Zarządzanie ryzykiem w IT – co, przed czym i jak chronić

0

Celem zarządzanie ryzykiem w IT jest dążenie do świadomego działania w obszarze zabezpieczeń, aby móc ograniczyć podatność firmowych zasobów informatycznych na zagrożenia oraz racjonalnie wydawać pieniądze przeznaczone na zabezpieczenie informacji.

W tym celu będziemy musieli wykonać kilka ćwiczeń praktycznych, by efektywnie wdrożyć własną politykę bezpieczeństwa.

Identyfikacja, inwentaryzacja, ocena i klasyfikacja zasobów
Naszą pracę musimy rozpocząć od identyfikacji i inwentaryzacji zasobów – zarówno materialnych, jak i niematerialnych. Każdy zasób, który mamy chronić, musi najpierw zostać zidentyfikowany (nie możemy intencjonalnie chronić zasobu, którego istnienia nie jesteśmy świadomi). Zidentyfikowane zasoby muszą zostać zinwentaryzowane, z bardzo prozaicznej przyczyny – abyśmy nie pominęli ich w trakcie naszej analizy ryzyka.

Po zinwentaryzowaniu zasobów powinno się je poddać ocenie i klasyfikacji. Jest to klasyczny element analizy ryzyka, czasem wydzielany w postaci BIA – Business Impact Analyses. Jednym z celów BIA jest przypisanie odpowiedniej wagi do poszczególnych zasobów, by móc zdefiniować ich ważność dla przetrwania organizacji w przypadku realizacji katastrofalnego w skutkach zagrożenia. Dzięki ocenie ważności poszczególnych zasobów można racjonalnie budżetować środki na zabezpieczenia, chroniąc to, co najistotniejsze, i świadomie pozwalając sobie na potencjalną stratę tego, bez czego jesteśmy w stanie funkcjonować i przetrwać ewentualną katastrofę.

Ważne jest, aby możliwie mocno zaangażować w ten proces część biznesową naszej organizacji – nie powinno się go realizować tylko w dziale IT, który może mieć zdecydowanie błędną perspektywę.

Jest to moment, kiedy trzeba zaangażować kadrę kierowniczą, która powinna zidentyfikować zasoby i procesy krytyczne dla funkcjonowania organizacji. Warto odpowiedzieć sobie na przykład na pytanie, czy nasza organizacja może działać bez komputerów, a jeżeli tak, to jak długo, czy możemy działać bez telefonów stacjonarnych, poczty elektronicznej itp. Może na krótki czas zastąpić komputery formularzami papierowymi, telefony stacjonarne komórkami, a e-mail faksem lub kurierami i tradycyjną pocztą? Te rozważania zahaczają o BCP (Business Continuity Planing), ale BCP jest częścią zarządzaniem ryzykiem – stanowi odpowiedź na zrealizowane zagrożenie.

Koniecznie trzeba pamiętać, że zasoby to nie tylko urządzenia i niematerialne informacje lub wartości (np. opinia o firmie na rynku, zaufanie klientów itp.), ale także, a może przede wszystkim, ludzie. Jak jest to ważne, może posłużyć przykład BCP z amerykańskich realiów, gdzie w jednym z banków w rejonie aktywnym sejsmicznie (Kalifornia) na wypadek katastrofy przewidziano (poza centrum kryzysowym, zapasowym centrum danych itp. klasycznymi zabezpieczeniami) natychmiastowe wysłanie samolotem kluczowych pracowników w różne rejony USA, w celu uniknięcia równoczesnej utraty krytycznych dla funkcjonowania firmy kadr.

Identyfikacja zagrożeń i podatności
Skoro już wiemy, co musimy chronić, jak również które z zasobów są ważne, a których utratę możemy przeboleć, należy rozważyć wszystkie potencjalne zagrożenia oraz podatności na nie naszych zasobów.

To zadanie jest zdecydowanie jednym z trudniejszych w całym procesie. Powinniśmy zdefiniować możliwie wszystkie zagrożenia, jakim potencjalnie mogą podlegać nasze zasoby, i sporządzić ich wyczerpującą listę.

Odpowiednie oprogramowanie wspierające analizę zagrożeń powinno tutaj znacząco pomóc – najlepsze z aplikacji dostępnych na rynku zawierają wyczerpujące populacje zagrożeń, wraz ze związanymi z nimi statystykami, pozwalając na uniknięcie potencjalnego pominięcia jakiś nierozpoznanych zagrożeń, a w efekcie nieświadomego zaakceptowania ryzyka bez wprowadzenia żadnych zabezpieczeń.

Mapowanie zagrożeń/podatności/zasobów
Mając zidentyfikowane zasoby i ich podatności oraz zdefiniowane zagrożenia, musimy przeprowadzić odpowiednie mapowanie. Dzięki temu będziemy wiedzieli, na jakie zagrożenia są podatne nasze zasoby, co w konsekwencji będzie stanowiło punkt wyjścia do wyboru zabezpieczeń minimalizujących podatności na zagrożenia.

Dzięki analizie ryzyka będziemy mieli szansę na optymalizację zabezpieczeń, na przykład w celu wykorzystania jednego do ochrony wielu zasobów (banalnymi przykładami z dziedziny sieciowej mogą być, firewall, który ma chronić wiele komputerów przed potencjalnymi atakami sieciowymi z Internetu, bramy antywirusowe lub antyspamowe itp.).

Nie możemy zapomnieć, że są to mapowania nie zawsze jeden do jednego, ale częstokroć wiele do wielu (jedno zagrożenie może zostać zrealizowane względem wielu zasobów itd.).

Jak to przełożyć na pieniądze?
Wiemy już, ile są warte poszczególne zasoby oraz co im zagraża. Teraz czas to przełożyć na żywą gotówkę – wszyscy wiemy, że to jest to, co przemawia do kierownictwa, które zawsze podejmuje ostateczną decyzję o wysokości budżetu na bezpieczeństwo.

Aby nasze wcześniejsze dywagacje przełożyć na konkretne pieniądze, nie obejdzie się bez małej porcji matematyki – niewykraczającej poza poziom podstawówki. Czas najwyższy skorzystać z naszych definicji i ubrać je w kilka prostych wzorów stanowiących podstawę analizy ryzyka. Wcześniej jednak ustalmy, jak obniżyć ryzyko za pomocą zabezpieczeń.

Analiza minimalizacji ryzyka
Jak już wcześniej ustaliliśmy, powinniśmy wybrać zabezpieczenia obniżające nasze ryzyko. Warto zapamiętać, że choć wszelkie zabezpieczenia mają na celu minimalizację zagrożeń, zawsze jednak pozostaje nam pewna część ryzyka, której nie uda nam się zlikwidować (nazwijmy je ryzykiem pozostającym lub szczątkowym).

Analizując nasze działania mające na celu obniżenie ryzyka, musimy odpowiedzieć sobie na kilka pytań:

  1. Co możemy zrobić?
  2. Ile za to zapłacimy?
  3. Czy wybrane rozwiązanie jest efektywne kosztowo?

Aby uzyskać odpowiedzi na powyższe pytania, musimy przepro wadzić proces, który tak czy inaczej zaprowadzi nas do wspomnianych wcześniej obliczeń, a konkretnie powinniśmy przeprowadzić:

  1. Analizę zabezpieczeń wraz z ich wpływem na minimalizację zagrożeń.
  2. Wycenę zabezpieczeń.
  3. Analizę kosztów i korzyści (opłacalności) wprowadzenia zabezpieczeń.

Analiza zabezpieczeń i spodziewanego ograniczenia ryzyka
Opierając się na przeprowadzonej analizie ryzyka, powinniśmy skupić się na wybraniu zabezpieczeń minimalizujących ryzyko dla poszczególnych zasobów.

Można spodziewać się (i słusznie), że kierownictwo naszej organizacji będzie najbardziej zainteresowane wprowadzeniem zabezpieczeń wpływających na istniejące podatności, które mogą skutkować największą stratą, jak również zabezpieczeniami chroniącymi równocześnie wiele zasobów.

Jeżeli praca jest wykonywana ręcznie, analityk realizujący to zadanie powinien wykonać następujące czynności:

  • wybrać właściwe zabezpieczenie dla każdej zdefiniowanej podatności,
  • wykonać mapowanie pary zabezpieczenie–podatność dla wszystkich związanych z nimi zagrożeń.

Zadanie to jest pracochłonne i najlepiej wesprzeć się przy nim systemem eksperckim.

PODZIEL SIĘ

BRAK KOMENTARZY

ZOSTAW ODPOWIEDŹ