Skuteczne zarządzanie bezpieczeństwem
Skuteczne zarządzanie bezpieczeństwem polega na ciągłym monitorowaniu i analizowaniu ryzyka, identyfikowaniu zagrożeń i podatności, wdrażaniu odpowiednich zabezpieczeń i reagowaniu na incydenty bezpieczeństwa, w celu minimalizowania potencjalnych strat. Jest to proces, który wymaga ciągłego doskonalenia i dostosowywania do zmieniającego się krajobrazu zagrożeń. Czym zatem są te pojęcia? Jaka jest ich definicja?
Czym są aktywa, zagrożenia, podatności, zabezpieczenia i ryzyko?
- Aktywa to wszystko, co ma wartość dla Ciebie lub organizacji i wymaga ochrony. Mogą to być zatem budynki, urządzenia, dane, ludzie czy reputacja.
- Zagrożenia to potencjalne źródła szkód, które mogą wykorzystać podatności, aby wyrządzić szkodę aktywom. Zagrożenia mogą być naturalne (np. powódź, pożar, huragan), techniczne (np. awarie, usterki systemów) czy wynikające z działań człowieka (np. błąd ludzki, atak terrorystyczny, włamanie, napad rabunkowy).
- Podatności to słabe punkty, luki w systemie bezpieczeństwa, które mogą zostać wykorzystane przez zagrożenia. Do tej grupy można zaliczyć np. niedociągnięcia organizacyjne, niewłaściwe procedury, brak świadomości pracowników, błędy w oprogramowaniu, brak odpowiednich zabezpieczeń.
- Zabezpieczenia to środki, które mają na celu minimalizację ryzyka poprzez redukcję prawdopodobieństwa wystąpienia zagrożenia lub ograniczenie potencjalnych skutków jego działania. Zabezpieczenia mogą być techniczne (np. firewalle, antywirusy), organizacyjne (np. procedury bezpieczeństwa, szkolenia dla pracowników, testy) lub fizyczne (np. ochrona fizyczna, blokady i zapory antyterrorystyczne, monitoring).
- Ryzyko to prawdopodobieństwo wystąpienia zagrożenia i potencjalne skutki jego działania na aktywa. Ryzyko jest wypadkową powyżej zdefiniowanych terminów. Im większa wartość aktywów, im większe prawdopodobieństwo wystąpienia zagrożenia, im więcej podatności i mniej zabezpieczeń, tym większe ryzyko.
Zależności pomiędzy tymi elementami można przedstawić w następujący sposób:
Rys. 1 Na podstawie „BCM-Zarządzanie Ciągłością Działania” materiał szkoleniowy ISecMan z 2013 r.
- Aktywem będzie w tym wypadku samochód znajdujący się w pierwszej trójce najczęściej kupowanych aut, którego ewentualna utrata sparaliżuje życie rodziny. Właściciel wykupił podstawową polisę OC
- Zagrożeniem z kolei będzie włamanie się do auta przez złodzieja w celu jego kradzieży. Podatnością będzie jedynie fabryczny system alarmowy bez dodatkowych zabezpieczeń. Dodatkowo system ten w ostatnim czasie stwarzał problemy, ale właściciel auta nie podjął działań naprawczych
- Ryzyko – a więc prawdopodobieństwo wystąpienia kradzieży – jest wysokie, a potencjalne skutki są dla tej rodziny nie do zaakceptowania.
- Zabezpieczeniem, czyli elementem zmniejszającym ryzyko, byłaby naprawa systemu alarmowego i zamontowanie dodatkowego zabezpieczenia oraz wykupienie polisy AC, która przenosi ryzyko na ubezpieczyciela
- Za aktywa uznamy tutaj bazę danych osobowych naszych klientów oraz nienaganną reputację i pozycję rynkową
- Zagrożeniem będzie atak hakerski i w jego konsekwencji przejęcie danych
- Za podatność przyjmujemy w tym wypadku lukę w oprogramowaniu i słabe hasło administratora. Prawdopodobieństwo wystąpienia ataku hakerskiego jest wysokie, zaś skutki dla przedsiębiorcy bardzo poważne, tj. utrata bazy danych, utrata reputacji oraz pozycji rynkowej na rzecz konkurencji, co wiąże się ze stratami finansowymi
- Za zabezpieczenie w tym wypadku należy uznać wymuszenie silnego hasło i jego regularną zmianę, a także regularne aktualizacje systemu systemowego, szyfrowanie danych, czy weryfikacje narzędzi zabezpieczających
Czy może istnieć ryzyko bez zagrożenia?
Oczywiście, iż nie może. Wynika to bowiem z analizy samych definicji tych pojęć. o ile nie ma zagrożenia, to nie może powstać szkoda, a to z kolei wyklucza istnienie ryzyka. Ryzyko jest zawsze konsekwencją występowania zagrożenia. Pamiętajmy również o jednej istotnej sprawie. o ile zidentyfikowaliśmy już występowanie określonego ryzyka, to nie da się go całkowicie usunąć. Wszelkie podejmowane przez nas działania mogą jedynie zmierzać do zmniejszenia prawdopodobieństwa jego wystąpienia i ograniczenia jego potencjalnych skutków. Niezależnie od skuteczności podjętych metod, np. unikanie ryzyka, ograniczenie ryzyka, przeniesienia ryzyka, akceptacja ryzyka, zawsze pozostanie ryzyko szczątkowe.
Podsumowanie
Zrozumienie zależności między ryzykiem, zagrożeniami, podatnościami, aktywami i zabezpieczeniami jest najważniejsze dla skutecznego zarządzania bezpieczeństwem. Osoby fizyczne, przedsiębiorcy i korporacje powinny regularnie przeprowadzać analizę ryzyka, identyfikować i klasyfikować aktywa, monitorować zagrożenia i podatności oraz wdrażać odpowiednie zabezpieczenia w celu minimalizacji ryzyka i ochrony swoich cennych zasobów.
Bibliografia
- „BCM-Zarządzanie Ciągłością Działania” materiał szkoleniowy ISecMan z 2013 r.
- „Praktyczne aspekty wdrażania SZBI ISO/IEC 27001:2005” materiał szkoleniowy BSI MST z 2010 r.
- „Bezpieczeństwo informacji – wprowadzenie” NSC 800-12 wer. 1.0 z 2023 r.
- https://www.cert.pl/
- https://www.nask.pl/
- https://www.enisa.europa.eu/
- https://www.gov.pl/
- https://www.pkn.pl/
English (US) · 
Polish (PL) · 
Russian (RU) ·