Řízení rizik You can’t effectively and consistently manage what you can’t measure, and you can’t measure what you haven’t defined... BIVŠ Řízení kvality (audit) IS

Osnova 1.Řízení rizik – základní pojmy 2.Proces řízení rizik 3.Druhy analýzy rizik 4.Softwarové nástroje

1. Řízení rizik (1) RIZIKA KONTROLYTESTOVÁNÍ

Postavení rizika v rámci EGIT Podniky jsou zde proto, aby vytvářely hodnoty pro stakeholdery Tvorba hodnot znamená realizaci přínosů při optimální spotřebě zdrojů za současné optimalizace rizik Optimalizace rizik je jednou ze základních částí všech governance systemů Optimalizace rizik je součástí tvorby hodnot (ovlivňuje spotřebu zdrojů a výši přínosů)

Risk Management Levels and Related Control Frameworks

Zmatek v terminologii Rizika IS (business risk) – kombinace strategických, manažerských a provozních činností zapojených do sběru, zpracování, ukládání, distribuci a využívání informací a souvisejících technologií. – Informační systémy jsou odlišné od informačních technologií (IT); informační systém má IT složku, která spolupracuje s komponentami procesů IT rizika - podnikatelské riziko spojené s užíváním, vlastnictvím, provozem, zapojením, a provozováním IT v rámci podniku (IT - hardware, software, komunikace a další zařízení použitá pro vstup, ukládání, zpracování, přenos a výstup dat v bez ohledu na formu) Informační rizika – informace není chráněna proti účinnosti, úspornosti, souladu, spolehlivosti, důvěrnosti, integritě, dostupnosti (informace je aktivum, které, stejně jako další významná obchodních aktiva, které je nezbytné pro business. Může existovat v mnoha formách. Rizika informační bezpečnosti - v rámci podniku, informace není chráněna proti prozrazení neoprávněným uživatelům (důvěrnost), nesprávné modifikaci (integrita), a odepření přístupu v případě potřeby (dostupnost)

Definice rizika Obecně se riziko definuje jako kombinace pravděpodobnosti události a jejích dopadů (ISO Guide 73). ´Dopady znamenají, že není dosaženo stanoveného cíle COBIT 5 for Risk definuje riziko IT jako business riziko, a to business riziko spojené s užíváním, vlastnictvím, provozem, využíváním, a přizpůsobováním IT v rámci organizace IT riziko se skládá z IT událostí, které mohou potenciálně negativněovlivnit business IT riziko existuje vždy – i tehdy, pokud není detekováno

Odpovědnost za řízení rizik

Základní pojmy podle ISO (1) Aktivum – vše, co má pro jednotlivce nebo organizaci hodnotu, která může být snížena působením hrozby. Příklad dělení aktiv: – Primární aktiva: Business procesy a činnosti (hlavní procesy, procesy zajišťující soulad s normami) Informace (základní potřebné pro business, osobní údaje, strategické, nákladné) – Podpůrná aktiva: HW SW Sítě Personál Budovy (fyzická zařízení nutná pro fungování organizace) Struktura organizací (personální struktury nutné pro zajištění procesů, projekty, subdodavatelé) Hrozba – potenciální příčina nechtěného incidentu, která může vyústit v poškození systému nebo organizace – frekvence výskytu hrozby – síla, (např. viry: destruktivní nedestruktivní, zemětřesení: údaj Richterovy stupnice atd.).

Základní pojmy (2) Hrozby – Příčina lidské prostředí: např. zemětřesení, blesk, povodeň, požár – Původ: interní, externí – Druh (náhodná/úmyslná, aktivní/pasivní) Aktivní hrozba – hrozba neoprávněné změny dat (modifikace, vložení, zničení) – problém autorizace Pasivní hrozba – hrozba prozrazení informací bez toho, aby se měnil obsah - problém utajení Agent hrozby – metoda nebo věc, která využije slabinu (např. motivace, zdroje, schopnost) Událost hrozby – fáze působení hrozby na slabinu systému

Základní pojmy (3) Slabina/zranitelnost – slabé místo aktiva nebo skupiny aktiv, které může být využito jednou nebo více hrozbami (např. heslo, které se nemění, hořlavý koberec, špatně nastavený firewall). Chybějící kontrola je považována za zranitelnost SlabinaHrozba Nekontrolované stahování SW a jeho užívání Viry Porušení autorského práva Nechráněné tabulky hesel Maskování identity uživatele Nedostatečná dokumentace Chyba operátora Nechráněné propojení na veřejnou síť Neoprávněné užívání SW

Základní pojmy (4) Škoda/Dopad – důsledek nežádoucího incidentu na podnikatelské aktivity Ochranná opatření/ kontroly/coutermeasures – praktiky, postupy, mechanismy pro ochranu před hrozbou. Často se rozlišuje fyzická ochrana (hardwarová, mříže, zámky atd.) a logická ochrana (softwarová, organizační) Riziko – kombinace pravděpodobnosti, že dojde k nežádoucí události a následků, které z takové události mohly vzniknout (je přímo úměrné slabině, pravděpodobnosti a velikosti škody)

Událost - Incident Událost informační bezpečnosti – rozpoznaný výskyt stavu systému, služby nebo sítě, který indikuje možné narušení politiky informační bezpečnosti, selhání kontrol nebo doposud neznámou situaci, která může být relevantní pro řízení informační bezpečnosti Incident informační bezpečnosti – jedno nebo série nechtěných nebo nečekaných událostí, které mají významnou pravděpodobnost, že ohrozí business procesy a poruší informační bezpečnost Události informační bezpečnostiIncidenty informační bezpečnosti Network scanning Opakující útoky na prolomení hesel Neúspěšné útoky SQL injections Ztracené laptopy nebo mobilní zařízení Přístup k serverům Botnet infekce Úspěšné útoky SQL injection Kompromitované účty (e.g. Spamming účtů) Denial of Service útoky Neautorizovaný přístup do aplikací

Vzorec pro výpočet rizika Úroveň rizika: s jakou pravděpodobností a s jakým dopadem se stane „něco špatného“ (bezpečnostní incident) Risk = pravděpodobnost x dopad Omezení tohoto vzorce: – nebere v úvahu existující kontroly – slabiny Risk = pravděpodobnost x dopad x slabina – nebere v úvahu vliv kritičnosti (criticality) aktiva – Explicitně nejsou vyjádřeny atributy bezpečnosti (důvěrnost, integrita, dostupnost) – nebere v úvahu dostupnost řešení – nejsou explicitně vyjádřeny charakteristiky IT a softwarové architektury

Riziková mapa vycházejí ze vzorce

Example: Call Center Risk Assessment Low High IMPACTIMPACT PROBABILITY High Risk Medium Risk Low Risk Loss of phones Loss of computers Credit risk Customer has a long wait Customer can’t get through Customer can’t get answers Entry errors Equipment obsolescence Repeat calls for same problem Fraud Lost transactions Employee morale

Risk governance- nový přístup Scénáře rizik – popis možných událostí, které, pokud nastanou budou mít neznámý dopad na dosažení cílů organizace. Dopad může být pozitivní i negativní (pozitivní – příležitost pro manažery zlepšit business) Časová dimenze scénáře: – Trvání události (doba nedostupnosti datového centra) – začátek (kdy dojde k události) – Časový úsek mezi začátkem a projevem dopadu (např. chyba sítě a následná nedostupnost ne o zpožděný dopad, např. chyba architektury a nakumulované prostředky pro její řešení) Rizikový apetit je výše rizika, kterou je management ochoten tolerovat při dosahování svých cílů (možné použít mapu rizik) Riziková tolerance je výše odchylky od stanoveného apetitu (např. standard určuje, že každý projekt se musí dokončit v rámci stanoveného rozpočtu a času, ale připouští se odchylky 10% od rozpočtu a 20% času) Aktér generuje hrozbu; může být člověk nebo jiný prvek (chyba člověka, přírodní událost), interní nebo externí (zaměstnanec, trh, regulátor, konkurence) Druh hrozby – S negativním dopadem nebo bez negativního dopadu – Náhodná nebo záměrná – Přírodní události

Cobit 5 for Risk – Druhy rizika Riziko přínosů/ hodnot z IT Riziko řízení programů a projektů Riziko provozní a dodávek služeb IT

Cobit 5 for Risk – Druhy rizika Riziko bez opatření na jeho snížení Inherentní riziko plus současná opatření/kontroly Současné riziko plus další opatření na základě analýzy současných rizik

Výskyt bezpečnostních incidentů za poslední dva roky ??? oad/PSIB_CR_2009.pdf

INCIDENTY S NEJVÁŽNĚJŠÍM DOPADEM ???

Kdy organizace naposledy prováděly analýzu rizik IS ???

4. Proces řízení rizika - vazby mezi „prvky“ řízení rizik

2. Proces řízení rizika (EU Agency for Network and Information Security

Proces řízení rizika podle Risk IT-Cobit 4.1

Proces řízení rizika podle Cobit 5 (scénáře rizik)

Proces řízení rizika podle ISO/IEC 27005:2008

Proces řízení rizika - etapy Řízení rizik (Risk Management) – koordinované činnosti sloužící k řízení a kontrole organizace s ohledem na rizika Určení kontextu (Context Establishment) – stanovení kriterií pro řízení inf. rizik Hodnocení rizik (Risk Assessment) – celkový proces analýzy a vyhodnocení rizik Analýza rizik (Risk Analysis) – systematické používání informací k odhadu míry rizika a k určení jeho zdrojů Vyhodnocení rizik (Risk Evaluation) – proces porovnávání odhadnutého rizika vůči daným kritériím pro určení jeho významu Zvládání rizik (Risk Treatment) – proces výběru a přijímání opatření pro změnu rizika Akceptace rizika (Risk Acceptance) – rozhodnutí přijmout riziko

2.1 Určení kontextu Zahrnuje stanovení strategických, organizačních a obsahových aspektů dalších kroků – Určení kriterií hodnocení (bezpečnostní politika organizací) Právní, regulační, smluvní požadavky, Provozní důsledky nedostupnosti Důsledky ztráty důvěrnosti Důsledky ztráty integrity Vnímání dobré pověsti firmy atd. – Definování rizikových faktorů Požadavky na kontinuitu podnikových procesů Požadavky na bezpečnost Přijatelné ztráty a rizika Hranice pro přijetí akce Priority – Stanovení rozsahu a hranic (omezení pro proces řízení rizika) – Stanovení samostatných objektů hodnocení (např. fyzické nebo logické kontroly, kategorie aktiv, podnikatelské funkce/procesy, aplikace apod.)

2.2 Hodnocení rizik Zahrnuje analýzu rizik a vyhodnocení rizik Analýza rizika se skládá z – Identifikace rizik Hrozeb – co může způsobit škodu Slabin – co usnadní agresi Dopadu – jaká škoda nastane – Ocenění rizik Hodnocení efektivnosti kontrol Vyčíslení hrozeb, slabin a dopadu Pravděpodobnost, proveditelnost, četnost Výpočet rizika R = T (threat) * V (vulnerability) * I (impact)

2.2 Vyhodnocení rizik Porovnání vypočteného rizika s rizikovými kritérii/faktory (viz 1. etapa – podnikatelské potřeby, požadavky na bezpečnost atd.) Rozhodování č. 1: Je spokojenost s hodnocením rizika? – ANO – postup do dalšího subprocesu Zvládání rizik – NE – návrat na subproces Určení kontextu

Výsledky hodnocení rizik Rozhodování zda je hodnocení vyhovující Možnosti zvládání rizik: Omezení rizika Přijetí rizika Vyloučení rizika Přesunutí rizika Reziduální rizika Rozhodování, zda je spokojenost se zvládáním rizik

2.3 Zvládání rizika Omezení rizika pomocí vhodných kontrol, (např. podle ISO/IEC 27002) – Náklady – Integrace/vazby – Zbytkové riziko Přijetí rizika – není potřeba nasadit kontroly Vyloučení rizika – když je riziko velké a opatření drahá (např. přírodní rizika – přesun aktiv do jiného prostředí) Přesunutí rizika - sdílení s externími partnery – Pojištění – Outsourcing

Nákladový model pro realizaci bezpečnostních opatření velikost rizika bilancování nákladů na opatření s odhadovanou výší ztráty, kdyby opatření nebyla realizována

2.4 Akceptace rizika Rozhodování č. 2: je spokojenost se zvládáním rizika? – ANO – přechod na subproces Akceptace rizika – NE – návrat na subproces Určení kontextu Akceptace rizika je formální potvrzení akceptace reziduálního rizika

3. Druhy analýzy rizik (1) ISO/IEC : – základní přístup (baseline, ad hoc) – bez analýzy se nasadí kontroly podle nějakého standardu – neformální přístup (general) Nerozlišuje se hrozba a slabina Řešení na vyšší úrovni řízení (corporate, department level) rizika určí jednotlivci na základě zkušeností Neužívá se automatizovaná podpora, kvalitativní hodnocení – podrobná analýza rizik (detailed) Podrobná analýza základních komponent( aktiva, slabiny, hrozby rizika, opatření ) Podpora automatizovanými nástroji Kvantitativní i kvalitativní hodnocení Nákladné a často neprovázané s podnikatelskými cíli – kombinovaný přístup – nejlepší – kombinace předchozích

Druhy analýzy rizik (2) Kvalitativní metody Semi-kvantitativní metody Kvantitativní metody Kombinace předchozích

Kvalitativní metody Při kvalitativní analýze se škoda a pravděpodobnost podrobně popisují. Škály hodnot se mohou měnit podle prostředí a druhy rizika Použití: – Jako počáteční krok pro identifikaci rizik a potom podrobnější analýza – V případě, kdy se musejí vzít v úvahu obtížně měřitelné aspekty rizika (např. pověst, kultura, spokojenost zaměstnanců …) – Když nejsou dostupné statistické numerické údaje potřebné pro kvantitativní přístup

Kalitativní metody (pokr.) Je potřebné stanovit kategorie pro pravděpodobnost a doapd

DOPAD PRAVDĚPODOBNOST Nízké Střední Vysoké Kritické 5 katastrofální 4 významný 3 větší 2 menší 1 nevýznamný 1 vzácně 2 malá 3 střední 4 velká 5 častá

Semi-kvantitativní metoda Cílem je přiřadit určité hodnoty ke škále u jedné z proměnných (pravděpodobnost nebo dopad) Předstupeň kvantitativní metody Zařazení do jednotlivých kategorií není přesné Někdy obtížné správně stanovit tyto hodnoty

Kvantitativní metoda - verze I Číselné hodnoty jsou přiřazeny k oběma proměnným Hodnoty se získávají z různých zdrojů Kvality analýzy závisí na těchto hodnotách Dopad může být vyjádřen pomocí různých aspektů fungování aktiva (např. výpadek sítě) – Peněžní hodnoty (kolik se zaplatí na penále za nedostupnost služby) – Technické aspekty (jaké aplikace byly nedostupné) – Provozní aspekty (jak dlouho byla síť mimo provoz) – Lidské aspekty (ohrožení životů?) Škály a hodnoty se mohou měnit podle druhu rizika

Kvantitativní analýza (příklad) Škály hodnocení jsou doplněny orientačními hodnotami Dopad – Nevýznamný – dopad zanedbatelný – Menší – dopad jen na omezenou část businessu, nebo menší než 20 mil Kč – Větší – dopad na značku organizace nebo vyšší než 20 mil Kč – Významný – vyšší než 4 mld. Kč a vyžadující externí reporting – Katastrofální - selhání nebo významné snížení funkcionality organizace Pravděpodobnost – Vzácně – Malá - ne v posledních 5 letech – Střední - výskyt v posledních 5 letech, ale nikoliv v posledním roce – Velká – výskyt v posledním roce – Častá – výskyt opakovaný, pravidelný

Analýza rizik pro nouzový plán

Příklad kvantitativní analýzy rizik II Hodnota aktiva (X) HrozbaZtráta při jednom výskytu (SLE) Četnost výskytu Roční míra výskytu (ARO) Roční očekávaná ztráta (ALE) 1 mil. Tornado 20% nebo Jednou za dva roky 0, Postup výpočtu: ALE = X * SLE * ARO = kde ALE je Annualized Loss Expectancy

FAIR (Factor Analysis of Information Risk) FAIR představuje taxonomii faktorů, které mají vliv na riziko (pravděpodobnost a dopad) Faktory vytvářejí hierarchii Pomáhají upřesnit analýzu rizik

FAIR Factoring diagram

Metoda bodového hodnocení - 1 Zpřesňuje analýzu rizik pomocí rizikových faktorů Kroky: 1. Vyhodnocení cílů auditovaného subjektu (poskytování služeb vývoje aplikací) 2. Seznámení se s programy /činnostmi, procesy, vztahy/, vytvoření mapy procesů, (např. vytvoření seznamu vyvíjených aplikací, použitá metodologie, cena projektů, týmy, způsob kontroly atd.), 3. Identifikace rizik – seznam rizik – výběr oblasti auditu (vývoj aplikace XY),

Metoda bodového hodnocení Určení rizikových faktorů : Velikost, organizace a zkušenosti vývojového týmu Velikost aplikace Doba trvání vývoje Vývojová platforma Realizované kontroly (audity) Metodologie vývoje aplikace Zkušenost vedení projektu Využívání externích zdrojů 5. Stanovení stupně významnosti rizika, tj. váhy a míry rizikových faktorů: Velikost, organizace a zkušenosti vývojového týmu: váha 3 (stanoví užší skupina řízení rizik) Malý, žádné další odpovědnosti, zkušený1 Středně velký, centralizované vedení, zkušený2 Středně velký, různé priority, zkušený3 Středně velký, převážně centr. vedení, různé priority4 Velký, decentralizovaný, nezkušený, nejasný reporting5 6. Stanovení dopadů jednotlivými hodnotiteli 7. Stanovení objektivního stupně významnosti (aritmetickým průměrem: součet subjektivních významností rizik/počet hodnotitelů), 8. Seřazení rizik podle stupně významnosti a jejich grafické vyjádření.

Bodové hodnocení – krok 5 Velikost, organizace a zkušenosti týmu MAX A – součet maximálních rizik všech faktorů Atd. Rizikové faktory 1 2

Bodové hodnocení rizikových faktorů- krok 6 Velikost, organizace a zkušenost týmu326 Velikost aplikace

4. Softwarové nástroje Produkty orientované na zavedení systému řízení bezpečnosti na základě analýzy rizik (např. Cramm) Registry rizik – orientace na průběžné řízení rizik BTO (GRC) software (např. HP BTO) podporuje všechny procesy řízení IT (IT Governance včetně řízení rizik)

Příklady softwarových nástrojů pro řízení rizik (1)

Příklady softwarových nástrojů pro řízení rizik (2)

Příklady softwarových nástrojů pro řízení rizik (3)

Základní prvek moderního řízení rizik Registr rizika – ukládání informací o všech bezpečnostních rizikách Odpovědnost bezpečnostní manažer Softwarová podpora verze pro jednoho uživatele, např. RiskEasy verze pro skupinové užití, např. Risk Register for Workgroups verze pro řízení rizik projektů, např. Risk Register for Projects verze pro řízení celopodnikových rizik, např. Enterprise Risk Register

Enterprise Risk Register® (Noweco) Structura a prvky produktu

Postup rizikové analýzy podle Cramm