Конфиденциальная информация организации находится под постоянной угрозой. Выявление этих угроз безопасности имеет решающее значение для защиты этой информации. Но некоторые риски серьезнее, чем другие. Некоторые варианты смягчения являются более дорогостоящими, чем другие. Как принять правильное решение? Внедрение формального процесса оценки рисков дает вам информацию, необходимую для определения приоритетов.
Что такое оценка рисков?
Оценка рисков - это способ, с помощью которого организации решают, что делать в условиях современного сложного ландшафта безопасности. Угрозы и уязвимости существуют повсюду. Они могут исходить от внешнего субъекта или неосторожного пользователя. Они могут быть даже встроены в сетевую инфраструктуру.
Лица, принимающие решения, должны понимать срочность рисков организации, а также то, во сколько обойдутся усилия по смягчению последствий. Оценка рисков помогает установить эти приоритеты. Они оценивают потенциальное воздействие и вероятность каждого риска. Лица, принимающие решения, могут затем оценить, каким усилиям по смягчению последствий следует уделить приоритетное внимание в контексте стратегии, бюджета и сроков организации.
Методологии оценки рисков
Организации могут использовать несколько подходов к оценке рисков — количественный, качественный, полуколичественный, основанный на активах или основанный на уязвимости. Каждая методология может оценить степень риска организации, но все они требуют компромиссов.
Количественный
Количественные методы привносят в процесс аналитическую строгость. Активы и риски оцениваются в рублях или долларах. Итоговая оценка рисков затем может быть представлена в финансовых терминах, которые легко понятны руководителям и членам правления. Анализ затрат и выгод позволяет лицам, принимающим решения, расставить приоритеты в вариантах снижения рисков.
Однако количественная методология может оказаться неподходящей. Некоторые активы или риски нелегко поддаются количественной оценке. Принуждение их к такому численному подходу требует принятия взвешенных решений, что подрывает объективность оценки.
Качественный
Там, где количественные методы используют научный подход к оценке рисков, качественные методы используют более журналистский подход. Эксперты по оценке встречаются с людьми по всей организации. Сотрудники рассказывают о том, как они выполняли бы свою работу, если бы система перешла в автономный режим. Эксперты по оценке используют эти исходные данные для классификации рисков по приблизительным шкалам : высокий, средний или низкий.
Качественная оценка рисков дает общую картину того, как риски влияют на деятельность организации.
Полуколичественный
Некоторые организации будут комбинировать предыдущие методологии для создания полуколичественных оценок рисков. Используя этот подход, организации будут использовать числовую шкалу, такую как 1-10 или 1-100, для присвоения численного значения риска. Элементы риска, которые оцениваются в нижней трети, группируются как низкий риск, средняя треть - как средний риск, а высшая треть - как высокий риск.
Сочетание количественных и качественных методологий позволяет избежать интенсивных расчетов вероятности и стоимости активов, характерных для первых, и в то же время дает больше аналитических оценок, чем для вторых. Полуколичественные методологии могут быть более объективными и обеспечивать надежную основу для определения приоритетов элементов риска.
Основанные на активах
Традиционно организации используют подход к оценке ИТ-рисков, основанный на активах. Активы состоят из аппаратного обеспечения, программного обеспечения и сетей, которые обрабатывают информацию организации, а также саму информацию. Оценка на основе активов обычно проводится в четыре этапа:
- Инвентаризируйте все активы.
- Оцените эффективность существующих средств контроля.
- Определите угрозы и уязвимости каждого актива.
- Оцените потенциальное воздействие каждого риска.
Подходы, основанные на активах, популярны, поскольку они соответствуют структуре, операциям и культуре ИТ-отдела. Риски брандмауэра и средства контроля легко понять.
