Jak chránit? – Bezpečnostní riziko, bezpečnostní opatření
Pravděpodobnost, s jakou se může realizovat konkrétní hrozba, označujeme jako bezpečnostní riziko. Jedná se vlastně o kombinovanou pravděpodobnost závislou na:
- pravděpodobnosti výskytu hrozby,
- pravděpodobnosti, že hrozba bude mít možnost působit na zranitelné místo aktiva
- pravděpodobnosti, že bezpečnostní událost způsobí bezpečnostní incident
Určit tuto pravděpodobnost (tedy bezpečnostní riziko) je značně obtížné a vyžaduje znalost aktiva, znalost mechanizmu působení hrozeb, a zkušenosti z oblasti analýzy rizik.
Na základě provedené analýzy rizik jsou vždy znovu stanovena opatření (jejich druh rozsah, cena se může v čase měnit) za účelem minimalizace nebo úplného odstranění těchto rizik.
Zde musí zodpovědní pracovníci stanovit, co je ještě pro ně přijatelnou situací při realizaci rizika. Např.:
- Doba do znovu zprovoznění systému,
- Maximální možná ztráta dat (typicky 1 den práce, 1 hodina práce atd.)
- Konzistence dat – tedy možná chybovost v datech
- Únik dat
- Neoprávněná modifikace dat
Při stanovení opatření je třeba vždy vycházet minimálně z možností organizace, výše odhadované ceny aktiva a dopadů realizovaného rizika a volit adekvátní způsob realizace opatření.
Pokud riziko neodstraníme, ale snížíme ho na takou míru že je pro nás přijatelné, pak je toto riziko označováno jako přijatelné riziko a v rámci plánování zdrojů počítáme s pokrytím dopadů takovéhoto realizovaného rizika.