Riadenie rizík v informačnej bezpečnosti

Riadenie rizík v informačnej bezpečnosti

IT riziko ako téma dňa

Informačné technológie sú dnes integrálnou súčasťou väčšiny podporných, ale aj obchodných podnikových procesov. Rastúca závislosť na IT aplikáciách však v súčasnosti znamená aj dramatický nárast rizík a potrebami ich nepretržitej a systematickej ochrany.

Riešením problémov ochrany informačných aktív organizácie pred rizikami vyplývajúcimi z prevádzky IT je zavedenie Systému manažérstva informačnej bezpečnosti (ďalej len ISMS), ktorý je prispôsobený individuálnym potrebám podniku a zahŕňa v sebe aj návrh procesov účinného riadenia IT rizík.

Existujú rôzne definície informačnej bezpečnosti, no na základe skúsenosti z hospodárskej praxe má zrejme najbližšie k realite definícia, podľa ktorej bezpečnosť je udržiavanie akceptovateľnej miery identifikovaného rizika. Bezpečnosť je teda komplex procesov a činností zameraných na odvrátenie alebo zmenšenie identifikovaných rizík, resp. prejavov hrozieb ktoré pôsobia na informačné aktíva.

Bezpečnosť nie je konečný stav, ani produkt. Bezpečnosť a riadenie IT rizika sú nepretržité, komplexné, cyklické procesy s kontinuálnym prehodnocovaním a zlepšovaním. V oboch procesoch sa jedná o iteratívny prístup,  ktorý by mal byť riadený, plánovaný, implementovaný, overovaný a udržiavaný.

Nepretržitosť procesu riadenia IT rizika je možné znázorniť aj na upravenom Demingovom cykle (tzv. model PDCA) známom z ISO 27001 a založenom na štyroch nadväzných a opakujúcich  sa fázach Plánovať – Vykonávať – Kontrolovať – Pôsobiť. V dekompozícii na proces riadenia IT rizika by Demingov cyklus PDCA mohol byť znázornený aj nasledovne:

pcap

 

Pre korektné uplatnenie metodiky riadenia IT rizika sa IT riziko definuje ako: „riziko finančných a reputačných strát spôsobených narušením dôvernosti, integrity, dostupnosti, alebo sledovateľnosti informačných aktív, vytvorených, uložených, spracúvaných, alebo  prenášaných informačnými technológiami.

Používanie a rozvoj používaných informačných systémov ako aj zmeny prevádzkových procesov v závislosti na úrovni ich automatizácie môžu organizácii spôsobovať riziko.

Prístup k manažmentu rizík na základe medzinárodnej normy ISO/IEC 27001 podporuje osvojenie si procesného prístupu k návrhu, implementácii, prevádzke, monitorovaniu, udržovaniu a zlepšovaniu efektivity ISMS.


Ošetrovanie rizika

Ošetrovanie rizika je proces výberu a implementácie opatrení na modifikovanie rizika.

Najvhodnejšie metóda ošetrenia rizika by mala byť vybratá na základe výsledku hodnotenia rizika. Použitá by mala byť vždy tá metóda ošetrenia rizika, ktorou je možné získať výraznejšiu redukciu rizika s dosiahnutím relatívne nižších nákladov.

V zmysle ISO 27005 je možné na ošetrenie rizík použiť protiopatrenia ktoré je možné zaradiť do jednej z možných kategórií:

 

riziko

 

Zníženie rizika

Zníženie rizika je metóda ošetrenia rizika, pri ktorej je uplatnený výber vhodných opatrení tak, aby riziko bolo znížené až na úroveň zostatkového rizika, ktoré môže byť následne prehodnotené ako akceptovateľné.

Vhodné a opodstatnené opatrenia by mali byť vybrané tak, aby spĺňali požiadavky stanovené ohodnotením rizika. Výber opatrení by mal brať do úvahy kritéria akceptácie rizika ako napr. právne, regulačné a zmluvné požiadavky. Taktiež by mal vziať do úvahy primeranosť nákladov a časový rámec na implementáciu opatrení ale aj technické a kultúrne aspekty. Okrem toho, dôležitá je otázka návratnosti investície súvisiacej so znížením rizika a potenciál na využívanie nových obchodných príležitostí získaný implementáciou opatrení.

Presun rizika

Presun rizika je metóda ošetrenia rizika, pri ktorej bude určitá časť rizika zdieľaná s externými subjektmi.

Presun rizika sa môže uskutočniť napr. poistením, ktoré znižuje následky, alebo výberom zmluvného partnera, ktorého úlohou bude monitorovať proces, alebo informačný systém a prijať okamžité opatrenia na zastavenie hrozby skôr, ako vznikne škoda.

Vyhnutie sa riziku

Vyhnutie sa riziku je metóda ošetrenia rizika, pri ktorej bude riziko obídené nevykonaním príslušných rizikových aktivít, alebo uplatnením špecifických podmienok na vykonanie aktivity.

Keď je identifikované riziko považované za príliš vysoké, alebo náklady na implementáciu ošetrenia rizika presahujú prínosy, rozhodnutím môže byť aj úplné vyhnutie sa riziku a to odobratím plánovanej alebo existujúcej aktivity alebo súboru aktivít, alebo zmenou podmienok podľa ktorých je činnosť prevádzkovaná.

Zachovanie rizika

Zachovanie rizika je metóda ošetrenia rizika, pri ktorej nie sú uplatnené žiadne opatrenia a riziko zostane zachované v pôvodne ohodnotenej úrovni.

Ak úroveň rizika spĺňa kritériá na prijatie rizika, nie je potrebné implementovať opatrenia a riziko môže zostať zachované.

Zvyškové riziko

Zvyškové riziko je také riziko, ktorého hodnota po komplexnom ošetrení rizík implementáciou pôvodných, dodatočných a vylepšených opatrení na ošetrenie rizika je taká nízka (t.j. nepresahuje referenčnú úroveň), že je pre podnik prijateľné a nie je nutné uplatniť ďalšie opatrenia na jeho zníženie.

Referenčná úroveň je hranica miery rizika (stanovená hodnota rizika), ktorá rozhoduje o tom, či je riziko zvyškové (veľkosť rizika je menšia než referenčná úroveň), alebo nie je zvyškové (veľkosť rizika je väčšia alebo rovná referenčnej úrovni). Tým sa rozhodne, či proti riziku je alebo nie je potrebné uplatniť ďalšie opatrenia pre jeho zníženie. Referenčná hodnota by mala byť na takej úrovni, aby dopad hrozby bol taký nízky, že ju bude možné zanedbať.

Za predpokladu, že počet implementovaných protiopatrení postupne stúpa, zvyškové riziká budú z východiskových hodnôt postupne klesať, až sa zastavia na určitej konečnej hodnote, ktorá zásadnejším spôsobom neklesne ani po implementácii ďalších protiopatrení. Túto hodnotu rizika je možné označiť za zvyškovú.

protiopatrenia

 

V praxi pravdepodobne žiaden informačný systém nie je bez rizík a teda platí, že ani všetky implementované opatrenia neznížia riziko natoľko, aby dosiahlo nulovú hodnotu.

Akceptácia zvyškového rizika

Kritériá prijatia rizika často závisia na politike organizácie, cieľoch a záujmoch zainteresovaných strán. V každom prípade však rozhodnutie o prijatí rizík by malo byť učinené a formálne zaznamenané.

Akceptácia zvyškového IT rizika je proces, v ktorom vedenie podniku alebo vedením poverený orgán (v bankách typicky Komisia pre riadenie operačného rizika) formálne vezme na vedomie eskalované riziko.

Kritériá pre prijatie rizika by mali byť vopred vyvinuté a špecifikované. Tieto nie je možné stanoviť všeobecne, preto každá organizácia musí definovať svoju vlastnú stupnicu pre úrovne prijatia rizika. Kritériá pre prijatie rizika môžu samozrejme obsahovať aj niekoľko rôznych prahov s požadovanou cieľovou úrovňou rizika.

Návrhy možných prístupov (resp. hodnotiacich kritérií) pre prijatie zvyškového rizika:

  • vyjadrenie kritérií prijatia rizika ako pomeru odhadnutého zisku (alebo iného podnikateľského prospechu) k odhadnutému riziku.
  • stanovenie rôznych tried rizík (napr. rizík ktoré by mohli viesť k nesúladu s právnymi a regulačnými požiadavkami, resp. rizík stanovených zmluvnými požiadavkami)
  • požiadavky na budúce dodatočné ošetrenie (napr. riziko môže byť prijaté, ak existuje schválenie a záväzok zníženia rizika na prijateľnú úroveň v stanovenom časovom období).

Kritéria prijatia rizík sa môžu líšiť v závislosti na tom, ako dlho sa očakáva, že riziko bude existovať, napr. riziko môže byť spojené s dočasnou, alebo krátkodobou aktivitou.

Všetky akceptované riziká by mali byť prehodnocované až do doby, pokiaľ riziko neprestane byť relevantné, alebo sa nepristúpi k inému spôsobu ošetrenia identifikovaného a trvajúceho rizika. Jednoznačne odporúčaným termínom pre prehodnotenie akceptovaných rizík je obdobie pred plánovaním investičného rozpočtu pre nasledujúci rok.


Záver

Ak má organizácia úprimný záujem na dosiahnutí úspešnej implementácie procesu riadenia IT rizík, najvyššie vedenie musí byť odhodlané reálne zahrnúť informačnú bezpečnosť do základných obchodných procesov podniku. Iba zapojenie najvyššieho vedenia do procesu riadenia IT rizika zaručí, že organizácia bude mať vyhradené dostatočné zdroje na zabezpečenie adekvátnej úrovne informačnej bezpečnosti.

Je potrebné si uvedomiť, že i keď je informačná bezpečnosť dôležitou súčasťou  procesu riadenia IT rizík, je len jednou z mnohých úloh, za ktoré by malo zodpovedať predstavenstvo spoločnosti v rámci procesu riadenia operačných rizík.

Efektívne riadenie rizík pôsobiacich na informačné aktíva je teda podmienené istými kľúčovými úlohami najvyššieho vedenia podniku:

  • Poveriť zodpovednosťou za proces informačnej bezpečnosti a riadenia IT rizika konkrétneho člena najvyššieho vedenia
  • Pravidelne sa oboznamovať zo stavom ošetrovania IT rizík a pravidelne vykonávať formálnu akceptáciu zvyškového rizika
  • Formálne na seba prevziať zodpovednosť za akceptáciu zvyškového rizika vrátane identifikácie strát

 

 

Ivan Makatúra

Vyjadrite váš názor v komentároch