SIGURNOSNA RJEŠENJA
Procjena rizika informacijskog sustava (Risk Assessment)
POTREBA (Problem/potreba korisnika koju rješavamo pomoću ovog rješenja)
Područje informacijske sigurnosti u osnovi je reakcija na nestabilnost poslovanja, uzrokovanu brojnim internim i vanjskim čimbenicima.
Inherentna ranjivost informacijskih resursa, sustava i procesa predstavlja stalnu prijetnju organizaciji zbog mogućnosti iskorištenja tih slabosti od
strane raznih prijetnji, što rezultira narušavanjem profitabilnosti, gubitkom ugleda i sl. Uspostava mjera zaštite informacija, njihov kontinuiran nadzor i
poboljšavanje podrazumijeva mehanizme prevencije i brze reakcije na incidente, kao način obrane od eventualnih gubitaka.
S druge strane, potpuna i „neprobojna“ zaštita informacijskih sustava je utopija, i to ne samo radi nemogućnosti profitabilnog opravdanja uloženih troškova,
već u nekim situacijama i neizvedivosti adekvatnih sigurnosnih mjera. Kako bi se upravljačkim tijelima organizacije omogućio jasan i egzaktan uvid u sve slabosti
postojećeg stanja, te na temelju tih saznanja ponudio odabir odgovarajućih mjera zaštite, nužno je provesti proces procjene sigurnosnih rizika informacijskih
resursa.
RJEŠENJE (Što i kako radi ovo rješenje)
Kao ključan element implementacije sustava upravljanja sigurnošću informacija, procjena rizika je kompleksan projekt, koji uključuje sljedeće faze:
- Identifikacija i evidentiranje informacijskih resursa, nominiranje njihovih vlasnika i sigurnosna kategorizacija (cjelovitosti, raspoloživosti i povjerljivosti) u sklopu registra resursa
- Pridjeljivanje unutarnjih i vanjskih potencijalnih prijetnji resursima
- Otkrivanje ranjivosti resursa koje mogu biti iskorištene od identificiranih prijetnji
- Procjena vjerojatnosti izvršenja i utjecaja prijetnji na sveukupno poslovanje
- Utvrđivanje razina sigurnosnih rizika, u svrhu naknadne podjele po prioritetima
- Mehanizmi upravljanja rizikom (umanjivanje, izbjegavanje, prebacivanje, prihvaćanje rizika)
Radi izvedbene i podatkovne kompleksnosti rješenja, procesu je nužno pristupiti korištenjem prokušane metodologije, koja osigurava ne samo pregledan način
pohrane informacija, već i učinkovit mehanizam ažuriranja podataka, kao i kriterije jednoznačnosti, objektivnosti, pouzdanosti i repetabilnosti.
Naime, stalna mijena uvjeta poslovanja, fluktuacija kadrova, evolucija tvrtkinih proizvoda i usluga nameće pojmu procjene rizika procesni, tj. kontinuiran,
karakter, kao jedini način osiguravanja trajne primjenjivosti i učinkovitosti u sklopu uključenih informacijskih sustava.
Sama analiza dobivenih rizika dijeli se na kvantitativnu (gdje se riziku pridjeljuje konkretna, najčešće novčana vrijednost) i kvalitativnu
(subjektivna evaluacija parametara rizika). Obje metode imaju svojih prednosti i mana, te je metodologija koja koristi njihovu kombinaciju u raznim
koracima procesa optimalan izbor za većinu organizacija. RECRO-NET koristi deduktivan pristup analizi, krećući od poslovnih i IT procesa, slijedno prema
informacijskim resursima. Odluke o vrednovanju vrijednosti procesa i resursa, ozbiljnosti ranjivosti i prijetnji, te njihova vjerojatnost ostvarenja i
pripadajuća procijenjena šteta – prepuštene su nominiranim vlasnicima resursa, kao najkompetentnijim osobama u svom djelokrugu rada.
Potom slijedi sveobuhvatna analiza svih procijenjenih rizika, na temelju koje se upravljačkom tijelu organizacije podastire izvještaj o ugroženim područjima
poslovanja po prioritetima, sa prijedlozima mjera upravljanja rizikom.
KORISTI (Koja je korist za korisnika od ovog rješenja)
Dok motivacija za bavljenjem pitanjima sigurnosti informacija može dolaziti iz različitih izvora (potrebe za osjećajem sigurnosti, prevencijom ponavljanja
prošlih incidenata, obavezama koje nameće zakonska i strukovna regulativa), učinkovit rezultat, odnosno postizanje i održavanje zadovoljavajuće razine
sigurnosti nije moguće bez sustava koji se bazira na prioritetima važnosti i izloženosti informacijskih resursa, kao temeljnih čimbenika poslovanja.
Detaljnom analizom postiže se identifikacija dijelova poslovanja sa više razina rizika, na temelju čega je moguće izvršiti planove upravljanja rizikom,
koji će na najbrži mogući način osigurati zaštitu najvažnijih resursa, te na taj način opravdati ulaganja i omogućiti daljnji razvoj na informacijskoj
sigurnosti unutar organizacije.
Nasuprot ovom egzaktnom pristupu, mehanizmi zaštite mogu biti djelo organiziranijih jedinica i savjesnih pojedinaca, međutim bez jasne namjere i potpore
upravljačkog tijela nije moguće sagledati cjelokupnu problematiku niti učinkovito upravljati informacijskim resursima.
Angažman vanjske tvrtke za prvotno izvršenje procesa procjene rizika i eventualnu prateću edukaciju osoblja korisnika, koje će redovita ažuriranja manjeg
obima naknadno moći odvijati samostalno, dugoročno smanjuje troškove zapošljavanja specijalističkog osoblja.
NAŠE PREDNOSTI (Zašto odabrati baš naše rješenje)
Od početnog koraka procesa, izrade podatkovno obilnog registra informacijskih resursa, preko identifikacije prijetnji i ranjivosti, pa do proračuna samih
sigurnosnih rizika; čitav je proces teško izvediv bez korištenja odgovarajućih programskih alata i znanja. I dok je nabavka samih tehničkih rješenja sve
manji problem, jer je njihov izbor iz dana u dan sve veći, odabir optimalnih pomagala koja ispunjavanju svoje marketinške deklaracije i zadovoljavaju
specifične zahtjeve svakog korisnika – nije jednostavan zadatak. Također, upravo zbog heterogenosti problematike, automatika pokriva tek jedan dio izazova
procesa procjene rizika. Iscrpne i stalno nadopunjavane liste ranjivosti i prijetnji, posebice resursa iz IT sektora, praktično iskustvo u kvantificiranju
rizika i predlaganju zaštitnih mjera, te projektni pristup sa preciznim rokovima, korišten od strane međunarodno certificiranih sigurnosnih stručnjaka RECRO-NET-a,
garantiraju profesionalan pristup i osiguravaju opravdanje ulaganja u mehanizme zaštite informacija.
PREDUVJETI (Koji su preduvjeti kod korisnika za primjenu ovog rješenja)
Potpisivanje ugovora o povjerljivosti informacija. Kontakt s odgovornim osobama unutar organizacije (upravom i rukovoditeljima poslovnih procesa/organizacijskih
jedinica). Rezervacija vremena za sudjelovanje zaposlenika, vlasnika procesa i resursa, po projektnom planu.
PRODUKTI I USLUGE (Koje usluge i proizvodi su potrebni i sadržani u ovom rješenju)
Usluge:
- Izrada registra informacijskih resursa
- Identifikacija prijetnji i pripadajućih ranjivosti informacijskih resursa
- Izračun rizika informacijskih resursa na temelju vjerojatnosti ostvarenja prijetnji i utjecaja na poslovanje
- Kvantifikacija rizika
- Izrada plana upravljanja rizikom i prijedloga sigurnosnih mjera baziranih na kritičnosti resursa
- Prezentacija za upravu