Tyto webové stránky používají k poskytování služeb, personalizaci reklam a analýze návštěvnosti soubory cookie. Informace o tom, jak tyto webové stránky používáte, jsou sdíleny se společností Google. Používáním těchto webových stránek souhlasíte s použitím souborů cookie. Další informace Rozumím

Analýza kybernetické bezpečnosti #4: Hodnocení rizik

V minulých dílech našeho seriálu jsme se dozvěděli, jak vést evidenci aktiv a identifikovat jejich hrozby a zranitelnosti.
Nyní se zaměříme na zjištění úrovně (hodnocení) rizik jednotlivých aktiv. Díky tomu odhalíte, jaká aktiva jsou
problematická-riziková a musíte jim věnovat zvýšenou pozornost. 


Magická rovnice

Pro výpočet úrovně rizika jednotlivých aktiv se používá rovnice: 

riziko = dopad × hrozba × zranitelnost 

Výsledné riziko je uvedeno v procentech. Riziko představuje aritmetický průměr vycházející z dalších zahrnutých atributů.
Čili aritmetický průměr hodnot dopadu, hrozeb a zranitelnost. Pro zjištění výsledné úrovně rizika je nutné nejdříve
určit hodnoty-stupně právě těchto atributů. 


Stupnice pro hodnocení 

Na začátku si musíme odpovědět na následující na otázky:

  • Jakou stupnici pro hodnocení chceme používat? 
  • Kolik má mít stupňů? A jak je pojmenovat? 
  • Je námi zvolená stupnice v souladu s platnou legislativou?  
  • Budeme moci danou stupnici použít i v budoucích analýzach? 


Záleží pouze na vás jak si na dané otázky odpovíte. Zda si například zvolíte třístupňové hodnocení (nízké-střední-vysoké)
či hodnocení pouze na základě procent (25 %, 50 %, 75 %) nebo hodnocení na základě zkratek, písmen či stavů (alfa, bravo, charlie..).
Každopádně veškeré stupně, ať už je nazvete jakkoliv, musíte umět vyjádřit i číselnou formou, abyste mohli spočítat výsledné riziko.
V našich analýzách kybernetické bezpečnosti vycházíme z metodiky Národního úřadu pro kybernetickou bezpečnost.
Čili z čtyřstupňové stavové stupnice: 

  • Nízké: do 25 %
  • Střední: 26 - 50 %
  • Vysoké: 51 -75 % 
  • Kritické: 76 -100%


Hlavně metodicky

Ať už si nastavíte stupnici pro hodnocení rizik jakkoliv, vždy k ní musíte mít jasně danou popsanou metodiku,
která bude definovat co jednotlivé stavy znamenají. Vytvářet vlastní unikátní metodiku zabere poměrně hodně
času a potřebujete k tomu člověka, který rozumí kybernetické bezpečnosti a zároveň zná detailně vaši organizaci.
Z těchto důvodů doporučujeme využít již existujících metodik, například právě z Národního úřadu pro kybernetickou
bezpečnost nebo standarty ISO 27000. 


Počítání 

Jakmile budete mít jasnou metodiku, včetně stupnic dopadu, zranitelností a hrozeb, můžete přikročit k samotného
hodnocení rizik jednotlivých aktiv, dle výše popsané rovnice. Postup je velmi jednoduchý. Do rovnice pouze doplňujete
číselné hodnoty, představující stavy-stupně jednotlivých atributů.


Papír vs. online

S hodnocením rizik a celkovou analýzou kybernetické bezpečnosti vám může pomoci sofistikovaný online nástroj CSA.
V tomto nástroji budete mít k dispozici nejen celou metodiku, přehled aktiv, hrozeb a zdratitelností, ale také sekci pro hodnocení rizik.
Vše budete mít dostupné online a v moderním uživatelsky přívětivém prostředí. 


Pokud budete mít při hodnocení rizik či v jiné části analýzy kybernetické bezpečnosti jakékoliv problémy či otázky,
obraťte se na nás. Rádi vám pomůžeme. 

 

Doporučujeme: 

10 tipů na zlepšení vaší kybernetické bezpečnosti

Analýza kybernetické bezpečnosti #3: Identifikace hrozeb a zranitelností

Konec Juliana Assange: Jaké si vzít ponaučení z příběhu WikiLeaks?