Metodyka oceny ryzyka RED INTO GREEN
Aplikacja RED INTO GREEN ma wbudowaną autorską metodykę i realnie ocenia ryzyko wykorzystując podejście do zarządzania ryzykiem oparte na aktywach organizacji (Asset Based Approach).
Solidna metodyka oceny ryzyka, czyli jaka?
Solidna metodyka oceny ryzyka daje organizacji możliwość identyfikowania potencjalnych zagrożeń, oceny ich wpływu oraz prawdopodobieństwa wystąpienia. Odpowiednio do tych informacji organizacja powinna dostosowywać swoje działania, procedury i zasoby tak, aby skutecznie zarządzać ryzykiem. Innymi słowy, jest to zasada Risk Based Approach.
Dla skuteczności zarządzania ryzykiem istotny jest wybór odpowiedniego podejścia – Asset Based Approach. To podejście jest aktualnie wymagane przez DORA, NIS2 i GDPR. Dlaczego?
Aktywa – podstawa w ocenie ryzyka
Po pierwsze to na aktywach (assets) materializują się zagrożenia.
Po drugie aktywom można przypisać ich wartość. Bez obliczenia prawdopodobieństwa wystąpienia zagrożeń na aktywach i odniesienia do ich wykorzystania w procesach, , a następnie w produktach/usługach, nie można określić dokładnie jakie będą konsekwencje i koszty wystąpienia zagrożenia w Twojej organizacji.
Po trzecie, ocena ryzyka oparta na aktywach pozwala uwzględnić i w jednym systemie ich istotność dla różnych obszarów ryzyka: ciągłość działania, bezpieczeństwo informacji, ochrona danych osobowych, co umożliwia na o wiele sprawniejsze i skuteczniejsze zarządzanie ryzykiem.
Jedna metodyka oceny ryzyka dla NIS2, DORA i RODO
Wiele organizacji zaczęło wdrażać zarządzanie ryzykiem wraz z wejściem w życie RODO. Dziś obok RODO mamy jeszcze szersze wymagania NIS2. Podobnie z DORA, które stanowi “lex specialis” w stosunku do NIS2. UE już na etapie RODO zaczęła egzekwować przeprowadzenie skutecznej oceny ryzyka, która powinna dotyczyć zarówno prawdopodobieństwa wystąpienia zagrożeń (P), jak i powagi ich konsekwencji (impact czyli wpływ, oznaczamy W). Więc ryzyko to R=W*P.
Aktualnie, w ramach DORA, UE wymaga m.in. metodyki, która skupia się na wartości i krytyczności posiadanych aktywów informacyjnych i wspierających (np. Art. 5 RTS JC 2023 86) i wpływie utraty przez nie atrybutów bezpieczeństwa (poufność, integralność, dostępność, autentyczność) na funkcje biznesowe organizacji. Z tego powodu stosowanie metodyki RED INTO GREEN z jej podejściem assetowym, jest wypełnieniem wymagań UE w tym zakresie.
Aktywa wspierające w szacowaniu ryzyka
Aktywa wspierające to wszelkie nośniki danych i informacji oraz elementy mające na nie wpływ. Może to być komputer, telefon, dokumentacja, systemy monitorowania, specjalistyczne oprogramowanie, czy nawet zapasowe źródło zasilania.
W metodyce RED INTO GREEN ogniskujemy ryzyko na aktywach wspierających, ponieważ pełnią one rolę służebną w stosunku do aktywów głównych (informacji i procesów biznesowych) oraz pośredniczą pomiędzy aktywami głównymi, a zagrożeniami, które mogą na nie oddziaływać (np. zainfekowanie serwera może skutkować nieuprawnionym dostępem do danych).
Jak działa metodyka RED INTO GREEN?
Konstrukcja oceny ryzyka
Podstawowy wzór szacowania ryzyka R=W*P, gdzie ryzyko jest rozumiane jako iloczyn szacowanego poziomu wpływu (W) oraz szacowanego prawdopodobieństwa materializacji zagrożenia (P).
Materializacja zagrożenia oznacza, że dane zagrożenie się ziściło w kontekście aktywa wspierającego (np. serwera) i spowodowało szkodliwe konsekwencje dla wspieranych przez nie aktywów głównych. Może to obejmować naruszenie poufności danych, ich utratę, zablokowanie dostępu do zasobów lub inne formy szkody.
Szacowanie prawdopodobieństwa
Szacowanie prawdopodobieństwa wiąże się z przyjmowaniem różnych scenariuszy, gdzie istotny jest kontekst współzależności z zabezpieczeniami oraz podatnościami.
Żeby ocenić prawdopodobieństwo, musimy w pierwszej kolejności zidentyfikować, jakie zagrożenia mogą dotyczyć poszczególnych aktywów wspierających organizacji. Jako punkt oceny prawdopodobieństwa przyjmujemy pojedynczą kombinację zagrożenie + aktywo wspierające.
Prawdopodobieństwo wstępne
W metodyce oceny ryzyka RED INTO GREEN szacujemy prawdopodobieństwo, które uwzględnia prawdopodobieństwo wstępne (Pw) wystąpienia danego zagrożenia w stosunku do aktywa wspierającego, inaczej nazywane domyślnym lub inherentnym, a w drugiej kolejności kontekst współzależności z zabezpieczeniami oraz podatnościami. Kontekst współzależności oznaczamy – M, bo modyfikuje on prawdopodobieństwo. Szacowanie prawdopodobieństwa przebiega więc w uproszczeniu według wzoru P=Pw+M.
Analiza ryzyka różnych domenach zarządzania ryzykiem
Metodyka RED INTO GREEN w oparciu o aktywa wspierające umożliwia analizę ryzyka dla całej organizacji oraz w poszczególnych domenach:
- Ochrony Danych Osobowych (ODO)
- Bezpieczeństwa Informacji (BI)
- Ciągłości Działania (CD)
Poza aktywami wspierającymi, występującymi w każdej z domen, w ODO analizowane są czynności przetwarzania i aktywa informacyjne, w BI aktywa informacyjne, a w CD procesy, produkty i usługi.
Chcesz wiedzieć jak system RED INTO GREEN może Ci pomóc?
Umów się na rozmowę z doradcą.
