logo_grc_gold_standardlogo_grc_gold_standardlogo_grc_gold_standardlogo_grc_gold_standard
  • Aktualności
  • Oferta
    • Produkty SAP GRC
    • Archer Integrated Risk Management (IRM) Platform
    • smartGRC
    • Zgodność z RODO/GDPR
    • Dedykowane szkolenia
    • 🆕 SAP Security & Authorizations
    • SAP Signavio
    • SAP FCM
  • Blog
  • O firmie
  • Kariera
  • Kontakt
  • Kariera
    • Aktualne oferty
    • Aplikuj
polski
  • angielski
✕
  • Home
  • Blog
  • Aktualności
  • Efektywna analiza ryzyka IT – jak to zrobić?

Efektywna analiza ryzyka IT – jak to zrobić?

8 czerwca 2020
O tym, czym jest zarządzanie ryzykiem IT pojawiła się w ostatnim czasie niezliczona ilość artykułów, książek, seminariów.... Wszyscy się zgadzają, że zarządzanie ryzykiem IT jest potrzebne, że przynosi wiele korzyści dla organizacji, chroniąc ją również przed potencjalnymi stratami. Większość dostępnych opracowań skupia się na podejściu do zarządzania ryzykiem IT i przeprowadzeniu analizy ryzyka IT, nawiązując do znanych powszechnie publikacji (np. Norma ISO 27005:2018 czy NIST SP800-30). Spotykałam się również z sytuacjami, że analiza została wykonana „raz a dobrze”, i to dosłownie, jej wykonanie było tak czasochłonne i pracochłonne, że została przeprowadzona tylko raz. A przecież nie taki jest cel tego procesu.

Postanowiłam zatem przedstawić bardziej praktyczne spojrzenie na sam proces przeprowadzania analizy i oceny ryzyka IT, uwzględniając możliwe scenariusze wyzwań, oraz sposób opracowania wniosków i podjęcia działań naprawczych po zakończonej analizie.

Najważniejszą zasadą, którą powinniśmy się kierować przy przeprowadzaniu analizy ryzyka IT jest opisanie podejścia do analizy w taki sposób, aby proces był powtarzalny, a jego wyniki zrozumiałe i porównywalne. Zastanówmy się zatem, w jaki sposób po zakończeniu procesu analizy będziemy zarządzać wynikami, zmianami, i oczywiście kolejnymi iteracjami.

Rozdział I

Identyfikacja
Niestety tego etapu nie da się ominąć. Przed przystąpieniem do analizy należy określić co najmniej listę zasobów IT wraz z ich wartościowaniem, listą zagrożeń, listą podatności, a następnie połączyć w pary aktywa, zagrożenia i/lub podatności. Zasoby spróbujmy pogrupować, może niektóre będą podlegać podobnym zagrożeniom, np. grupa nośniki danych rozumiana jako pamięci USB, płyty, karty pamięci itd., w szczególności jeżeli mamy do czynienia z dużą firmą, czy też małą dostępnością personelu. Spróbujmy przygotować wstępną listę do przeprowadzenia procesu analizy, ale pamiętajmy, że najlepszym źródłem informacji będą osoby, które zajmują się kwestią ochrony tych zasobów na co dzień. Przy identyfikacji ryzyka weźmy również pod uwagę inne czynniki z nim związane, przykładowo kategorię ryzyka, czy możliwe skutki jego materializacji.

Rozdział II

Analiza i ocena ryzyka IT
Definicja „ryzyka” zależy często od przyjętej metodologii. Dla mnie istotniejsze jest, jak ten proces realnie przeprowadzić. Czy oceniać ilościowo, czy jakościowo Często natrafiamy na ten sam problem – ocena jest subiektywna. W związku z tym, kto ma tę ocenę wykonać? Istnieje również alternatywne rozwiązanie wykorzystania ankiety do analizy i oceny ryzyka IT. Ale zawierającej nie pytania w stylu „Jak oceniasz ryzyko …?, tylko konkretne pytania Tak/Nie, przykładowo:
Wyobraźmy sobie, że ankiety są rozsyłane automatycznie do wybranych użytkowników, którzy odpowiadają tylko na konkretne pytania Tak/Nie, a cały mechanizm obliczeniowy dla oceny ryzyka IT znajduje się w tle.

Rozdział III

Wnioski

Po dokonaniu oceny ryzyka najczęściej kolejny krok to decyzja o postępowaniu z ryzykiem (najbardziej znane to akceptacja, unikanie, ograniczenie itd.), i w zależności od dokonanego wyboru opracowanie działań postępowania z ryzykiem / działań naprawczych. Pozostaje oczywiście jeszcze proces monitorowania i przeglądu ryzyka IT, który powinien być realizowany na bieżąco. Czy to już faktycznie koniec? Zastosowanie zaproponowanego powyżej podejścia wykorzystania ankiet z konkretnymi pytaniami typu T/N dostarcza przeprowadzającym analizę ryzyka IT dużo więcej informacji, niż tylko szacowanie ryzyka IT. Potencjalnie wszystkie pytania, które otrzymały odpowiedź „Negatywna” mogą być rozpatrywane jako słabość zasobu. Krótkie ankiety wysłane do odpowiednich osób mogą dostarczyć szczegółowych i konkretnych informacji na temat stanu bezpieczeństwa zasobów IT całej organizacji.

Warto wspomóc się w procesie zarządzania ryzykiem IT odpowiednim systemem eksperckim, który zautomatyzuje proces szacowania ryzyka IT, a następnie analizowania zebranych informacji. RSA® Archer oferuje predefiniowane ankiety oceny między innymi dla aplikacji, urządzeń, zasobów informacyjnych czy budynków, które są rozsyłane do wybranych osób celem uzupełnienia. Pytania są pogrupowane w sekcje, przykładowo rozwój aplikacji, kontrola dostępu, monitorowanie bezpieczeństwa. Każda odpowiedź „Nie” generuje automatyczne zgłoszenia, które mogą być przekazywane do osób odpowiadających za bezpieczeństwo danego zasobu / całej organizacji.
Z kolei SAP Risk Management proponuje ankiety w formie interaktywnych form Adobe (SAP® Interactive forms by Adobe), które po wypełnieniu są odsyłane do osób przeprowadzających analizę ryzyka IT. Dodatkowo pozwala, z wykorzystaniem konstruktora ryzyka (ang. risk bow-tie builder), łączyć ryzyko między innymi z czynnikami i wskaźnikami ryzyka, skutkami i reakcjami na ryzyko, przypisywać kategorię oraz czynności powiązane z danym ryzykiem.
Jeśli potrzebujesz wsparcia w realizacji procesu zarządzania ryzykiem IT zapoznaj się z ofertą GRC Advisory.

O Autorze

Luiza Łuczak
Starszy Konsultant w Dziale Usług Doradczych, GRC Advisory Sp. z o.o.
Starszy Konsultant GRC z 7 letnim doświadczeniem w realizacji projektów w zakresie wdrożeń systemów GRC, zarządzania ryzykiem, opracowywania matryc rozdziału obowiązków oraz mapowania i optymalizacji procesów biznesowych.

W artykule wykorzystano materiały firm SAP SE i RSA Security.

Related posts

10 czerwca 2025

Krytyczna Luka Bezpieczeństwa w Obsłudze RFC w SAP – CVE-2025-42989


Read more
8 czerwca 2025

Case study: Jak firma z branży chemicznej osiągnęła dwucyfrową redukcję kosztów licencji SAP dzięki analizie FUE przed migracją


Read more
4 czerwca 2025

Rewolucja AI Już Tu Jest. Czy Jesteśmy Gotowi na Erę Nadzorowanej Sztucznej Inteligencji? (I Co Mówi o Tym EU AI Act?)


Read more

SZUKAJ NA BLOGU

✕

OSTATNIE POSTY

  • 0
    Krytyczna Luka Bezpieczeństwa w Obsłudze RFC w SAP – CVE-2025-42989
    10 czerwca 2025
  • 0
    Case study: Jak firma z branży chemicznej osiągnęła dwucyfrową redukcję kosztów licencji SAP dzięki analizie FUE przed migracją
    8 czerwca 2025
  • 0
    Rewolucja AI Już Tu Jest. Czy Jesteśmy Gotowi na Erę Nadzorowanej Sztucznej Inteligencji? (I Co Mówi o Tym EU AI Act?)
    4 czerwca 2025
  • 0
    SAP RISE FUE to nie tylko nowa metryka – to zupełnie nowe podejście do licencjonowania SAP
    25 maja 2025

FACEBOOK

GRC Advisory

GRC ADVISORY

Siedziba firmy:
GRC Advisory Sp. z o.o.

ul. Strzegomska 140A
54-429 Wrocław
Oddział:
Quattro Business Park
al. Gen. T. Bora Komorowskiego 25D
31-476 Kraków

 kontakt@grcadvisory.com
 +48 12 352 11 35
 +48 71 726 24 87

Siedziba firmy:
GRC Solutions Sp. z o.o.

ul. Strzegomska 140A
54-429 Wrocław

_
_


 kontakt@grcsolutions.pl
 +48 12 352 11 35
 +48 71 726 24 87

FIRMA

  • Aktualności
  • Oferta
  • Kariera
  • Prywatność
  • Kontakt

NA SKRÓTY

10lat Access Control access request ARM Bezpieczeństwo SAP Certyfikat DEKRA cyberbezpieczeńśtwo cybersrcurity dostęp awaryjny Dostęp uprzywilejowany ERP GRC GRCAdvisory GRC Advisory GRC Ninja GRCSolutions identity management IDM ISO konferencja Archer GRC kontrole kontrole mitygujące Matryca SoD nadmiarowe uprawnienia obszary GRC SAP partnerstwo Process Control Przegląd okresowy RODO RSA Archer SAP SAP Access Control 12.0 sap blog SAP GRC sap knowledge SAP S4/HANA SAP Security sap training sap workflow SAP® AC 12.0 Segregation of Duties Separation of duties SoD UAR Zarządzanie ryzykiem

BLOG

  • 0
    Krytyczna Luka Bezpieczeństwa w Obsłudze RFC w SAP – CVE-2025-42989
    10 czerwca 2025
  • 0
    Case study: Jak firma z branży chemicznej osiągnęła dwucyfrową redukcję kosztów licencji SAP dzięki analizie FUE przed migracją
    8 czerwca 2025
  • 0
    Rewolucja AI Już Tu Jest. Czy Jesteśmy Gotowi na Erę Nadzorowanej Sztucznej Inteligencji? (I Co Mówi o Tym EU AI Act?)
    4 czerwca 2025
Copyright © GRC Advisory 2010 - . All rights reserved
polski
  • polski
  • angielski