Efektywna analiza ryzyka IT – jak to zrobić?
Postanowiłam zatem przedstawić bardziej praktyczne spojrzenie na sam proces przeprowadzania analizy i oceny ryzyka IT, uwzględniając możliwe scenariusze wyzwań, oraz sposób opracowania wniosków i podjęcia działań naprawczych po zakończonej analizie.
Najważniejszą zasadą, którą powinniśmy się kierować przy przeprowadzaniu analizy ryzyka IT jest opisanie podejścia do analizy w taki sposób, aby proces był powtarzalny, a jego wyniki zrozumiałe i porównywalne. Zastanówmy się zatem, w jaki sposób po zakończeniu procesu analizy będziemy zarządzać wynikami, zmianami, i oczywiście kolejnymi iteracjami.
Rozdział I
Identyfikacja
Niestety tego etapu nie da się ominąć. Przed przystąpieniem do analizy należy określić co najmniej listę zasobów IT wraz z ich wartościowaniem, listą zagrożeń, listą podatności, a następnie połączyć w pary aktywa, zagrożenia i/lub podatności. Zasoby spróbujmy pogrupować, może niektóre będą podlegać podobnym zagrożeniom, np. grupa nośniki danych rozumiana jako pamięci USB, płyty, karty pamięci itd., w szczególności jeżeli mamy do czynienia z dużą firmą, czy też małą dostępnością personelu. Spróbujmy przygotować wstępną listę do przeprowadzenia procesu analizy, ale pamiętajmy, że najlepszym źródłem informacji będą osoby, które zajmują się kwestią ochrony tych zasobów na co dzień. Przy identyfikacji ryzyka weźmy również pod uwagę inne czynniki z nim związane, przykładowo kategorię ryzyka, czy możliwe skutki jego materializacji.
Rozdział II
Analiza i ocena ryzyka IT
Definicja „ryzyka” zależy często od przyjętej metodologii. Dla mnie istotniejsze jest, jak ten proces realnie przeprowadzić. Czy oceniać ilościowo, czy jakościowo Często natrafiamy na ten sam problem – ocena jest subiektywna. W związku z tym, kto ma tę ocenę wykonać? Istnieje również alternatywne rozwiązanie wykorzystania ankiety do analizy i oceny ryzyka IT. Ale zawierającej nie pytania w stylu „Jak oceniasz ryzyko …?, tylko konkretne pytania Tak/Nie, przykładowo:
Rozdział III
Wnioski
Po dokonaniu oceny ryzyka najczęściej kolejny krok to decyzja o postępowaniu z ryzykiem (najbardziej znane to akceptacja, unikanie, ograniczenie itd.), i w zależności od dokonanego wyboru opracowanie działań postępowania z ryzykiem / działań naprawczych. Pozostaje oczywiście jeszcze proces monitorowania i przeglądu ryzyka IT, który powinien być realizowany na bieżąco. Czy to już faktycznie koniec? Zastosowanie zaproponowanego powyżej podejścia wykorzystania ankiet z konkretnymi pytaniami typu T/N dostarcza przeprowadzającym analizę ryzyka IT dużo więcej informacji, niż tylko szacowanie ryzyka IT. Potencjalnie wszystkie pytania, które otrzymały odpowiedź „Negatywna” mogą być rozpatrywane jako słabość zasobu. Krótkie ankiety wysłane do odpowiednich osób mogą dostarczyć szczegółowych i konkretnych informacji na temat stanu bezpieczeństwa zasobów IT całej organizacji.
O Autorze
Luiza ŁuczakStarszy Konsultant w Dziale Usług Doradczych, GRC Advisory Sp. z o.o.
Starszy Konsultant GRC z 7 letnim doświadczeniem w realizacji projektów w zakresie wdrożeń systemów GRC, zarządzania ryzykiem, opracowywania matryc rozdziału obowiązków oraz mapowania i optymalizacji procesów biznesowych.
W artykule wykorzystano materiały firm SAP SE i RSA Security.