Z extrému do extrému anebo jaký je aktuální trend ve vnímání rizik managementem

Zatímco v minulých letech jsme byli svědky toho, že informační rizika byla velmi často bagatelizována a management většiny organizací měl snahu tato rizika akceptovat, dnes je situace přesně opačná.

Ano, tam kde se dříve management nad vysokými riziky pozastavoval a ptal se, zda jsou opravdu tak vysoká, hledí nyní se stejnou nedůvěrou na nízká rizika. Možná že je to dáno jen nešťastným způsobem prezentace některých kybernetických útoků v bulvárních mediích, a zvýšenou pozorností, která je těmto útokům věnována.

Tato mediální masáž ve značné míře přispívá k tomu, že management v mnohých firmách postupně nabývá dojmu, že i jejich firma je v permanentním ohrožení, a že proto musí okamžitě podniknout všechny potřebné kroky k tomu, aby byli schopni se ubránit nejrůznějším DDoS a APT útokům. Tento pocit ohrožení v nich ještě přiživují nejrůznější bezpečnostní konzultanti.

Ti, než aby se snažili management přesvědčit, že rizika zdaleka nejsou tak vysoká, jak je vykreslují bulvární média, tak se raději svezou na stávající vlně, a prezentují managementu nejrůznější katastrofické scénáře. Ono je to totiž mnohem pohodlnější. V opačném případě, kdyby přeci jen k něčemu došlo, by čelili dotazům, proč měli odlišný názor, než ostatní experti.

Jenže, kdo jsou ti ostatní experti, nejsou to náhodou nejrůznější konzultanti a dodavatelé bezpečnostních řešení, kterým tento stav spíše vyhovuje, protože mohou v takové situaci snáze prodat své služby nebo řešení? Ze vzniklé situace pak těží i útvar IT a bezpečnosti, který může požadovat navýšení rozpočtu, otevřít projekt na implementaci nějakého takového řešení a najmout lidi, kteří se na jeho implementaci budou podílet. Bohužel, jediný, koho by tento aktuální trend mohl trápit, je vlastník firmy, protože tomu se jen zbytečně zvyšují náklady.

V souvislosti s tímto jevem dochází v rámci analýzy rizik informačního systému k nežádoucímu nadhodnocování velikosti dopadu, míry hrozby a v neposlední řadě i účinnosti bezpečnostních opatření. To v konečném důsledku vede k tomu, že se management mnohých organizací následně potýká s nesmyslně velkým počtem vysokých rizik, která však ve skutečnosti velkým riziky vůbec nejsou!

Tento stav však navíc bohužel vede i ke špatným rozhodnutím a neefektivním investicím. Neefektivním především proto, že vysoké inherentní riziko je zpravidla požadováno v souladu s risk appetitem snížit, a nezřídka se tak děje prostým nákupem krabicového bezpečnostního řešení, o jehož skutečné účinnosti a smysluplnosti by se dalo jistě s úspěchem pochybovat.

Otázka je, zda k nadhodnocování rizik dochází vědomě nebo spíše z důvodu neschopnosti objektivně zhodnotit velikost dopadu, míru hrozby, závažnost identifikované zranitelnosti a účinnost bezpečnostních opatření. Stále více nabývám dojmu, že v mnoha případech se jedná o kombinaci obojího.

Závěr: Jestliže vám v analýze rizik vychází příliš velký počet vysokých rizik, zkuste se zamyslet nad tím, zda náhodou též nenadhodnocujete dopad a pravděpodobnost hrozeb. Stejně tak bych některým bezpečnostním řešením nepřisuzoval takovou účinnost, jejich implementací se vytváří jen falešný pocit bezpečí, k výraznému snížení rizika nedochází a zbytkové riziko rozhodně nelze považovat za nízké.

Pokud vás tento článek zaujal, můžete odkaz na něj sdílet.

Štítky:

  1. J. Hlavac

    Originální pohled, naše zkušenost je spíše opačná – neustálá bagatelizace nálezů v oblasti bezpečnosti. Především ze strany provozovatele IT, případně i managementu. Hezkou ukázkou byl stav bezpečnosti e-shopů, myslím kdysi někde na Lupě.

  2. Miroslav Čermák

    Pokud myslíte tento článek: http://www.lupa.cz/clanky/jak-jsem-ukradl-sezeni-administratorovi/, tak pak nemáme rozdílnou zkušenost. Tohle jsou rizika, která vyplývají v podstatě z provedených penetračních testů, kdy jste nejspíš identifikovali nějakou zásadní chybu v business logice nebo nějakou závažnou zranitelnost, která umožňuje XSS, CSRF, SQL injection apod.

    Tohle jsou bohužel věci, o kterých se denně v mediích nemluví, vlastnici a manažeři jim nerozumí, a tak si myslí, že když tomu nerozumí oni, tak těch zranitelností dokáže zneužít jen par špičkových IT odborníků, jako jste vy, a tudíž že to není žádné velké riziko.

    Rizika, o kterých mluvím já, vyplývají z DDoS a APT, o tom se dost mezi manažery mluví, každý je tím straší a přitom se s tím nikdo v ČR pořádně nesetkal, a pokud ano, tak se jim dá podle mnohých konzultantů snadno bránit nákupem HW appliance za pár mega, což je pro mnohé manažery výhodnější, než nechat lepit pár děr v aplikaci.


K článku “Z extrému do extrému anebo jaký je aktuální trend ve vnímání rizik managementem” se zde nachází 2 komentáře.

Diskuse na tomto webu je moderována. Pod článkem budou zobrazovány jen takové komentáře, které nebudou sloužit k propagaci konkrétní firmy, produktu nebo služby. V případě, že chcete, aby z těchto stránek vedl odkaz na váš web, kontaktujte nás, známe efektivnější způsoby propagace.

Přihlášeným uživatelům se tento formulář nezobrazuje - zaregistrujte se.

Jméno:(požadováno)
E-mail:(požadováno - nebude zobrazen)
Web:

Text vaší reakce: