Každý, kdo přišel o data ať pádem notebooku na zem, nebo havárii serveru, ví, že se mu na chvíli zastavil celý svět. Nemohli jste rozhodovat nebo dokonce jste nemohli několik hodin nebo dní vyrábět. Některým za takový výpadek začne vznikat penále od zákazníků. Některé informace a data, které potřebujete pro své podnikání, už se nepodaří obnovit a budete je muset vytvořit znova. K tomu musíte zaplatit všechny škody. Asi by bylo skvělé, kdybyste předem věděli, kde dřímají ta nejhorší rizika a jak jsou velká. Škody sčítat až nastane problém umí každý.
Umět rizika odhalit předem a efektivně je řídit, aby škody nevznikaly v tak velkém rozsahu, umí profesionálové. A právě k tomu slouží analýzy rizik. To je to první, co byste měli začít řešit, když si uvědomíte, že máte problém s bezpečností informací/chcete řešit bezpečnost informací a dat. Jenže není analýza rizik jako analýza rizik.
Kvalitativní analýza rizik bezpečnosti informací
Existují analýzy rizik, které používají slovní popis nebo barvičky, které vyjadřují míru rizika. Výstupem jsou např.:
- heatmapy
- semafory
- nebo tabulky se seznamy rizik hodnocených jako vysoké, střední a nízké
Jejich užitečnost lze stručně vyjádřit obrázkem:
Takové výstupy spíše slouží k povrchní orientaci. Bohužel Vám nepomohou se účinně rozhodovat, co hned řešit a kolik to bude stát.
Prostě takové výstupy nejsou použitelné pro ekonomickou kalkulaci a efektivní řízení. Navíc zde dochází k jevu, kterému se říká iluze komunikace.
Každý si totiž pod pojmy vysoké, nebo nízké riziko představuje dost rozdílné částky. Například CEO společnosti s miliardovým obratem má úplně jiné představy o těchto pojmech než manažer zodpovědný za vývoj produktu s rozpočtem 5 milionů. Tyto problémy kvantitativní analýza rizik zcela eliminuje.
Kvantitativní analýza rizik bezpečnosti informací
Podnikatelé jednoznačně u jednotlivých rizik potřebují vědět tyto informace:
- jaká aktiva jsou ohrožena
- jak velký dopad může riziko mít – kolik by stály následky, pokud se nebude řešit
- kolik by stála opatření na jeho snížení,nebo eliminaci
- reziduální riziko po zavedení opatření
Samozřejmě vše potřebují v penězích, protože jedině tak si mohou spočítat, do jakých opatření mají peníze vložit, jak moc je jejich byznys ohrožen (klidně ne jejich vinou), nebo dokonce jaká je návratnost opatření.
Výstupem kvantitativní analýzy je: Pokud dojde k výpadku výroby na jeden den v důsledku útoku/nehody, máme vyčíslené náklady na 500.000 Kč.
K takovému výpadku dojde cca 1 za 5 let. Anualizovaná ztráta (=riziko) tak vychází na 100.000 Kč. S touto informací už může vedení firmy pracovat. Je na nich, aby se rozhodli, zda je to akceptovatelné, nebo ne a zda/kolik investovat do řešení tohoto rizika.
Modelování rizik
S klidným svědomím můžu doporučit mezinárodní metodiku OpenFAIR, která je ověřená dlouhodobou praxí a zatím jsem nenarazil na nic lepšího. Sám jsem jí použil pro firmy a instituce od pár desítek po tisíce zaměstnanců.
Zjednodušené využití kvantitativní analýzy si ukažme na příkladu, kdy za vedením společnosti přijde bezpečnostní manažer s projektem na zvýšení ochrany aktiva A a vedení má rozhodnout, zda do projektu investovat peníze:
- pro aktivum A jsme identifikovali riziko R, které nám po kvantitativní analýze vychází na 10 milionů korun
- riziko jsme vyhodnotili jako příliš vysoké a má tedy smysl uvažovat o projektu na snížení rizika
- rozpočet projektu je odhadován na 1 milion korun
- do modelu výpočtu rizika R zaneseme upravené parametry tak, jak očekáváme dopad připravovaného projektu. Vyjde nám, že zbytkové riziko po implementaci projektu je 2 miliony korun
- Srovnáme-li náklady (1 milion) s úsporou (8 milionů), vychází nám návratnost 8:1, což se zjevně vyplatí a takový projekt má smysl realizovat.
Graficky pak tato analýza vypadá takto:
Závěr
Dělejte raději kvantitativní analýzu rizik. Dá Vám lepší přidanou hodnotu při řešení rizik bezpečnosti informací. Nejen, že budete mít identifikovaná všechna klíčová rizika, ale budete i vědět, kolik je třeba investovat do jejich eliminace nebo kolik potřebujete mít rezerv, aby vaše firma přežila i útok hackerů. Kvantitativní analýza rizik je vhodnější pro dlouhodobé efektivnější řízení bezpečnosti. Rozhodně ji budete potřebovat při implementaci systému řízení bezpečnosti informací dle ISO 27001.
Výsledky musí být vyjádřeny v penězích nebo jiných jednotkách, které lze snadno převést na peníze. Rozhodně nevymýšlejte vlastní modely a nenechte si nutit žádný model, jehož výstupům nebudete rozumět. Musíte si být jistí, že závěry analýzy rizik budete schopni sami využít ve svém podnikání.
