Dodatek specjalny
 
Partnerzy:




Patronujemy:
Studia Podyplomowe
RACHUNKOWOŚĆ ZARZĄDCZA I CONTROLLING
Nowoczesne systemy oparte na technologii informatycznej

Artykuły » Audyt » 7/2006

Analiza ryzyka w środowisku informatycznym do celów zarządzania ryzykiem operacyjnym.
Część 2 – Etap oszacowania ryzyka

Elżbieta Izabela Szczepankiewicz, Paweł Szczepankiewicz
Tekst pochodzi z numeru: 7/2006

Analiza ryzyka jest podstawowym elementem zarządzania ryzykiem w organizacji, służącym do optymalizacji (minimalizacji) strat związanych z ryzykiem operacyjnym.

Przydatna jest również w planowaniu zadań audytowych. Wspomaga wyznaczanie tych obszarów działalności organizacji, które w pierwszej kolejności powinny być poddane audytowi.

W części 1 (6/2006) Autor omówił cele analizy ryzyka informatycznego, strategie analizy ryzyka i wstępne etapy analizy ryzyka: identyfikację i wycenę aktywów chronionych oraz identyfikację i oszacowanie zagrożeń i podatności. W części 2 zaprezentuje szacowanie ryzyka, stanowiące końcowy etap analizy ryzyka operacyjnego, na które są narażone aktywa organizacji.

 Metody analizy ryzyka

Oszacowanie ryzyka stanowi punkt wyjścia do podejmowania świadomych decyzji dotyczących akceptacji określonego poziomu ryzyka w odniesieniu do danego zasobu, a także do wyboru i wdrożenia odpowiednich środków ochrony w ramach polityki bezpieczeństwa dla danego obszaru ochrony.

Do analizy ryzyka elementów środowiska systemu informatycznego stosuje się dwie metody analizy ryzyka:

1) ilościową, gdzie oszacowanie wartości ryzyka wiąże się z wykorzystaniem miar liczbowych – wartość zasobów informacyjnych jest określana kwotowo, częstotliwość wystąpienia zagrożenia liczbą przypad­ków, a po­datność wartością prawdopodobieństwa ich utraty,

2) jakościową, gdzie oszacowanie wartości ryzyka wiąże się z:

  • opisem jakościowym wartości aktywów, określeniem skal jakościowych dla częstotliwości wystąpienia zagrożeń i podatności na dane zagrożenie, albo
  • opisem tzw. scenariuszy zagrożeń1 poprzez przewidywanie głównych czynników ryzyka, które powodują i wskazują, w jaki sposób system kontroli wewnętrznej może zostać ominięty przez oszustwo lub nieszczęśliwy wypadek.
    Rys. 1. Podział metod analizy ryzyka (źródło: Opracowanie własne.)
    Rys. 1. Podział metod analizy ryzyka (źródło: Opracowanie własne.)

Rysunek 1 prezentuje podział metod analizy ryzyka ze względu na rodzaj uzyskiwanego wyniku oceny ryzyka. 

Oszacowanie wartości ryzyka

Oszacowanie ryzyka dokonuje się poprzez oszacowanie prawdopodobieństwa i oszacowanie skutków wystąpienia danego zdarzenia.

Na potrzeby niniejszego opracowania można przyjąć, że wartość ryzyka jest to przewidywana, łączna utrata wartości aktywów organizacji, spowodowana określonym rodzajem ryzyka, w przyjętym okresie.

Przy wykorzystaniu metody ilościowej analityk staje przed problemem właściwego oszaco­wania wartości niezbędnych do kalkulacji. Wartość ryzyka może być wyrażona za pomocą różnego rodzaju skal lub bezpośrednio w wymiarze finansowym, jako przewidywana wielkość strat związanych danym rodzajem ryzyka, w przyjętym okresie. Okresem, dla którego szacowane jest ryzyko, może być np. 1 rok, przewidywany okres trwania projektu lub w przypadku szacowania ryzyka na potrzeby planowania strategicznego – okresy wieloletnie. Zaletą kwotowego wyrażenia wielkości ryzyka jest możliwość bezpośredniego porównania przewidywanych strat z nakładami, które należy ponieść, aby te straty ograniczyć poprzez redukcję lub transfer ryzyka.

Jednak rzadko się zdarza, że osoba dokonująca oszacowania ryzyka dysponuje wiarygodnymi danymi, pozwalającymi tego typu oszacowanie przeprowadzić. Ponadto dla niektórych wartości chronionych kwotowe wyrażenie straty jest trudne z natury rzeczy. Dotyczy to np. utraty poufności informacji. Do ustalenia tej wartości należy określić znaczenie informacji dla pra­widłowej realizacji danego procesu biznesowego oraz istotność procesu dla funkcjonowania komórki organizacyjnej2, a w konsekwencji przedsiębiorstwa. W praktyce najczęściej wartość informacji szacuje się na podstawie potencjalnych strat, które wystąpiłyby, gdyby informacje te zostały ujawnione osobom niepowołanym, nielegalnie zmodyfikowa­ne albo stały się niedostępne w przedsiębiorstwie. Straty te mogą wyniknąć na skutek bezpośredniej lub pośredniej utraty obrotu i zysku, problemów natury prawnej, utraty dobrego wize­runku firmy itp.3.

Znacznie częściej stosuje się podejście uproszczone, polegające na zastosowaniu względnej skali wartości ryzyka oraz opisu poszczególnych stopni skali.

Przykład takiej skali przedstawia się następująco:

  • ryzyko nieistotne,
  • ryzyko niewielkie,
  • ryzyko średnie,
  • ryzyko duże,
  • ryzyko krytyczne.

Proces szacowania ryzyka wymaga określenia prawdopodobieństwa negatywnych zdarzeń (incydentów), które mogą prowadzić do strat oraz skutków tych zdarzeń, czyli wielkości strat dla pojedynczego incydentu. Do szacowania ryzyka wykorzystuje się wyniki identyfikacji i wyceny aktywów oraz oszacowania zagrożeń, a także podatności (por. część 1 artykułu, Monitor Rachunkowości i Finansów 6/2006).

Podstawowa zależność stosowana do szacowania ryzyka przedstawia się następująco:

R = P × W

gdzie:

R – wartość ryzyka,

P – prawdopodobieństwo lub przewidywana liczba wystąpień incydentu powodującego utratę wartości aktywów w przyjętym okresie,

W – wartość straty – przewidywana średnia utrata wartości aktywów, w wyniku wystąpienia pojedynczego incydentu.

Ocena ryzyka w środowisku informatycznym wyrażana jest najczęściej jako wartość oczekiwanych strat, która opiera się na określeniu trzech podstawowych wielkości:

1) wartości zasobu (np. informacji) dla prawidłowego funkcjonowania przedsiębiorstwa, określona kwotowo,

2) częstotliwości występowania zagrożenia dla zasobu (np. przetwarzanej informacji), określonej jako liczba wystąpień – w praktyce dla określenia częstotliwości zagrożeń ustala się okres, w jakim będzie się rozpatrywać ich występowanie. Najczęściej przyjmuje się okres jednego roku. W przypadku gdy zagrożenie pojawia się rzadziej niż raz w ustalonym okresie, zamiast o częstotliwości mówi się o prawdopodobieństwie wystąpienia za­grożenia. Przykładowo, jeżeli powódź na danym obszarze pojawia się statystycznie raz na 5 lat, to prawdo­podobieństwo powodzi w okresie jednego roku wynosi 0,2.

3) podatności systemu informatycznego (lub jego elementu) na za­grożenie, określonej jako miernik prawdopodobieństwa wystąpienia strat na skutek wystąpienia zdarzenia. Przyczyną strat w wyniku wystąpienia zagrożenia są luki w bezpieczeństwie systemu informatycznego. Przykładowo, jeśli w poczcie elektronicznej otrzymano plik z wirusami, podatność na tego rodzaju atak będzie wysoka, jeżeli system informatyczny nie jest wyposażony w prawidłowo zarządzane narzędzia antywirusowe.

Stąd wartość oczekiwanej straty stanowi iloczyn wartości aktywa i częstotliwości występowania zagrożenia oraz podatności systemu na zagrożenie:

R = F × V × W oraz F × V = P

gdzie:

R – wartość ryzyka,

F – częstotliwość wystąpienia zagrożenia,

V – podatność systemu informatycznego (lub jego elementu) na za­grożenie (zgodnie z PN-I-13335–1:1999 jest to miara prawdopodobieństwa wykorzystania określonej podatności przez dane zagrożenie),

W – wartość straty – przewidywana średnia utrata wartości aktywów, w wyniku wystąpienia pojedynczego incydentu,

P – prawdopodobieństwo wystąpienia zdarzenia powodującego utratę wartości aktywów w przyjętym okresie.

Przykład 1

Wartość informacji przetwarzanych w systemie informatycznym narażonych na próby włamania do sieci informatycznej przedsiębiorstwa z Internetu szacuje się na 100 000 zł, częstotliwość prób włamań szacowana jest na 60 w skali roku, podatność systemu informatycznego na to zagrożenie wynosi 5%. Oczekiwana wartość straty (ryzyko utraty informacji) wyniesie: 100 000 zł x 60 x 5% = 300 000 zł.

Prawdopodobieństwo incydentów spowodowanych określonym rodzajem ryzyka wynika z wzajemnego oddziaływania zagrożeń i podatności powodujących to ryzyko. W przypadku incydentów, które zdarzają się odpowiednio często – kilkadziesiąt lub kilkaset razy w roku – organizacja może wykorzystać statystyki wewnętrzne. W tym celu organizacja powinna systematycznie prowadzić ewidencję incydentów i strat operacyjnych.

Natomiast w przypadku incydentów zachodzących rzadko, takich jak klęski żywiołowe lub katastrofy przemysłowe, organizacja nie może opierać się na danych wewnętrznych. W tym przypadku konieczne jest korzystanie z wiarygodnych źródeł zewnętrznych. Prawdopodobieństwo może być wyrażone w umownej, kilkustopniowej skali jakościowej lub ilościowo, jako przewidywana liczba incydentów w określonym czasie. W literaturze przedmiotu oraz w międzynarodowych normach najczęściej stosuje się 3–5-stopniowe skale umowne. W celu ułatwienia stosowania tego rodzaju skal można przypisać poszczególnym stopniom skali orientacyjny zakres wartości strat. Tabela 1 zawiera przykład tego typu skali.

Tab 1. Przykładowa 4-stopniowa skala prawdopodobieństwa

Skala Prawdopodobieństwo Orientacyjna liczba incydentów
1 Niskie Pojedynczy incydent raz na kilka lat
2 Średnie Kilka incydentów na rok
3 Wysokie Kilka incydentów w miesiącu
4 Bardzo wysokie Kilkadziesiąt incydentów w miesiącu lub kilka dziennie

Źródło: Opracowanie własne.

Średnia wartość strat dla pojedynczego incydentu związana jest z wartością aktywów, których incydent dotyczy, czasem trwania, sposobem oddziaływania na aktywa. W celu oszacowania średniej wartości strat dla pojedynczego incydentu również można się posłużyć wewnętrznymi statystykami strat wywoływanych przez incydenty zdarzające się stosunkowo często. Do oszacowania wartości strat w przypadku rzadko występujących zdarzeń należy przeprowadzić analizę scenariuszy różnych incydentów i ich wpływu na cele biznesowe. Analiza scenariuszy incydentów powinna odpowiedzieć na pytanie: na które aktywa określony incydent może oddziaływać oraz jaka część aktywów może zostać utracona w przypadku określonych zdarzeń.

Oszacowanie strat wymaga wcześniejszej wyceny aktywów narażonych na ryzyko. Na podstawie wyceny aktywów oraz danych dotyczących stopnia ich utraty można obliczyć wartość straty w wyniku incydentu. Podobnie jak wartość ryzyka, również wartość straty może być wyrażona na dwa sposoby:

  • za pomocą umownej, opisowej skali jakościowej lub
  • ilościowo, w kategoriach finansowych.

Tabela 2 zawiera przykład skali wartości strat z pomocniczym przypisaniem przedziałów kwotowych strat do poszczególnych stopni skali.

Tab. 2. Przykładowa 4-stopniowa skala wartości strat

Skala Wartość strat wg skali Wartość strat w zł
1 Niska 0–10 000
2 Średnia 10 000–100 000
3 Wysoka 100 000–1 000 000
4 Katastrofalna >1 000 000

Źródło: Opracowanie własne.

Istotną informacją w zakresie zarządzania ryzykiem operacyjnym może być łączna wartość ryzyk związanych z danym składnikiem aktywów. Przykładowo: główny serwer przedsiębiorstwa jest wykorzystywany w ramach wielu procesów biznesowych. Do oszacowania łącznej wartości ryzyk związanych z tym składnikiem aktywów należy zatem zsumować ryzyka dotyczące wszystkich procesów, które korzystają z głównego serwera.

gdzie:

RC – łączna wartość ryzyk związanych z określonym składnikiem aktywów dla wszystkich procesów, w których ten składnik jest zaangażowany,

n – liczba rozpatrywanych procesów.

W celu oszacowania łącznej wartości ryzyk dla danego procesu z uwzględnieniem wszystkich zaangażowanych w tym procesie składników aktywów (systemy informatyczne, infrastruktura, personel, procedury, współpraca firm zewnętrznych) należy zsumować wszystkie ryzyka składowe związane z poszczególnymi składnikami aktywów dla tego procesu.

gdzie:

Rp – łączna wartość ryzyk związanych z określonym procesem dla wszystkich zaangażowanych w ten proces składników aktywów,

m – liczba rozpatrywanych składników aktywów.

Powyższe metody i techniki mogą być stosowane do szacowania prawdopodobieństwa i skutków określonych incydentów, z których następnie wylicza się za pomocą prezentowanego wyżej wzoru wartość ryzyka. Niektóre z tych metod i technik można wykorzystać również do bezpośredniego szacowania wartości ryzyka w skali jakościowej i określa się je jako ryzyko wysokie, średnie lub niskie.

Wymagania dotyczące jakości danych stosowanych do określania prawdopodobieństwa incydentu oraz wartości straty są przy tym niezbyt wygórowane. Wadą tego wariantu jest brak możliwości bezpośredniego porównania wartości ryzyka z nakładami planowanymi dla redukcji lub transferu ryzyka. Kwotowe, ilościowe wyrażenie wartości ryzyka daje największe możliwości w zakresie analizy ekonomicznej efektywności metod i środków redukcji lub transferu ryzyka, ale wymaga też wcześniejszego uzyskania dobrej jakości danych ilościowych dotyczących przewidywanej liczby incydentów oraz średniej wartości straty na pojedynczy incydent.

W przypadku wyceny ryzykabezpieczeństwa przetwarzanych informacji w systemie informatycznym przeprowadza się zwykle jakościową analizę ryzyka. Metoda ta opiera się najczęściej na kryteriach bezpieczeństwa informacji, takich jak: poufność, integralność i dostępność4. Pełna analiza ryzyka może być przeprowadzana oddzielnie dla każdego z wymienionych kryteriów. Do celów analizy ustala się skalę war­tości informacji, np. niska, średnia, wysoka. Ostatecznie wartość ryzyka można również określić jako: niską, średnią, wysoką, lub bardziej szczegółowo: nieistotne, niskie, średnie, wysokie, bardzo wysokie5.

Dla każdego typu zagrożeń należy ocenić częstotliwość zagrożeń ich wystąpienia, używając predefiniowanej skali, która może być różna od przyjętej do wartościowania informacji lub taka sama jak dla wartości informacji. Ponadto dla każdego badanego obszaru systemu informatycznego i każdego typu zagrożenia należy ocenić podatność, stosując skalę, która może być taka sama lub różna od dwóch powyższych.

Każdej ze skal przypisuje się wartość nume­ryczną, nadając kolejnym wartościom wartości numeryczne równe k + 1, gdzie k jest równe pozycji wartości na skali uporządkowanej rosnąco.

Przykład 2

Wartościom najniższym (NISKA) przypisano wartość numeryczną 0, średnim (ŚREDNIA) wartość 1, najwyższym zaś (WYSOKA) war­tość 2. Dla przyjętych skal wartość maksymalna będzie wynosić 6. Ryzyko oblicza się, stosując formułę:

R = W + F + V

gdzie:

R – wartość ryzyka (oczekiwanych strat),

W – wartość utraty informacji w danym obszarze systemu informatycznego,

F – częstotliwość wystąpienia zagrożenia,

V – podatność danego elementu systemu na dane za­grożenie (prawdopodobieństwo).

Przykład 3

Wartość informacji przetwarzanych na serwerze WWW określono jako wysoką, częstotliwość prób włamania na serwer WWW jako wysoką, natomiast podatność serwera WWW na próby włamań jako niską. Otrzymano wartość ryzyka związanego z włamaniem na serwer WWW równą 4 = 2 + 2 + 0. Wartość informacji przetwarzanych w systemie finansowo-księgowym określono jako wysoką, częstotliwość prób włamań do systemu księ­gowego jako niską, podatność systemu księgowego na próby włamania jako średnią. Otrzymano wartość ryzyka równą 3 = 2 + 0 + 1. Z analizy jakościowej poszczególnych fragmentów systemu informatycznego wynika, że w pierw­szej kolejności należy zadbać o zabezpieczenie serwera WWW.

W celu dokładniejszej kategoryzacji ryzyka metodą analizy jakościowej można zwiększyć skalę wartości, np. od 1 do 10. Wówczas każdy czynnik ryzyka podlega klasyfikacji jako:

  • wysokie ryzyko – znaczące i nierozwiązane lub nierozpoznane zagrożenie, które może spowodować poważne negatywne skutki, duże prawdopodobieństwo jego wystąpienia,
  • średnie ryzyko – zidentyfikowano problem, jednak potencjalne szkody i/lub prawdopodobieństwo wystąpienia jest niskie,
  • niskie ryzyko – problem jest pod kontrolą, małe prawdopodobieństwo jego wystąpienia6.
  • Następnie każdą zmienną ocenia się w skali od 1 do 10, gdzie:
  • prawdopodobieństwo (1 – małe prawdopodobieństwo, ..., 10 – pewność wystąpienia),
  • skutki (1 – niewielki problem, ... , 10 – znaczące zagrożenie)7.

Kategoryzację ryzyka według powyższych kryteriów przedstawia rysunek 2.

 

 Rys. 2. Kategoryzacja ryzyka i podstawowe strategie postępowania z ryzykiem.   Źródło: Opracowanie własne.

Źródła danych

Szacowanie prawdopodobieństwa oraz wartości straty pojedynczego incydentu może być trudne ze względu na brak wiarygodnych danych bazujących na dobrych podstawach statystycznych. Wśród technik stosowanych w zakresie szacowania prawdopodobieństwa oraz skutków różnorodnych incydentów można wymienić8:

doświadczenia własne – może być przydatne, pod warunkiem że obejmuje odpowiednio dużą próbkę statystyczną w poszczególnych kategoriach incydentów. Ewidencja incydentów i strat operacyjnych powinna być prowadzona w odpowiednio długim okresie. Jeżeli organizacja wykorzystuje kilka tysięcy komputerów, to można założyć, że liczba incydentów dotyczących awarii komputerów będzie dostatecznie duża, aby na tej podstawie szacować prawdopodobieństwo tego typu zdarzeń. Natomiast liczba incydentów związanych z klęskami żywiołowymi, nawet w przypadku dużych organizacji, może być zbyt mała do szacowania prawdopodobieństwa. Na przykład pożar lub powódź może nie zdarzyć się nigdy w całej historii organizacji, nie znaczy to jednak, że takie zdarzenia są całkowicie nieprawdopodobne i nie należy się przed nimi zabezpieczać. W celu ustalenia wielkości próbki, przy której uzasadnione jest korzystanie z własnych danych, przydatne są metody statystyczne;

statystyki zewnętrzne wyspecjalizowanych firm i instytucji – mogą być wykorzystywane, w przypadku gdy organizacja nie dysponuje odpowiednimi danymi własnymi. Przykładami informacji zewnętrznych mogą być statystyki określonych rodzajów przestępstw, publikowane przez Komendę Główną Policji, statystyki pożarów oraz katastrof przemysłowych publikowane przez straż pożarną. Istotnym źródłem danych na temat prawdopodobieństwa awarii sprzętu komputerowego są statystyki publikowane przez głównych producentów. Parametrem, który świadczy o poziomie niezawodności sprzętu komputerowego, jest MTBF9 (Średni Czas Bezawaryjnej Pracy). Parametr ten jest podawany w godzinach pracy urządzenia i pozwala oszacować prawdopodobieństwo awarii systemów komputerowych;

wymiana danych pomiędzy organizacjami – jeśli skala działania organizacji jest zbyt mała, aby informacje wewnętrzne stanowiły dobrą podstawę do szacowania prawdopodobieństwa lub skutków określonych incydentów, możliwa jest wymiana odpowiednich danych pomiędzy organizacjami o podobnym profilu działania;

metoda delficka – metoda polegająca na dokonaniu oszacowania przez każdego z kilku wyznaczonych specjalistów. Oszacowanie dokonywane jest na podstawie wiedzy, doświadczenia oraz intuicji poszczególnych osób. Następnie wyniki są zbierane w odpowiednich formularzach i uśredniane. Metoda pozwala ograniczyć czynnik subiektywny w trakcie oceny;

ocena konsultantów zewnętrznych – jest przydatna, jeśli organizacja nie ma odpowiednich danych statystycznych ani własnych, doświadczonych specjalistów mogących oszacować prawdopodobieństwo oraz skutki określonych zdarzeń. Konsultanci zewnętrzni muszą na wstępie zapoznać się ze specyfiką danej organizacji i wszelkimi uwarunkowaniami, które mogą mieć wpływ na ryzyko operacyjne;

metody symulacyjne – polegają na ocenie rezultatów uzyskanych za pomocą modeli oddających określone cechy systemów rzeczywistych.


Graficzne modele zależności przyczynowo-skutkowych zagrożeń i ryzyk

Na potrzeby ilościowej i jakościowej analizy ryzyka w środowisku informatycznym wykorzystuje się także graficzne modele zależności przyczynowo-skutkowych zagrożeń i ryzyk w postaci tzw. drzewa zdarzeń oraz drzewa błędów. Modele stosuje się do analizy zdarzeń, dla których częstości występowania nie są określone ani bezpośrednio wyznaczalne na odpowiednim poziomie ufności. Najczęściej są to zdarzenia rzadkie. Z tego powodu przy ocenie ryzyka używa się metod modelowania przystosowanych do szacowania małych prawdopodobieństw – drzew zdarzeń i drzew błędów.

W każdej z tych metod szacowania ryzyka problem złożony dekomponuje się na mniejsze (prostsze) części, które po starannej analizie łączy się ponownie, uzyskując lepsze zrozumienie całego problemu oraz możliwość określenia występujących w nim prawdopodobieństw zdarzeń składowych (poprzez wyznaczanie prawdopodobieństw cząstkowych – niezbędne jest w tym celu dysponowanie prawdopodobieństwami zdarzeń elementarnych, które nie są już dalej dekomponowane)10.

 Drzewo zdarzeń

Jest to graficzny model zależności przyczynowo-skutkowych występujących w rozpatrywanym problemie. Przy budowie drzewa zdarzeń zakłada się, że określony skutek jest wynikiem pewnego ciągu zdarzeń. Model rozpoczyna się pewnym zdarzeniem inicjującym i przedstawia wszystkie możliwe ciągi zdarzeń będące następstwami zdarzenia inicjującego. W różnych miejscach drzewa zdarzeń znajdują się punkty rozgałęzień ilustrujące fakt, że po pewnych zdarzeniach istnieje możliwość wystąpienia różnych innych zdarzeń. Prawdopodobieństwo określonego skutku otrzymuje się, mnożąc przez siebie prawdopodobieństwa wszystkich zdarzeń składających się na ścieżkę w drzewie, po której dochodzimy do rozważanego skutku11.

Rys. 3. Przykładowe drzewo zdarzeń
Rys. 3. Przykładowe drzewo zdarzeń

Przykład drzewa zdarzeń dotyczącego próby dostępu do komputera przez osobę z zewnątrz instytucji prezentuje rysunek 3.

Drzewo błędów

Jest budowane w przeciwnym kierunku niż drzewo zdarzeń. Rozpoczyna się określonym skutkiem i rozwija w kierunku zdarzeń poprzedzających, pokazując wszystkie możliwe kombinacje zdarzeń niepożądanych, które mogły doprowadzić do wyspecyfikowanego skutku12. Drzewo błędów na przykładzie przerwania ciągłości procesu biznesowego prezentuje rysunek 4.

Rys. 4. Przykładowe drzewo błędów
Rys. 4. Przykładowe drzewo błędów

Przy analizie ilościowej powyższe modele pomagają w wyznaczeniu prawdopodobieństw pewnych ciągów zdarzeń lub pojedynczych zdarzeń. Przy analizie jakościowej modele te pomagają zorientować się w całym zakresie ryzyka i zrozumieć sytuację, której ryzyko dotyczy.

Graficzna prezentacja wyników

Wynikiem przeprowadzonego oszacowania ryzyka w przedsiębiorstwie powinien być zestaw zidentyfikowanych i sklasyfikowanych pod względem priorytetów ryzyk. Tak określony zestaw stanowi dla przedsiębiorstwa obszar zarządzania ryzykiem. Dla praktyki do podejmowania decyzji ważne stają się różne formy wizualizacji ryzyka. Jedną z takich form jest tzw. mapa ryzyka. Mapa ryzyka klasyfikuje obszary ryzyka według ich znaczenia i prawdopodobieństwa wystąpienia w każdym obszarze niepożądanych dla działalności przedsiębiorstwa zdarzeń.

Metoda ta polega na umiejscowieniu poszczególnych ryzyk w prostokątnym układzie współrzędnych. Na osi pionowej układu współrzędnych oznacza się wartość skutków (wpływ na cele organizacji) ryzyka, a na osi pionowej – prawdopodobieństwo wystąpienia danego zdarzenia13.

W zależności od wyznaczonych wartości prawdopodobieństwa i skutków poszczególne ryzyka umieszcza się w odpowiednim miejscu układu współrzędnych. Położenie ryzyka w poszczególnych ćwiartkach mapy może stanowić wskazówkę odnośnie do sposobu postępowania z ryzykiem14.

Rysunek 5 prezentuje mapę ryzyka. Natomiast rysunek 6 – sposoby postępowania z ryzykiem na podstawie mapy ryzyka.

Rys. 5. Mapa ryzyka (R1–R8 – ryzyko charakteryzowane przez prawdopodobieństwo i skutki)


Rys. 6. Postępowanie z ryzykiem na podstawie mapy ryzyka

Ta forma wizualizacji ryzyka pozwala na jasną i przejrzystą prezentację głównych obszarów oraz czynników stanowiących zagrożenie dla realizacji celów danej organizacji. W praktyce można spotkać się z występowaniem wielu kształtów i koncepcji mapy ryzyka.

Niezależnie od powyższego istotne jest, aby:

  • forma mapy była prosta, logiczna i intuicyjnie zrozumiała,
  • mapa ujmowała całokształt istotnego ryzyka dla działalności,
  • mapa stanowiła podstawę zarówno analizy ryzyka, jak i monitorowania ryzyka,
  • mapa stanowiła praktyczne narzędzie komunikowania polityki zarządu w obszarze zarządzania ryzykiem do wszystkich szczebli organizacji.

Podsumowanie

Podsumowując, należy zwrócić uwagę, iż szacowanie ryzyka w środowisku informatycznym może cechować się zarówno wieloma zaletami, jak i wadami. Wśród zalet można mówić o tym, że szacowanie ryzyka:

  • pomaga precyzyjniej identyfikować zagrożenia i podatności oraz ich przyczyny,
  • systematyzuje proces oceny bezpieczeństwa informatycznego,
  • stanowi podstawę do podejmowania decyzji zarządczych.

Wśród wad można mówić o tym, że szacowanie ryzyka:

  • może być mało precyzyjne, zarówno w odniesieniu do samego ryzyka, jak i w analizie kosztów środków redukcji ryzyka oraz oceny korzyści z ich stosowania,
  • może powodować złudne poczucie bezpieczeństwa,
  • w przypadku zaniechania ponawiania analizy ryzyka dla danego systemu komputerowego każde nowe zagrożenie może fałszować wyniki wcześniej przeprowadzonej analizy ryzyka dla zasobów systemu.

Elżbieta Izabela Szczepankiewicz
jest doktorem,
audytorem wewnętrznym
i pracownikiem naukowo-dydaktycznym
Wyższej Szkoły Handlu i Rachunkowości
w Poznaniu

Paweł Szczepankiewicz
jest audytorem wewnętrznym,
Dyrektorem Departamentu Informatyki w GBW SA



 1 K. Czerwiński, Analiza ryzyka w audycie wewnętrznym, Szczecin 2003, s. 29.

2 Wartość informacji przetwarzanych w systemie informatycznym powinna być oszacowana przez kierowników komórek organizacyjnych odpowiedzialnych za realizację procesów biznesowych wykorzystujących te informacje.

3 Szerzej: A. Gałach, Instrukcja zarządzania bezpieczeństwem systemu informatycznego, ODDK, Gdańsk 2004, s. 19.

4 R. Kępczyński, Wprowadzenie do analizy ryzyka. Analiza ryzyka za pomocą metody SPRINT, materiały na szkolenie IBM Polska, 2003, s. 7–9.

5 Raport Techniczny ISO/IEC TR 13335–3: 1999, Wytyczne do zarządzania bezpieczeństwem systemów informatycznych, cz. 3: Techniki zarządzania bezpieczeństwem systemów informatycznych, PKN, Warszawa 1999, s. 19.

6 H. Wilhelmi, Ryzyko projektowe – nasz „chleb” powszedni (w:) Zarządzanie ryzykiem Seminarium PROJECT MANAGEMENT, Warszawa 2001, s. 68.

7 Ibidem, s. 68.

8 Y.Y. Chong, E.M. Brown, Zarządzanie ryzykiem projektu, Warszawa 2001, s. 61.

9 Mean Time Between Failure.

10 K. Liderman, Analiza ryzyka dla potrzeb bezpieczeństwa teleinformatycznego, Biuletyn Instytutu Automatyki i Robotyki 2001/16/ 9–10.

11 Ibidem, s. 10.

12 Ibidem, s. 11.

13 Mapę ryzyka zaprezentowano m.in. w: Podręczniku audytu wewnętrznego w administracji publicznej, Ministerstwo Finansów, Warszawa, marzec 2003.

14 S. Szuber, Analiza ryzyka w zarządzaniu bezpieczeństwem informacji, Seminarium ISACA, Poznań 2005.

« powrót drukuj poleć znajomemu
Spodobał ci się ten artykuł?
Podziel się nim na Facebooku:


Komentarze

Ten tekst nie był jeszcze komentowany

* - pola wymagane
do góry