Optymalne zabezpieczenia mogą być bardzo skomplikowane. Nietrudno jest zaaplikować nadmierne lub niedostateczne środki lub wydać na analizę ryzyka dużo pieniędzy bez gwarancji widocznej i odczuwalnej poprawy bezpieczeństwa. Analiza ryzyka ułatwia firmie zhierarchizować największe i najbardziej prawdopodobne zagrożenia i zarekomendować inwestycje niezbędne do rozsądnej ochrony.
Analiza ryzyka pomaga także opracować szkic budżetu na program zarządzania ryzykiem i problemami (risk and issue management). Poznanie prawdziwej wartości aktywów i zagrożeń umożliwia dokonanie trafnych decyzji ile pieniędzy przeznaczyć na racjonalną i efektywną ochronę.
Analiza ryzyka ma cztery cele:
1. Inwentaryzacja aktywów i ocena ich wartości
2. Identyfikacja słabych stron i zagrożeń
3. Obliczenie prawdopodobieństwa wystąpienia zagrożeń i ich wpływu na firmę
4. Zapewnienie finansowej równowagi pomiędzy wpływem zagrożenia i kosztem prewencji.
Proces analizy ryzyka w firmie przypomina procedurę oceny akceptowanego poziomu ryzyka na mniejszą skalę lub w wydzielonym zakresie (produkt, usługa, projekt, itd.). Zebrane dane są punktem odniesienia do oceny innych zagrożeń – czy są powyżej lub poniżej akceptowanego poziomu ryzyka.
1. Inwentaryzacja aktywów i ocena ich wartości
Analiza ryzyka porównuje koszty z korzyściami na podstawie oceny rocznego kosztu ochrony przed zagrożeniami wobec strat jakie mogłyby przynieść. Ochrona przed zagrożeniami nie jest opłacalna jeżeli jej koszt przewyższa potencjalne straty w porównywalnym okresie. Na przykład, jeżeli roczne ubezpieczenie notebooka przed kradzieżą przewyższa jego wartość w analizowanym roku, to nie opłaca się go ubezpieczać.
Aktywa (na przykład, notebook z danymi) mają wartość względną – jaka jest wartość zainstalowanych aplikacji, ile kosztuje konserwacja, jakie mogą być finansowe konsekwencje utraty danych, za jaką cenę ktoś byłby skłonny je odkupić. Jeżeli firma nie wie jaka jest wartość aktywów, które chce chronić, nie wie tym samym ile środków powinna przeznaczyć na ich zabezpieczenie.
Wartość aktywów powinna odzwierciedlać wszystkie mierzalne straty. Jeżeli koszt zakupu serwera wynosi 4,000 złotych, nie należy tej sumy automatycznie przenosić do analizy. Jest to raczej koszt jego wymiany lub naprawy, ale realna wartość serwera zależy od przechowywanych na nim danych.
Analizując wartość aktywów należy wziąć pod uwagę następujące elementy:
1. Koszt zakupu lub modernizacji aktywów
2. Koszt konserwacji i dotychczasowej ochrony aktywów
3. Wartość aktywów dla właścicieli i użytkowników
4. Wartość aktywów dla konkurencji, przeciwników lub wrogów
5. Wartość własności intelektualnej zainwestowanej w aktywa
6. Cena jaką inni są gotowi zapłacić za aktywa
7. Koszt wymiany aktywów w przypadku ich utraty
8. Wysokość strat operacyjnych i produkcyjnych w przypadku utraty możliwości korzystania z aktywów
9. Odszkodowania po kradzieży aktywów
10. Rola i przydatność aktywów w firmie
Prawidłowe wycenienie wartości aktywów jest pierwszym krokiem do poznania jakie mechanizmy bezpieczeństwa (plany kryzysowe, symulacje, szkolenia, programy komputerowe) i jakie środki finansowe można zainwestować w ochronę firmy. Inna równie istotna kwestia to pytanie ile może firmę kosztować rezygnacja z ochrony aktywów.
2. Identyfikacja słabych stron i zagrożeń
Po inwentaryzacji i wycenieniu aktywów czas na sporządzenie listy wszystkich słabych stron firmy i związanych z nimi zagrożeń w odniesieniu do poszczególnych aktywów lub grup aktywów. Zespół zarządzania ryzykiem powinien stwierdzić jakie zagrożenia mogą naruszyć integralność poszczególnych aktywów i utrudnić lub zablokować dostęp do nich. Gotowa lista zagrożeń pozwoli wybrać adekwatne środki prewencyjne.
Idzie o to, żeby zdefiniować słabe strony i zagrożenia, które mogą spowodować największe szkody i zająć się nimi w pierwszej kolejności.
W drugiej części powiem o dwóch pozostałych etapach analizy ryzyka: 3. obliczenie prawdopodobieństwa wystąpienia zagrożeń i ich wpływu na firmę, 4. zapewnienie finansowej równowagi pomiędzy wpływem zagrożenia i kosztem prewencji.
Brak komentarzy:
Prześlij komentarz