Kvantitativní hodnocení rizik nabízí objektivní přístup k analýze rizik – ale pochopení rizika je pouze prvním krokem. Tento článek rozebere, jak interpretovat výsledky a převést tyto poznatky do smysluplných rozhodnutí v reálném prostředí.
Pochopení kvantifikace rizik
Co je to kvantifikace rizika?
Kvantitativní hodnocení rizik (někdy zkráceně QRA) přiřazuje kyberbezpečnostnímu riziku dolarovou hodnotu na základě jeho potenciálního dopadu a pravděpodobnosti. Klade si otázku: Pokud bude toto aktivum odhaleno prostřednictvím této zranitelnosti, co nás to bude stát? Na rozdíl od kvalitativních metod, které třídí rizika do kategorií závažnosti, poskytuje kvantitativní přístup objektivnější obraz.
Proč na tom záleží? Kvalitativní hodnocení rizik kybernetické bezpečnosti ponechává mnohem větší prostor pro interpretaci. Překlad rizika do jazyka podnikání – tj. dolarů a centů – odstraňuje mnoho z této nejednoznačnosti a pomáhá vedoucím pracovníkům mimo oblast bezpečnosti pochopit, co „vysoké“ riziko ve skutečnosti v kontextu znamená.
Jak zapadá kvantifikace rizik do širší strategie kybernetické bezpečnosti?
Kvantifikace rizika je základním nástrojem pro řízení expozice, ale není konečným cílem. Místo toho tvoří základ pro rozhodování o zmírnění rizik.
Když například dokážete prezentovat vystavení riziku jako řekněme „1,5 milionu dolarů v potenciálních škodách způsobených dodavatelem používajícím nešifrovanou cloudovou komunikaci“, bude snazší zvážit své možnosti, jak na toto riziko reagovat, což podrobněji prozkoumáme později v tomto článku.
Interpretace kvantitativní analýzy rizik: klíčové prvky
Existuje několik klíčových prvků kvantitativní analýzy rizik, které je důležité pochopit, aby bylo možné interpretovat výsledky.
- Hodnota aktiv (AV): Jakou hodnotu má pro vaši organizaci chráněné aktivum.
- Faktor expozice (EF): Procento hodnoty aktiv, které může být ztraceno nebo ohroženo, pokud se riziko naplní.
- Anualizovaná míra výskytu (ARO): Jak často očekáváte, že se toto riziko ročně naplní. (To může být méně než 1 pro rizika, která se naplňují méně než jednou za rok.)
Tyto tři údaje vám umožňují vypočítat:
- Očekávaná doba jedné ztráty (SLE): Finanční hodnota, která by byla ztracena při jediné události hrozby, pokud by se riziko naplnilo. Tuto hodnotu vypočítáte pomocí vzorce AV x EF.
- Očekávaná roční ztráta (ALE): Finanční hodnota, která by byla ročně ztracena, pokud by se riziko naplnilo. Tuto hodnotu vypočítáte pomocí vzorce SLE x ARO.
- Zbytkový ALE: Finanční hodnota, která by byla ročně ztracena, pokud by se riziko naplnilo po použití zmírnění. Zmírnění snižuje EF, ARO nebo obojí, ale výpočty jinak zůstávají stejné.
ALE je hlavním výstupem analýzy rizik a je to nejdůležitější údaj, který použijete ke zvážení možností reakce na riziko. Ale není to dokonalé číslo, a proto je tu ještě jeden klíčový prvek: nejistota.
AV, EF a ARO jsou všechny odhady. V ideálním případě jsou to velmi blízké odhady založené na pečlivém výzkumu, ale stále jsou to odhady. Úroveň spolehlivosti, kterou byste měli mít v těchto odhadech, je obvykle představována úrovní spolehlivosti (např. 80%), po níž následuje seznam neznámých.
Reakce na riziko
Dosud jsme se zabývali tím, jak interpretovat kvantitativní hodnocení rizik. Ale konečným účelem analýzy rizik je rozhodnout, co s tímto rizikem dělat.
Všechny reakce na rizika obecně spadají do jedné ze čtyř kategorií: vyhnout se, přijmout, přenést nebo zmírnit.
Vyhněte se
Vyhnout se riziku znamená zcela eliminovat expozici. Je to jediná reakce na riziko, která ve skutečnosti snižuje riziko na nulu. V praxi to znamená odstavení rizikového procesu nebo systému.
Vyhýbání se je v zásadě nukleární možností a je zřídkakdy proveditelné. Můžete například snížit riziko phishingu na nulu tím, že vypnete veškerou externí výměnu e-mailů. Pokud pracujete s otázkami národní bezpečnosti, mohlo by to stát za to. Pro nás ostatní by to skřípavě zastavilo obchodní operace.
Vaše analýza rizik může podpořit tuto reakci ve dvou situacích: pokud je ALE tak extrémní, že ho žádná zmírňující strategie nemůže snížit na přijatelnou úroveň, nebo pokud existuje alternativa 1:1 k procesu nebo systému nesoucímu riziko, která by snížila EF nebo ARO na nulu.
Přijmout
Přijmout riziko znamená rozhodnout se nedělat nic. I když to na první pohled může znít nerozumně, je to možnost, která si zaslouží vážné zvážení.
Existuje jeden velmi přímočarý scénář, ve kterém je přijetí rizika vaší nejlepší volbou: když náklady na zmírnění překročí zbývající ALE (tj. ALE po zmírnění). V této situaci je ochrana vaší organizace dražší než ztráta.
Existují však i jemnější situace, ve kterých má přijetí smysl. Ty berou v úvahu náklady příležitosti na zmírnění rizika, ať už je to úzce zaměřené na bezpečnostní tým, nebo náklady příležitosti pro podnik jako celek.
Žádný bezpečnostní tým nemá neomezené zdroje. Přijetí je rozumnou (i když nepohodlnou) možností, pokud volba zmírnění tohoto rizika znamená odklonění zdrojů od řešení více znepokojivé expozice. Zvláště když je strategie zmírňování velmi manuální a její implementace by vyžadovala mnoho hodin zaměstnanců, co nedělají, aby mohli věnovat svůj čas tomuto úsilí?
Je také třeba vzít v úvahu širší příležitostné náklady, což jsou příležitosti, kterých by se podnik musel vzdát, aby zmírnil nebo se vyhnul riziku. Jinými slovy, přijetí může mít smysl, když je obchodní příležitost větší než ALE. To by mohl být případ, kdy byste například otevřeli datové centrum v cizí zemi za účelem poskytování cloudových služeb na novém trhu. I když vás otevře novým bezpečnostním rizikům, je zde jasná obchodní výhoda.
Převod
Přenesení rizika znamená přenesení zátěže na druhou stranu, obvykle pojištění kybernetické bezpečnosti. Obecně řečeno, převedení rizika na pojištění je možnost, když pojištění stojí méně než vaše ALE – ale existuje několik upozornění.
Za prvé, pojištění kryje pouze finanční náklady na bezpečnostní incident. S bezpečnostními incidenty jsou spojeny i právní a reputační škody. Pokud váš ALE zohlednil tyto škody a přiřadil jim dolarovou hodnotu (což v ideálním případě udělal), budete muset toto číslo rozdělit, abyste se podívali pouze na okamžité finanční náklady. Přenesení rizika má smysl, když je finanční riziko vysoké, ale právní a reputační riziko je nízké.
Za druhé, pojištění bude téměř jistě vyžadovat, abyste měli nějaké bezpečnostní kontroly, a může také přestat krýt opakující se incidenty. To znamená, že budete muset přidat náklady na tyto kontroly k nákladům na pojištění, případně změnit svůj výpočet. Znamená to také, že převedení rizika do pojištění může být pouze dočasným opatřením pro riziko s vysokým ARO.
Zmírnit
Zmírnění je vaše nejaktivnější reakce, při které snížíte své ohrožení použitím bezpečnostních kontrol, záplatováním zranitelností, opravou nesprávných konfigurací atd.
Zmírnění neodstraní vaši expozici – jediný způsob, jak toho dosáhnout, je vyhnout se riziku úplně. Místo toho zmírnění snižuje vaše riziko tím, že podniknete kroky ke snížení vašeho EF, vašeho ARO nebo obojího. Poté můžete vypočítat nový ALE, známý jako váš zbytkový ALE.
Obecně platí, že zmírnění je silnou možností, když je rozdíl mezi původním ALE a zbytkovým ALE větší než náklady na zmírnění.
Začlenění ochoty riskovat (nebo jak řešit okrajové případy)
Ne každé posouzení rizik vám nabídne jasnou volbu reakce. Vždy budou existovat případy, kdy jsou rozpětí mezi dvěma možnostmi malé nebo je míra nejistoty vysoká. Začlenění chuti riskovat vám pomůže pochopit tyto okrajové případy. Chuť k riziku obvykle není součástí analýzy rizik, ale je to užitečný rámec pro interpretaci této analýzy.
Ochota riskovat je míra rizika, kterou je organizace ochotna přijmout při plnění svých cílů. Vysoká ochota riskovat znamená být otevřena přijímání větších rizik za možná vyšší odměny, zatímco nízká ochota riskovat znamenednost snížení rizika co nejvíce. Chuť k riziku existuje v několika dimenzích: můžete mít vysokou chuť k operačnímu riziku, ale nízkou chuť k riziku dodržování předpisů.
V rámci každé z těchto dimenzí (bezpečnostní riziko, riziko shody, riziko inovací atd.) je třeba zvážit několik klíčových faktorů:
- Riziková kapacita je maximální míra rizika, kterou může organizace nést, o které obvykle rozhodují finanční zdroje, provozní schopnosti a regulační omezení.
- Tolerance rizika je přijatelná odchylka od svého cíle.
- Rizikové prahy jsou „červené čáry“, které indikují potřebu změny strategie.
Práh mezi tolerancí a kapacitou, nebo dokonce mezi stupni tolerance, vám může pomoci protřídit šedé oblasti, kde není jasné, která je vhodná reakce na riziko.
Přeměna poznatků v činy
Pochopení kvantitativního hodnocení rizik je pouze prvním krokem – skutečná hodnota pochází z použití těchto poznatků k přijetí opatření. Ať už jde o vyhýbání se rizikům, jejich přijetí, převod nebo zmírnění, cíl je stejný: vyvážit bezpečnostní rizika a obchodní priority, abyste mohli podniknout rozhodná opatření.
Časté otázky
Co je kvantitativní hodnocení rizik? Kvantitativní hodnocení rizik, někdy zkráceně QRA, je formální proces přiřazování finanční hodnoty riziku kybernetické bezpečnosti na základě jeho potenciálního dopadu a pravděpodobnosti výskytu.
Jaká je roční očekávaná ztráta? Očekávaná roční ztráta je hlavním výstupem kvantitativního hodnocení rizik. Je to finanční hodnota, která by byla ročně ztracena, pokud by se toto riziko naplnilo. Vypočítá se pomocí vzorce Single Loss Expectancance (SLE) x Anualized Rate of Occurrence (ARO) , kde jednotlivá očekávaná ztráta je Asset Value (AV) x Exposure Factor (EF).
Co je chuť riskovat? Ochota riskovat je míra rizika, kterou je organizace ochotna přijmout při plnění svých cílů. Ovlivňuje rozhodování o reakci na rizika tím, že poskytuje rámec pro vyhodnocování kompromisů mezi bezpečnostními riziky a obchodními prioritami.
Pro další informace nás neváhejte kontaktovat.
Zdroj: Ivanti
