Jak správně posoudit bezpečnostní rizika?

6. 7. 2017

Sdílet

 Autor: © alphaspirit - Fotolia.com
Bez úplného a důkladného posouzení rizika můžete stejně tak vydat všechna svá datová aktiva napospas neomezeným únikům přes port 80 bez jakýchkoli bezpečnostních kontrol. V konečném důsledku tak útočníci a digitální zločinci získají v obou případech to, co chtějí.

Obrana před riziky, aniž víte, jaká tato rizika jsou, se podobá hraní paintballu se zavřenýma očima – neuvidíte svého protivníka. Posouzení rizik dává podniku konkrétní zúžené pole cílů, na které je potřebné se zaměřit.

Bezpečnostní experti vám poradí, co jsou spolehlivé zdroje a jaké byste měli udělat odborné kroky pro ochranu datových aktiv a úložišť v podniku.

Podrobnosti posuzování rizika

Posouzení IT rizik zahrnuje postupné kroky, které zajistí řádné vyhodnocení vašich IT rizik a jejich závažnosti pro vaši organizaci. Podle M. Scotta Kollera, poradce společnosti BakerHostetler, patří mezi tyto kroky následující úkony: ohodnocení dat a systémů; určení rizik těchto systémů; vyhodnocení těchto rizik z hlediska pravděpodobnosti, závažnosti a dopadu a určení kontrol, ochran a nápravných opatření.

Nástroje pro hodnocení dat a systémů mohou zahrnovat mapy sítě, inventář systémů a audity shromážděných a uložených dat, vysvětluje Koller.

Jde o více než jen o prosté pochopení – jde o přehledy topologií tak, aby zahrnovaly jádra sítí se všemi jejich servery, přepínači, směrovači, hardwarem, softwarem a službami až po hranice sítě, gatewaye a koncové body se všemi jejich uloženými daty, takže se musí zohlednit vše, co je a sídlí uvnitř vaší sítě. Nemůžete vytvořit seznam všech svých rizik, dokud je nevyhodnotíte pro veškeré síťové vybavení, které by mohlo být v ohrožení.

Při vytváření aktuálního a smysluplného seznamu reálných potenciálních rizik pro vaše systémy a datová aktiva zvažte zařazení manuální empirické fáze do celkového přístupu: sečtěte rizika, která nejvíce leží na srdci zainteresovaným osobám a členům týmu, a zajistěte, aby došlo k zohlednění každého systému a všech dat, seznam ověřte, odstraňte všechny duplicity a určete druhy rizik.

Jinými slovy, mluvte s lidmi o všem, co budete dělat při sestavování seznamu rizik. Kdokoli z nich si může všimnout něčeho, co by jinak uniklo pozornosti a nedostalo se na seznam identifikovaných rizik.

Existují také nástroje, které mohou pomoci podnikům zjistit konkrétní rizika. Řešení známá jako datová infrastruktura a pokročilá analytika dat, která nabízejí holistický pohled v reálném čase na situaci a obraz běžného provozu prakticky jakéhokoliv vybavení, systému, provozu či zařízení, a to způsobem, který je nezávislý na dodavatelích a pracuje téměř bez omezení, vysvětluje Steve Sarnecki, viceprezident společnosti OSIsoft.

Společnosti IBM a PwC jsou dalšími dvěma dodavateli, kteří nabízejí produkty této kategorie. Nástroje tohoto typu dokážou za účelem identifikace rizik sbírat informace o riziku z podnikových aktiv.

 

Metriky a nápravná opatření

Chcete-li vytvořit vizuální metriku pravděpodobnosti a závažnosti rizika, jednoduše ohodnoťte jednotlivá rizika od jedné do deseti nebo do sta pro pravděpodobnost a poté znovu pro závažnost. Použijte tato dvě čísla k vykreslení rizika jako bodu do grafu pomocí os X a Y.

Body, které se koncentrují v pravém horním rohu uvnitř čtverce, který je čtvrtinou celého grafu, tvoří nejdůležitějších 25 procent vašich rizik. Obrazové výsledky vyhledávače Google vám poskytnou představu o tom, co lidé v této oblasti už vytvořili.

Aby bylo možné posoudit možný dopad, je potřebné si uvědomit, že důsledky sahají daleko za finanční sféru. Podívejte se v historii své společnosti na nějaké důsledky, které nastaly.

Soustřeďte se na zprávy a analýzy z oboru IT o dopadech na organizace v podobné situaci, v jaké se nacházíte vy. Zeptejte se zainteresovaných osob na dopady, které je znepokojují.

Při hledání dalších kontrol, ochran a nápravných opatření pro zmírnění rizik se poohlédněte pro oborových osvědčených postupech s úspěšnou historií. NIST nabízí zdroje s bohatou diskuzí o kontrole. Také SANS nabízí seznam a rovněž diskuze o kontrole.

„Ochranným opatřením, které lze implementovat pro snížení potenciálního rizika infekce ransomwarem, je aktualizovat antivirový software. Po implementaci ochrany znovu vyhodnotíte riziko, abyste určili, zda jste dostatečně zmírnili dopady a pravděpodobnost rizika. Pokud ne, měli byste proces opakovat,“ radí Koller.

 

Očekávání a nastavení úrovně

Posouzení rizik neodstraní riziko, ale spíše ho akceptovatelně zredukuje. Vrátíme-li se k ransomwaru jako příkladu, spočívá zbytkové riziko ve skutečnosti, že antivirový software nemusí zabránit infekci ransomwarem, popisuje Koller.

„Organizace musí zvážit riziko spojené s danou událostí, pravděpodobnost výskytu a potenciální náklady spojené s dalšími ochranami,“ vysvětluje Koller. Pokud antivirový software nestačí, může podnik uvážit přidání dalších ochran.

Firma by se měla nejprve zabývat největšími riziky s nejvyšší pravděpodobností, závažností a náklady. Bez těchto informací, které poskytuje posouzení rizik, nedokáže podnik adekvátně chránit svá data.

ICTS24

 

Tento příspěvek vyšel v Security Worldu 3/2016. Časopis (starší čísla i předplatné těch nadcházejících) si můžete objednat na adrese našeho vydavatelství.