Jak wykonać analizę ryzyka?

Jak wykonać analizę ryzyka?

W jednym z poprzednich artykułów poruszyłem kwestię przeprowadzenia analizy ryzyka, jednej z największych i najdalej idących zmian, które wprowadza RODO. Dziś chciałbym ją rozwinąć.

Analiza jest podstawą podejmowania działań zapobiegawczych i ich priorytetyzacji, a jej posiadanie pozwala szerzej spojrzeć na własną organizację. Aby dobrze podejść do analizy, należy pamiętać o kilku bardzo ważnych aspektach:

  1. Należy zidentyfikować zagrożenia, z którymi może spotkać się nasza organizacja.
  2. Należy zidentyfikować aktywa, które mogą zostać zagrożone.
  3. Należy określić prawdopodobieństwo wystąpienia ryzyka, a także ewentualny wpływ zdarzenia na aktywa.
  4. Na tej podstawie należy podjąć odpowiednie kroki zaradcze.
  5. Należy pamiętać o okresowych przeglądach i zmianach w analizie, w miarę pojawiania się nowych zagrożeń.

Identyfikujemy zdarzenia zarówno zewnętrzne (naturalne, technologiczne), jak i wewnętrzne, te wynikające z błędów (lub zamierzonych działań) ludzkich, jak i te wynikające bezpośrednio z technologii lub przypadku.

Aktywa z kolei jest to każda rzecz, osoba lub jednostka – materialna bądź nie – która należy do organizacji. To mogą być ludzie, budynki, urządzenia, ale też dokumenty, wiedza czy dane w bazach danych.

Prawdopodobieństwo określamy poprzez liczbę zależną od możliwości wystąpienia zdarzenia, ekspozycji na ryzyko i przewidywanego czasu do wystąpienia wydarzenia. Wpływ z kolei można określić jako zagrożenie jednego z trzech aspektów bezpieczeństwa danych – poufności, integralności i ich dostępności.

Taka analiza pozwoli nam na dokładne przyjrzenie się tym zagrożeniom, które dla nas będą najbardziej palące i wymagające natychmiastowego działania. Ryzyka oczywiście zmieniają się w czasie i wymagają nowych działań naprawczych, dlatego regularny przegląd dokumentu jest równie ważny, jak przeprowadzenie analizy.

Przygotowałem dla Państwa przykładową tabelę analizy ryzyka. Zachęcam do korzystania z niej i mam nadzieję, że pomoże w analitycznym spojrzeniu na infrastrukturę IT w Państwa firmach. Służymy również naszą pomocą w przeprowadzeniu takiej analizy.

Wszystkim Czytelnikom chcę złożyć życzenia spokojnych i wesołych Świąt Bożego Narodzenia oraz bezpiecznego… Nowego Roku. 😉

 

Autor: Marcin Baranowski, IT Security Expert w firmie Onwelo.

11 thoughts on “Jak wykonać analizę ryzyka?

  1. Dziękuję Panie Marcinie za tabelkę alalizy. Proszę mi powiedzieć tylko, co oznaczają dwie literki P – kolumna 9-ta
    I – kolumna 10-ta ?
    Pozdrawiam
    Dariusz

  2. Dzień dobry,
    W kolumnie 11, w zależności od uzyskanego wyniku, pojawiają się różne kolory- jakie one mają znaczenie? Nie udało mi się nigdzie znaleźć legendy, która wyjaśniałaby znaczenie poszczególnych kolorów. A może coś pominęłam?

    1. Dzień dobry,
      kolory mają służyć wyłącznie orientacyjnej ocenie ryzyka. Kolory zmieniają się w przedziałach 0-20, 20-50, 50-100, 100-200, 200-500, 500-1000 oraz 1000+. Podane wartości są tylko szacunkowe, pomagają na pierwszy rzut oka zorientować się w skali ryzyka i nie mają wpływu na końcowe wartości.

  3. Panie Marcinie bardzo proszę o wytłumaczenie znaczenia kolumn Ekspozycja, Czas w odniesieniu do Prawdopodobieństwa oraz wpływ na aktywa. Bardzo proszę również o pomoc w ustaleniu przedziałów do oszacowania ryzyka czyli ( prawdopodobieństwo pojawienia np. 1-3p rzykładowo ( wpływ 1-3 ) jakie przyjąć wartości? bardzo proszę o pomoc.

    1. Wyjaśnienia, o które Pani pyta, znajdują się w drugiej zakładce arkusza. Ekspozycja to czas, przez który nasze aktywa narażone są na ryzyka (np. kradzież laptopa będzie miała inną ekspozycję (krótszą) niż pożar (który generalnie jest stałym zagrożeniem)), a czas to przewidywalny możliwy termin wystąpienia zagrożenia.
      Przykładowe wartości dla każdej kolumny przedstawione są w drugiej zakładce.

  4. Dzień dobry,
    zastanawia mnie, czy przy szacowaniu ryzyka należy używać mnożenia, czy raczej dodawania. Chodzi mi o to, że w Pana tabelce jest możliwość wpisania 0, a każda wartość pomnożona przez tą liczbę da 0.
    Przykład, który wskazuje, że mnożenie nie zawsze się sprawdza:
    Mamy jako zagrożenie ‚powódź’ i tak
    Poufność – 0 (dane nie wyciekną na zewnątrz, nie mam wpływu na poufność)
    Integralność – 10 (dane zmodyfikowane w pełni przez zniszczenie)
    Dostępność – 10 (trwałe zniszczenie)
    Czyli: 0*10*10=0
    Mimo wysokich współczynników Integralności i Dostępności wynik i tak zawsze da 0.

    1. Dzień dobry.
      To nie jest to czasem „literówka” i powinno być 0,2? Ja tak wstawiłem – mnożenie przez zero wydaje się być bezsensowne, bo zawsze wyjdzie zero.

      1. Faktycznie jest to literówka i plik jest już zaktualizowany.

  5. Dziękuję Panie Marcinie za ten przykład szacowania ryzyka.
    moje pytanie dotyczy Czy mogę do kolorów zmieniających się w przedziałach dopisać np. 0-20 – „pomijalny” – nie ma konieczności podejmowania działań; 20-50 – „akceptowalne” -nie ma konieczności podejmowania działań, ale należy monitorować ryzyko; 50-100 – „akceptowalne warunkowo” itd. Czy mogę sam ustalić wartości przedziałów oraz ilość przedziałów.

    1. Oczywiście, wartości oraz liczbę przedziałów można dowolnie samodzielnie ustalać. Dokument ma służyć Państwu do przygotowania się do podejścia opartego na ryzyku, tak więc zalecam wszelkie modyfikacje, które pozwolą Państwu się lepiej przygotować.

Dodaj komentarz

Twój adres email nie zostanie opublikowany. Pola, których wypełnienie jest wymagane, są oznaczone symbolem *