Osjetljive informacije organizacije su pod stalnom prijetnjom. Identifikacija tih sigurnosnih rizika je ključna za zaštitu tih informacija. Ali neki rizici su veći od drugih. Neke opcije ublažavanja su skuplje od drugih. Kako donijeti pravu odluku? Usvajanje formalnog procesa procjene rizika daje vam informacije koje su vam potrebne za postavljanje prioriteta.
Postoji mnogo načina da se izvrši procjena rizika, od kojih svaki ima svoje prednosti i nedostatke. Pomoći ćemo vam da pronađete koja od ovih šest metodologija procjene rizika najbolje funkcionira za vašu organizaciju.
Šta je procjena rizika?
Procjena rizika je način na koji organizacije odlučuju šta da rade u današnjem složenom sigurnosnom okruženju. Prijetnje i ranjivosti su posvuda. Mogu doći od vanjskog aktera ili nemarnog korisnika. Mogu se čak i ugraditi u mrežnu infrastrukturu.
Donosioci odluka moraju razumjeti hitnost rizika organizacije, kao i koliko će napori na ublažavanju koštati. Procjene rizika pomažu u određivanju ovih prioriteta. Oni procjenjuju potencijalni uticaj i vjerovatnoću svakog rizika. Donosioci odluka tada mogu procijeniti koje napore na ublažavanju treba dati prioritet u kontekstu strategije, budžeta i vremenskih rokova organizacije.
Metodologije procjene rizika
Organizacije mogu koristiti nekoliko pristupa za procjenu rizika – kvantitativne, kvalitativne, polukvantitativne, na imovini, na ranjivosti ili na prijetnjama. Svaka metodologija može procijeniti rizično stanje organizacije, ali sve zahtijevaju kompromise.
Kvantitativno
Kvantitativne metode unose analitičku strogost u proces. Imovina i rizici dobijaju dolarske vrijednosti. Rezultirajuća procjena rizika se zatim može predstaviti u finansijskim terminima koje rukovodioci i članovi odbora lako razumiju. Analiza troškova i koristi omogućava donosiocima odluka da daju prioritet opcijama ublažavanja.
Međutim, kvantitativna metodologija možda nije odgovarajuća. Neka sredstva ili rizici se ne mogu lako kvantificirati. Natjerati ih na ovaj numerički pristup zahtijeva prosuđivanje – podrivajući objektivnost procjene.
Kvantitativne metode također mogu biti prilično složene. Prenošenje rezultata izvan sale za sastanke može biti teško. Osim toga, neke organizacije nemaju internu ekspertizu koju zahtijevaju kvantitativne procjene rizika. Organizacije često preuzimaju dodatne troškove da dovedu konsultantske tehničke i finansijske vještine.
Kvalitativno
Tamo gdje kvantitativne metode koriste naučni pristup procjeni rizika, kvalitativne metode imaju više novinarski pristup. Procjenitelji se sastaju sa ljudima u cijeloj organizaciji. Zaposleni dijele kako bi, ili da li bi, obavili svoj posao ako sistem ode offline. Procjenitelji koriste ovaj ulaz za kategorizaciju rizika na grubim skalama kao što su visoki, srednji ili niski.
Kvalitativna procjena rizika daje opštu sliku o tome kako rizici utiču na poslovanje organizacije.
Ljudi širom organizacije imaju veću vjerovatnoću da razumiju kvalitativne procjene rizika. S druge strane, ovi pristupi su inherentno subjektivni. Tim za procjenu mora razviti scenarije koji se mogu lako objasniti, razviti pitanja i metodologije intervjua koje izbjegavaju pristrasnost, a zatim interpretirati rezultate.
Bez čvrste finansijske osnove za analizu troškova i koristi, opcijama ublažavanja može biti teško odrediti prioritet.
Polukvatitativno
Neke organizacije će kombinovati prethodne metodologije kako bi kreirale polukvantitativne procjene rizika. Koristeći ovaj pristup, organizacije će koristiti numeričku skalu, kao što je 1-10 ili 1-100, za dodjelu numeričke vrijednosti rizika. Rizične stavke koje imaju ocjenu u donjoj trećini grupisane su kao niski rizik, srednja trećina kao srednji rizik, a viša trećina kao visoki rizik.
Kombiniranjem kvantitativnih i kvalitativnih metodologija izbjegava se intenzivna kalkulacija vjerovatnoće i vrijednosti imovine prve, dok se daje više analitičkih procjena od druge. Polukvantitativne metodologije mogu biti objektivnije i pružiti zdravu osnovu za određivanje prioriteta rizičnih stavki.
Zasnovano na imovini
Tradicionalno, organizacije koriste pristup zasnovan na imovini u proceni IT rizika. Sredstva se sastoje od hardvera, softvera i mreža koje rukuju informacijama organizacije, kao i same informacije. Procjena zasnovana na imovini općenito slijedi proces u četiri koraka:
- Popisati svu imovinu
- Procijeniti efikasnost postojećih kontrola
- Identifikovati prijetnje i ranjivosti svake imovine
- Procijeniti potencijalni uticaj svakog rizika
Pristupi zasnovani na imovini su popularni jer su u skladu sa strukturom, operacijama i kulturom IT odjela. Rizike i kontrole zaštitnog zida je lako razumjeti.
Međutim, pristupi zasnovani na imovini ne mogu proizvesti potpune procjene rizika. Neki rizici nisu dio informacijske infrastrukture. Politike, procesi i drugi “meki” faktori mogu izložiti organizaciju jednakoj opasnosti kao i nezakrpljeni zaštitni zid.
Zasnovano na ranjivosti
Metodologije zasnovane na ranjivosti proširuju opseg procjena rizika izvan sredstava organizacije. Ovaj proces počinje ispitivanjem poznatih slabosti i nedostataka unutar organizacionih sistema ili okruženja u kojima ti sistemi rade.
Odatle, procjenitelji identifikuju moguće pretnje koje bi mogle da iskoriste ove ranjivosti, zajedno sa potencijalnim posledicama eksploatacije.
Povezivanje procena rizika zasnovanih na ranjivosti sa procesom upravljanja ranjivosti organizacije pokazuje efikasno upravljanje rizikom i procese upravljanja ranjivostima.
Iako ovaj pristup obuhvata više rizika nego procena isključivo zasnovana na imovini, on se zasniva na poznatim ranjivostima i možda neće obuhvatiti čitav niz pretnji sa kojima se organizacija suočava.
Zasnovano na prijetnjama
Metode zasnovane na prijetnjama mogu pružiti potpuniju procjenu ukupnog stava organizacije prema riziku. Ovaj pristup procjenjuje uslove koji stvaraju rizik. Revizija imovine će biti dio procjene jer imovina i njihove kontrole doprinose ovim uslovima.
Pristupi zasnovani na prijetnjama gledaju dalje od fizičke infrastrukture.
Procjenom tehnika koje akteri prijetnji koriste, na primjer, procjene mogu ponovo postaviti prioritet opcijama ublažavanja. Obuka o kiber bezbjednosti ublažava napade socijalnog inženjeringa. Procjena zasnovana na imovini može dati prioritet sistemskim kontrolama nad obukom zaposlenih. Procjena zasnovana na prijetnjama, s druge strane, može otkriti da povećanje učestalosti obuke o kiber bezbjednosti smanjuje rizik po nižoj cijeni.
Odabir prave metodologije
Nijedna od ovih metodologija nije savršena. Svaka ima prednosti i slabosti. Srećom, nijedan od njih se međusobno ne isključuje. Bilo namjerno ili zbog okolnosti, organizacije često vrše procjenu rizika koje kombinuju ove pristupe.
Prilikom dizajniranja procesa procjene rizika, metodologije koje ćete koristiti ovisit će o tome šta trebate postići i o prirodi vaše organizacije.
Ako su odobrenja na nivou odbora i izvršne vlasti najvažniji kriterijum, onda će vaš pristup težiti kvantitativnim metodama. Kvalitativniji pristupi mogli bi biti bolji ako vam je potrebna podrška zaposlenih i drugih dioničara. Procjene zasnovane na imovini prirodno su usklađene s Vašom IT organizacijom, dok se procjene zasnovane na prijetnjama bave današnjim složenim okruženjem kiber bezbjednosti.
Stalno procjenjivanje izloženosti Vaše organizacije riziku jedini je način da zaštitite osjetljive informacije od današnjih kiber prijetnji. Drata platforma za automatizaciju usklađenosti prati Vaše sigurnosne kontrole kako bi osigurala vašu spremnost za reviziju.
Izvor: The Hacker News.
