Efektywna analiza ryzyka IT – jak to zrobić?

8 czerwca 2020

O tym, czym jest zarządzanie ryzykiem IT pojawiła się w ostatnim czasie niezliczona ilość artykułów, książek, seminariów.... Wszyscy się zgadzają, że zarządzanie ryzykiem IT jest potrzebne, że przynosi wiele korzyści dla organizacji, chroniąc ją również przed potencjalnymi stratami. Większość dostępnych opracowań skupia się na podejściu do zarządzania ryzykiem IT i przeprowadzeniu analizy ryzyka IT, nawiązując do znanych powszechnie publikacji (np. Norma ISO 27005:2018 czy NIST SP800-30). Spotykałam się również z sytuacjami, że analiza została wykonana „raz a dobrze”, i to dosłownie, jej wykonanie było tak czasochłonne i pracochłonne, że została przeprowadzona tylko raz. A przecież nie taki jest cel tego procesu.

Postanowiłam zatem przedstawić bardziej praktyczne spojrzenie na sam proces przeprowadzania analizy i oceny ryzyka IT, uwzględniając możliwe scenariusze wyzwań, oraz sposób opracowania wniosków i podjęcia działań naprawczych po zakończonej analizie.

Najważniejszą zasadą, którą powinniśmy się kierować przy przeprowadzaniu analizy ryzyka IT jest opisanie podejścia do analizy w taki sposób, aby proces był powtarzalny, a jego wyniki zrozumiałe i porównywalne. Zastanówmy się zatem, w jaki sposób po zakończeniu procesu analizy będziemy zarządzać wynikami, zmianami, i oczywiście kolejnymi iteracjami.

Rozdział I

Identyfikacja

Niestety tego etapu nie da się ominąć. Przed przystąpieniem do analizy należy określić co najmniej listę zasobów IT wraz z ich wartościowaniem, listą zagrożeń, listą podatności, a następnie połączyć w pary aktywa, zagrożenia i/lub podatności. Zasoby spróbujmy pogrupować, może niektóre będą podlegać podobnym zagrożeniom, np. grupa nośniki danych rozumiana jako pamięci USB, płyty, karty pamięci itd., w szczególności jeżeli mamy do czynienia z dużą firmą, czy też małą dostępnością personelu. Spróbujmy przygotować wstępną listę do przeprowadzenia procesu analizy, ale pamiętajmy, że najlepszym źródłem informacji będą osoby, które zajmują się kwestią ochrony tych zasobów na co dzień. Przy identyfikacji ryzyka weźmy również pod uwagę inne czynniki z nim związane, przykładowo kategorię ryzyka, czy możliwe skutki jego materializacji.

Rozdział II

Analiza i ocena ryzyka IT

Definicja „ryzyka” zależy często od przyjętej metodologii. Dla mnie istotniejsze jest, jak ten proces realnie przeprowadzić. Czy oceniać ilościowo, czy jakościowo Często natrafiamy na ten sam problem – ocena jest subiektywna. W związku z tym, kto ma tę ocenę wykonać? Istnieje również alternatywne rozwiązanie wykorzystania ankiety do analizy i oceny ryzyka IT. Ale zawierającej nie pytania w stylu „Jak oceniasz ryzyko …?, tylko konkretne pytania Tak/Nie, przykładowo:

Wyobraźmy sobie, że ankiety są rozsyłane automatycznie do wybranych użytkowników, którzy odpowiadają tylko na konkretne pytania Tak/Nie, a cały mechanizm obliczeniowy dla oceny ryzyka IT znajduje się w tle.

Rozdział III

Wnioski

Po dokonaniu oceny ryzyka najczęściej kolejny krok to decyzja o postępowaniu z ryzykiem (najbardziej znane to akceptacja, unikanie, ograniczenie itd.), i w zależności od dokonanego wyboru opracowanie działań postępowania z ryzykiem / działań naprawczych. Pozostaje oczywiście jeszcze proces monitorowania i przeglądu ryzyka IT, który powinien być realizowany na bieżąco. Czy to już faktycznie koniec? Zastosowanie zaproponowanego powyżej podejścia wykorzystania ankiet z konkretnymi pytaniami typu T/N dostarcza przeprowadzającym analizę ryzyka IT dużo więcej informacji, niż tylko szacowanie ryzyka IT. Potencjalnie wszystkie pytania, które otrzymały odpowiedź „Negatywna” mogą być rozpatrywane jako słabość zasobu. Krótkie ankiety wysłane do odpowiednich osób mogą dostarczyć szczegółowych i konkretnych informacji na temat stanu bezpieczeństwa zasobów IT całej organizacji.

Warto wspomóc się w procesie zarządzania ryzykiem IT odpowiednim systemem eksperckim, który zautomatyzuje proces szacowania ryzyka IT, a następnie analizowania zebranych informacji. RSA® Archer oferuje predefiniowane ankiety oceny między innymi dla aplikacji, urządzeń, zasobów informacyjnych czy budynków, które są rozsyłane do wybranych osób celem uzupełnienia. Pytania są pogrupowane w sekcje, przykładowo rozwój aplikacji, kontrola dostępu, monitorowanie bezpieczeństwa. Każda odpowiedź „Nie” generuje automatyczne zgłoszenia, które mogą być przekazywane do osób odpowiadających za bezpieczeństwo danego zasobu / całej organizacji.

Z kolei SAP Risk Management proponuje ankiety w formie interaktywnych form Adobe (SAP® Interactive forms by Adobe), które po wypełnieniu są odsyłane do osób przeprowadzających analizę ryzyka IT. Dodatkowo pozwala, z wykorzystaniem konstruktora ryzyka (ang. risk bow-tie builder), łączyć ryzyko między innymi z czynnikami i wskaźnikami ryzyka, skutkami i reakcjami na ryzyko, przypisywać kategorię oraz czynności powiązane z danym ryzykiem.

Jeśli potrzebujesz wsparcia w realizacji procesu zarządzania ryzykiem IT zapoznaj się z ofertą GRC Advisory.

O Autorze

Luiza Łuczak
Starszy Konsultant w Dziale Usług Doradczych, GRC Advisory Sp. z o.o.
Starszy Konsultant GRC z 7 letnim doświadczeniem w realizacji projektów w zakresie wdrożeń systemów GRC, zarządzania ryzykiem, opracowywania matryc rozdziału obowiązków oraz mapowania i optymalizacji procesów biznesowych.

W artykule wykorzystano materiały firm SAP SE i RSA Security.

Efektywna analiza ryzyka IT – jak to zrobić?

Rozdział I

Identyfikacja

Rozdział II

Analiza i ocena ryzyka IT

Rozdział III

Wnioski

O Autorze

Powiązane wpisy

Zakończony projekt migracji SAP GRC do wersji 12.0!

Upływa czas wsparcia SAP GRC 10.0 / 10.1

Analiza ryzyka IT w oparciu o normę 27005 w RSA Archer®