ZARZĄDZANIE RYZYKIEM IT

Transkrypt

1 Karol Kreft ZARZĄDZANIE RYZYKIEM IT Streszczenie W artykule przedstawiono strategie zarządzania ryzykiem IT. Poka- zano ilościowe i jakościowe metody analizy ryzyka. Opisano wyznaczenie wartości optymalnego ze względów ekonomicznych poziomu ryzyka w systemie informatycznym. Wstęp Wszystkie decyzje dotyczące funkcjonowania systemów informatycznych obciążone są ryzykiem. Konieczność zarządzania ryzykiem wynika z coraz więk- szej i coraz trudniej przewidywalnej zmienność zagrożeń w systemach informa- tycznych. W takich warunkach bezpieczeństwo informacyjne przedsiębiorstwa uzależnione jest od tego, jak szybko służby informatyczne potrafią zidentyfiko- wać nowe zagrożenia, a następnie uruchomić działania mające na celu eliminację zagrożeń. Zarządzanie ryzykiem IT jest procesem, którego struktura zależy do ekspo- zycji systemu informatycznego na zagrożenia oraz od strategii jaką w tym zakre- sie realizują służby informatyczne. Im bardziej system informatyczny narażony jest na zagrożenia, tym bardziej złożone i różnorodne działania muszą być podję- te, aby zapewnić bezpieczeństwo informacyjne. W procesie zarządzania ryzykiem IT możemy wyróżnić cztery etapy, a mia- nowicie: identyfikację ryzyka, pomiar i analizę ryzyka, sterowanie ryzykiem, monitorowanie i kontrolę ryzyka. Pierwszy etap procesu zarządzania ryzykiem to rozpoznanie czynników ry- zyka. Takie podejście umożliwia przede wszystkim określenie przyczyny

2 182 Karol Kreft i charakteru różnych rodzajów ryzyka występującego w wyodrębnionych obsza- rach systemu informatycznego. Drugi etap to proces szacowania prawdopodobieństwa wystąpienia zdefi- niowanych rodzajów ryzyka, a także określenie wartości prawdopodobnych strat. W systemach informatycznych określenie wartości strat jest zadaniem bar- dzo złożonym. Zastosowanie mało precyzyjnych miar daje jedynie możliwość określenia, które ryzyko jest większe, a które jest mniejsze. W tym etapie definiu- jemy również poziomy poszczególnych rodzajów ryzyka, jakie mogą być zaak- ceptowane. Trzeci etap to sterowanie ryzykiem. W ramach tego etapu realizowane są działania redukujące ryzyko w systemach informatycznych. Do ważniejszych metod sterowania ryzykiem zaliczymy: redukcję lub eliminację ryzyka, transfer ryzyka, podjęcie ryzyka. Przedstawione metody sterowania ryzykiem wymagają aktywnych działań wobec ryzyka. Przyjęcie postawy biernej jest unikaniem ryzyka i może skutko- wać doprowadzeniem do utraty bezpieczeństwa systemu informatycznego przedsiębiorstwa. Ostatni etap to ciągłe monitorowanie i kontrola ryzyka. Podejmowane dzia- łania mają na celu sprawdzenie jak skuteczny jest proces zarządzania ryzykiem. Stwierdzenie nieprawidłowości jest sygnałem do podjęcia działań naprawczych. Pomiędzy etapami zarządzania ryzykiem powinno występować sprzężenie zwrotne w celu ciągłego doskonalenia całego procesu. Proces zarządzania ryzykiem nie przebiega tak samo we wszystkich syste- mach informatycznych. Niektóre przedsiębiorstwa ograniczają zarządzanie ryzy- kiem tylko do identyfikacji i analizy zagrożeń. Ważne jest, że o zarządzaniu ryzykiem w systemach informatycznych mo- żemy mówić dopiero wtedy, kiedy kadra zarządzająca wykazuje postawę ak- tywną wobec ryzyka. Forma i zakres procesu zarządzania ryzykiem IT zależy od charakteru przedsiębiorstwa oraz znaczenia systemu informatycznego dla pro- wadzonej działalności gospodarczej. Zarządzanie ryzykiem jest procesem podej- mowania decyzji i realizacji działań prowadzących do osiągnięcia akceptowane- go poziomu ryzyka. Zarządzanie ryzykiem to również strategiczna umiejętność, bez której nie można zbudować bezpiecznego systemu informacyjnego przedsię- biorstwa.

3 1. Strategie zarządzania ryzykiem IT Zarządzanie ryzykiem IT 183 Zarządzanie ryzykiem IT dostarcza informacji niezbędnych w procesie op- tymalizacji strat związanych z ryzykiem i nakreśla architekturę systemów bez- pieczeństwa. Strategia wyboru sposobu zarządzania ryzykiem powinna zagwarantować odpowiedni poziom bezpieczeństwa oraz wskazać najbardziej krytyczne obszary działań związanych z redukcją ryzyka. W pierwszej kolejności należy określić kryteria wyboru metody zarządzania ryzykiem dla danego systemu informa- tycznego. Bazując na wytycznych Raportu Technicznego ISO/IEC , można wy- różnić cztery strategie. Strategia podstawowego poziomu bezpieczeństwa. Strategia zakłada stoso- wanie standardowych zabezpieczeń bez względu na zagrożenia i znaczenie poszczególnych elementów system informatycznego dla działalności przed- siębiorstwa. Nieformalna analiza ryzyka. Strategia opiera się na metodach struktural- nych. Wykorzystuje wiedzę i doświadczenie ekspertów. Podejście to może być skuteczne jedynie w małych przedsiębiorstwach. Szczegółowa analiza ryzyka. Strategia wymaga dokładnej identyfikacji zaso- bów, analizy zagrożeń oraz podatności. Wyniki tych działań tworzą prze- słanki do oszacowania ryzyka i wyboru najbardziej efektywnych zabezpie- czeń. Strategia mieszana. Strategia mieszana polega na przeprowadzeniu wstępnej analizy ryzyka w celu wskazania zasobów, które wymagają szczegółowej analizy ryzyka oraz zasobów, w których wystarczy zastosować strategię pod- stawowego poziomu bezpieczeństwa. Strategia mieszana jest kombinacją po- dejścia podstawowego poziomu bezpieczeństwa i szczegółowej analizy ryzy- ka. Przedstawione warianty zarządzania ryzykiem w systemach informatycz- nych różnią się stopniem szczegółowości analizy ryzyka. Wybór strategii zarzą- dzania ryzykiem IT powinien uwzględniać skutki potencjalnych incydentów wynikających z oddziaływania ryzyka. Wybór właściwej strategii zarządzania ryzykiem IT umożliwia planowanie skuteczniejszych audytów. Pozwala na wskazanie obszarów, które w pierwszej kolejności powinny być poddane audytowi. Właściwa strategia zarządzania ryzykiem IT wspiera skutecznie proces po- dejmowania decyzji dotyczących: strategii postępowania z ryzykiem, wyboru narzędzi redukcji ryzyka, oceny zasadności przeniesienia ryzyka, unikania ryzyka.

4 184 Karol Kreft Przy wyborze strategii należy brać do uwagę również wielkość niezbędnych zasobów do przeprowadzania analizy ryzyka. Wybrana strategia zarządzania ryzykiem IT powinna być opisana w polity- ce bezpieczeństwa przedsiębiorstwa. 2. Wartość ryzyka w systemach IT Oszacowanie wartości ryzyka w systemach informatycznych jest niezbędne przy podejmowaniu skutecznych decyzji dotyczących bezpieczeństwa. Znana wartość ryzyka pozwala wybrać odpowiedni rodzaj zabezpieczeń w stosunku od chronionego zasobu, a także świadomie akceptować określony poziom ryzyka. Oszacowanie ryzyka możliwe jest poprzez oszacowanie prawdopodobień- stwa i skutków wystąpienia incydentu naruszającego bezpieczeństwo. Do oszacowania ryzyka w systemach informatycznych wykorzystujemy metodę ilościową i jakościową Metoda ilościowa Wartość ryzyka przy wykorzystaniu metody ilościowej wyrażona jest za pomocą skali liczbowej lub bezpośrednio w jednostce walutowej jako przewidy- wana wielkość strat związanych z danym rodzajem ryzyka. Zaletą wyrażania wartości ryzyka w jednostce walutowej jest możliwość porównania przewidywanych strat z kosztami zabezpieczeń. W podejściu klasycznym (Courtneya) wielkość ryzyka jest iloczynem czę- stości zdarzenia niekorzystnego i wielkości konsekwencji nim spowodowanych. W systemach informatycznych trudno zdobyć dane dotyczące częstości zdarzeń niekorzystnych. Przyjęto założenie, że możliwość wystąpienia zdarzenia EP(i) (Event Possi- bility) zależna jest od powagi podatności VS(i) i powagi zagrożenia TS(i). Tak więc iloczyn powagi zagrożenia, wyrażającej częstość zdarzenia inicjującego, oraz powagi podatności, wyrażającej prawdopodobieństwo niezadziałania zabezpie- czenia, szacuje możliwość wystąpienia zdarzenia EP(i). VS( i)* TS( i) EP ( i) = VS TS max * max (1) gdzie: VS(i) powaga podatności wyrażająca prawdopodobieństwo niezadziałania zabezpieczenia (Vulnerability Severity Level) VSmax maksymalna wartość powagi podatności TS(i) powaga zagrożenia wyrażająca częstość zdarzenia inicjującego (Threat Severity Level)

5 TSmax maksymalna wartość powagi zagrożenia Zarządzanie ryzykiem IT 185 Szacowanie ryzyka jest wielokrotnie powtarzalne przy założeniu, że wystę- pują porównywalne warunki. Działania tego typu pozwalają na podejmowanie trafnych decyzji dotyczących wyboru zabezpieczenia. Kolejne analizy i związane z nimi parametry cząstkowe będą oznaczone za pomocą indeksu (i), umożliwia to porównywanie scenariuszy i śledzenie wielkości ryzyka w czasie. Efektywność zabezpieczenia SE(i+1) w literaturze jest definiowana jako: SE ( i + 1) = EP( i) EP( i + 1) (2) Analizując kolejne wartości EP(i) oraz EP(i+1), można ocenić skutki działań zabezpieczających. SE(i+1) < 0 nastąpił wzrost ryzyka, działania obniżyły bezpieczeństwo systemu SE(i+1) = 0 ryzyko nie uległo zmianie, brak wpływu działań na bezpie- czeństwo systemu SE(i+1) > 0 nastąpiło obniżenie ryzyka, działania podniosły bezpieczeń- stwo systemu Trudno jest precyzyjnie oszacować ryzyko w systemach informatycznych ze względu na brak możliwości uzyskania wszystkich dokładnych danych. Dla nie- których chronionych zasobów wyrażenie strat w jednostce walutowej jest bardzo trudne. Dotyczy to np. utraty poufności informacji. W celu ustalenia wartości strat spowodowanych utratą poufności należy określić wpływ informacji dla prawidłowej realizacji danego procesu biznesowego oraz znaczenie tego procesu dla funkcjonowania przedsiębiorstwa. Wartość utraty poufności informacji można szacować na podstawie poten- cjalnych strat, które wystąpiłyby, gdyby chronione informacje zostały ujawnione, nielegalnie zmienione lub utracone. Straty te mogą wpłynąć bezpośrednio na utratę obrotu i zmniejszenie zysku. Również bardzo trudno jest wyrazić w jednostce walutowej utratę dobrego wizerunku przedsiębiorstwa lub stratę wiarygodności wśród klientów Metoda jakościowa Metoda jakościowa analizy ryzyka bazuje na kryteriach bezpieczeństwa in- formacji, takich jak: poufność, dostępność integralność.

6 186 Karol Kreft Pełna analiza ryzyka może być realizowana oddzielnie dla każdego z wy- mienionych kryteriów. Dla celów analizy jakościowej ustala się skalę wartości informacji np.: nie- istotna, niska, średnia, wysoka, bardzo wysoka. Dla każdego typu zagrożenia należy określić częstotliwość występowania, używając predefiniowanej skali, która może być różna do przyjętej dla wartości informacji. Ponadto dla każdego badanego zasobu i każdego typu zagrożenia należy ocenić podatność, stosując umowną skalę. Każdej z wcześniej przyjętych skal przypisuje się wartości numeryczne. R = W + F + V (3) R W F V jakościowa wartość ryzyka wartość utraty informacji częstotliwość występowania zagrożenia podatność danego zasobu informatycznego na dane zagrożenie W celu podniesienia dokładności kategoryzacji ryzyka w systemie informa- tycznym można przyjąć szerszą skalę wartości np. od 1 do Efektywność ekonomiczna zarządzania ryzykiem IT Efektywność ekonomiczną zarządzania ryzykiem można określić jako dąże- nie do optymalizacji całkowitych kosztów związanych z ryzykiem informatycz- nym. Większość droższych zabezpieczeń działa bardziej skutecznie. Nie można zredukować ryzyka do zera, ponieważ nie ma niezawodnych urządzeń. Na początku krzywej niewielki koszt zabezpieczeń powoduje znaczne pod- niesienie poziomu bezpieczeństwa. Jednak od pewnego momentu zwiększenie kosztu zabezpieczenia w niewielkim stopniu podnosi bezpieczeństwo. W przypadku systemu informatycznego wartość ryzyka jest zależna od: wartości chronionego zasobu, prawdopodobieństwa wystąpienia zagrożenia, powagi podatności, prawdopodobieństwa niezadziałania zabezpieczenia.

7 Zarządzanie ryzykiem IT 187 Rysunek 1. Zależność między poziomem bezpieczeństwa a kosztem zabezpieczeń Źródło: Opracowanie własne. koszt zabezpieczeń Rysunek 2. Zależność między ryzykiem wyrażonym w jednostce walutowej a kosztem zabezpieczenia Źródło: Opracowanie własne.

8 188 Karol Kreft Na problem efektywnego ekonomicznie procesu zarządzania ryzykiem na- leży spojrzeć, analizując koszt zabezpieczenia i ryzyko wyrażone w jednostkach walutowych. Efektywność ekonomiczną procesu zarządzania ryzykiem IT można określić jako dążenie do minimalizacji sumy ryzyka wyrażonego w jednostce walutowej i kosztu zabezpieczenia. Rysunek 3. Koszt zabezpieczenia, ryzyko wyrażone w jednostce walutowej, suma ryzyka wyrażonego w jednostce walutowej i kosztu zabezpieczenia Źródło: Opracowanie własne. Optymalną ekonomicznie wartość ryzyka można wyznaczyć, korzystając z krańcowego kosztu zabezpieczenia i krańcowego ryzyka. Krańcowy koszt zabezpieczenia MSC (Marginal Safeguard Cost) SC(i) koszt zabezpieczenia MSC(i)= SC(i+1)-SC(i) (4) Krańcowe ryzyko wyrażone w jednostce walutowej (Marginal Risk Valu- Currency) MRVC(i)= RVC(i)-RVC(i+1) (5) RVC(i) ryzyko wyrażone w jednostce walutowej

9 Zarządzanie ryzykiem IT 189 Optymalna ekonomicznie wartość ryzyka w systemie informatycznym jest wyznaczona na podstawie zależności: MSC(i)=MRVC(i) (6) Warunek ten jest zgodny z założeniem minimalizacji sumy kosztu zabezpie- czenia i ryzyka wyrażonego w jednostce walutowej. Jeżeli krańcowy koszt zabezpieczenia jest mniejszy niż krańcowe ryzyko wyrażone w jednostce walutowej, należy zwiększać nakłady na zabezpieczenia. W sytuacji odwrotnej, gdy krańcowy koszt zabezpieczenia jest większy niż krań- cowe ryzyko wyrażone w jednostce walutowej, należy zmniejszyć nakłady na zabezpieczenia. Jest to przypadek zbyt silnie zabezpieczonego ze względów eko- nomicznych systemu informatycznego (wysokie i nieuzasadnione koszty zabez- pieczeń). Dążenie do całkowitej redukcji ryzyka w systemie informatycznym jest eko- nomicznie niezasadne. Od pewnego momentu szybciej rosną koszty zabezpie- czeń niż redukcja ryzyka wyrażonego w jednostce walutowej. Prawidłowo określony koszt zabezpieczenia uwzględnia: koszty związane z ryzykiem po zastosowaniu przewidzianych środków re- dukcji lub transferu ryzyka, koszty wdrażania i eksploatacji środków redukcji lub transferu ryzyka, koszty związane z procesem zarządzania ryzykiem (gromadzenie danych, analiz ryzyka, wsparcie konsultantów zewnętrznych, kontrola). W zarządzaniu ryzykiem IT należy uwzględnić, iż sama analiza ryzyka mo- że generować znaczne koszty. W celu uzyskania dokładniejszych wyników nale- ży przeznaczyć na analizę więcej zasobów, zgromadzić więcej danych, zatrudnić wykwalifikowaną kadrę. Jednak jeżeli nie przeprowadzono analizy ryzyka, nie jest znana wartość tego ryzyka. Nie wiemy, czy koszty związane z analizą ryzyka są uzasadnione. Może się zdarzyć, że koszty analizy ryzyka są wyższe niż straty generowane przez ryzyko poddane analizie. Rozwiązaniem tego problemu jest przeprowadzenie dwuetapowej analizy ryzyka. W pierwszym etapie można wstępnie oszacować jak szczegółowy powi- nien być drugi etap analizy. Takie podejście pozwala wstępnie oszacować środki, jakie warto zaangażować w analizę ryzyka. Przeprowadzenie bardzo szczegółowej analizy ryzyka w systemie IT może generować zbyt duże koszty, natomiast zbyt mało szczegółowa analiza ryzyka może być nieskuteczna. Problem zachowania równowagi pomiędzy tymi wa- riantami jest trudny i wymaga dużego doświadczenia w tym zakresie. Podobnie jest w przypadku transferu ryzyka. Wykupienie ubezpieczenia jest uzasadnione tylko wtedy, gdy generuje mniejsze koszty w porównaniu z kosztem wdrożenia i utrzymania zabezpieczenia.

10 190 Karol Kreft 4. Graficzna mapa ryzyka Wynikiem analizy ryzyka w systemie informatycznym może być zestaw zidentyfikowanych i sklasyfikowanych pod względem priorytetów ryzyk. Z praktycznego punktu widzenia wizualizacja ryzyk pozwala na trafniejsze podejmowanie decyzji dotyczących bezpieczeństwa. Zobrazowany zestaw in- formacji o ryzykach może być istotny w tworzeniu polityki bezpieczeństwa przedsiębiorstwa. Jedną z graficznych form opisu ryzyka jest tzw. mapa ryzyka, która klasyfi- kuje obszary ryzyka według ich znaczenia dla przedsiębiorstwa. Mapa ryzyka to umiejscowienie poszczególnych ryzyk w układzie współ- rzędnych. Na osi pionowej układu współrzędnych oznacza się wartość skutków ryzyka, a na osi poziomej prawdopodobieństwo wystąpienia danego zdarzenia. Rysunek 4. Postępowanie z ryzykiem na podstawie mapy ryzyka Źródło: Opracowanie własne na podstawie S. Szuber, Analiza ryzyka w zarządzaniu bezpieczeństwem informacji, seminarium ISACA, Poznań Ryzyka umieszczane są w odpowiednim miejscu układu współrzędnych w zależności od wyznaczonych wartości prawdopodobieństwa i skutków. Taka forma wizualizacji ryzyka pozwala na prezentację głównych czynników stano- wiących zagrożenie dla systemu informatycznego. Położenie ryzyka w poszczególnych ćwiartkach mapy stanowi wskazówkę odnośnie do dalszego postępowania z ryzykiem.

11 Zarządzanie ryzykiem IT 191 Tworzenie mapy ryzyka, czyli szacowanie prawdopodobieństwa oraz skut- ków pojedynczych incydentów jest trudne ze względu na brak danych bazują- cych na wiarygodnych badaniach statystycznych. Przy opracowywaniu mapy ryzyka możemy wykorzystać informacje po- chodzące z kilku źródeł. Doświadczenie własnych służb informatycznych. Jeżeli przedsiębiorstwo korzysta z setek komputerów, to można założyć, że liczba incydentów będzie dostatecznie duża, aby na tej podstawie oszacować prawdopodobieństwo zdarzeń. Natomiast liczba incydentów związanych z klęskami żywiołowymi, nawet w przypadku dużych organizacji, może być zbyt mała do oszacowa- nia prawdopodobieństwa. Statystyki producentów. Źródłem danych na temat prawdopodobieństwa awarii sprzętu komputerowego mogą być statystki producentów. Parame- trem, który świadczy o poziomie niezawodności danego urządzenia jest MTBF (średni czas bezawaryjnej pracy). Parametr ten jest podawany w go- dzinach i pozwala oszacować prawdopodobieństwo awarii danego urządze- nia. Statystyki zewnętrznych wyspecjalizowanych instytucji. Istotnym źródłem informacji mogą być statystyki dotyczące pożarów i katastrof przemysłowych publikowane przez straż pożarną. Wymiana danych między organizacjami. Możliwa jest wymiana informacji pomiędzy organizacjami o podobnym profilu działalności. Metoda delficka. Oszacowanie realizowane jest na podstawie wiedzy, do- świadczenia oraz intuicji poszczególnych ekspertów. Wyniki są zapisywane w odpowiednim formularzu i uśredniane. Podejście takie pozwala ograni- czyć czynnik subiektywny w budowie oceny ryzyka. Ocena konsultantów zewnętrznych. Rozwiązanie jest przydatne, jeżeli przedsiębiorstwo nie dysponuje własnymi specjalistami z zakresu bezpie- czeństwa. Konsultanci zewnętrzni przede wszystkim muszą poznać specyfi- kę danego systemu informatycznego oraz wszystkie uwarunkowania mające wpływy na funkcjonowanie przedsiębiorstwa. Metoda symulacyjna. Dane uzyskuje się za pomocą symulacji komputerowej modeli systemów rzeczywistych. Ważne jest, aby zbudowana mapa ryzyka systemu informatycznego ujmo- wała całokształt istotnego ryzyka dla przedsiębiorstwa i stanowiła podstawę do analizy ryzyka. Zakończenie Szybki rozwój technologii komputerowej wymusza weryfikację wielu po- glądów dotyczących bezpieczeństwa systemów informatycznych. Zarządzanie

12 192 Karol Kreft ryzykiem w systemach informatycznych jest obecnie fundamentem umożliwiają- cym podejmowanie skutecznych decyzji dotyczących bezpieczeństwa. Systema- tyczne powtarzanie analizy ryzyka w systemach informatycznych pozwala na ustalenie wytycznych dotyczących rozwoju zabezpieczeń oraz weryfikację sku- teczności dotychczasowych działań. Przeprowadzanie analizy ryzyka jest pod- stawą do określenia optymalnego ekonomicznie poziomu ryzyka w systemie in- formatycznym. Podsumowując, warto zaznaczyć, że mało precyzyjne i błędne zarządzanie ryzykiem IT może być przyczyną fałszywego poczucia bezpieczeństwa. Literatura 1. Białas A., Bezpieczeństwo informacji i usług w nowoczesnej instytucji i firmie, Wydawnic- two Naukowo- Techniczne, Warszawa Brown E.M., Chong Y.Y., Zarządzanie ryzykiem projektu, Dom Wydawniczy ABC, Warszawa Drury C., Rachunek kosztów, Wydawnictwo Naukowe PWN, Warszawa Jajuga K., Zarządzanie ryzykiem, Wydawnictwo Naukowe PWN, Warszawa Kreft K., Ekonomicznie optymalne koszty utrzymania zabezpieczeń w systemie ochrony in- formacji, Oficyna Wydawnicza Polskiego Towarzystwa Zarządzania Produkcją, Opole Lech P., Metodyka ekonomicznej oceny przedsięwzięć informatycznych wspomagających zarządzanie organizacją, Wydawnictwo Uniwersytetu Gdańskiego, Gdańsk Liderman K., Analiza ryzyka i ochrona informacji w systemach komputerowych, Wydaw- nictwo Naukowe PWN SA, Warszawa Pipkin D., Bezpieczeństwo informacji. Wydawnictwo Naukowo- Techniczne, Warsza- wa Ross A., Inżyniera zabezpieczeń, Wydawnictwo Naukowo- Techniczne, Warszawa Szczepankiewicz P., Analiza ryzyka w środowisku informatycznym do celów zarządzania ryzykiem operacyjnym, Monitor Rachunkowości i Finansów 2006, nr 6, IT RISK MANAGEMENT Summary This research paper presents various issues regarding IT risk man- agement. Those issues include relevant risk management strategies, quan- titative and qualitative risk analysis methods, and means of setting infor- mation systems economically optimal risk levels.