KYBEZ

V minulých dílech našeho seriálu jsme se dozvěděli, jak vést evidenci aktiv a identifikovat jejich hrozby a zranitelnosti. Nyní se zaměříme na zjištění úrovně (hodnocení) rizik jednotlivých aktiv. Díky tomu odhalíte, jaká aktiva jsou problematická-riziková a musíte jim věnovat zvýšenou pozornost.

Magická rovnice

Pro výpočet úrovně rizika jednotlivých aktiv se používá rovnice:

riziko = dopad × hrozba × zranitelnost 

Výsledné riziko je uvedeno v procentech. Riziko představuje aritmetický průměr vycházející z dalších zahrnutých atributů. Čili aritmetický průměr hodnot dopadu, hrozeb a zranitelnost. Pro zjištění výsledné úrovně rizika je nutné nejdříve určit hodnoty-stupně právě těchto atributů.

Stupnice pro hodnocení 

Na začátku si musíme odpovědět na následující na otázky:

• Jakou stupnici pro hodnocení chceme používat?
• Kolik má mít stupňů? A jak je pojmenovat?
• Je námi zvolená stupnice v souladu s platnou legislativou?
• Budeme moci danou stupnici použít i v budoucích analýzach?

Záleží pouze na vás jak si na dané otázky odpovíte. Zda si například zvolíte třístupňové hodnocení (nízké-střední-vysoké) či hodnocení pouze na základě procent (25 %, 50 %, 75 %) nebo hodnocení na základě zkratek, písmen či stavů (alfa, bravo, charlie..). Každopádně veškeré stupně, ať už je nazvete jakkoliv, musíte umět vyjádřit i číselnou formou, abyste mohli spočítat výsledné riziko. V našich analýzách kybernetické bezpečnosti vycházíme z metodiky Národního úřadu pro kybernetickou bezpečnost.

Čili z čtyřstupňové stavové stupnice:

• Nízké: do 25 %
• Střední: 26 – 50 %
• Vysoké: 51 -75 %
• Kritické: 76 -100%

Hlavně metodicky

Ať už si nastavíte stupnici pro hodnocení rizik jakkoliv, vždy k ní musíte mít jasně danou popsanou metodiku, která bude definovat co jednotlivé stavy znamenají. Vytvářet vlastní unikátní metodiku zabere poměrně hodně času a potřebujete k tomu člověka, který rozumí kybernetické bezpečnosti a zároveň zná detailně vaši organizaci. Z těchto důvodů doporučujeme využít již existujících metodik, například právě z Národního úřadu pro kybernetickou bezpečnost nebo standarty ISO 27000.

Počítání 

Jakmile budete mít jasnou metodiku, včetně stupnic dopadu, zranitelností a hrozeb, můžete přikročit k samotného hodnocení rizik jednotlivých aktiv, dle výše popsané rovnice. Postup je velmi jednoduchý. Do rovnice pouze doplňujete číselné hodnoty, představující stavy-stupně jednotlivých atributů.

Papír vs. online

S hodnocením rizik a celkovou analýzou kybernetické bezpečnosti vám může pomoci sofistikovaný online nástroj CSA. V tomto nástroji budete mít k dispozici nejen celou metodiku, přehled aktiv, hrozeb a zdratitelností, ale také sekci pro hodnocení rizik. Vše budete mít dostupné online a v moderním uživatelsky přívětivém prostředí.

Pokud budete mít při hodnocení rizik či v jiné části analýzy kybernetické bezpečnosti jakékoliv problémy či otázky, obraťte se na nás. Rádi vám pomůžeme.

Doporučujeme: 

10 tipů na zlepšení vaší kybernetické bezpečnosti

Analýza kybernetické bezpečnosti #3: Identifikace hrozeb a zranitelností

Konec Juliana Assange: Jaké si vzít ponaučení z příběhu WikiLeaks?