Metodyka szacowania ryzyka bezpieczeństwa łańcucha dostaw

Transkrypt

1 Strona 1 z 11 Metodyka szacowania ryzyka bezpieczeństwa łańcucha dostaw Szacowanie ryzyka 1/11

2 Strona 2 z 11 Szacowanie ryzyka Praktyczny przewodnik Podstawowe pojęcia Szacowanie ryzyka całościowy proces analizy i oceny ryzyka Ryzyko prawdopodobieństwo wystąpienia zagrożenia, które, wykorzystując podatność(ci) aktywu, może doprowadzić do jego uszkodzenia lub zniszczenia. Aktyw wszystko to, co ma wartość dla organizacji Elementy szacowania ryzyka Poniżej zaprezentowane są elementy składowe ryzyk, które są brane pod uwagę w procesie szacowania ryzyka. Są nimi aktywa, ich wartość, potencjalne zagrożenia, prawdopodobieństwa wystąpienia tych zagrożeń, podatności aktywu na zagrożenie, wpływ zagrożenia na bezpieczeństwa łańcucha dostaw oraz stosowane zabezpieczenia. Wzajemne relacje pomiędzy poszczególnymi elementami obrazuje poniższy schemat: Rysunek 1. Struktura analizy ryzyka (opracowanie własne) Szacowanie ryzyka 2/11

3 Strona 3 z 11 Kroki szacowania ryzyka Krok 1 Identyfikacja aktywów Kluczowym elementem procesu szacowania ryzyka są aktywa. Oznacza to, że należy przeprowadzić inwentaryzację aktywów organizacji i określić ich wartość dla organizacji. Podczas określania wartości aktywu należy rozważyć, jaki wpływ na funkcjonowanie organizacji będzie miała jego utrata, naruszenie, awaria lub inne problemy z nim związane. Im większy wpływ tym większa wartość aktywu. Wartość najlepiej oceniać z punktu widzenia znaczenia dla zapewnienia ciągłości biznesu i jego bezpieczeństwa. Wyniki najlepiej wyrażać w konkretnych wartościach finansowych, ale ponieważ w przypadku takich aktywów jak wizerunek firmy czy też wiedza pracowników trudno jest określić ich wartość kwotowo, możemy przyjąć inny sposób oceny wartości względną ocenę istotności aktywu w stosunku do pozostałych aktywów. Stosując skalę np. czterostopniową, ważne jest określenie znaczenia poszczególnych wystąpień. Tabela 1. Bardzo duża Znacząca Średnia Pomijalna Istotność aktywu utrata lub naruszenie bezpieczeństwa aktywu powoduje przerwanie ciągłości procesów biznesowych utrata lub naruszenie bezpieczeństwa aktywu może mieć wpływ na realizację procesów biznesowych utrata lub naruszenie bezpieczeństwa aktywu powoduje utrudnienia w normalnym funkcjonowaniu procesu biznesowego utrata lub naruszenie bezpieczeństwa aktywu nie ma wpływu na funkcjonowanie procesu biznesowego gdzie pozycja Bardzo duża oznacza najwyższą istotność, a Pomijalna najniższą istotność. Krok 2 Identyfikacja zagroŝeń Chcąc zabezpieczyć nasze aktywa, należy wiedzieć, przed czym chcemy je zabezpieczać, czyli jakie zagrożenia mogą wystąpić w przypadku konkretnego aktywu. Dobrą praktyką jest wskazywanie Szacowanie ryzyka 3/11

4 Strona 4 z 11 przede wszystkim rzeczywistych zagrożeń tzn. takich, które mogą wystąpić i występują w organizacji (konkretne awarie, braki zasilania, kradzieże, napady, uszkodzenia, braki wymaganych dokumentów, ludzie i ich kompetencje, wiedza, umiejętności, błędy itp), a nie tylko takich, które łatwo wymienić (zamach terrorystyczny, zrzut paliwa przez lądujące awaryjnie samoloty - tam gdzie nie ma lotniska) itp. Z punktu widzenia kompletności szacowania ryzyka powinna być brana pod uwagę jak największa liczba zagrożeń (również tych mało prawdopodobnych), ale należy pamiętać, że istotnym elementem procesu analizy ryzyka jest możliwość uzyskania aktualnych i miarodajnych wyników. Zbyt rozbudowana analiza o mniej istotne elementy może spowodować, że w momencie jej zakończenia już będzie nieaktualna. Krok 3 Określenie prawdopodobieństwa Nie wszystkie zagrożenia występują tak samo często, stąd wprowadzone zostało pojęcie prawdopodobieństwa wystąpienia zagrożenia. Awarie urządzeń, czy brak zasilania są na pewno częstsze niż pożary czy zrzuty paliwa przez lądujące awaryjnie samoloty. Jakie przyjąć stopniowanie określania prawdopodobieństwa, to oczywiście zależy od struktury organizacji, jej branży i wielkości. Dobrą praktyką, która sprawdziła się w czasie szacowania ryzyka w prowadzonych wdrożeniach w firmach rynku MSP (małe i średnie przedsiębiorstwa), jest stosowanie skali nie większej niż 3-stopniowa, np: Wysokie, Średnie, Pomijalne, gdzie: Tabela 2. Wysokie Średnie Pomijalne Prawdopodobieństwo wystąpienia zagrożenia występuje często (np. raz w miesiącu) lub regularnie z ustaloną częstotliwością lub jest bardzo prawdopodobne wystąpiło w ostatnim roku lub zdarza się nieregularnie lub jest prawdopodobne nie wystąpiło ani razu w ciągu ostatniego roku lub jest nieprawdopodobne gdzie prawdopodobieństwo Wysokie oznacza najwyższe prawdopodobieństwo, a Pomijalne najniższe. Szacowanie ryzyka 4/11

5 Strona 5 z 11 Krok 4 Określenie podatności Jeśli wiemy już, co chronimy (aktywa), dlaczego (istotność), przed czym (zagrożenia), to należy jeszcze określić słabe strony naszych aktywów tzn. cechy i/lub właściwości aktywu, które mogą zostać wykorzystane przez zagrożenie. Papier chronimy przez spaleniem, ponieważ nie jest odporny na ogień wprost przeciwnie - jest podatny na spalenie. Konkretne urządzenie jest zagrożone wystąpieniem awarii, ponieważ pracuje 24 h na dobę (podatność ciągła praca) lub w trudnych warunkach (podatność trudne warunki pracy: zapylenie, inne). Po co określać podatności? Jeśli z analizy ryzyka uzyskamy wynik, że ryzykownym aktywem jest np. budynek, a zagrożeniem ulewna burza to przy wskazanej podatności niedrożna kanalizacja deszczowa otrzymujemy wyraźną sugestię, że należy wdrożyć zabezpieczenia związane z możliwością podtopienia budynku z powodu niedrożnej kanalizacji, np. okresowe udrażnianie/przegląd owej kanalizacji. Krok 5 Określenie wpływu zagroŝenia a poziom zabezpieczeń Ostatnimi elementami domykającymi analizę są kwestie związane z oceną wpływu zagrożenia na aktyw oraz określenie poziomu wdrożonych zabezpieczeń. Tabela 3. Krytyczny Średni Pomijalny Nie dotyczy Wpływ/skutek wystąpienia zagrożenia wystąpienie zagrożenia powoduje wystąpienia efektu biznesowego, wysoki koszt, utrata wizerunku firmy, brak możliwości realizacji zadań wystąpienie zagrożenia może mieć efekt biznesowy lub stanowi duże utrudnienie w pracy wystąpienie zagrożenia nie powoduje wystąpienia żadnego efektu biznesowego lub jest on marginalny Wystąpienie zagrożenia nie ma wpływu na aktywo gdzie wpływ Krytyczny oznacza najwyższą wartość (największy wpływ), a Nie dotyczy najniższą wartość (najmniejszy wpływ); Szacowanie ryzyka 5/11

6 Strona 6 z 11 Tabela 4. Wysoki Średni Niski Nie dotyczy Poziom zabezpieczeń występujące zabezpieczenie chroni skutecznie przed wskazanymi zagrożeniami występują częściowe zabezpieczenia, które chronią tylko wybrane obszary lub nie są w pełni skuteczne. praktycznie brak jest jakichkolwiek zabezpieczeń lub są one nieskuteczne Wystąpienie zagrożenia nie ma wpływu na aktywo gdzie poziom Wysoki oznacza najwyższą wartość (najwyższy poziom zabezpieczeń), a Nie dotyczy najniższą wartość (najniższy poziom zabezpieczeń); Krok 6 Określenie ryzyka szczątkowego Ryzyko aktywu wskazuje nam na ile obawiamy się realnej utraty bezpieczeństwa tego aktywu na tle pozostałych aktywów w sytuacji, kiedy nie stosujemy jeszcze żadnych zabezpieczeń. Lista aktywów, posortowana wg ich ryzyk, stanowi podstawę do określenia, jakie zabezpieczenia powinny być wybrane w celu ochrony najbardziej ryzykownych aktywów. W celu uzyskania porównywalnych ze sobą ryzyk aktywów, należy ustalić sposób ich obliczania. Żeby móc obliczyć ich wartość należy podstawić do poniższego wzoru wartości liczbowe przypisane do poszczególnych pozycji. Wielkości nie są istotne, ważna jest ich powtarzalność. Ryzyko aktywu jest obliczane wg następującego wzoru: gdzie: R a = Σ(W a x Pw z ) R a ryzyko aktywu W a wpływ (skutek) zmaterializowania się zagrożenia (uzależniony od istotności aktywu, jego zagrożeń, podatności), rozumiany jako; W a =Σ p (W *W pd ) gdzie: Szacowanie ryzyka 6/11

7 Strona 7 z 11 Σ p suma wg podatności W - wpływ zagrożenia na biznes Pw z prawdopodobieństwo wystąpienia zagrożenia Po wyborze i wdrożeniu zabezpieczeń należy ponownie przeprowadzić szacowanie ryzyka, ale już z uwzględnieniem poziomów zabezpieczeń, jakie wg nas zostały zapewnione dzięki wdrożonym zabezpieczeniom są to ryzyka szczątkowe. Ryzyko szczątkowe natomiast obliczane jest wg następującego wzoru: R sa = W sa x Pw z gdzie: R sa ryzyko szczątkowe W sa wpływ (skutek) zmaterializowania się zagrożenia (uzależniony od istotności aktywu, jego zagrożeń, podatności oraz zastosowanych zabezpieczeń); W a =Σ p (W/Z *W pd ); gdzie: Z poziom zabezpieczeń przed wpływem zagrożenia W efekcie uzyskujemy ryzyka szczątkowe aktywów, dla których kierownictwo organizacji określa i akceptuje poziom ryzyka akceptowalnego jako ustaloną wartość ryzyka, poniżej którego ryzyka aktywów zostają uznane za akceptowalne. Szacowanie ryzyka 7/11

8 Strona 8 z Wynik szacowania ryzyka Ryzyka szczątkowe aktywów Ryzyko szczątkowe Poziom ryzyka akceptowalnego Aktyw 1 Aktyw 2 Aktyw 3 Aktyw 4 Aktyw 5 Aktyw 6 Aktyw 7 Aktyw 8 Aktywa Określenie poziomu ryzyka akceptowalnego w zasadzie kończy etap szacowania ryzyka, kolejnym krokiem jest przygotowanie planów, mających na celu obniżenie ryzyk szczątkowych aktywów, których ryzyko szczątkowe jest większe od ustalonej wartości ryzyka akceptowalnego. Zestawienie aktywów wg ryzyka (bez zabezpieczeń) wyznacza nam listę aktywów najbardziej ryzykownych dla organizacji tzw. stan 0. Na podstawie tej listy powinno się dobierać odpowiednie zabezpieczenia (uwzględniając istniejące), natomiast na podstawie ryzyk szczątkowych przygotować plan postępowania z ryzykiem. Sposób realizacji Żeby wyniki analizy ryzyka były kompletne i obejmowały wszystkie rozpatrywane zagadnienia w organizacji, powinny być przygotowywane przy współudziale osób reprezentujących wszystkie obszary funkcjonowania organizacji, będące w analizowanym zakresie, np: Zarządzanie firmą Spedycja Szacowanie ryzyka 8/11

9 Strona 9 z 11 Finansowo-Księgowy Zasoby ludzkie IT Ochrona fizyczna Administracja Dział Prawny itp. Osoby reprezentujące poszczególne obszary (właściciele aktywów) są odpowiedzialne za przygotowanie cząstkowym analiz ryzyka, obejmujących aktywa w swoim obszarze i przekazanie ich do wskazanej osoby, która po scaleniu uzyska wyniki analizy dla całej organizacji. Podsumowanie Podsumowując, zadaniem procesu szacowania ryzyk aktywów jest wskazanie aktywów najbardziej zagrożonych w firmie (miejsc o relatywnie wysokim prawdopodobieństwie zmaterializowania się zagrożenia), dzięki czemu wiemy, którymi aktywami należy się zająć w pierwszej kolejności i wdrożyć dla nich zabezpieczenia (fizyczne, techniczne lub organizacyjne). Wdrożenie zabezpieczeń może wiązać się z koniecznością przeznaczenia dodatkowych funduszy na ten cel. Wyniki szacowania są podstawą do uzasadnienia kierownictwu, dlaczego należy wydać pieniądze i dlaczego zabezpieczamy właśnie te, a nie inne aktywa. Poniższy schemat prezentuje całościowy proces zarządzania ryzykiem, gdzie identyfikacja aktywów i zmian, oraz szacowanie ryzyka są jego częścią. Szacowanie ryzyka 9/11

10 Strona 10 z Zarządzanie ryzykiem Po wprowadzeniu zabezpieczeń ponownie szacujemy ryzyko (aktualizacji podlega poziom zabezpieczeń) i ponownie otrzymujemy listę aktywów i ich ryzyk, które kierownictwo akceptuje, lub też nie akceptuje i należy określić kolejne zabezpieczenia. Jak często naleŝy przeprowadzać proces szacowania ryzyka? Dobre praktyki sugerują przeprowadzanie przeglądu zarządzania nie rzadziej niż raz w roku, a ponieważ wejściem na przegląd jest również raport z analizy ryzyka stąd w ten sposób określono niezbędną minimalną częstotliwość aktualizacji ryzyk. Z drugiej jednak strony norma wskazuje konieczność aktualizacji analizy po każdej zmianie, która może mieć wpływ na funkcjonujący system zarządzania. Wsparcie informatyczne Podczas przeprowadzania procesu szacowania ryzyka ułatwieniem jest wykorzystanie oprogramowania wspomagającego szacowanie ze względu na ilość danych, które należy wziąć pod uwagę. Przykładem takiego oprogramowania jest Certus Risk Analyzer firmy Centrum Doskonalenia Zarządzania Meritum, dostępny w wersji demo (tzn. bez możliwości zapisu wyników pracy) pod adresem którego zasady funkcjonowania są oparte o omawianą w tym opracowaniu metodykę. Szacowanie ryzyka 10/11

11 Strona 11 z 11 Literatura 1. PN ISO/IEC 27001:2007 Systemy zarządzania bezpieczeństwem informacji, PKN, PN ISO/IEC 17799:2005 Praktyczne zasady zarządzania bezpieczeństwem informacji, PKN, ISO 28000:2007 Specification for security management systems for the supply chain, ISO ISO/IEC TR część 1 do 4 Wytyczne do zarządzania bezpieczeństwem systemów informatycznych, PKN, 5. The Security Risk Management Guide, Microsoft Corporation, Threat and Risk Assessment Working Guide, Government of Canada, Communications Security Establishment, 1999; Szacowanie ryzyka 11/11