Analiza i zarządzanie ryzykiem systemów

W dobie wzmożonej działalności cyberprzestępców środowiska IT różnych organizacji są narażone na całą listę ryzyk. Odpowiednie zarządzanie nimi stanowi zatem jeden z filarów bezpieczeństwa każdego przedsiębiorstwa. Ten obszar warto uporządkować, zaczynając od rzetelnej analizy ryzyka w organizacji.

Jak zarządzać ryzykiem systemów?

Zarządzanie ryzykiem systemów IT można podzielić na kilka konkretnych etapów. Pomagają one w sposób uporządkowany, rzetelny i efektywny zapewnić bezpieczeństwo zasobów firmy. Kluczem do sukcesu jest pogłębiona i wieloskładnikowa analiza, której efekty to raportowanie ryzyka, a następnie podjęcie stosownych działań. Oto etapy zarządzania ryzykiem w zakresie analizy zagrożeń.

Etap 1: Weryfikacja i inwentaryzacja zasobów informatycznych

Dopiero określenie ilości i charakteru zasobów IT pozwala na dopasowanie do nich adekwatnej metody zarządzania ryzykiem systemu. Mowa o takich elementach jak:

• urządzenia sieciowe, 
• serwery firmowe,
• aplikacje, 
• lokalizacje urządzeń elektronicznych,
• bazy danych, 
• komputery, stacje PC, tablety.

To właśnie one składają się na infrastrukturę informatyczną organizacji i powinny zostać poddane analizie ryzyka.

Etap 2: Identyfikacja potencjalnych zagrożeń dla poszczególnych zasobów

Każdy zasób ma swoją specyfikę i może być narażony na ryzyka różnego typu. W procesie zarządzania nimi warto kierować się standaryzowanymi listami zagrożeń dla konkretnych elementów. Wyróżnia się cztery obszary ryzyka:

• zagrożenia techniczne – czynniki zagrażające podstawowemu funkcjonowaniu zasobów, np. awaria sieci elektrycznej, uszkodzenie dysku twardego itp.,
• zagrożenia ludzkie – zachowania i postawy ludzi, które mogą zaburzać bezpieczeństwo systemu IT, np. próby hakerskie, błędy administratora itp.,
• zagrożenia naturalne – negatywny wpływ na infrastrukturę IT np. pożarów, silnego wiatru, przepięć,
• zagrożenia administracyjne – dochodzi do nich w wyniki naruszenia przepisów prawa obowiązujących w zakresie technologii, ale także wewnętrznych regulacji firmy.

Przydatne zestawienia zagrożeń są dostępne m.in. w załącznikach do normy ISO 27005:2011.

Etap 3: Identyfikacja podatności w organizacji

Po wytypowaniu możliwych zagrożeń dla każdego z zasobów przychodzi czas na określenie potencjalnych problemów w zakresie bezpieczeństwa. Inaczej mówiąc, jest to ocena tego, czy niebezpieczne czynniki rzeczywiście mogą mieć negatywny wpływ na zasoby IT.

Etap 4: Ocena wpływu podatności na bezpieczeństwo firmy

Wykrytym wcześniej słabościom systemu (podatnościom) należy następnie przypisać odpowiedni stopień ryzyka. Można to zrobić na dwa sposoby – jakościowo lub ilościowo.

Metoda jakościowa przewiduje trzy kategorie zagrożenia dla danej podatności:

• niskie,
• średnie,
• wysokie.

Ryzyko jest tutaj wypadkową prawdopodobieństwa wykorzystania słabych punktów systemu oraz realnego wpływu tego działania na bezpieczeństwo organizacji. Ta metoda jest zalecana zwłaszcza przy pierwszej analizie ryzyka.

Z kolei podejście ilościowe pozwala na zdefiniowanie ryzyka w liczbach, np. przy wyliczeniu strat, jakie może ponieść firma. To metoda znacznie bardziej złożona, z której warto skorzystać na zaawansowanym etapie analizy.

Etap 5: Wybranie podejścia do ryzyka

W zależności od rozmiaru ryzyka lub możliwych scenariuszy z nim związanych, zagrożenie można potraktować na różne sposoby:

• zredukować je,
• zaakceptować,
• przekazać (np. w ramach outsourcingu),
• uniknąć przez odpowiednią reakcję.

Po co zajmować się zarządzaniem ryzykiem w firmie?

Polityka zarządzania ryzykiem w firmie jest fundamentem bezpieczeństwa sieci IT. Ta z kolei często decyduje o pomyślności w realizacji celów wytyczonych w organizacji. Skupienie się na wyborze odpowiednich metod analizy, oceny oraz zarządzania ryzykiem pozwala uniknąć przykrych niespodzianek, np. związanych z wyciekiem niepożądanych danych mających wpływ na działalność.

W obszarze IT i systemów bezpieczeństwa obowiązują także konkretne normy prawne – należy więc działać w zgodzie z nimi.

Usługa zarządzania ryzykiem w ISCG

Wybór odpowiedniej metody zarządzania ryzykiem i wdrożenie jej w organizacji wymaga koordynacji oraz nadzoru. W ISCG stosujemy kompleksowe podejście, biorąc pod uwagę więcej niż tylko specyfikę samego środowiska IT w danym przedsiębiorstwie. W polityce cyberbezpieczeństwa równie duże znaczenie ma dla nas kontekst rynkowy w danej branży.

Zajmiemy się polityką zarządzania ryzykiem od pogłębionego audytu do rzetelnej analizy potencjalnie zagrażających czynników. Zapraszamy do współpracy!