Analiza ryzyka bezpieczeństwa informacji to punkt, od którego zaczyna się każdy sensowny system bezpieczeństwa. To ona odpowiada na pytanie, na co wydać pieniądze najpierw. Bez niej firma kupuje narzędzia pod wpływem strachu albo prezentacji sprzedawcy, zamiast pod realne ryzyko. Poniżej sposób, w jaki prowadzę analizę w firmach MŚP.
Po co w ogóle analizować ryzyko
Celem nie jest zbudowanie grubego dokumentu, tylko podjęcie lepszych decyzji. Dobra analiza mówi jasno: te trzy rzeczy grożą Ci najbardziej, więc od nich zaczynamy.
- Wymaga jej ISO 27001 i, w praktyce, NIS2.
- Porządkuje wydatki: najpierw największe ryzyko przy rozsądnym koszcie.
- Daje argument w rozmowie z zarządem, bo pokazuje skutki, nie tylko technikę.
Najgorsza analiza ryzyka to taka, która powstała raz, do certyfikatu, i nigdy nie wpłynęła na żadną decyzję. Widuję je regularnie. Ładny plik, zero wpływu na rzeczywistość.
Krok 1: zinwentaryzuj aktywa
Nie da się chronić czegoś, o czym się nie wie. Zacznij od listy aktywów informacyjnych, ale nie utoń w szczegółach.
- Dane: bazy klientów, dane kadrowe, dokumentacja, dane szczególnych kategorii.
- Systemy: poczta, systemy dziedzinowe, strona, infrastruktura.
- Procesy krytyczne: sprzedaż, produkcja, obsługa klienta.
Dla każdego aktywa oceń, jak ważna jest jego poufność, integralność i dostępność. To pomaga później odróżnić rzeczy naprawdę istotne od reszty.
Krok 2: zidentyfikuj zagrożenia i podatności
Do każdego istotnego aktywa dopisz, co złego może się stać i co to umożliwia.
- Zagrożenia: ransomware, phishing, awaria sprzętu, błąd pracownika, kradzież, wyciek od dostawcy.
- Podatności: brak MFA, brak testów odtwarzania kopii, nieaktualne systemy, nadmiarowe uprawnienia.
Nie mnóż scenariuszy bez końca
Pokusa, żeby wypisać setki kombinacji, jest duża. Skup się na scenariuszach realnych dla Twojej firmy i branży. Lepsza jest krótka lista trafnych zagrożeń niż encyklopedia, której nikt nie przeczyta.
Krok 3: oszacuj ryzyko spójną metodą
Ryzyko szacujemy jako połączenie prawdopodobieństwa i skutku. Dla MŚP w zupełności wystarcza prosta skala, na przykład od 1 do 5 dla każdego wymiaru.
- Oceń prawdopodobieństwo wystąpienia.
- Oceń skutek: finansowy, prawny, wizerunkowy, operacyjny.
- Wylicz poziom ryzyka, na przykład jako iloczyn obu ocen.
- Ustal próg akceptowalności, powyżej którego trzeba działać.
Najważniejsze jest stosowanie tej samej metody dla wszystkich ryzyk. Spójność jest ważniejsza niż pozorna precyzja skomplikowanych wzorów.
Krok 4: zaplanuj postępowanie z ryzykiem
Dla każdego ryzyka powyżej progu wybierz sposób postępowania. Są cztery klasyczne opcje.
- Redukcja: wdrożenie zabezpieczeń, na przykład MFA, EDR, kopie odporne na ransomware.
- Przeniesienie: ubezpieczenie lub przekazanie części ryzyka dostawcy.
- Unikanie: rezygnacja z ryzykownej działalności lub technologii.
- Akceptacja: świadoma zgoda na ryzyko, jeśli koszt obrony przewyższa korzyść.
Efektem jest plan postępowania z ryzykiem: co robimy, kto odpowiada, do kiedy i za jakie pieniądze. To ten dokument zmienia firmę.
Krok 5: utrzymuj analizę w czasie
Ryzyko się zmienia razem z firmą, technologią i zagrożeniami. Analiza sprzed dwóch lat opisuje firmę, której już nie ma.
- Przeglądaj analizę cyklicznie, na przykład raz w roku.
- Aktualizuj ją po istotnych zmianach: nowy system, nowa lokalizacja, nowy dostawca.
- Wracaj do niej po każdym incydencie, bo incydent to darmowa lekcja o realnym ryzyku.
Najczęstsze błędy
- Analiza oderwana od decyzji, czyli papier dla papieru.
- Skupienie na technice z pominięciem skutków biznesowych.
- Zbyt drobiazgowa skala, która daje złudzenie precyzji.
- Brak właściciela, więc dokument szybko się starzeje.
Podsumowanie
Dobra analiza ryzyka jest prosta, spójna i prowadzi do konkretnych decyzji. Ma pokazać zarządowi, gdzie boli najbardziej, i skierować tam pieniądze w pierwszej kolejności. Reszta, w tym zgodność z ISO 27001 i NIS2, wynika z niej naturalnie.
Jeśli chcesz przeprowadzić analizę ryzyka, która ustawi Twoje priorytety, sprawdź naszą usługę analizy ryzyka. A gdy potrzebujesz najpierw twardych danych o stanie zabezpieczeń, dobrym startem jest audyt bezpieczeństwa IT.