Tak jak poprzednio obiecałem dzisiaj przedstawię Państwu w jaki sposób przejść przez proces określania ryzyk, szacowania ryzyk i ostatecznie wyciągania wniosków z przeprowadzonej oceny ryzyka.
Rozpoczynając Naszą przygodę z szacowaniem ryzyka musimy w pierwszej kolejności przeprowadzić inwentaryzację aktyw w firmie. Pojęcie aktywa zaczerpnięte z normy ISO/IEC27001 brzmi następująco: aktywa – wszystko co ma wartość dla organizacji.
Podążając w myśl tej definicji przychodzą nam do głowy rzeczy materialne i jak najbardziej są to dobre skojarzenia. Jednak w odniesieniu do bezpieczeństwa informacji oraz normy ISO/IEC 27001 musimy spojrzeć szerzej na ten temat i spróbować również zidentyfikować niematerialne aktywa. Przykładem takich aktyw mogą być: pracownicy oraz ich wiedza i doświadczenie, bazy klientów, bazy kluczowych klientów, bazy dostawców, czyli nic innego jak informacje, których utrata może bardzo zaboleć. Po sporządzeniu takiego spisu aktywów powinniśmy przypisać każdemu z aktywów jego właściciela, aby wiedzieć z kim rozmawiać w danej sprawie. Po zakończeniu tego etapu przechodzimy do burzy mózgów, podczas której próbujemy przewidzieć wszelkie możliwe zdarzenie, które mogą zagrozić danemu aktywowi. Po sporządzeniu listy potencjalnych zagrożeń szacujemy ryzyko zgodnie z przyjętą metodyką w celu otrzymania wartości punktowej danego zagrożenia. Po otrzymaniu wartości punktowych ustalamy kryteria postępowania z danym ryzykiem w zależności od ilości osiągniętych punktów przez to ryzyko. Po przyjęciu odpowiednich kryteriów sprawdzamy czy oszacowane przez Nas ryzyko jest do zaakceptowania, czy może należy podjąć działania zmierzające do sprowadzenia ryzyka do wartości akceptowalnej. Oczywiście pamiętamy tutaj o zasadzie racjonalnego zarządzania ryzykiem i ponoszonych z tego tytułu kosztów. Najprostszymi a zarazem najtańszymi metodami (nazwijmy je systemowymi) na obniżenie nie akceptowalnego ryzyka do poziomu akceptowalnego jest opracowanie, wdrożenie oraz utrzymywanie odpowiednich polityk, procedur, instrukcji lub innych wytycznych zwracających szczególną uwagę na dany problem.
Nie bójmy się tego typu dokumentów ponieważ musimy pamiętać, iż najsłabszym ogniwem wszelkich zabezpieczeń jest człowiek, a dokładniej – niedoinformowany człowiek. Te opracowane, wdrożone i utrzymywane polityki, procedury, instrukcje itp. pomogą nam w zwiększeniu świadomości wśród personelu oraz pozwolą na uniknięcie prostych błędów ludzkich mogących doprowadzić do utraty integralności, dostępności lub poufności informacji. A nie dopuszczenie lub minimalizowanie prawdopodobieństwa wspomnianej utraty jest właśnie celem systemu zarządzania bezpieczeństwem informacji zgodnego z normą ISO/IEC 27001.
Autor: Marcin Pietrucha
Zobacz również:
Audyt bezpieczeństwa, a wymagania normy ISO/IEC 27001
Business Continuity Plan (BCP)
ISO/IEC 27001 nazewnictwo i numeracja
