Efektywna analiza ryzyka IT – jak to zrobić?Efektywna analiza ryzyka IT – jak to zrobić?Efektywna analiza ryzyka IT – jak to zrobić?Efektywna analiza ryzyka IT – jak to zrobić?
  • Aktualności
  • Oferta
    • Produkty SAP GRC
    • RSA Archer eGRC
    • smartGRC
    • Zgodność z RODO/GDPR
    • Dedykowane szkolenia
    • SAP Security & Authorizations
  • Blog
  • O firmie
  • Kariera
  • Kontakt
  • Kariera
    • Aktualne oferty
    • Aplikuj
polski
  • angielski
✕
  • Home
  • Blog
  • Aktualności
  • Efektywna analiza ryzyka IT – jak to zrobić?

Efektywna analiza ryzyka IT – jak to zrobić?

8 czerwca 2020
O tym, czym jest zarządzanie ryzykiem IT pojawiła się w ostatnim czasie niezliczona ilość artykułów, książek, seminariów.... Wszyscy się zgadzają, że zarządzanie ryzykiem IT jest potrzebne, że przynosi wiele korzyści dla organizacji, chroniąc ją również przed potencjalnymi stratami. Większość dostępnych opracowań skupia się na podejściu do zarządzania ryzykiem IT i przeprowadzeniu analizy ryzyka IT, nawiązując do znanych powszechnie publikacji (np. Norma ISO 27005:2018 czy NIST SP800-30). Spotykałam się również z sytuacjami, że analiza została wykonana „raz a dobrze”, i to dosłownie, jej wykonanie było tak czasochłonne i pracochłonne, że została przeprowadzona tylko raz. A przecież nie taki jest cel tego procesu.

Postanowiłam zatem przedstawić bardziej praktyczne spojrzenie na sam proces przeprowadzania analizy i oceny ryzyka IT, uwzględniając możliwe scenariusze wyzwań, oraz sposób opracowania wniosków i podjęcia działań naprawczych po zakończonej analizie.

Najważniejszą zasadą, którą powinniśmy się kierować przy przeprowadzaniu analizy ryzyka IT jest opisanie podejścia do analizy w taki sposób, aby proces był powtarzalny, a jego wyniki zrozumiałe i porównywalne. Zastanówmy się zatem, w jaki sposób po zakończeniu procesu analizy będziemy zarządzać wynikami, zmianami, i oczywiście kolejnymi iteracjami.

Rozdział I

Identyfikacja
Niestety tego etapu nie da się ominąć. Przed przystąpieniem do analizy należy określić co najmniej listę zasobów IT wraz z ich wartościowaniem, listą zagrożeń, listą podatności, a następnie połączyć w pary aktywa, zagrożenia i/lub podatności. Zasoby spróbujmy pogrupować, może niektóre będą podlegać podobnym zagrożeniom, np. grupa nośniki danych rozumiana jako pamięci USB, płyty, karty pamięci itd., w szczególności jeżeli mamy do czynienia z dużą firmą, czy też małą dostępnością personelu. Spróbujmy przygotować wstępną listę do przeprowadzenia procesu analizy, ale pamiętajmy, że najlepszym źródłem informacji będą osoby, które zajmują się kwestią ochrony tych zasobów na co dzień. Przy identyfikacji ryzyka weźmy również pod uwagę inne czynniki z nim związane, przykładowo kategorię ryzyka, czy możliwe skutki jego materializacji.
Identify Risk SAP

Rozdział II

Analiza i ocena ryzyka IT
Definicja „ryzyka” zależy często od przyjętej metodologii. Dla mnie istotniejsze jest, jak ten proces realnie przeprowadzić. Czy oceniać ilościowo, czy jakościowo Często natrafiamy na ten sam problem – ocena jest subiektywna. W związku z tym, kto ma tę ocenę wykonać? Istnieje również alternatywne rozwiązanie wykorzystania ankiety do analizy i oceny ryzyka IT. Ale zawierającej nie pytania w stylu „Jak oceniasz ryzyko …?, tylko konkretne pytania Tak/Nie, przykładowo:
Application assessment summary 3
Wyobraźmy sobie, że ankiety są rozsyłane automatycznie do wybranych użytkowników, którzy odpowiadają tylko na konkretne pytania Tak/Nie, a cały mechanizm obliczeniowy dla oceny ryzyka IT znajduje się w tle.

Rozdział III

Wnioski

Po dokonaniu oceny ryzyka najczęściej kolejny krok to decyzja o postępowaniu z ryzykiem (najbardziej znane to akceptacja, unikanie, ograniczenie itd.), i w zależności od dokonanego wyboru opracowanie działań postępowania z ryzykiem / działań naprawczych. Pozostaje oczywiście jeszcze proces monitorowania i przeglądu ryzyka IT, który powinien być realizowany na bieżąco. Czy to już faktycznie koniec? Zastosowanie zaproponowanego powyżej podejścia wykorzystania ankiet z konkretnymi pytaniami typu T/N dostarcza przeprowadzającym analizę ryzyka IT dużo więcej informacji, niż tylko szacowanie ryzyka IT. Potencjalnie wszystkie pytania, które otrzymały odpowiedź „Negatywna” mogą być rozpatrywane jako słabość zasobu. Krótkie ankiety wysłane do odpowiednich osób mogą dostarczyć szczegółowych i konkretnych informacji na temat stanu bezpieczeństwa zasobów IT całej organizacji.

Scalone
Warto wspomóc się w procesie zarządzania ryzykiem IT odpowiednim systemem eksperckim, który zautomatyzuje proces szacowania ryzyka IT, a następnie analizowania zebranych informacji. RSA® Archer oferuje predefiniowane ankiety oceny między innymi dla aplikacji, urządzeń, zasobów informacyjnych czy budynków, które są rozsyłane do wybranych osób celem uzupełnienia. Pytania są pogrupowane w sekcje, przykładowo rozwój aplikacji, kontrola dostępu, monitorowanie bezpieczeństwa. Każda odpowiedź „Nie” generuje automatyczne zgłoszenia, które mogą być przekazywane do osób odpowiadających za bezpieczeństwo danego zasobu / całej organizacji.
Risk management dashboard v2
Z kolei SAP Risk Management proponuje ankiety w formie interaktywnych form Adobe (SAP® Interactive forms by Adobe), które po wypełnieniu są odsyłane do osób przeprowadzających analizę ryzyka IT. Dodatkowo pozwala, z wykorzystaniem konstruktora ryzyka (ang. risk bow-tie builder), łączyć ryzyko między innymi z czynnikami i wskaźnikami ryzyka, skutkami i reakcjami na ryzyko, przypisywać kategorię oraz czynności powiązane z danym ryzykiem.
Digital Boardroom GRC_SAP
Jeśli potrzebujesz wsparcia w realizacji procesu zarządzania ryzykiem IT zapoznaj się z ofertą GRC Advisory.

O Autorze

Luiza Łuczak
Starszy Konsultant w Dziale Usług Doradczych, GRC Advisory Sp. z o.o.
Starszy Konsultant GRC z 7 letnim doświadczeniem w realizacji projektów w zakresie wdrożeń systemów GRC, zarządzania ryzykiem, opracowywania matryc rozdziału obowiązków oraz mapowania i optymalizacji procesów biznesowych.

W artykule wykorzystano materiały firm SAP SE i RSA Security.

Related posts

24 kwietnia 2022

Certyfikat DEKRA PN-EN ISO/IEC 27001:2017-06 dla GRC Advisory – gwarancja bezpieczeństwa danych i najwyższych standardów usług potwierdzone audytem zewnętrznym DEKRA


Read more
11 marca 2022

Konsultant ds. uprawnień w systemie SAP S4/Fiori


Read more
6 kwietnia 2021

SAP Process Control 10.1/12.0 – najlepsze praktyki SAP, reguły do monitorowania procesów biznesowych cz.1


Read more

SZUKAJ NA BLOGU

✕

OSTATNIE POSTY

  • 0
    Certyfikat DEKRA PN-EN ISO/IEC 27001:2017-06 dla GRC Advisory – gwarancja bezpieczeństwa danych i najwyższych standardów usług potwierdzone audytem zewnętrznym DEKRA
    24 kwietnia 2022
  • 0
    Konsultant ds. uprawnień w systemie SAP S4/Fiori
    11 marca 2022
  • 0
    SAP Process Control 10.1/12.0 – najlepsze praktyki SAP, reguły do monitorowania procesów biznesowych cz.1
    6 kwietnia 2021
  • 0
    Newsletter Q IV 2020
    2 lutego 2021

FACEBOOK

GRC Advisory

GRC ADVISORY

Siedziba firmy:
GRC Advisory Sp. z o.o.

ul. Strzegomska 138
54-429 Wrocław
Oddział:
ul. Sołtysa Dytmara 3/25
30-126 Kraków


 kontakt@grcadvisory.com
 +48 12 352 11 35
 +48 71 726 24 87

Siedziba firmy:
GRC Solutions Sp. z o.o.

ul. Strzegomska 138
54-429 Wrocław

_
_


 kontakt@grcsolutions.pl
 +48 12 352 11 35
 +48 71 726 24 87

FIRMA

  • Aktualności
  • Oferta
  • Kariera
  • Prywatność
  • Kontakt

NA SKRÓTY

10lat Bezpieczeństwo SAP Certyfikacja cyberbezpieczeńśtwo cybersrcurity finanse. GRC GRCAdvisory GRCSolutions KOnflikty SoD kontrole Matryca SoD Permissions in SAP polityki Przegląd okresowy RODO RSA RSA Archer ryzyka ryzyka SoD SAP SAP Access Control 12.0 SAP GRC SAP HANA SAP S4/HANA SAP Security Segregation of Duties Separation of duties SoD UAR Uprawnienia w SAP Zarządzanie Zarządzanie ryzykiem

BLOG

  • 0
    Certyfikat DEKRA PN-EN ISO/IEC 27001:2017-06 dla GRC Advisory – gwarancja bezpieczeństwa danych i najwyższych standardów usług potwierdzone audytem zewnętrznym DEKRA
    24 kwietnia 2022
  • 0
    Konsultant ds. uprawnień w systemie SAP S4/Fiori
    11 marca 2022
  • 0
    SAP Process Control 10.1/12.0 – najlepsze praktyki SAP, reguły do monitorowania procesów biznesowych cz.1
    6 kwietnia 2021
Copyright © GRC Advisory 2010 - . All rights reserved
polski
  • polski
  • angielski