Možno ste sa už stretli s pojmom manažment rizík v spojení s informačnou bezpečnosťou. Existuje mnoho odborných metodík, ktoré detailne popisujú celý proces riadenia rizík. Cieľom tohoto článku nie je rozoberať ich. Cieľom je jednoducho a prakticky vysvetliť pojem manažment rizík, opísať aké funkcie ukrýva a najmä ako vám môže byť nápomocný. A ako môže byť pri správnej implementácii nápomocný pri prepojení technického sveta informačnej bezpečnosti s biznisom firmy. Risk manažment má poskytnúť dostatočné informácie potrebné pre vývojára, ktorý vie technicky opraviť chyby v aplikácií, ktorú programuje a zároveň má motivovať riaditeľa firmy zaplatiť vývoj týchto opráv. Pričom primárnou ambíciou manažmentu rizík je dosiahnutie čo najvyššej úrovne informačnej bezpečnosti v organizácii, v ktorej má byť takýto manažment rizík implementovaný. Informačná bezpečnosť má byť jednou z kľúčových pilierov každej organizácie, je nevyhnutná na ochranu každodenného biznisu.
Slovo organizácia je len abstraktný pojem a za dosahovanie istej úrovne bezpečnosti sú zodpovední ľudia, ktorí v nej pracujú. Ale kto konkrétne to má byť? Má sa táto zodpovednosť nejakým spôsobom rozdeliť? Kto je tým kto záväzne rozhodne či sa nejaké bezpečnostné opatrenie nasadí, alebo budú tieto peniaze radšej investované na niečo iné? Aby sme sa dostali k odpovediam na tieto otázky, musíme si najskôr vysvetliť pojem, ktorý definuje to na čom nám v spojení s organizáciu, v ktorej pracujeme alebo ktorú vlastníme, záleží. Tým pojmom je aktívum. Aktívom je všetko, čo je pre nás dôležité, čo nielen chceme, ale nutne potrebujeme chrániť, lebo na tom priamo môže závisieť úspech, resp. neúspech spoločnosti. Aktívom je všetko to, čoho narušenie by nás mohlo zabolieť, či už finančne, napr. zvýšené náklady na nápravu problému, alebo reputačne, napr. poškodenie dobrého mena spoločnosti. Keďže sa stále rozprávame o informačnej bezpečnosti, ohraničme si preto naše aktíva tak, že sa budú týkať informácií, dát a údajov. Môžu to byť informácie vo forme zdrojového kódu aplikácie, ktorú poskytujeme našim klientom, údaje o klientoch, ktoré ukladáme na elektronických nosičoch, patenty v organizácii alebo zapísané receptúry, ktoré si v našej rodinnej firme odovzdávame z generácie na generáciu.
V menších firmách je typicky aktív menej, a vo väčších logicky viac, z čoho vyplýva, že aj počet ľudí zodpovedných za aktíva sa s ich zvyšujúcim počtom zvyšuje. Je to tak aj z kapacitných dôvodov, aby bola zodpovednosť rozložená a udržateľná. V oblasti manažmentu rizík sa osoba zodpovedná za aktívum nazýva biznis vlastník. Je to presne ten človek, ktorý si má v dobre chránenej spoločnosti klásť otázku: Je aktívum, za ktoré som zodpovedný a od ktorého je môj biznis závislý dostatočne dobre chránené?
Pre dosiahnutie čo najvyššej bezpečnosti v spoločnosti je kľúčovým bodom ak si biznis vlastníci, uvedomujúci svoju zodpovednosť za aktívum, a potrebu nestále zveľaďovať aktíva a zvyšovať mieru zabezpečenia pridelených aktív.
Práve tu môžeme pozorovať, prečo je tak dôležitý manažment rizík. Je prostriedkom, ktorý umožňuje technické požiadavky z IT sveta premietnuť do reči, zrozumiteľnej pre biznis človeka. Zároveň mu poskytne vstupy potrebné pre rozhodnutie, do čoho bude investovať v súvislosti so zvýšením úrovne bezpečnosti aktíva. Biznis vlastníci, najmä vo väčších spoločnostiach, nie sú technickí vývojári. Nemusia rozumieť technickej architektúre riešenia, respektíve prostrediu, kde aplikácia, za ktorú sú zodpovední beží. Či beží na serveroch v domácom dátovom centre, alebo niekde v cloude, kto je administrátorom aplikácie, kto každý má prístup k dátam, prípadne aké prepojenia na iné aplikácie existujú. Dôležité pre biznis vlastníka je, že aktívum je dostupné a je v bezpečnom stave. My však vieme, že tento prístup nie je dobrý a vôbec neodzrkadľuje zodpovednosť biznis vlastníka za aktívum. Pretože ak je niekto zodpovedný za aktívum, musí sa zaoberať dostupnosťou, výkonom, bezpečnosťou a aj tým, kde dáta sú, ako sú spracovávané a kto ku nim má prístup.
Manažment rizík je v tomto prípade dôležitý preto, lebo prepája niekoľko rolí:
- technikov, pod ktorými si môžete predstaviť IT vývojárov aplikácie a administrátorov systémov, alebo aj bezpečnostných špecialistov, ktorí majú posúdiť mieru a úroveň zabezpečenia
- biznis vlastníka
Manažér rizík je vlastne mediátor, ktorého úlohou je prepojiť uvedené role.
Aby sme si vysvetlili úlohu mediátora v procese manažmentu rizík a riadenia bezpečnosti v organizácii, je potrebné zadefinovať ešte tri pojmy – zraniteľnosť, hrozba a riziko.
Už sme si povedali čo je aktívum. Pre lepšie pochopenie si uveďme jednoduchý príklad mimo IT sveta. Predstavme si, že pán Zdeno vlastní kamenný obchod na predaj kníh. Preto aby ho tento obchod uživil sú pre neho základné aktíva fyzický priestor obchodu a knihy, ktoré sa v ňom nachádzajú.
Zraniteľnosťou môže byť napríklad to, že Zdeno má vo svojom obchode veľa horľavého materiálu a používa veľmi horúce zariadenia na vyhrievanie obchodu. Taktiež to, že má prístup do obchodu priamo z frekventovanej ulice len s jednoduchým zámkom na dverách bez mreže. V tomto modelovom príklade chýba akékoľvek ošetrenie týchto zraniteľností ako hlásič požiaru alebo alarm. Z uvedeného je zrejmé, že zraniteľnosť je nejaká slabina na našom aktíve, ktorá môže byť príčinou jeho poškodenia. Avšak nato, aby bola táto zraniteľnosť využitá na poškodenie aktíva, musí dôjsť ku nejakej konkrétnej akcii. Touto akciou je hrozba.
Hrozbou pre pána Zdena je napríklad elektrický skrat a vypuknutie požiaru, alebo sa mu do obchodu vlámu zlodeji a ukradnú knihy a hotovosť z pokladne.
Spojením týchto troch elementov: aktívum – zraniteľnosť – hrozba vzniká riziko. Riziko je udalosť, že hrozba naruší aktívum využitím zraniteľnosti, ktorá má definované hodnoty pre dopad a zraniteľnosť. Dopad rizika je číselné vyjadrenie toho, ako závažná bude udalosť rizika ak nastane. A pravdepodobnosť rizika je zase číselné vyjadrenie toho, ako pravdepodobné je, že táto udalosť nastane. Samotné výpočty týchto veličín a aj to na akej škále sa výsledné hodnoty pohybujú je záležitosťou zvolenej metodiky na manažment rizík.
Uvedený príklad síce nebol z oblasti informačnej bezpečnosti, ale princíp ostáva rovnaký.
Predstavme si, že máme aplikáciu, v ktorej evidujeme osobné údaje všetkých našich klientov. A zároveň evidujeme zraniteľnosť, že daná aplikácia beží na počítači ku ktorému má prístup viacero ľudí, časť z nich technicky veľmi erudovaná. Súčasne vieme, že aplikácia je chránená len slabým, rýchlo uhádnuteľným heslom. Potom existuje hrozba, že sa niekto cudzí, neoprávnený dostane k osobným dátam našich klientov, a môže dôjsť k úniku osobných údajov. V prípade úniku osobných údajov nám hrozí pokuta.
Tým, že sme identifikovali tri elementy – osobné údaje klientov, slabé zabezpečenie heslom a hrozbu úniku citlivých dát a následne potenciálnu pokutu – si môžeme povedať, že sme identifikovali riziko.
Teraz keď už poznáme základné pojmy aktívum, zraniteľnosť, hrozba a riziko môžeme sa vrátiť k nášmu manažérovi bezpečnostných rizík. Jeho úlohou je pozrieť sa na aktívum, ktoré je posudzované, a v prvom kroku pochopiť aj pomocou komunikácie s technikmi, aká je architektúra riešenia a aký bezpečnostný problém je prítomný. Následne pomocou metodiky riadenia bezpečnostných rizík, ktorú si predstavte ako rozsiahly metodický dokument popisujúci proces berúci do úvahy závažnosti zraniteľností a hrozieb, a dôležitosti aktív, matematickým prepočtom vyjadrí hodnotu rizika. Hodnota rizika je využiteľná v momente, keď sa biznis vlastník rozhoduje, či vyčlení vo svojom rozpočte peniaze na ošetrenie zraniteľnosti aby eliminoval riziko. Tento úsudok urobí spôsobom, že na pomyselné misky váh si dá na jednu stranu potenciálny dopad rizika, ktorý sme si pomocou matematického prepočtu vyjadrili číselne vo financiách, a na druhú stranu sumu, ktorú by ho stálo ošetrenie zraniteľností v identifikovaných rizikách (v našich príkladoch sú týmito ošetreniami alarm a požiarny hlásič v obchode, a naprogramovanie silnejšej bezpečnostnej politiky na kvalitu hesla a riadenie prístupu k dátam v aplikácii). Ak preváži miska s hodnoteným rizikom, zaplatí ošetrenie zraniteľností. A ak preváži miska so sumou potrebnou na vykonanie nápravy, rozhodne sa akceptovať riziko, ktoré si zaeviduje a na pravidelnej báze prehodnotí. Môže napríklad každý rok zhodnotiť, či protipožiarne alarmy do obchodu nezlacneli, a nie je už vhodný čas ich zakúpiť.
Možno sa pýtate, prečo mať takýto manažment rizík, a či nie je lepšie nemať žiadne riziká. Zo svojej skúsenosti môžem povedať, že je úplne v poriadku ak v rámci svojej organizácie identifikujete a evidujete bezpečnostné rizika. Dokonca som presvedčený, že je to nevyhnutné. Pri riadení organizácie je často potrebné robiť rýchle akcie, byť inovatívny, byť častokrát prvý na trhu alebo vykonať zmenu, ktorá je náročná a bude sa vykonávať vo viacerých fázach. A pri týchto rýchlych a úderných akciách potrebujeme robiť výnimku, teda „prižmúriť oči“, a preto aby sme niečo nasadili rýchlejšie alebo lacnejšie dočasne ustúpime od niektorých bezpečnostných zásad. Avšak, je veľmi dôležité neignorovať tieto ústupky, ale mať ich riadené v podobe výnimiek. Každá výnimka plodí jedno alebo viacero rizík. Manažment rizík nás núti uvedomovať si ako veľmi riskujeme na úkor biznisu a žiada od nás nastavenie si hraníc, za ktoré s týmto rizikom nechceme ísť, lebo by to mohlo poškodiť celú našu firmu, náš biznis. Je v poriadku vlastniť riziko, ale nie je bezpečné ignorovať a nepočítať s rizikom. Manažment bezpečnostných rizík sa tak stáva jedným z akcelerátorov biznisu, ktorý zároveň pomáha udržiavať bezpečnosť na požadovanej úrovni.
Vyjadrite váš názor v komentároch