Coraz częściej słyszymy „Musisz dobrze zabezpieczyć sieć!” czy „Twoje zabezpieczenia nie są odpowiednie!”. Ale jak określić które zabezpieczenia są właściwe? Odpowiedź na to pytanie niesie analiza ryzyka!
Czym jest analiza ryzyka?
Art. 32 RODO nakłada na nas obowiązek wdrożenia:
„odpowiednich środków technicznych i organizacyjnych aby zapewnić stopień bezpieczeństwa odpowiadający temu ryzyku”.
Samo rozporządzenie nie wskazuje jednak do końca jakie środki techniczne czy organizacyjne należy wdrożyć. Oczywiście w tymże artykule podanych jest klika przykładowych zabezpieczeń takich jak: pseudoanimizacja czy szyfrowanie danych. Od razu widać, że nie jest to wystarczający zakres zabezpieczeń jakie należy stosować.
Dlatego pojawia się pojęcie analizy ryzyka, którą trzeba przeprowadzić. Ale czym tak właściwie jest ta analiza ryzyka? Najogólniejsza definicja ryzyka zgodnie z ISO31000 brzmi:
„ryzyko jest wpływem niepewności na osiągnięcie celów.”
W bezpieczeństwie informacji (dane osobowe są informacją) ogólne cele to: zapewnienie poufności, integralności i dostępności. Natomiast ryzyko jest reprezentowane jako kombinacja wystąpienia prawdopodobieństwa danego zagrożenia oraz konsekwencji jego materializacji.
Rodzina standardów ISO 27001 w analizie ryzyka
W świecie standardów ISO została ustanowiona rodzina ISO27001 – System zarządzania bezpieczeństwem informacji. Dotyczy ona bezpieczeństwa informacji, a cała rodzina zawiera kilkadziesiąt dodatkowych standardów np. ISO27017 – bezpieczeństwo przetwarzania informacji w rozwiązanych chmurowych , czy ISO27005 – zarządzanie ryzykiem w bezpieczeństwie informacji.
Najprościej rzecz ujmując zarządzanie ryzykiem to proces, którego zadaniem jest znajdowanie przyczyn zdarzeń mogących spowodować utratę poufność, integralność oraz dostępność informacji (także danych osobowych) oraz opracowanie wytycznych w jaki sposób przeciwdziałać zagrożeniom.
Standard ISO27005 opisuje jak zbudować proces zarządzania ryzykiem w bezpieczeństwem informacji. Zgodnie z tym standardem, zarządzanie ryzykiem możemy podzielić na dwa podprocesy, czyli:
- analiza ryzyka – to poszukiwanie i ocenianie czynników mogących spowodować naruszenie poufności, integralności i dostępności danych.
- plan postępowania z ryzykiem – W tym etapie musimy zadać sobie dwa ważne pytania: czy zastosowane zabezpieczenia są wystarczające? Jeżeli nie – jakie działania musimy podjąć aby zminimalizować wpływ ryzyka na organizację?
Analiza ryzyka – od czego zacząć?
„Od czego zacząć?”. To zawsze pierwsze pytanie jakie otrzymuję podczas szkoleń czy wdrożeń dotyczących bezpieczeństwa informacji. Pierwszym krokiem jest inwentaryzacja aktywów i informacji jakie są przez nie przetwarzane. Ale właściwie czym są aktywa? Tutaj również z pomocą przychodzi norma ISO27005, która dzieli aktywa na dwie główne grupy:
- Aktywa podstawowe
- Aktywa wspierające
Aktywa podstawowe to informacje i procesy. Natomiast aktywa wspierające to inne aktywa, które są wykorzystywane przez procesy i informacje czyli: sprzęt, oprogramowanie, ludzie, lokalizacje, dostawcy, podwykonawcy itd..
Kryteria analizy ryzyka i akceptacji ryzyk
Gdy zidentyfikujemy wszystkie aktywa i powiązane z nimi informacje możemy zacząć myśleć o analizie ryzyka. Ale to dopiero początek! Przed rozpoczęciem całego procesu należy określić kryteria samej analizy oraz kryteria akceptowania ryzyk. Co to tak właściwie oznacza? W tym kroku musimy odpowiedzieć sobie na następujące pytania:
- W jaki sposób będziemy liczyć prawdopodobieństwo wystąpienia danego zagrożenia?
- Jak będziemy liczyć konsekwencje? Odpowiadając na to pytanie musimy wziąć pod uwagę nie tylko konsekwencje finansowe, ale także też te niematerialne jak np. spadek reputacji naszej firmy!
- Jaki poziom ryzyka może zaakceptować nasza organizacja?
Identyfikacja ryzyka
Jeżeli ustaliliśmy już wszystkie niezbędne kryteria, musimy zidentyfikować jakie zagrożenia mogą wpływać na aktywa wspierające oraz określić dla nich poziom ryzyka. Jeżeli poziom ryzyka jest poza akceptacją należy zidentyfikować jakie dodatkowe kroki można poczynić – to jest właśnie plan postępowania z ryzykiem.
Co można zrobić z nieakceptowany ryzykiem? Po pierwsze – należy wdrożyć zabezpieczenia organizacyjne lub technologiczne. Po drugie – powinniśmy unikać ryzyka czyli nie wykonywać aktywności które są związane z tym ryzykiem. Możemy także współdzielić ryzyko z innymi podmiotami np. przez wykupienie odpowiedniego ubezpieczenia. Później pozostaje nam tylko wdrożyć wybraną strategię działania z ryzykiem i weryfikować jej skuteczność.
Należy pamiętać, że zarządzanie ryzykiem jest procesem ciągłym, który trzeba systematycznie powtarzać! Ciągle pojawiają się nowe ryzyka czy nowe zupełnie inne okoliczności, które mogą spowodować zmianę w naszych pierwszych wyliczeniach w stosunku do konkretnych ryzyk!
Chciałbyś dowiedzieć się więcej donośnie zarządzania ryzykiem? Chcesz poznać konkretne metody działania w tym obszarze? Zapraszamy na nasze szkolenie Analiza ryzyka i DPIA w bezpieczeństwie informacji i ochronie danych!
Potrzebujesz indywidualnego wsparcia? Twoja organizacja napotkała konkretne problemy które chciałbyś rozwiązać? Skontaktuj się z nami!