()

Czym jest Analiza ryzyka? – Wstęp

Ten artykuł będzie krótki, ponieważ zorientowałem się, że pominąłem ważny temat, czyli Czym jest Analiza ryzyka? – dwa typy analizy ryzyka: Qaualitative i Quantitative. A są one bardzo ważne i trzeba, byś je znał.

Qualitative przypisuje wartość zależnie od skali i nie bierze pod uwagę strat finansowych w wypadku danych ryzyk, zaś Quantitative przypisuje co do grosza koszt do danego ryzyka.

Czym jest Analiza ryzyka?Analiza Qualitative

W wypadku tej analizy – tak jak wspomniałem powyżej – pieniądze się nie liczą, nie są one brane pod uwagę. Tworzysz tabele ryzyka (skale) i przypisujesz subiektywnie dane ryzyko na tej skali.

Zanim pokażę Ci, jak wygląda taka przykładowa tabela, musisz wiedzieć, jaka jest formuła do obliczania ryzyka w wypadku Qualitative. Formuła jest następująca: ryzyko równa się prawdopodobieństwo wystąpienia razy strata, czyli:

Ryzyko = Prawdopodobieństwo x Strata

Jest dużo łatwiejsza, ponieważ nie musisz się zastanawiać, ile stracisz pieniędzy przy danym ryzyku. Poniżej opiszę Ci przykładową listę prawdopodobieństw. Nie będę Ci ich opisywał, bo są bardzo logiczne. Przypisujemy im wartości.

Tabela Prawdopodobieństwa

PrawdopodobieństwoWartość
Wielkie prawdopodobieństwo wystąpienia5
Są duże szanse, że wystąpi4
Prawdopodobnie wystąpi3
Mało prawdopodobne, że wystąpi2
Prawie zerowe szanse wystąpienia1

Dobrze więc, masz już pierwszy krok za sobą. Stworzyłeś tabelę prawdopodobieństwa. W tym wypadku wybraliśmy wartości od 1 do 5, które przypisaliśmy odpowiednio do listy prawdopodobieństw.

Mogliśmy to zrobić odwrotnie bądź użyć innych wartości, lub też dodać więcej rodzajów prawdopodobieństw.

Kolejna tabela, jaką musisz stworzyć, to tabela straty, lub też inaczej impact. Zróbmy podobnie, jak powyżej.

Tabela Wartości

StrataWartość
Duża strata5
Średnia strata4
Normalnej wielkości strata3
Mała strata2
Prawie brak straty1

No i teraz, gdy mamy już obie powyższe wartości ustalone, robimy ostatnią już tabelę, w której wypisujemy wszystkie te wartości.

Najpierw zapisujesz zagrożenia, później zapisujesz prawdopodobieństwo wystąpienia. W kolejnych kolumnach wpisujesz wartości najpierw jednych, następnie drugich. I w ostatniej mnożysz jedną wartość przez drugą. Wszystko będzie jasne, jak spojrzysz na tabelę na dole.

Tabela Qualitative

ZagrożeniePrawdopodobieństwoStrataWartość PrawdopodobieństwaWartość StratRyzyko = Prawdopodonieństwo x Strata
Buffer OverflowPrawdopodobnie wystąpiNormalnej wielkości strata333 x 3 = 9
Padł dyskSą duże szanse że wystąpiNormalnej wielkości strata434 x 3 = 12
Brak prąduMało prawdopodobne że wystąpiŚrednia strata242 x 4 = 8
DDOSPrawdopodobnie wystąpiŚrednia strata343 x 4 = 12

Taka tabela pomaga Ci na zdecydowanie, którymi ryzykami musisz zająć się w pierwszej kolejności. W tym wypadku dużo większe prawdopodobieństwo i większą stratę daje “Padł dysk” i “DDOS” i powinieneś w pierwszej kolejności zainwestować w rozwiązania dla tych właśnie zagrożeń.

Czym jest Analiza ryzyka?Analiza Quantitative

Jest to bardzo ważna analiza, ponieważ jest dużą kartą przetargową podczas rozmowy z zarządem w wypadku, gdy ten nie chce się zgodzić na jakieś rozwiązanie. Najlepiej będzie, jak pokażesz, jakie straty wystąpią, gdy nie zaaplikujesz jakiejś zmiany. Wizja strat finansowych prawdopodobnie dużo wyraźniej przemówi do zarządu.

Ta analiza niestety wiąże się z większymi kosztami po Twojej stronie. To znaczy będziesz musiał spędzić więcej czasu na podanie szczegółowych danych, a, jak już powinieneś wiedzieć, jako bezpiecznik nie będziesz miał tego czasu za wiele.

Wszędzie jesteśmy understaffed, teraz jeszcze doszło za free 1300 stanowisk, a ludzi więcej nie ma. Są tego plusy – większy popyt, większa podaż bądź za wyższą cenę 😉

Mówię tu o CBZC – niezależnie od tego, jak ta organizacja będzie wyglądać, to i tak będzie to plus dla nas bezpieczników.

Ale wracając, w analizie Quantitive obliczamy wartość w dolarach względem każdego ryzyka danego zagrożenia. Spokojnie – do końca artykułu dowiesz się, jak to się robi.

Wartość w dolarach

  1. Pierwszym krokiem, jaki należy zrobić, jest określenie, jaką wartość ma dany asset. Załóżmy, że masz stronę e-commerce typu Allegro. Musisz poznać, jaką wartość przynosi ona w ciągu jednego dnia. To pomoże w kalkulacji.
  2. Teraz, gdy już to mamy i znamy wartość danego assetu, musisz określić, jaki będzie dla niego impact. W wypadku analizy Quantitive jako impact określamy „exposure factor”, czyli EF, który to jest procentem straty, jaki wystąpi w przypadku zagrożenia.
  3. Znasz już wartość assetu i EF. Teraz należy policzyć SLE, single loss expectancy, czyli wartość pomnożoną przez EF. SLE = wartość x EF. Powiedzmy, że strona ma wartość 500 000. Gdy padnie jeden dysk na tym serwerze, masz stratę rzędu 10%, czyli SLE = 500 000 × 0,1 = 50 000. Zatem za każdym razem, gdy pada dysk, tracisz 50 koła.
  4. Teraz, gdy mamy SLE, możemy obliczyć ALE, annual loss expectancy, w którym to liczymy prawdopodobieństwo zdarzenia się danego problemu w czasie jednego roku. W tym wypadku wzór będzie następujący, ALE = SLE x ARO. Zapytasz, czym jest ARO? ARO to annual rate of occurence, czyli ile razy w roku wystąpiło dane zdarzenie :). Kontynuując nasz przykład z góry, załóżmy, że masz dobre dyski zamontowane i sytuacja zdarza się dwa razy do roku :). Czyli mamy ALE = 50 000 x 2 = 100 000. Roczny koszt wystąpienia tylko tego jednego zagrożenia wynosi 100 tysięcy. Jeszcze jeden przykład: załóżmy, że dysk psuje się raz na 3 lata, czyli mamy ALE = 50 000 × 0,3 = 15 000. Teraz, by ochronić asset, musisz wydać mniej niż 15 tys. a najlepiej by coś zostało jeszcze z tego, więc w rzeczywistości musisz znaleźć rozwiązanie tego problemu, które będzie kosztować mniej niż 10 tysięcy.

Strategie unikania ryzyka

Skoro już poznałeś, jak stworzyć tabele ryzyk i jak później obliczyć koszt, który poniesiesz w wypadku danego ryzyka, warto też, byś poznał strategie unikania ryzyka.

  • Unikanie ryzyka (mitigation) – Pierwszym rozwiązaniem jest uniknięcie ryzyka poprzez zainstalowanie kontroli bezpieczeństwa dla danego assetu. Dla przykładu może to być zainstalowanie RAID, by uniknąć kosztu związanego z brakiem sprzedaży i tylko ponieść koszty wymiany sprzętu (nowego dysku).
  • Akceptacja ryzyka – Kolejnym jest akceptacja ryzyka. Wiemy, że ono istnieje i wiemy, że może nas kosztować, ale prawdopodobieństwo jego wystąpienia jest tak niskie, że jesteśmy w stanie je zaakceptować. Bądź też mamy sytuację, w której rozwiązanie tego zagrożenia kosztuje więcej, niż dochody, jakie przynosi aktualny stan.
  • Transfer ryzyka – Ryzyko można również przenieść, na przykład na firmę zewnętrzną. Dla przykładu można wykupić ubezpieczenie, które zwróci nam fundusze, jakie straciliśmy podczas zdarzenia. Przykładem też może być Azure czy AWS, w których to część ryzyk przenosimy na Azura – jak na przykład problemy z infrastrukturą i jej zagrożenia.
  • Unikanie ryzyka (avoid) – To rozwiązanie wprowadza niewykorzystanie danej funkcjonalności nigdy więcej. To znaczy znajdziemy w aplikacji funkcjonalność, która umożliwia SQL injection, ale nie jest ona potrzebna, więc po prostu się jej pozbywamy.
  • Deterrence – W tym wypadku ryzyka unikamy poprzez nałożenie dużych sankcji prawnych na osoby, które wykorzystają daną zagrożenie. Nie jest wykorzystywane zbyt często, bo zwykle ciężko znaleźć osobę, która wykorzystała dane zagrożenie, by móc pociągnąć ją do odpowiedzialności.

Czym jest Analiza ryzyka? – Podsumowanie

Dziś dostałeś do ręki bardzo ważne argumenty, które możesz wykorzystać, by bardziej zabezpieczyć własną firmę. 🙂 Również dowiedziałeś się, jakie są strategie, które możesz wykorzystać. Mam nadzieję, że ten artykuł był Ci pomocny. Jeśli znasz inne metody do analizy ryzyka, podziel się proszę nimi w komentarzu.

Pozdrawiam Pusz

Jak przydatny był ten Artykuł

Kliknij gwiazdke by zagłosować

Średni / 5. Liczba głosów

Brak głosu. Kliknij proszę doceń moją prace

Przepraszam że ten post nie był dla Ciebie przydatny

Popraw ten post!

Napisz mi co mogę poprawić