SIGURNOSNA RJEŠENJA

Procjena rizika informacijskog sustava (Risk Assessment)
POTREBA (Problem/potreba korisnika koju rješavamo pomoću ovog rješenja)

Područje informacijske sigurnosti u osnovi je reakcija na nestabilnost poslovanja, uzrokovanu brojnim internim i vanjskim čimbenicima. Inherentna ranjivost informacijskih resursa, sustava i procesa predstavlja stalnu prijetnju organizaciji zbog mogućnosti iskorištenja tih slabosti od strane raznih prijetnji, što rezultira narušavanjem profitabilnosti, gubitkom ugleda i sl. Uspostava mjera zaštite informacija, njihov kontinuiran nadzor i poboljšavanje podrazumijeva mehanizme prevencije i brze reakcije na incidente, kao način obrane od eventualnih gubitaka.

S druge strane, potpuna i „neprobojna“ zaštita informacijskih sustava je utopija, i to ne samo radi nemogućnosti profitabilnog opravdanja uloženih troškova, već u nekim situacijama i neizvedivosti adekvatnih sigurnosnih mjera. Kako bi se upravljačkim tijelima organizacije omogućio jasan i egzaktan uvid u sve slabosti postojećeg stanja, te na temelju tih saznanja ponudio odabir odgovarajućih mjera zaštite, nužno je provesti proces procjene sigurnosnih rizika informacijskih resursa.

RJEŠENJE (Što i kako radi ovo rješenje)

Kao ključan element implementacije sustava upravljanja sigurnošću informacija, procjena rizika je kompleksan projekt, koji uključuje sljedeće faze:

- Identifikacija i evidentiranje informacijskih resursa, nominiranje njihovih vlasnika i sigurnosna kategorizacija (cjelovitosti, raspoloživosti i povjerljivosti) u sklopu registra resursa
- Pridjeljivanje unutarnjih i vanjskih potencijalnih prijetnji resursima
- Otkrivanje ranjivosti resursa koje mogu biti iskorištene od identificiranih prijetnji
- Procjena vjerojatnosti izvršenja i utjecaja prijetnji na sveukupno poslovanje
- Utvrđivanje razina sigurnosnih rizika, u svrhu naknadne podjele po prioritetima
- Mehanizmi upravljanja rizikom (umanjivanje, izbjegavanje, prebacivanje, prihvaćanje rizika)

Radi izvedbene i podatkovne kompleksnosti rješenja, procesu je nužno pristupiti korištenjem prokušane metodologije, koja osigurava ne samo pregledan način pohrane informacija, već i učinkovit mehanizam ažuriranja podataka, kao i kriterije jednoznačnosti, objektivnosti, pouzdanosti i repetabilnosti. Naime, stalna mijena uvjeta poslovanja, fluktuacija kadrova, evolucija tvrtkinih proizvoda i usluga nameće pojmu procjene rizika procesni, tj. kontinuiran, karakter, kao jedini način osiguravanja trajne primjenjivosti i učinkovitosti u sklopu uključenih informacijskih sustava.

Sama analiza dobivenih rizika dijeli se na kvantitativnu (gdje se riziku pridjeljuje konkretna, najčešće novčana vrijednost) i kvalitativnu (subjektivna evaluacija parametara rizika). Obje metode imaju svojih prednosti i mana, te je metodologija koja koristi njihovu kombinaciju u raznim koracima procesa optimalan izbor za većinu organizacija. RECRO-NET koristi deduktivan pristup analizi, krećući od poslovnih i IT procesa, slijedno prema informacijskim resursima. Odluke o vrednovanju vrijednosti procesa i resursa, ozbiljnosti ranjivosti i prijetnji, te njihova vjerojatnost ostvarenja i pripadajuća procijenjena šteta – prepuštene su nominiranim vlasnicima resursa, kao najkompetentnijim osobama u svom djelokrugu rada. Potom slijedi sveobuhvatna analiza svih procijenjenih rizika, na temelju koje se upravljačkom tijelu organizacije podastire izvještaj o ugroženim područjima poslovanja po prioritetima, sa prijedlozima mjera upravljanja rizikom.

KORISTI (Koja je korist za korisnika od ovog rješenja)

Dok motivacija za bavljenjem pitanjima sigurnosti informacija može dolaziti iz različitih izvora (potrebe za osjećajem sigurnosti, prevencijom ponavljanja prošlih incidenata, obavezama koje nameće zakonska i strukovna regulativa), učinkovit rezultat, odnosno postizanje i održavanje zadovoljavajuće razine sigurnosti nije moguće bez sustava koji se bazira na prioritetima važnosti i izloženosti informacijskih resursa, kao temeljnih čimbenika poslovanja. Detaljnom analizom postiže se identifikacija dijelova poslovanja sa više razina rizika, na temelju čega je moguće izvršiti planove upravljanja rizikom, koji će na najbrži mogući način osigurati zaštitu najvažnijih resursa, te na taj način opravdati ulaganja i omogućiti daljnji razvoj na informacijskoj sigurnosti unutar organizacije.

Nasuprot ovom egzaktnom pristupu, mehanizmi zaštite mogu biti djelo organiziranijih jedinica i savjesnih pojedinaca, međutim bez jasne namjere i potpore upravljačkog tijela nije moguće sagledati cjelokupnu problematiku niti učinkovito upravljati informacijskim resursima.
Angažman vanjske tvrtke za prvotno izvršenje procesa procjene rizika i eventualnu prateću edukaciju osoblja korisnika, koje će redovita ažuriranja manjeg obima naknadno moći odvijati samostalno, dugoročno smanjuje troškove zapošljavanja specijalističkog osoblja.

NAŠE PREDNOSTI (Zašto odabrati baš naše rješenje)

Od početnog koraka procesa, izrade podatkovno obilnog registra informacijskih resursa, preko identifikacije prijetnji i ranjivosti, pa do proračuna samih sigurnosnih rizika; čitav je proces teško izvediv bez korištenja odgovarajućih programskih alata i znanja. I dok je nabavka samih tehničkih rješenja sve manji problem, jer je njihov izbor iz dana u dan sve veći, odabir optimalnih pomagala koja ispunjavanju svoje marketinške deklaracije i zadovoljavaju specifične zahtjeve svakog korisnika – nije jednostavan zadatak. Također, upravo zbog heterogenosti problematike, automatika pokriva tek jedan dio izazova procesa procjene rizika. Iscrpne i stalno nadopunjavane liste ranjivosti i prijetnji, posebice resursa iz IT sektora, praktično iskustvo u kvantificiranju rizika i predlaganju zaštitnih mjera, te projektni pristup sa preciznim rokovima, korišten od strane međunarodno certificiranih sigurnosnih stručnjaka RECRO-NET-a, garantiraju profesionalan pristup i osiguravaju opravdanje ulaganja u mehanizme zaštite informacija.

PREDUVJETI (Koji su preduvjeti kod korisnika za primjenu ovog rješenja)

Potpisivanje ugovora o povjerljivosti informacija. Kontakt s odgovornim osobama unutar organizacije (upravom i rukovoditeljima poslovnih procesa/organizacijskih jedinica). Rezervacija vremena za sudjelovanje zaposlenika, vlasnika procesa i resursa, po projektnom planu.

PRODUKTI I USLUGE (Koje usluge i proizvodi su potrebni i sadržani u ovom rješenju)

Usluge:

- Izrada registra informacijskih resursa
- Identifikacija prijetnji i pripadajućih ranjivosti informacijskih resursa
- Izračun rizika informacijskih resursa na temelju vjerojatnosti ostvarenja prijetnji i utjecaja na poslovanje
- Kvantifikacija rizika
- Izrada plana upravljanja rizikom i prijedloga sigurnosnih mjera baziranih na kritičnosti resursa
- Prezentacija za upravu