Dziś o dwóch kolejnych etapach i składnikach raportu końcowego.
3. Obliczenie prawdopodobieństwa wystąpienia zagrożeń i ich wpływu na firmę.
Żeby oszacować potencjalne straty należy odpowiedzieć na kilka pytań:
1. Jakie fizyczne straty może spowodować konkretne zagrożenie i jaki będzie ich koszt?
2. Jakie straty produkcyjne wywoła to zagrożenie i jaki będzie ich koszt?
3. Jaka jest wartość informacji utraconych w wyniku przecieku?
4. Jaki jest koszt usunięcia szkód po ataku hakera?
5. Jaki jest koszt usunięcia szkód po zainfekowaniu systemu informatycznego wirusem?
6. Ile kosztuje całkowite wstrzymanie produkcji?
7. Jaka jest jednorazowa strata (JSA) na konkretnych aktywach po wystąpieniu konkretnego zagrożenia?
To są tylko przykładowe pytania; pełna lista zależy od liczby i rodzaju wykrytych zagrożeń.
Źródłem informacji o prawdopodobieństwie i częstotliwości wystąpienia zagrożeń będą pracownicy konkretnych wydziałów, dokumentacje poprzednich wypadków i raporty działu ochrony.
Jeżeli zespół korzysta z metody ilościowej, można obliczyć współczynnik rocznej częstotliwości wystąpienia zagrożenia (RCW) opisujący ile razy w ciągu 12 miesięcy może wystąpić konkretne zagrożenie.
4. Zapewnienie finansowej równowagi pomiędzy wpływem zagrożenia i kosztem prewencji.
Kolejnym krokiem jest wybranie środków zaradczych i rozwiązań, które powinny zredukować szkody wywoływane przez wykryte zagrożenia.
Środki prewencyjne powinny być uzasadnione finansowo, tzn. korzyści z prewencji powinny być większe od kosztów. Takie podejście wymaga analizy innego typu: analizy kosztów i korzyści (cost/benefit analysis).
Do analizy kosztów i korzyści najczęściej stosuje się następującą kalkulację:
(RPS przed wprowadzeniem ochrony) – (RPS po wprowadzeniu ochrony) – (roczny koszt ochrony) = wartość ochrony dla firmy
Roczna Przewidywana Strata (RPS) to wysokość skalkulowanej straty w ciągu roku na konkretnych aktywach.
RPS = JSA x RCW,
gdzie JSA to wartość jednorazowej straty na konkretnych aktywach i RCW to roczna częstotliwość wystąpienia zagrożenia.
Na przykład, jeżeli RPS (Roczna Przewidywana Strata) wywołana włamaniem hakera do firmowej sieci przed wprowadzeniem zabezpieczenia wynosi 12,000 złotych i zmniejszy się do 4,000 złotych po zabezpieczeniu, a roczny koszt utrzymania i konserwacji zabezpieczenia wynosi 750 złotych, to roczna wartość tej ochrony wynosi 7,250 złotych.
Koszt wprowadzenia ochrony to więcej niż cena zakupu. Obliczając pełny koszt prewencji należy wziąć pod uwagę następujące składniki:
1. Koszt produktu lub usługi
2. Koszt projektu i planowania
3. Koszt wdrożenia
4. Zmiany w otoczeniu
5. Zgodność z innymi zabezpieczeniami
6. Koszt konserwacji
7. Koszt testowania
8. Koszt naprawy, wymiany i aktualizacji
9. Koszt operacyjny
10. Wpływ na produktywność w firmie
Na przykład, całkowity koszt innego zabezpieczenia wynosi:
7,500 za produkt,
2,500 za szkolenie,
3,300 za testowanie,
2,700 za jednorazową stratę wywołaną błędem w pierwszym dniu użytkowania,
4,000 za konfigurację routera, instalację produktu i dwukrotne aktualizacje.
Prawdziwy koszt zabezpieczenia to 20,000 złotych. Jeżeli całkowitą roczną stratę na wszystkich aktywach (CSA) skalkulowano na poziomie 10,000 złotych, to budżet na ochronę dwukrotnie przekroczył wartość straty. Niektóre koszty trudno skalkulować przed zakupem zabezpieczenia, ale doświadczony ekspert zarządzania ryzykiem potrafi przewidzieć większość dodatkowych wydatków.
Ważne, żeby zespół zarządzania ryzykiem umiał prawidłowo obliczyć realny koszt zabezpieczenia i właściwie skalkulować koszty i oszczędności jakie to zabezpieczenie przyniesie.
Raport z analizy ryzyka
W raporcie dla zarządu po zakończeniu analizy ryzyka w firmie powinny znaleźć się następujące punkty:
1. Finansowa wartość poszczególnych aktywów.
2. Pełna lista wszystkich możliwych i poważnych zagrożeń.
3. Prawdopodobieństwo i prognozowana częstotliwość wystąpienia konkretnych zagrożeń.
4. Strata jaką może przynieść firmie każde indywidualne zagrożenie w ciągu roku.
5. Rekomendowane zabezpieczenia, środki zaradcze i działania.
Raport powinien być wyczerpujący i dokładny, ale z drugiej strony napisany jasnym, rzeczowym i zwięzłym językiem umożliwiającym zarządowi podjęcie właściwych decyzji.
Brak komentarzy:
Prześlij komentarz