2 – ACS

VOS (Value Of the Safeguard) představuje hodnotu opatření
ALE1 je roční ztráta před implementací opatření
ALE2 je roční ztráta po implementaci opatření
ACS (Annual Cost of the Safeguard) jsou roční náklady na opatření

Netřeba snad dodávat, že čím vyšší nám vyjde VOS, tím efektivnější dané opatření je a naopak čím více se VOS blíží k nule, tím méně se opatření jeví jako efektivní. A konečně, pokud VOS dosáhne záporné hodnoty, nemá smysl o jeho nasazení vůbec uvažovat. Tímto způsobem můžeme zároveň velice snadno porovnat jednotlivá opatření mezi sebou. V praxi však budeme muset pro jednotlivá opatření spočítat náklady ne na jeden rok, ale spíše na několik let. V podstatě se bude jednat o výpočet TCO. Dále je třeba vzít v úvahu, že některá opatření, ač mají horší VOS, mohou snižovat více hrozeb nebo zranitelností a tak ač na první pohled mohou vypadat jako méně efektivní, nemusí tomu tak být. Do výpočtu celkových nákladů na opatření by měly být zahrnuty náklady na:

  • pořízení,
  • implementaci,
  • údržbu,
  • podporu.

O těchto výše uvedených kritériích může hovořit jako o hard, ovšem kromě nich tu máme i další kritéria, která bychom mohli označit jako soft:

  • účinnost,
  • spolehlivost,
  • zranitelnost samotného opatření,
  • snadná správa,
  • integrace s ostatními opatřeními,
  • nezávislost na platformě,
  • životnost,
  • možnost upgradu.

Závěr: Vždy by mělo platit jednoduché pravidlo a to, že náklady na opatření by neměly být vyšší než možná ztráta. Vzhledem k tomu, že hodnota dopadu a míra hrozby a zranitelnosti se může v čase měnit, měla by se vždy implementovat základní sada opatření. Nemělo by se říci, hrozba, zranitelnost a dopad je nízký, tak žádné opatření nasazeno být nemusí.

Poznámka: Pokud jste provedli kvalitativní analýzu rizik, tak není možné výše uvedený vzorec pro vyhodnocení účinnosti opatření použít, protože hodnotu opatření neznáte, ale pouze ji odhadujete a můžete se tak pouze ptát, jak moc dané opatření vlastně snižuje riziko. Nejčastěji používaný vzorec pro výpočet rizika R=AxTxV upravíme na RR=AxTxV/C, kde RR je zbytkové riziko (residual risk) a C je opatření (countermeasure). Pokud výsledné riziko po implementaci opatření není akceptovatelné, měli bychom se zamyslet nad dodatečnými opatřeními, v opačném případě ho můžeme prohlásit za zbytkové.

Pokud vás tento článek zaujal, můžete odkaz na něj sdílet.

Štítky: , ,

  1. Zdenek

    Měl bych připomínku ke vzorci VOS = ALE1 – ALE2 – ACS a tvrzení, že čím je VOS blíže nule, tím je opatření méně efektivní. Domnívám se, že pro toto tvrzení je třeba mít buď nějakou další hodnotu, se kterou mohu výsledek srovnat, nebo rozhodnutí odpovědné osoby, zda je úspora dostatečná. Myslím, že by měly být hodnoty počítány jinak, i když výsledek je stejný a úprava vzorce jen kosmetická. Viděl bych to např. takto: VOS=ALE1-(ALE2+ACS). Vzorec v této podobě přehledněji vyznačuje misku vah minulých a budoucích výdajů.
    Ale to hlavní je, že ALE2 je zase jen odhad a mělo by zde být upozornění na situace, které mohou nastat v podobě např. opakovaných sankcí za porušení legislativních, smluvních či jiných ustanovení. Dokonce v případě otázky ochrany osobních údajů není špatně zamyslet se také nejen nad sankcemi z dozorových úřadů, ale možnými žalobami ze strany subjektů osobních údajů. V tu chvíli jde tento vzorec do kopru a z analýzy rizik se může stát dokument se zanedbatelným vypovídajícím obsahem.

  2. Mirek

    Ano, tahle úprava dává smysl, je to tak intuitivnější. Pokud jde o opakované sankce, tak s tímhle se třeba celkem slušně vypořádala metodika Open FAIR, který škodu počítá jako Loss Magnitude, zkr. LM a doporučuje se zajímat o ztrátu produktivity, náklady na okamžitou reakci, náklady na obnovu, ztrátu konkurenční výhody, nejrůznější pokuty a sankce za nedodržení SLA, únik informací a v neposlední řadě ztrátu dobrého jména. Tento myšlenkový proces označuje za loss flow a skládá se z primary loss (PLM) a secondary loss (SLM), přičemž k primární škodě dojde jen jednou, zatímco sekundární se může v čase opakovat. Stručné zhodnocení metodiky Open FAIR najdete zde: https://www.cleverandsmart.cz/rychle-zhodnoceni-metodiky-open-fair/


K článku “Vyhodnocení rizik: kvantifikace opatření” se zde nachází 2 komentáře.

Diskuse na tomto webu je moderována. Pod článkem budou zobrazovány jen takové komentáře, které nebudou sloužit k propagaci konkrétní firmy, produktu nebo služby. V případě, že chcete, aby z těchto stránek vedl odkaz na váš web, kontaktujte nás, známe efektivnější způsoby propagace.

Přihlášeným uživatelům se tento formulář nezobrazuje - zaregistrujte se.

Jméno:(požadováno)
E-mail:(požadováno - nebude zobrazen)
Web:

Text vaší reakce: