Zarządzanie ryzykiem

Zarządzanie ryzykiem

W celu weryfikacji podatności na konkretne niebezpieczeństwa w firmie konieczne jest przeprowadzenie procesu zwanego „ Zarządzanie ryzykiem ”. Samoświadomy dział informatyczny powinien wiedzieć co złego może się wydarzyć oraz jakie są konsekwencje danego wydarzenia.

Inne artykuły na temat ITIL:

http://blog.askomputer.pl/tag/itil/

 

Cel

Co daje nam przeprowadzenie tego typu audytu? Przede wszystkim wiedzę jakie zagrożenia czyhają na nasze komputery i serwery. Ponadto, możemy oszacować prawdopodobieństwo wystąpienia danego wydarzenia oraz to jakie konsekwencje ze sobą niesie. To w interesie każdego zarządzającego infrastrukturą informatyczną jest wdrożenie planu, który pozwoli nam zmniejszyć straty. A to możliwe jest dzięki odpowiednio przeprowadzonej procedurze zarządzania ryzykiem. Również dzięki temu procesowi możemy wyliczyć jaki będzie koszt wdrożenia koniecznych usprawnień oraz ochrony przed możliwymi, niepowołanymi wystąpieniami.
 

Jak wygląda samo szacowanie ryzyka? Przede wszystkim należy określić wszelkie cenne zasoby informatyczne w firmie. Przykładowo, będą to komputery oraz serwery. Następnie należy wymienić wszelkie zagrożenia jakie mogą mieć wpływ na działanie tych urządzeń. Dla przykładu, potencjalna kradzież komputera lub zalanie serwerowni będą zgubne dla naszych danych. W dalszej kolejności należy oszacować jak bardzo podatne na zagrożenia są zasoby oraz jak zabezpieczone.

 

Gdy już mamy te wszystkie dane to możemy oszacować ryzyko na dwa sposoby:

– metoda liczbowa (tzw. kwantyfikatywna)

– metoda jakościowa (tzw. kwalifikatywna)

 

Ta druga opiera się w głównej mierze na wiedzy oraz ocenie ekspertów. Bazując na własnym doświadczeniu, specjaliści oceniają jakie ryzyko wiąże się z konkretnymi podatnościami. Ja zdecydowanie zalecam zawsze tą pierwszą metodę. Jest stanowczo mniej subiektywna i pozwala sprawiedliwie wyliczyć konkretne luki w naszej organizacji. Ponadto, metoda ta jest dosyć prosta do przeprowadzenia. Wystarczy rozrysować tabelę jak poniżej:

Zarządzanie ryzykiem

Następnie, do każdego zagrożenia przypisujemy wartość liczbową wyrażającą skutki wystąpienia danego czynnika oraz podatność naszych zasobów. W dalszej kolejności określamy ryzyko za pomocą iloczynu obu cyfr.

 

Przykładowo, jednym z zagrożeń dla serwera jest zalanie. Skutki takiego zalania określamy zaledwie na 2 w skali od 1 do 10. Dlaczego tak nisko? Przede wszystkim dlatego, ze w tym przypadku firma posiada archiwizację w czasie rzeczywistym do drugiej lokalizacji firmy. Jeżeli więc wydarzy się powódź w Warszawie to najświeższe dane będą automatycznie dostępne z Krakowa. Minusem jest tu jedynie wolniejszy dostęp do oddalonej lokalizacji oraz koszt samego sprzętu. Podatność określamy na 1, ponieważ serwerownia jest szczelnie zamknięta, a sama szafa serwerowa stoi na specjalnym podwyższeniu chroniącym przed wodą. Nasz iloczyn w tym przypadku wynosi zaledwie 2.

 

Odmienna sytuacja jest w przypadku ataku hakerskiego na laptop. Skutki określiliśmy na 9, ponieważ w przypadku przejęcia komputera, atakujący otrzyma również dostęp do udostępnionych dla tego komputera zasobów na serwerze. Podatność natomiast to 4. Komputer jest względnie zabezpieczony najnowszym oprogramowaniem antywirusowym oraz zaporą sieciową. Do tego system operacyjny posiada najnowsze aktualizacje. Ryzykiem jest tu jednak użytkownik podatny na tzw. metody socjotechniczne. W tym przypadku, odpowiednie szkolenie może rozwiązać problem.

 

I rozwiązanie problemu, czyli potencjalnego ryzyka jest głównym celem tego procesu. Audytujący powinni w każdym przypadku obmyślić plan jak zażegnać konkretne zagrożenie.

 

Na koniec dodam, iż w sieci znajduje się kompletny poradnik opisujący to jak wdrożyć zarządzanie ryzykiem w firmie. Całkiem przydatna lektura wraz checklistą podpowiadającą o tym o czym należy pamiętać podczas tego procesu:

https://csrc.nist.gov/publications/detail/sp/800-30/rev-1/final

Interesuje Cię wykonanie analizy ryzyka? Skontaktuj się ze mną 🙂

Zachęcam do odwiedzenia moich profili w mediach społecznościowych, byś mógł być na bieżąco:


instagram_askomputer
instagram_askomputer pinterest_1475538227_280 social_facebook_box_blue pobrany plik Arkadiusz_Siczek_linkedin Arkadiusz Siczek Usługi informatyczne WBT