ZARZĄDZANIE RYZYKIEM IT



Podobne dokumenty
EKONOMICZNIE OPTYMALNE KOSZTY UTRZYMANIA ZABEZPIECZEŃ W SYSTEMIE OCHRONY INFORMACJI

Metodyka zarządzania ryzykiem w obszarze bezpieczeństwa informacji

Zarządzanie bezpieczeństwem informacji przegląd aktualnych standardów i metodyk

POLITYKA ZARZĄDZANIA RYZYKIEM ROZDZIAŁ I. Postanowienia ogólne

POLITYKA ZARZĄDZANIA RYZYKIEM

POLITYKA ZARZĄDZANIA RYZYKIEM W SZKOLE PODSTAWOWEJ NR 2 W KROŚNIE ODRZAŃSKIM

POLITYKA ZARZĄDZANIA RYZYKIEM W SZKOLE PODSTAWOWEJ NR 2 IM. ŚW. WOJCIECHA W KRAKOWIE

Ryzyko w działalności przedsiębiorstw przemysłowych. Grażyna Wieteska Uniwersytet Łódzki Katedra Zarządzania Jakością

Analiza Ryzyka - wytyczne ISO/IEC TR 13335

Doświadczenia w wdrażaniu systemu zarządzania bezpieczeństwem informacji zgodnego z normą ISO 27001

Bezpieczeństwo i koszty wdrażania Informatycznych Systemów Zarządzania Hubert Szczepaniuk Wojskowa Akademia Techniczna im. Jarosława Dąbrowskiego

POLITYKA ZARZĄDZANIA RYZYKIEM

Autor: Artur Lewandowski. Promotor: dr inż. Krzysztof Różanowski

Regulamin zarządzania ryzykiem. Założenia ogólne

POLITYKA ZARZĄDZANIA RYZYKIEM W MIEJSKO-GMINNYM OŚRODKU KULTURY SPORTU I REKREACJI W GNIEWKOWIE

Systemy zarządzania bezpieczeństwem informacji: co to jest, po co je budować i dlaczego w urzędach administracji publicznej

P O L I T Y K A Z A R Z Ą D Z A N I A R Y Z Y K I E M W UNIWERSYTECIE JANA K O CH ANOWSKIEGO W KIELCACH

Ryzyko w Rozporządzeniu Rady Ministrów z dnia 12 kwietnia 2012r. w sprawie Krajowych Ram Interoperacyjności ( )

Zarządzenie nr 9a / 2011 Dyrektora Domu Pomocy Społecznej Betania" w Lublinie z dnia roku

Zarządzanie Ryzykiem i Utrzymanie Ciągłości Działania w Kontekście Bezpieczeństwa Informacji

Zarządzanie ryzykiem w bezpieczeństwie informacji

ZARZĄDZENIE NR 03/2017 DYREKTORA SZKOŁY PODSTAWOWEJ Z ODDZIAŁAMI INTEGRACYJNYMI NR 20 im. HARCERZY BUCHALIKÓW w RYBNIKU z dnia r.

ZARZĄDZENIE Nr 132/12 BURMISTRZA PASŁĘKA z dnia 28 grudnia 2012 roku

Opis systemu zarządzania, w tym systemu zarządzania ryzykiem i systemu kontroli wewnętrznej w Banku Spółdzielczym w Ropczycach.

Zarządzanie projektami. Zarządzanie ryzykiem projektu

Tomasz Redliński - Manager, Departament Bezpieczeństwa, PBSG Sp. z o.o. Janusz Słobosz Risk Consulting Manager, Aon Polska Sp. z o.o.

Zarządzanie bezpieczeństwem informacji w świetle zmian w prawie po 2014 roku

Ocena Ryzyka Zawodowego AKTUALIZACJA OCENY RYZYKA ZAWODOWEGO NA STANOWISKACH PRACY W ZESPOLE SZKÓŁ SAMORZĄDOWYCH W PARADYŻU

Budowanie polityki bezpieczeństwa zgodnie z wymogami PN ISO/IEC przy wykorzystaniu metodologii OCTAVE

Rozdział 1 Postanowienia ogólne

ZARZĄDZANIE RYZYKIEM W LABORATORIUM BADAWCZYM W ASPEKCIE NOWELIZACJI NORMY PN-EN ISO/ IEC 17025:

Załącznik nr 1 do zarządzenia nr 30/2016/2017 Procedura zarządzania ryzykiem w bezpieczeństwie informacji

Procedura zarządzania. w Sępólnie Krajeńskim z siedzibą w Więcborku;

Akademia Młodego Ekonomisty

Polityka zarządzania ryzykiem na Uniwersytecie Ekonomicznym w Poznaniu. Definicje

I. O P I S S Z K O L E N I A

Zasady funkcjonowania systemu kontroli zarządczej w Urzędzie Miasta Lublin i jednostkach organizacyjnych miasta Lublin akceptowalny poziom ryzyka

Krzysztof Wawrzyniak Quo vadis BS? Ożarów Mazowiecki, styczeń 2014

Wsparcie narzędziowe zarządzania ryzykiem w projektach

Maciej Byczkowski ENSI 2017 ENSI 2017

Dwie szkoły oceny 360 stopni. Sprawdź różnicę pomiędzy klasycznym a nowoczesnym podejściem

Polityka zarządzania ryzykiem w Uniwersytecie Mikołaja Kopernika w Toruniu

Krzysztof Świtała WPiA UKSW

Zasady kontroli zarządczej w Zespole Szkolno - Przedszkolnym nr 8 w Warszawie

Bezpieczeństwo dziś i jutro Security InsideOut

Głównym zadaniem tej fazy procesu zarządzania jest oszacowanie wielkości prawdopodobieństwa i skutków zaistnienia zidentyfikowanych uprzednio ryzyk.

Projektowanie systemów informatycznych. Roman Simiński siminskionline.pl. Studium wykonalności

Zarządzenie nr 116/2012 Burmistrza Karczewa z dnia 21 sierpnia 2012 roku

Poniżej omówiona została każda z wprowadzonych zmian.

ISO bezpieczeństwo informacji w organizacji

Ryzyko i zarządzanie ryzykiem w projektach

Spis treści Wstęp 1. Wprowadzenie 2. Zarządzanie ryzykiem systemów informacyjnych

Projektowanie systemów informatycznych

Promotor: dr inż. Krzysztof Różanowski

OBIEG INFORMACJI I WSPOMAGANIE DECYZJI W SYTUACJACH KRYZYSOWYCH

Audyt funkcjonalnego systemu monitorowania energii w Homanit Polska w Karlinie

Zarządzanie ryzykiem w bezpieczeostwie IT

Zarządzanie projektami a zarządzanie ryzykiem

Warszawa, dnia 21 czerwca 2013 r. Poz. 15 OBWIESZCZENIE KOMISJI NADZORU FINANSOWEGO. z dnia 21 czerwca 2013 r.

Ryzyko nigdy nie śpi

OPIS SYSTEMU ZARZĄDZANIA RYZYKIEM

ZARZĄDZENIE Nr 90/09 WÓJTA GMINY MROZY z dnia 16 grudnia 2009 roku

Tomasz Chlebowski ComCERT SA

STUDIA PODYPLOMOWE Zarządzanie Projektami

Opis systemu kontroli wewnętrznej w SGB-Banku S.A.

2.11. Monitorowanie i przegląd ryzyka Kluczowe role w procesie zarządzania ryzykiem

OPTYMALNY EKONOMICZNIE POZIOM RYZYKA W MACIERZACH DYSKOWYCH RAID

INFORMACJE PODLEGAJĄCE UPOWSZECHNIENIU, W TYM INFORMACJE W ZAKRESIE ADEKWATNOŚCI KAPITAŁOWEJ EFIX DOM MALERSKI S.A. WSTĘP

POLITYKA INFORMACYJNA PIENIŃSKIEGO BANKU SPÓŁDZIELCZEGO

Zarządzanie ryzykiem jako kluczowy element kontroli zarządczej 2 marca 2013 r.

Strategia identyfikacji, pomiaru, monitorowania i kontroli ryzyka w Domu Maklerskim Capital Partners SA

Zasady funkcjonowania systemu kontroli zarządczej w Urzędzie Miasta Lublin i jednostkach organizacyjnych miasta Lublin

Zarządzenie Nr 24/2012 Rektora Uniwersytetu Wrocławskiego z dnia 28 marca 2012 r. w sprawie Polityki zarządzania ryzykiem

WZ PW Norma ISO/IEC 27001:2013 najnowsze zmiany w systemach zarzadzania bezpieczeństwem informacji IT security trends

PSeAP - Podkarpacki System e-administracji Publicznej

Zarządzenie Nr 90/2008 Burmistrza Miasta Czeladź. z dnia

Polityka Informacyjna Banku Spółdzielczego w Białej Rawskiej

Aurea BPM. Unikalna platforma dla zarządzania ryzykiem Warszawa, 25 lipca 2013

Minimalne wymogi wdrożenia systemu kontroli zarządczej w jednostkach organizacyjnych miasta Lublin

Zarządzanie zmianą - rozwój zarządzania procesowego wg ISO 9001:2015

Audyt zgodności z RODO, analiza ryzyka i DPIA dwudniowe warsztaty

Informacja Banku Spółdzielczego w Chojnowie

Informacja o strategii i celach zarządzania ryzykiem

I. OGÓLNE INFORMACJE PODSTAWOWE O PRZEDMIOCIE. Nie dotyczy. podstawowy i kierunkowy

Metodyka szacowania ryzyka bezpieczeństwa łańcucha dostaw

Polityka Informacyjna Banku Spółdzielczego w Białej Rawskiej

Procedury zarządzania ryzykiem w Zespole Szkolno-Przedszkolnym

Studia magisterskie uzupełniające Kierunek: Ekonomia. Specjalność: Ekonomia Menedżerska

Centrum zarządzania bezpieczeństwem i ciągłością działania organizacji

Zarządzenie Nr 60/2011/2012 Rektora Uniwersytetu Kazimierza Wielkiego z dnia 2 kwietnia 2012 r.

Polityka Informacyjna Banku Spółdzielczego w OZORKOWIE

ZARZĄDZENIE NR 41/2016 STAROSTY NOWODWORSKIEGO. z dnia 26 października 2016 r.

Kompleksowe Przygotowanie do Egzaminu CISMP

BANK SPÓŁDZIELCZY w Krzeszowicach

ZARZĄDZENIE NR WÓJTA GMINY DOBROMIERZ. z dnia 10 wrzesień 2014 r.

Program naprawczy Lean Navigator

Zarządzenie Nr 43/2010/2011 Rektora Akademii Wychowania Fizycznego Józefa Piłsudskiego w Warszawie z dnia 6 lipca 2011r.

Controlling operacyjny i strategiczny

Informacje, o których mowa w art. 110w ust. 4 u.o.i.f., tj.:

Transkrypt:

Karol Kreft ZARZĄDZANIE RYZYKIEM IT Streszczenie W artykule przedstawiono strategie zarządzania ryzykiem IT. Poka- zano ilościowe i jakościowe metody analizy ryzyka. Opisano wyznaczenie wartości optymalnego ze względów ekonomicznych poziomu ryzyka w systemie informatycznym. Wstęp Wszystkie decyzje dotyczące funkcjonowania systemów informatycznych obciążone są ryzykiem. Konieczność zarządzania ryzykiem wynika z coraz więk- szej i coraz trudniej przewidywalnej zmienność zagrożeń w systemach informa- tycznych. W takich warunkach bezpieczeństwo informacyjne przedsiębiorstwa uzależnione jest od tego, jak szybko służby informatyczne potrafią zidentyfiko- wać nowe zagrożenia, a następnie uruchomić działania mające na celu eliminację zagrożeń. Zarządzanie ryzykiem IT jest procesem, którego struktura zależy do ekspo- zycji systemu informatycznego na zagrożenia oraz od strategii jaką w tym zakre- sie realizują służby informatyczne. Im bardziej system informatyczny narażony jest na zagrożenia, tym bardziej złożone i różnorodne działania muszą być podję- te, aby zapewnić bezpieczeństwo informacyjne. W procesie zarządzania ryzykiem IT możemy wyróżnić cztery etapy, a mia- nowicie: identyfikację ryzyka, pomiar i analizę ryzyka, sterowanie ryzykiem, monitorowanie i kontrolę ryzyka. Pierwszy etap procesu zarządzania ryzykiem to rozpoznanie czynników ry- zyka. Takie podejście umożliwia przede wszystkim określenie przyczyny

182 Karol Kreft i charakteru różnych rodzajów ryzyka występującego w wyodrębnionych obsza- rach systemu informatycznego. Drugi etap to proces szacowania prawdopodobieństwa wystąpienia zdefi- niowanych rodzajów ryzyka, a także określenie wartości prawdopodobnych strat. W systemach informatycznych określenie wartości strat jest zadaniem bar- dzo złożonym. Zastosowanie mało precyzyjnych miar daje jedynie możliwość określenia, które ryzyko jest większe, a które jest mniejsze. W tym etapie definiu- jemy również poziomy poszczególnych rodzajów ryzyka, jakie mogą być zaak- ceptowane. Trzeci etap to sterowanie ryzykiem. W ramach tego etapu realizowane są działania redukujące ryzyko w systemach informatycznych. Do ważniejszych metod sterowania ryzykiem zaliczymy: redukcję lub eliminację ryzyka, transfer ryzyka, podjęcie ryzyka. Przedstawione metody sterowania ryzykiem wymagają aktywnych działań wobec ryzyka. Przyjęcie postawy biernej jest unikaniem ryzyka i może skutko- wać doprowadzeniem do utraty bezpieczeństwa systemu informatycznego przedsiębiorstwa. Ostatni etap to ciągłe monitorowanie i kontrola ryzyka. Podejmowane dzia- łania mają na celu sprawdzenie jak skuteczny jest proces zarządzania ryzykiem. Stwierdzenie nieprawidłowości jest sygnałem do podjęcia działań naprawczych. Pomiędzy etapami zarządzania ryzykiem powinno występować sprzężenie zwrotne w celu ciągłego doskonalenia całego procesu. Proces zarządzania ryzykiem nie przebiega tak samo we wszystkich syste- mach informatycznych. Niektóre przedsiębiorstwa ograniczają zarządzanie ryzy- kiem tylko do identyfikacji i analizy zagrożeń. Ważne jest, że o zarządzaniu ryzykiem w systemach informatycznych mo- żemy mówić dopiero wtedy, kiedy kadra zarządzająca wykazuje postawę ak- tywną wobec ryzyka. Forma i zakres procesu zarządzania ryzykiem IT zależy od charakteru przedsiębiorstwa oraz znaczenia systemu informatycznego dla pro- wadzonej działalności gospodarczej. Zarządzanie ryzykiem jest procesem podej- mowania decyzji i realizacji działań prowadzących do osiągnięcia akceptowane- go poziomu ryzyka. Zarządzanie ryzykiem to również strategiczna umiejętność, bez której nie można zbudować bezpiecznego systemu informacyjnego przedsię- biorstwa.

1. Strategie zarządzania ryzykiem IT Zarządzanie ryzykiem IT 183 Zarządzanie ryzykiem IT dostarcza informacji niezbędnych w procesie op- tymalizacji strat związanych z ryzykiem i nakreśla architekturę systemów bez- pieczeństwa. Strategia wyboru sposobu zarządzania ryzykiem powinna zagwarantować odpowiedni poziom bezpieczeństwa oraz wskazać najbardziej krytyczne obszary działań związanych z redukcją ryzyka. W pierwszej kolejności należy określić kryteria wyboru metody zarządzania ryzykiem dla danego systemu informa- tycznego. Bazując na wytycznych Raportu Technicznego ISO/IEC 13335-3, można wy- różnić cztery strategie. Strategia podstawowego poziomu bezpieczeństwa. Strategia zakłada stoso- wanie standardowych zabezpieczeń bez względu na zagrożenia i znaczenie poszczególnych elementów system informatycznego dla działalności przed- siębiorstwa. Nieformalna analiza ryzyka. Strategia opiera się na metodach struktural- nych. Wykorzystuje wiedzę i doświadczenie ekspertów. Podejście to może być skuteczne jedynie w małych przedsiębiorstwach. Szczegółowa analiza ryzyka. Strategia wymaga dokładnej identyfikacji zaso- bów, analizy zagrożeń oraz podatności. Wyniki tych działań tworzą prze- słanki do oszacowania ryzyka i wyboru najbardziej efektywnych zabezpie- czeń. Strategia mieszana. Strategia mieszana polega na przeprowadzeniu wstępnej analizy ryzyka w celu wskazania zasobów, które wymagają szczegółowej analizy ryzyka oraz zasobów, w których wystarczy zastosować strategię pod- stawowego poziomu bezpieczeństwa. Strategia mieszana jest kombinacją po- dejścia podstawowego poziomu bezpieczeństwa i szczegółowej analizy ryzy- ka. Przedstawione warianty zarządzania ryzykiem w systemach informatycz- nych różnią się stopniem szczegółowości analizy ryzyka. Wybór strategii zarzą- dzania ryzykiem IT powinien uwzględniać skutki potencjalnych incydentów wynikających z oddziaływania ryzyka. Wybór właściwej strategii zarządzania ryzykiem IT umożliwia planowanie skuteczniejszych audytów. Pozwala na wskazanie obszarów, które w pierwszej kolejności powinny być poddane audytowi. Właściwa strategia zarządzania ryzykiem IT wspiera skutecznie proces po- dejmowania decyzji dotyczących: strategii postępowania z ryzykiem, wyboru narzędzi redukcji ryzyka, oceny zasadności przeniesienia ryzyka, unikania ryzyka.

184 Karol Kreft Przy wyborze strategii należy brać do uwagę również wielkość niezbędnych zasobów do przeprowadzania analizy ryzyka. Wybrana strategia zarządzania ryzykiem IT powinna być opisana w polity- ce bezpieczeństwa przedsiębiorstwa. 2. Wartość ryzyka w systemach IT Oszacowanie wartości ryzyka w systemach informatycznych jest niezbędne przy podejmowaniu skutecznych decyzji dotyczących bezpieczeństwa. Znana wartość ryzyka pozwala wybrać odpowiedni rodzaj zabezpieczeń w stosunku od chronionego zasobu, a także świadomie akceptować określony poziom ryzyka. Oszacowanie ryzyka możliwe jest poprzez oszacowanie prawdopodobień- stwa i skutków wystąpienia incydentu naruszającego bezpieczeństwo. Do oszacowania ryzyka w systemach informatycznych wykorzystujemy metodę ilościową i jakościową. 2.1. Metoda ilościowa Wartość ryzyka przy wykorzystaniu metody ilościowej wyrażona jest za pomocą skali liczbowej lub bezpośrednio w jednostce walutowej jako przewidy- wana wielkość strat związanych z danym rodzajem ryzyka. Zaletą wyrażania wartości ryzyka w jednostce walutowej jest możliwość porównania przewidywanych strat z kosztami zabezpieczeń. W podejściu klasycznym (Courtneya) wielkość ryzyka jest iloczynem czę- stości zdarzenia niekorzystnego i wielkości konsekwencji nim spowodowanych. W systemach informatycznych trudno zdobyć dane dotyczące częstości zdarzeń niekorzystnych. Przyjęto założenie, że możliwość wystąpienia zdarzenia EP(i) (Event Possi- bility) zależna jest od powagi podatności VS(i) i powagi zagrożenia TS(i). Tak więc iloczyn powagi zagrożenia, wyrażającej częstość zdarzenia inicjującego, oraz powagi podatności, wyrażającej prawdopodobieństwo niezadziałania zabezpie- czenia, szacuje możliwość wystąpienia zdarzenia EP(i). VS( i)* TS( i) EP ( i) = VS TS max * max (1) gdzie: VS(i) powaga podatności wyrażająca prawdopodobieństwo niezadziałania zabezpieczenia (Vulnerability Severity Level) VSmax maksymalna wartość powagi podatności TS(i) powaga zagrożenia wyrażająca częstość zdarzenia inicjującego (Threat Severity Level)

TSmax maksymalna wartość powagi zagrożenia Zarządzanie ryzykiem IT 185 Szacowanie ryzyka jest wielokrotnie powtarzalne przy założeniu, że wystę- pują porównywalne warunki. Działania tego typu pozwalają na podejmowanie trafnych decyzji dotyczących wyboru zabezpieczenia. Kolejne analizy i związane z nimi parametry cząstkowe będą oznaczone za pomocą indeksu (i), umożliwia to porównywanie scenariuszy i śledzenie wielkości ryzyka w czasie. Efektywność zabezpieczenia SE(i+1) w literaturze jest definiowana jako: SE ( i + 1) = EP( i) EP( i + 1) (2) Analizując kolejne wartości EP(i) oraz EP(i+1), można ocenić skutki działań zabezpieczających. SE(i+1) < 0 nastąpił wzrost ryzyka, działania obniżyły bezpieczeństwo systemu SE(i+1) = 0 ryzyko nie uległo zmianie, brak wpływu działań na bezpie- czeństwo systemu SE(i+1) > 0 nastąpiło obniżenie ryzyka, działania podniosły bezpieczeń- stwo systemu Trudno jest precyzyjnie oszacować ryzyko w systemach informatycznych ze względu na brak możliwości uzyskania wszystkich dokładnych danych. Dla nie- których chronionych zasobów wyrażenie strat w jednostce walutowej jest bardzo trudne. Dotyczy to np. utraty poufności informacji. W celu ustalenia wartości strat spowodowanych utratą poufności należy określić wpływ informacji dla prawidłowej realizacji danego procesu biznesowego oraz znaczenie tego procesu dla funkcjonowania przedsiębiorstwa. Wartość utraty poufności informacji można szacować na podstawie poten- cjalnych strat, które wystąpiłyby, gdyby chronione informacje zostały ujawnione, nielegalnie zmienione lub utracone. Straty te mogą wpłynąć bezpośrednio na utratę obrotu i zmniejszenie zysku. Również bardzo trudno jest wyrazić w jednostce walutowej utratę dobrego wizerunku przedsiębiorstwa lub stratę wiarygodności wśród klientów. 2.2. Metoda jakościowa Metoda jakościowa analizy ryzyka bazuje na kryteriach bezpieczeństwa in- formacji, takich jak: poufność, dostępność integralność.

186 Karol Kreft Pełna analiza ryzyka może być realizowana oddzielnie dla każdego z wy- mienionych kryteriów. Dla celów analizy jakościowej ustala się skalę wartości informacji np.: nie- istotna, niska, średnia, wysoka, bardzo wysoka. Dla każdego typu zagrożenia należy określić częstotliwość występowania, używając predefiniowanej skali, która może być różna do przyjętej dla wartości informacji. Ponadto dla każdego badanego zasobu i każdego typu zagrożenia należy ocenić podatność, stosując umowną skalę. Każdej z wcześniej przyjętych skal przypisuje się wartości numeryczne. R = W + F + V (3) R W F V jakościowa wartość ryzyka wartość utraty informacji częstotliwość występowania zagrożenia podatność danego zasobu informatycznego na dane zagrożenie W celu podniesienia dokładności kategoryzacji ryzyka w systemie informa- tycznym można przyjąć szerszą skalę wartości np. od 1 do 10. 3. Efektywność ekonomiczna zarządzania ryzykiem IT Efektywność ekonomiczną zarządzania ryzykiem można określić jako dąże- nie do optymalizacji całkowitych kosztów związanych z ryzykiem informatycz- nym. Większość droższych zabezpieczeń działa bardziej skutecznie. Nie można zredukować ryzyka do zera, ponieważ nie ma niezawodnych urządzeń. Na początku krzywej niewielki koszt zabezpieczeń powoduje znaczne pod- niesienie poziomu bezpieczeństwa. Jednak od pewnego momentu zwiększenie kosztu zabezpieczenia w niewielkim stopniu podnosi bezpieczeństwo. W przypadku systemu informatycznego wartość ryzyka jest zależna od: wartości chronionego zasobu, prawdopodobieństwa wystąpienia zagrożenia, powagi podatności, prawdopodobieństwa niezadziałania zabezpieczenia.

Zarządzanie ryzykiem IT 187 Rysunek 1. Zależność między poziomem bezpieczeństwa a kosztem zabezpieczeń Źródło: Opracowanie własne. koszt zabezpieczeń Rysunek 2. Zależność między ryzykiem wyrażonym w jednostce walutowej a kosztem zabezpieczenia Źródło: Opracowanie własne.

188 Karol Kreft Na problem efektywnego ekonomicznie procesu zarządzania ryzykiem na- leży spojrzeć, analizując koszt zabezpieczenia i ryzyko wyrażone w jednostkach walutowych. Efektywność ekonomiczną procesu zarządzania ryzykiem IT można określić jako dążenie do minimalizacji sumy ryzyka wyrażonego w jednostce walutowej i kosztu zabezpieczenia. Rysunek 3. Koszt zabezpieczenia, ryzyko wyrażone w jednostce walutowej, suma ryzyka wyrażonego w jednostce walutowej i kosztu zabezpieczenia Źródło: Opracowanie własne. Optymalną ekonomicznie wartość ryzyka można wyznaczyć, korzystając z krańcowego kosztu zabezpieczenia i krańcowego ryzyka. Krańcowy koszt zabezpieczenia MSC (Marginal Safeguard Cost) SC(i) koszt zabezpieczenia MSC(i)= SC(i+1)-SC(i) (4) Krańcowe ryzyko wyrażone w jednostce walutowej (Marginal Risk Valu- Currency) MRVC(i)= RVC(i)-RVC(i+1) (5) RVC(i) ryzyko wyrażone w jednostce walutowej

Zarządzanie ryzykiem IT 189 Optymalna ekonomicznie wartość ryzyka w systemie informatycznym jest wyznaczona na podstawie zależności: MSC(i)=MRVC(i) (6) Warunek ten jest zgodny z założeniem minimalizacji sumy kosztu zabezpie- czenia i ryzyka wyrażonego w jednostce walutowej. Jeżeli krańcowy koszt zabezpieczenia jest mniejszy niż krańcowe ryzyko wyrażone w jednostce walutowej, należy zwiększać nakłady na zabezpieczenia. W sytuacji odwrotnej, gdy krańcowy koszt zabezpieczenia jest większy niż krań- cowe ryzyko wyrażone w jednostce walutowej, należy zmniejszyć nakłady na zabezpieczenia. Jest to przypadek zbyt silnie zabezpieczonego ze względów eko- nomicznych systemu informatycznego (wysokie i nieuzasadnione koszty zabez- pieczeń). Dążenie do całkowitej redukcji ryzyka w systemie informatycznym jest eko- nomicznie niezasadne. Od pewnego momentu szybciej rosną koszty zabezpie- czeń niż redukcja ryzyka wyrażonego w jednostce walutowej. Prawidłowo określony koszt zabezpieczenia uwzględnia: koszty związane z ryzykiem po zastosowaniu przewidzianych środków re- dukcji lub transferu ryzyka, koszty wdrażania i eksploatacji środków redukcji lub transferu ryzyka, koszty związane z procesem zarządzania ryzykiem (gromadzenie danych, analiz ryzyka, wsparcie konsultantów zewnętrznych, kontrola). W zarządzaniu ryzykiem IT należy uwzględnić, iż sama analiza ryzyka mo- że generować znaczne koszty. W celu uzyskania dokładniejszych wyników nale- ży przeznaczyć na analizę więcej zasobów, zgromadzić więcej danych, zatrudnić wykwalifikowaną kadrę. Jednak jeżeli nie przeprowadzono analizy ryzyka, nie jest znana wartość tego ryzyka. Nie wiemy, czy koszty związane z analizą ryzyka są uzasadnione. Może się zdarzyć, że koszty analizy ryzyka są wyższe niż straty generowane przez ryzyko poddane analizie. Rozwiązaniem tego problemu jest przeprowadzenie dwuetapowej analizy ryzyka. W pierwszym etapie można wstępnie oszacować jak szczegółowy powi- nien być drugi etap analizy. Takie podejście pozwala wstępnie oszacować środki, jakie warto zaangażować w analizę ryzyka. Przeprowadzenie bardzo szczegółowej analizy ryzyka w systemie IT może generować zbyt duże koszty, natomiast zbyt mało szczegółowa analiza ryzyka może być nieskuteczna. Problem zachowania równowagi pomiędzy tymi wa- riantami jest trudny i wymaga dużego doświadczenia w tym zakresie. Podobnie jest w przypadku transferu ryzyka. Wykupienie ubezpieczenia jest uzasadnione tylko wtedy, gdy generuje mniejsze koszty w porównaniu z kosztem wdrożenia i utrzymania zabezpieczenia.

190 Karol Kreft 4. Graficzna mapa ryzyka Wynikiem analizy ryzyka w systemie informatycznym może być zestaw zidentyfikowanych i sklasyfikowanych pod względem priorytetów ryzyk. Z praktycznego punktu widzenia wizualizacja ryzyk pozwala na trafniejsze podejmowanie decyzji dotyczących bezpieczeństwa. Zobrazowany zestaw in- formacji o ryzykach może być istotny w tworzeniu polityki bezpieczeństwa przedsiębiorstwa. Jedną z graficznych form opisu ryzyka jest tzw. mapa ryzyka, która klasyfi- kuje obszary ryzyka według ich znaczenia dla przedsiębiorstwa. Mapa ryzyka to umiejscowienie poszczególnych ryzyk w układzie współ- rzędnych. Na osi pionowej układu współrzędnych oznacza się wartość skutków ryzyka, a na osi poziomej prawdopodobieństwo wystąpienia danego zdarzenia. Rysunek 4. Postępowanie z ryzykiem na podstawie mapy ryzyka Źródło: Opracowanie własne na podstawie S. Szuber, Analiza ryzyka w zarządzaniu bezpieczeństwem informacji, seminarium ISACA, Poznań 2005. Ryzyka umieszczane są w odpowiednim miejscu układu współrzędnych w zależności od wyznaczonych wartości prawdopodobieństwa i skutków. Taka forma wizualizacji ryzyka pozwala na prezentację głównych czynników stano- wiących zagrożenie dla systemu informatycznego. Położenie ryzyka w poszczególnych ćwiartkach mapy stanowi wskazówkę odnośnie do dalszego postępowania z ryzykiem.

Zarządzanie ryzykiem IT 191 Tworzenie mapy ryzyka, czyli szacowanie prawdopodobieństwa oraz skut- ków pojedynczych incydentów jest trudne ze względu na brak danych bazują- cych na wiarygodnych badaniach statystycznych. Przy opracowywaniu mapy ryzyka możemy wykorzystać informacje po- chodzące z kilku źródeł. Doświadczenie własnych służb informatycznych. Jeżeli przedsiębiorstwo korzysta z setek komputerów, to można założyć, że liczba incydentów będzie dostatecznie duża, aby na tej podstawie oszacować prawdopodobieństwo zdarzeń. Natomiast liczba incydentów związanych z klęskami żywiołowymi, nawet w przypadku dużych organizacji, może być zbyt mała do oszacowa- nia prawdopodobieństwa. Statystyki producentów. Źródłem danych na temat prawdopodobieństwa awarii sprzętu komputerowego mogą być statystki producentów. Parame- trem, który świadczy o poziomie niezawodności danego urządzenia jest MTBF (średni czas bezawaryjnej pracy). Parametr ten jest podawany w go- dzinach i pozwala oszacować prawdopodobieństwo awarii danego urządze- nia. Statystyki zewnętrznych wyspecjalizowanych instytucji. Istotnym źródłem informacji mogą być statystyki dotyczące pożarów i katastrof przemysłowych publikowane przez straż pożarną. Wymiana danych między organizacjami. Możliwa jest wymiana informacji pomiędzy organizacjami o podobnym profilu działalności. Metoda delficka. Oszacowanie realizowane jest na podstawie wiedzy, do- świadczenia oraz intuicji poszczególnych ekspertów. Wyniki są zapisywane w odpowiednim formularzu i uśredniane. Podejście takie pozwala ograni- czyć czynnik subiektywny w budowie oceny ryzyka. Ocena konsultantów zewnętrznych. Rozwiązanie jest przydatne, jeżeli przedsiębiorstwo nie dysponuje własnymi specjalistami z zakresu bezpie- czeństwa. Konsultanci zewnętrzni przede wszystkim muszą poznać specyfi- kę danego systemu informatycznego oraz wszystkie uwarunkowania mające wpływy na funkcjonowanie przedsiębiorstwa. Metoda symulacyjna. Dane uzyskuje się za pomocą symulacji komputerowej modeli systemów rzeczywistych. Ważne jest, aby zbudowana mapa ryzyka systemu informatycznego ujmo- wała całokształt istotnego ryzyka dla przedsiębiorstwa i stanowiła podstawę do analizy ryzyka. Zakończenie Szybki rozwój technologii komputerowej wymusza weryfikację wielu po- glądów dotyczących bezpieczeństwa systemów informatycznych. Zarządzanie

192 Karol Kreft ryzykiem w systemach informatycznych jest obecnie fundamentem umożliwiają- cym podejmowanie skutecznych decyzji dotyczących bezpieczeństwa. Systema- tyczne powtarzanie analizy ryzyka w systemach informatycznych pozwala na ustalenie wytycznych dotyczących rozwoju zabezpieczeń oraz weryfikację sku- teczności dotychczasowych działań. Przeprowadzanie analizy ryzyka jest pod- stawą do określenia optymalnego ekonomicznie poziomu ryzyka w systemie in- formatycznym. Podsumowując, warto zaznaczyć, że mało precyzyjne i błędne zarządzanie ryzykiem IT może być przyczyną fałszywego poczucia bezpieczeństwa. Literatura 1. Białas A., Bezpieczeństwo informacji i usług w nowoczesnej instytucji i firmie, Wydawnic- two Naukowo- Techniczne, Warszawa 2007 2. Brown E.M., Chong Y.Y., Zarządzanie ryzykiem projektu, Dom Wydawniczy ABC, Warszawa 2001 3. Drury C., Rachunek kosztów, Wydawnictwo Naukowe PWN, Warszawa 1995 4. Jajuga K., Zarządzanie ryzykiem, Wydawnictwo Naukowe PWN, Warszawa 2007 5. Kreft K., Ekonomicznie optymalne koszty utrzymania zabezpieczeń w systemie ochrony in- formacji, Oficyna Wydawnicza Polskiego Towarzystwa Zarządzania Produkcją, Opole 2011 6. Lech P., Metodyka ekonomicznej oceny przedsięwzięć informatycznych wspomagających zarządzanie organizacją, Wydawnictwo Uniwersytetu Gdańskiego, Gdańsk 2007 7. Liderman K., Analiza ryzyka i ochrona informacji w systemach komputerowych, Wydaw- nictwo Naukowe PWN SA, Warszawa 2008 8. Pipkin D., Bezpieczeństwo informacji. Wydawnictwo Naukowo- Techniczne, Warsza- wa 2002 9. Ross A., Inżyniera zabezpieczeń, Wydawnictwo Naukowo- Techniczne, Warszawa 2005 10. Szczepankiewicz P., Analiza ryzyka w środowisku informatycznym do celów zarządzania ryzykiem operacyjnym, Monitor Rachunkowości i Finansów 2006, nr 6, www.mrf.pl IT RISK MANAGEMENT Summary This research paper presents various issues regarding IT risk man- agement. Those issues include relevant risk management strategies, quan- titative and qualitative risk analysis methods, and means of setting infor- mation systems economically optimal risk levels.

2025 © DocPlayer.pl Polityka prywatności | Warunki świadczenia usług | Zwrotny adres