Úvod analýza rizik
Dnešní doba přináší velice zajímavé možnosti podnikání v neuvěřitelně rozmanitém prostředí. Tato rozmanitost přináší obrovské příležitosti pro každý podnikatelský subjekt. Musíme si ovšem uvědomit pravidla. Kde existuje příležitost, tam existuje i riziko a čím větší příležitost existuje, tím vyšší riziko můžeme předpokládat.
Společnosti si tuto skutečnost uvědomují a zaměřují se na analýzu příležitostí pomocí CRM a dalších specializovaných nástrojů. Oblast vyhodnocení příležitosti je tedy zvládnuta.
Pokud se společnost zaměří na rizika, uvědomuje si, že rizika existují. Kromě uvědomění přichází spousta otázek. Jaká rizika můžeme předpokládat? Odkud nám hrozí nebezpečí? Kde máme zranitelná místa? Můžeme se nějak účinně bránit?
Uvědomme si, že se nejedná o obecná rizika. Rizika, která v tuto chvíli společnost zkoumá, míří do oblasti, která rozhodně není statická, jedná se o informace. Informace mají zajímavé vlastnosti, vznikají, upravují se, přesouvají se, zanikají a především, je o ně velký zájem.
Výsledkem těchto otázek bývá v lepším případě několik tabulek, které se v dobré víře snaží popsat tuto problematiku. Jejich aktuálnost postupně mizí s fluktuací lidských zdrojů. Pokus o zvládnutí rizik je podložen tabulkou s příslibem, že odpovědná osoba splní požadavek a implementuje opatření.
V horším případě se odpovědné osoby zaleknou poměrně těžkého úkolu, který jim vedení uložilo a s výmluvami, že to přece nejde, raději ani nezačnou.
Pokusím se tedy poukázat na klíčové milníky, které vedou k získání kontroly nad riziky ve společnosti.
Určení klíčových služeb společnosti
Na začátku analýzy rizik musíme stanovit klíčové služby společnosti, kterými se bude analýza rizik zabývat. Pro vhodný výběr se můžeme zaměřit na oblasti, interní chod společnosti, služby poskytované zákazníkům, služby s vysokou bonitou, služby s vysokou penalizací, služby s citlivými informacemi atd.
Analýza rizik pro takto definované služby používá termín Primární aktivum.
Určení aktiv společnosti
Každá poskytovaná služba vyžaduje prostory, lidské zdroje, zařízení, informace. Použijme tedy společný termín aktivum. Je tedy nutné pro každou službu v analýze rizik určit klíčová aktiva. S počtem služeb se zvyšuje množství aktiv, navíc některé služby používají stejná aktiva. To je okamžik, kdy tabulky přestávají správně fungovat a systém se stává neudržitelným.
Je vhodné definovat si typy aktiv a jednotlivé položky roztřídit dle typu na osoby, hardware, software, síťové prvky, informace atd. .
Nad menší skupinou prvků se získá kontrola daleko snadněji.
Ohodnocení aktiva společnosti
Pro ohodnocení aktiva je vhodné využít tří aspektů bezpečnosti informací
Důvěrnost – úroveň klasifikované informace, se kterou přijde aktivum do kontaktu
Celistvost – hodnota dopadu neautorizované změny informace
Dostupnost – hodnota dopadu nedostupnosti informace
Vhodnou metodikou stanovíme hodnotu aktiva, a tím získáme atribut, podle kterého můžeme určit prioritu jednotlivých aktiv.
Definování hrozeb a zranitelností
Toto místo při tvorbě analýzy rizik poskytne společnosti první odpovědi na výše uvedené otázky.
Pro začátečníky je vhodné vycházet z číselníku standardních hrozeb a zranitelností. Pokročilejší a zkušenější osoby mohou hrozby vytvářet dle zkušeností a znalostí své společnosti.
Stačí si položit základní otázku: „Co vše může ohrozit informaci?“. Berme v potaz tištěnou formu, elektronickou formu na mediu, elektronickou formu v informačních systémech.
Myslím, že většinu z nás napadnou hrozby např. požár, vytopení, krádež, vandalismus, chyba uživatele. Z novodobých hrozeb, kybernetický zločin v mnoha podobách, ransomware, phishing, malware. Existují samozřejmě i speciální hrozby vyplývající ze služeb poskytovaných zákazníkům. Takové hrozby je vhodné konzultovat přímo se zákazníkem a domluvit se na postupu při ohodnocení rizika.
Určení zranitelnosti je pochopení, jakým způsobem na naše aktiva hrozba působí a zraňuje je. Mezi zranitelnosti tedy zařaďme zcizení identity, zavlečení škodlivého kódu, neautorizovaná změna, neautorizovaný přístup atd.
Ohodnocení rizika
Vnímání rizika je velmi subjektivní, proto je vhodné zavést jednotnou metodiku. Pro menší společnosti do 250 zaměstnanců, kde předpokládáme menší množství služeb a aktiv si vystačíme s atributy hodnota aktiva, dopad hrozby a předpokládaný výskyt hrozby. Pronásobením těchto hodnot již získáme dostatečnou škálu hodnot.
U společností s více zaměstnanci nebo robustním informačním prostředím lze volit z nepřeberného množství metodik, které budou splňovat velmi přísné požadavky.
Pro správné pochopení rizika je kromě vypočítané hodnoty velmi důležitý podrobný popis. Ten nám zaručí kontinuitu, ale především správné pochopení, proč vnímáme riziko právě na této úrovni. Při následném kontrole nebo předložení vedení společnosti máme připraveny transparentní podklady i důvodem hodnoty rizika.
A máme hotovo, možná …
Tímto krokem jsme dosáhli cíle. Popsali jsme naši společnost z hlediska analýzy rizik. Máme přehled o klíčových službách, máme klíčová aktiva pod kontrolou, známe hrozby, známe rizika, ale …
V tuto chvíli se společnost dozvěděla fakt, že kromě příležitostí existují skutečná rizika, jsou popsána a mají vypočítanou hodnotu. A co dál ?
Plán zvládání rizik
Nyní se dostáváme do klíčové fáze, kdy společnost začne vhodnou strategií ošetřovat zjištěná rizika.
Na začátku přípravy plánu je vhodné stanovit minimální hodnotu rizika, od které se bude riziko ošetřovat.
Definovaná rizika jsou ošetřována činnostmi, které v analýze rizik nazýváme opatření. Existuje nepřeberné množství nabízených opatření. Pro přehlednost je vhodné vycházet z doporučené sady opatření vyplývajících z normy ISO 27002 nebo v oblasti internetové bezpečnosti využít doporučení CIS. Tím lze dosáhnout souladu s normou ISO 27001.
Zajištění efektivity při implementaci opatření
U vybraného opatření by mělo před samotnou implementací dojít k vyhodnocení dopadu opatření na stávající hodnotu rizika. Odpovědné osoby tedy stanoví hodnotu předpokládaného zbytkového rizika. Tím předejdeme neefektivním implementacím opatření bez efektu na samotné riziko.
Pro efektivní implementaci opatření by měly odpovědné osoby zajisti dostatek informací pro rozhodnutí vedením společnosti. Důležité informace jsou předpokládaná cena opatření, kapacita lidských zdrojů, předpokládaná doba implementace. Tím předejdeme situaci, kdy samotná cena implementace neúměrně přesahuje cenu přijatého rizika.
Nedílnou součástí je ověření funkčnosti nasazeného opatření a kontrola skutečného dopadu na aktivum.
Udržení funkčnosti analýzy rizik
Společnost předcházejícími kroky dosáhla skutečné analýzy rizik. Pro udržení nástroje ve funkčním stavu je vhodné provádět některé periodické činnosti. Kontrola aktuálnosti služeb a aktiv. Aktualizace hrozeb a zranitelností. Přezkoumání rizik a přehodnocení rizik. Aktualizace a kontrola plánu implementace opatření.
Tím jsme dosáhli pomyslného cíle. Analýza rizik je ovšem živý organismus, neustále se vyvíjející. Spadá do oblasti nástrojů neustálého zlepšování a je aplikovatelná metodou PDCA
Analýza rizik a naše společnost
Naše společnost procházela podobnými situacemi uvedenými na začátku tohoto článku. Počátky byly těžké, usilovali jsme o certifikaci ISO 27001, analýza rizik neaktualizovaná, nepřehledná, samé tabulky a chaos.
Změna nastala při pochopení problematiky a investici do vývoje Aplikace Analýza Rizik. Díky zvýšené přehlednosti aktiv, vytvoření číselníku hrozeb, podrobných popisů rizik začalo vše dávat větší smysl. Výsledky analýzy rizik je možné transparentně předkládat vedení společnosti.
Zavedení standardizovaných opatření ISO 27002 a opatření CIS stanovily jasný standard pro implementaci vhodných opatření.
Nyní jsme zavedli do Aplikace Analýzy rizik modul Auditu ISMS, díky tomu máme problematiku bezpečnosti informací na jednom místě.
Můžeme se tedy více soustředit na aktuální situaci, tady a teď, pro bezpečnost velmi důležité.
Závěrem
Všem čtenářům, kteří se propracovali článkem až k tomuto místu, děkuji za prokazatelnou vytrvalost a odhodlanost. Bezpečnost informací a samotná analýza rizik je velmi zajímavou oblastí pro osoby a nadšence pracující v oboru IT. Přidává do jednotlivých odvětví spojující prvek, tím je smysl pro bezpečnost.
Václav Voříšek
Bezpečnostní ředitel COM PLUS CZ a.s.