- Vrste rizika u poslovnom sustavu
Rizici su danas nezaobilazni dio svake ljudske aktivnosti i svakog posla. Rizik je uvijek povezan s neizvjesnošću, što vrijedi za naš svakodnevni život, poslovne odluke, ali i IT. Vjerojatnost da ćemo doživjeti nesreću u prometu ukoliko koristimo auto jest 0,7 na 100 milijuna putnik-kilometara, ako idemo pješke, ona je 6,4, a za vožnju motociklom, ona je 13,8. Termin rizik javio se još u srednjem vijeku s prvim spoznajama o potrebi procjene rizika u prekomorskom prijevozu robe i putnika. Doprinos razvoju ovog područja dali su i matematičari pred 200-tinjak godina, pokušavajući izračunati rizike prigodom kockanja. Industrijsko doba donijelo je svoje pristupe procjenama rizika, a ovo područje naročito se razvilo u posljednjih 20-tak godina. Današnja uobičajena podjela rizika u poslovnom sustavu, prikazana je na slici 8.1.
Slika 8.1. Vrste rizika u poslovnom sustavu
Na ovoj slici može se uočiti da se u nekom poslovnom sustavu razlikuju strateški rizici, rizici okoline, rizici tržišta, kreditni rizici, operativni rizici, rizici (ne)sukladnosti i rizici informacijske sigurnosti. Ukoliko neki poslovni sustav nema dobro strateško planiranje ili ga uopće ne provodi, nije definirao svoju viziju i misiju, nema svoje jasne ciljeve, evidentno je da se radi o strateškim rizicima. Ako ne percipira stalne promjene u svojoj okolini koje se dešavaju zbog razvoja tehnologije, uvjeta poslovanja, rastućih ekoloških zahtjeva, promjena kod konkurencije, radi se o rizicima okoline. Ukoliko poslovni sustav ne prati dovoljno dobro neprestalne promjene na tržištu, ne prilagođava mu svoje proizvode i usluge, loše je odredio svoje niše, ima lošu politiku cijena ili je loše odabrao svoje kupce, radi se o tržišnim rizicima. U slučaju da koristi nepovoljne kredite, očito da je na sceni kreditni rizik. Ako svoje poslovanje nije prilagodio aktualnim zakonima, propisima ili normama, već ih netransparentno koristi ili čak krši, radi se o rizicima zbog nesukladnosti. U slučaju da dolazi do ugrožavanja sigurnosti informacija, koje su iznimno vrijedna imovina svake organizacije, govori se o rizicima informacijske sigurnosti.
IT rizici sastavni su dio svake od ovih kategorija poslovnih rizika. Niti jedna poslovna odluka ne može se donijeti bez odgovarajućih informacija. Izvori ovih informacija u poslovnom sustavu su njegov informacijski sustav s pripadajućim bazama strukturiranih podataka, ali i obilje informacijskih izvora u kojima one najčešće nisu strukturirane. Internet je danas nezaobilazno vrelo najraznovrsnijih informacija itd. Budući su informacijski sustavi temeljeni na IT potpori, a ona se koristi za dobivanje i drugih izvora informacija, područje IT-a je potencijalno veliki rizik za poslovni sustav. Neki primjeri ovih rizika su: rizici nedovoljno dobro povezanog poslovanja i IT potpore, rizici nepostojanja strateškog plana IT-a, rizici loše provedenih IT investicija, rizici prekida IT potpore poslovnim procesima, rizici nedovoljne kvalitete IT potpore, rizici u vođenju informatičkih projekata, rizici niske razine usluga koje IT pruža itd.
Može se zaključiti da se IT rizici mogu opisati kao opasnosti i prijetnje uzrokovane intenzivnom primjenom informatike, što može dovesti do neželjenih ili neočekivanih posljedica i možebitne financijske i druge štete unutar organizacije, ali i njezinog neposrednog i šireg okruženja. Šteta može biti materijalna i financijska, izravna ili neizravna, a svaku od njih mora se u procjeni rizika uzeti u obzir. Položaj IT rizika u ukupnom upravljanju rizicima poslovnog sustava prikazan je na slici 1.
Slika 1. Položaj IT rizika u ukupnom upravljanju rizicima poslovnog sustava
Izvor: Z. Krakar i suradnici, Korporativna informacijska sigurnost, 2014.
- Proces upravljanja rizicima
Proces upravljanja rizicima uključuje više faza te je potrebno i njih jasno identificirati i definirati. Prema (ISO 31000, 27005 i dr.) ovaj proces čine slijedeće faze:
- Procjena rizika
- Identifikacija rizika
- Analiza rizika
- Vrednovanje rizika
- Postupanje s rizicima
- Nadzor i pregled rizika
- Komunikacija i konzultiranje o rizicima
Procjena rizika se definira kao sveukupni proces identifikacije, analize i vrednovanja rizika. Identifikacija rizika jest pronalaženje, prepoznavanje i opisivanje rizika. Analiza rizika je faza razumijevanja prirode rizika i određivanje njegove razine. Vrednovanje rizika se definira kao usporedba rezultata analize rizika i postavljenih kriterija, kako bi se odredilo da li je razina rizika prihvatljiva ili nije.
Postupanje s rizicima je faza njegove modifikacije koja može uključiti:
- Izbjegavanje rizika, donoseći odluku o nepokretanju ili prekidu aktivnosti koje doprinose povećanju rizika
- Preuzimanje ili povećanje rizika u svrhu ostvarenja potencijalne prilike
- Uklanjanje izvora rizika
- Mijenjanje vjerojatnosti njegove pojave
- Mijenjanje posljedica
- Prenošenje rizika na treću stranu (uključujući ugovaranje i financiranje rizika) i
- Svjesno prihvaćanje rizika.
Nadzor rizika uključuje kontinuirane provjere, kritičko razmatranje i određivanje njegovog statusa, kako bi se identificirale tražene ili očekivane promjene. Pregled rizika je aktivnost kojom se određuje prikladnost i učinkovitost primijenjene mjere u svrhu ostvarenja postavljenih ciljeva. Komunikacija i konzultiranje o rizicima je kontinuirana i iterativna aktivnost koju organizacija provodi da bi osigurale, podijelile ili dobile potrebne informacije te uključili svi zainteresirani dionici u proces upravljanja rizicima.
- Okviri i norme za upravljanje rizicima
3.1. Pregled najvažnijih normi
Kako dovoljno dobro upravljati rizicima, nastoji se definirati već duže vrijeme. Ovom problematikom bave se mnoge organizacije u svijetu (ISO[1], IEC[2], GAO[3], NIST[4], …). Također, značajne su i: IRM (Institute of Risk Management)[5], AIRMIC[6] (Association of Insurance and Risk Managers) i ALARM[7] (International Forum for Risk Management in the Public Sector), koje su izradile i objavile Opći standard za upravljanje rizicima (A Risk Management Standard)[8]. Ministarstvo financija Engleske 2004.g. donijelo je dokument pod nazivom Orange Book[9]. COSO (The Committee of Sponsoring Organizations) objavio je Enterprise Risk Management 2004. godine [10]. Postoji niz i drugih organizacija koje su objavile svoje smjernice ili norme za upravljanje rizicima.
U području informacijske i IT sigurnosti tijekom zadnjih 20-tak godina desio se izuzetno dinamičan razvoj metoda za procjenu rizika. Može se govoriti o „američkoj“ i „europskoj školi“ metoda za procjenu IT rizika. Vodeće američke metode su OCTAVE[11] i NIST[12]. Neke od takvih europskih metoda su EBIOS[13], MEHARI[14], CRAMM[15], BS 7799-3:2006[16], BSI standard100-3[17]i dr. Također, ISACA je razvila Risk IT Framework[18], kao i niz drugih dokumenata za upravljanje informacijskim rizicima, cyber rizicima, rizicima korištenja društvenih medija itd.
ISO i IEC također su vrlo aktivne u ovom području. Godine 2009. donijele su norme ISO/IEC 31000[19], ISO/IEC 31010[20], a zatim 2011. godine i drugo izdanje norme ISO/IEC 27005[21].
3.2. Norma ISO/IEC 31000
Norma polazi od pretpostavke da na sve poslovne sustave, bez obzira na njihovu veličinu i djelatnost, djeluju mnogobrojni vanjski i unutarnji faktori koji uzrokuju neizvjesnost u svakodnevnom radu. Taj učinak neizvjesnosti u ostvarenju ciljeva poslovnog sustava jesu njegovi rizici. Upravljanje ovim rizicima čini se na način da se oni identificiraju, analiziraju, procjenjuju i kontroliraju. Da bi se ovim postupkom upravljalo na učinkovit i djelotvoran način, ISO je putem ove norme postavio odgovarajuće principe za razvoj, implementaciju, primjenu i unapređenje ovog postupka i definirao proces kojim se to ostvaruje.
Učinci koji se postižu primjenom ove norme su:
- Unapređenje sposobnosti da se identificiraju prijetnje u poslovanju i usustavi cjelokupni postupak upravljanja rizicima
- Minimizacija gubitaka u poslovanju
- Povećanje vjerojatnosti da će se ostvariti postavljeni poslovni ciljevi i minimizirati mogući gubitci
- Unapređenje kapaciteta uprave i menadžmenta u odlučivanju
- Unapređenje kontrola
- Učinkovitiji raspored i korištenje resursa
- Povećanje operativne učinkovitosti i djelotvornosti
- Povećanje razine prevencije i postupanja s incidentima.
Da bi se izbjegle moguće pogrešne interpretacije terminologije u upravljanju rizicima, norma definira 31 takav izraz, npr što je rizik, što je upravljanje rizicima itd. Također, norma propisuje i slijedećih 11 principa:
Upravljanje rizicima postižu se i štite vrijednosti
- Upravljanje rizicima je dio svih procesa poslovnog sustava
- Upravljanje rizicima dio je poslovnog odlučivanja
- Upravljanje rizicima eksplicitno adresira neizvjesnost
- Upravljanje rizicima treba biti sustavno, strukturirano i vremenski usklađeno
- Upravljanje rizicima temelji se na najboljim informacijama
- Upravljanje rizicima je prilagodljivo
- Upravljanje rizicima treba uzeti u obzir ljudske i kulturološke faktore
- Upravljanje rizicima treba biti transparentno i inkluzivno
- Upravljanje rizicima je dinamično, iterativno i prilagodljivo promjenama
- Načini provedbe upravljanja rizicima u poslovnom sustavu neprekidno se unapređuju.
Na ovim principima poslovni sustav treba oblikovati svoj radni okvir za upravljanje rizicima. Prema ovoj normi takav okvir sastoji se od 5 koraka: opredijeljenosti i predanosti menadžmenta, oblikovanja radnog okvira za upravljanje rizicima, implementacije radnog okvira, nadzora i njegove ocjene te kontinuiranog poboljšanja. Veze između ovih koraka prikazane su na slici 2.
Slika 2. Koraci radnog okvira i njihove veze
(Izvedeno iz ISO/IEC 31000)
Pripadajući sadržaji ovih koraka ukratko se opisuju u nastavku.
- Opredijeljenost i predanost menadžmenta. Da bi upravljanje rizicima bilo uspješno, prvi je preduvjet da menadžment na svim razinama postigne suglasnost o njegovoj potrebi. To se postiže donošenjem politike upravljanja rizicima, promoviranjem ove potrebe, razvojem organizacijske kulture na svim razinama, postavljanjem ciljeva upravljanja rizicima i njihovim usklađivanjem s poslovnim ciljevima, specificiranjem i dodjeljivanjem potrebnih odgovornosti, osiguranjem resursa, usklađivanjem sa zakonima i drugim propisima, komuniciranjem sa svim dionicima itd.
- Oblikovanje radnog okvira za upravljanje rizicima. Preduvjeti za njegovo oblikovanje su: dobro poznavanje poslovnog sustava, njegovog vanjskog i unutarnjeg konteksta, ekonomskih, tehnoloških, financijskih, društvenih i drugih uvjeta, organizacijskog ustrojstva i pripadajućih odgovornosti, pokretača i trendova promjena, percepcije vanjskih dionika, politike, ciljeva i strategije poslovnog sustava, načina rješavanja konfliktnih situacija, politike upravljanja rizicima, odgovornosti za oblikovanje radnog okvira i procesa upravljanja rizicima, određivanje odgovornosti za rizike itd. Proces upravljanja rizicima treba biti dio svih poslovnih procesa, ugrađen u razvoj politika i strategiju poslovnog sustava, procjenjivanje i ocjenu učinkovitosti i djelotvornosti kao i upravljanje promjenama. Također, trebaju se dodijeliti resursi potrebni za upravljanje rizicima – ljudi s njihovim kompetencijama, vještinama i iskustvom, metode i alati za ovo područje, osigurati dokumentiranost procesa i procedura, te potrebno osposobljavanja. Nužno je uspostaviti i učinkovit način internih i vanjskih komunikacija i izvješćivanja o rizicima, ključnim komponentama radnog okvira, njegovoj učinkovitosti, relevantnim informacijama, postupke i načine komuniciranja s vanjskim dionicima, osobito njihovo izvješćivanja o dostignutoj usklađenosti sa zakonodavstvom, drugim propisima i regulatornim tijelima itd.
- Implementacija radnog okvira za upravljanje rizicima. Nije dovoljno izraditi radni okvir za upravljanje rizicima. Vrlo je važno planirati njegovu implementaciju, povezati politiku upravljanja rizicima s procesima poslovnog sustava i primijeniti proces upravljanja rizicima u operativnoj praksi.
- Nadzor i ocjena radnog okvira. Mora postojati mjerenje performansi upravljanja rizicima putem pokazatelja koji se periodički revidiraju, provoditi periodičko mjerenje učinkovitpsti procesa upravljanja rizicima i njegovog odstupanja od plana upravljanja rizicima, periodički procjenjivati i ocjenjivati da li radni okvir, politike i planovi još uvijek odgovaraju vanjskom i unutarnjem kontekstu.
- Kontinuirano poboljšavanje radnog okvira. Na osnovi rezultata provedenog nadzora i ocjenjivanja, menadžment treba razmotriti i odlučiti kako se mogu poboljšati radni okvir, politika i plan upravljanja rizicima.
Norma ISO/IEC 31000 propisuje i proces upravljanja rizicima. Prema ovoj normi faze ovog procesa su: postavljanje konteksta, identifikacija rizika, analiza rizika, vrednovanje rizika, postupanje s rizicima, prihvaćanje rizika, nadzor i ocjena rizika te komunikacija i konzultiranje o rizicima sa svim zainteresiranim dionicima. Tijek ovih faza i njihove međusobne veze, prikazani su na slici 3.
Slika 3. Proces upravljanja rizicima prema normi ISO/IEC 31000
(Izvedeno iz ISO/IEC 31000)
Postavljanje konteksta
Na početku procesa upravljanja rizicima nužno je postaviti kontekst u kojem organizacija posluje. To znači da je potrebno jasno iskazati ciljeve organizacije, definirati vanjske i unutarnje parametre o kojima treba voditi računa u upravljanju rizicima te postaviti opseg i kriterije za procjenu rizika.
U prepoznavanju vanjskih parametara može se koristiti poznata PESTEL[22] analiza, koja u razmatranje uzima političke, ekonomske, sociološke, tehnološke, pravne te čimbenike okoliša te njihov utjecaj na ciljeve organizacije. Također, treba uzeti u obzir odnos i potrebe vanjskih dionika organizacije.
Za definiranje unutarnjih parametara od značaja za organizaciju može se provesti SWOT[23] analiza te na taj način odrediti jakosti i slabosti organizacije. Pri tome se analiziraju IT resursi, ljudski resursi, organizacijska kultura, politike, prihvaćeni standardi, ciljevi, potrebe unutarnjih dionika itd. Također, na taj način prepoznaju se i sve prilike koje organizacija može postaviti kao svoje ciljeve i ostvariti ih u budućem razdoblju.
Identifikacija rizika
Identifikacija rizika provodi se prepoznavanjem izvora rizika, područja utjecaja, događaja (uključujući i promjene u okolnostima) i njihovog utjecajate potencijalne posljedice. Cilj ove faze je stvaranje opsežne liste svih onih događaja koji bi mogli utjecati na ostvarivanje određenih poslovnih ciljeva. Važno je izvršiti opsežnu identifikaciju svih rizika, jer rizici koji se ne prepoznaju u ovoj fazi neće biti uključeni ni u narednim koracima upravljanja rizicima.
Organizacija može primijeniti razne alate i tehnike koje su prilagođene njenim ciljevima i mogućnostima te rizicima s kojima se suočava. Relevantne i ažurne informacije su iznimno važne u identifikaciji rizika. U identifikaciju rizika potrebno je uključiti ljude s adekvatnim znanjem područja u kojem se provode rizici.
Analiza rizika
Analiza rizika uključuje razvijanje razumijevanja samih rizika. Ova faza pruža ulazne podatke za fazu procjene rizika i donošenje odluka te primjeni odgovarajućih strategija i metoda obrade rizika. Analiza rizika također može pružiti ulazne podatke za donošenje poslovnih odluka na višojrazini.
Analiza rizika uključuje razmatranje uzroka i izvora rizika, njihovih pozitivnih i negativnih posljedica te vjerojatnosti da se ove posljedice dogode. Također, potrebno je identificirati čimbenike koji utječu na posljedice i vjerojatnost njihovog pojavljivanja. Rizik se analizira određivanjem posljedica i njihovih vjerojatnosti, kao i svih drugih atributa rizika. Neki događaj može imati više posljedica i može utjecati na više ciljeva. Pri analizi rizika potrebno je uzeti u obzir postojeće kontrole te njihovu efikasnost i učinkovitost.
Vrednovanje rizika
U fazi vrednovanja rizika donose se odluke o izboru rizika koji zahtijevaju obradu te prioritetima implementacije kontrola. Odluke se donose na osnovu rezultata analize rizika. Vrednovanje rizika uključuje uspoređivanje nivoa određenog rizika ustanovljenog tijekom faze analize s kriterijima ustanovljenim tijekom utvrđivanja konteksta u kojem se pojava rizika promatra. Kriteriji prema kojima se rizik procjenjuje, u najmanju ruku, moraju sadržavati njegovu povjerljivost, integritet i raspoloživost. U ovisnosti o specifičnim zahtjevima aplikacije, moguće je dodati i druge kriterije kao što su odgovornost, pouzdanost i sl.
U određenim okolnostima, vrednovanje rizika može rezultirati pokretanjem daljnje analize rizika. Također, vrednovanje rizika može dovesti i do odluke o nepoduzimanju nikakvih daljnjih aktivnosti, osim održavanja postojećih kontrola. Naravno, ove odluke prevenstveno će ovisiti o postavljenim kriterijima rizika i razini rizika koju organizacija smatra prihvatljivom.
Postupanje s rizicima
Postupanje s rizicima uključuje izbor i implementaciju jedne ili više mogućnosti utjecanja na rizik.
Postupanje s rizicima, identificiranim u procesu procjene rizika, moguće je provesti na sljedeće načine:
- smanjenje rizika – pristup koji podrazumijeva implementaciju odgovarajućih sigurnosnih kontrola koje umanjuju identificirani rizik,
- prenošenje rizika – rizik i troškovi se prenose na treću stranu, npr. osiguravateljsku kuću ili dobavljača koji može preuzeti neki od prepoznatih rizika te pružiti podršku organizaciji u odvijanju određenog poslovnog procesa,
- prihvaćanje rizika – postupak kojim se identificirani rizik prihvaća bez implementacije ikakvih sigurnosnih kontrola. Ovaj pristup se primjenjuje ukoliko analize pokažu da je veći trošak ulagati u zaštitu resursa, nego što predstavlja njegov gubitak. Odluka o prihvaćanju rizika predstavlja veliku odgovornost i zahtijeva pismeno izvješće o tome tko je odgovoran i zašto nisu implementirane nikakve sigurnosne kontrole.
- izbjegavanje rizika – postupak koji podrazumijeva prekidanje ili nepokretanje aktivnosti unutar organizacije koje mogu izazvati određeni rizik. To se može primijeniti u slučaju kad se ukidanjem takvih aktivnosti ne utječe značajnije na poslovne procese organizacije ili kad postoji neki drugi način realizacije tih aktivnosti.
Nakon implementacije sigurnosnih kontrola ostaje rizik kojeg nazivamo rezidualnim rizikom. Rezidualni rizik podrazumijeva sve one prijetnje i ranjivosti za koje se smatra da ne zahtijevaju dodatni tretman u pogledu smanjenja postojećeg rizika. Također, rezidualni rizik može nastati kao posljedica „cost-benefit“ analize kojom je ustanovljeno da su troškovi implementacije sigurnosnih kontrola veliki i da nije isplativo ići u njihovu implementaciju. U tom slučaju, ako rezidualni rizik prelazi prihvatljivu razinu rizika, nužno je ići u njegovo prihvaćanje i izradu izjave o prihvaćanju rezidualnog rizika.
Smanjivanje rizika obuhvaća slijedeće aktivnosti:
- određivanje prioriteta akcija,
- evaluacija preporučenih sigurnosnih kontrola,
- provedba analize isplativosti (dobiveno/uloženo),
- odabir sigurnosnih kontrola,
- dodjeljivanje odgovornosti,
- razrada plana za implementaciju sigurnosnih kontrola,
- implementacija odabranih kontrola.
Rezultati ovih aktivnosti se obično objedinjavaju u planu postupanja s rizicima. Taj plan mora biti integriran u upravljačke dokumente organizacije i iskomuniciran sa svim zainteresiranim dionicima.
3.3. Norma ISO/IEC 27005
Norma ISO/IEC 27005:2011 pruža smjernice za upravljanje rizicima informacijske sigurnosti u organizaciji, posebno podržavajući zahtjeve sustava upravljanja informacijskom sigurnošću prema normi ISO 27001. Ova norma pruža dodatne pristupe procjenjivanju rizika informacijske sigurnosti, od procjene informacijskog rizika visokerazine do raznih metoda detaljne procjene rizika informacijske sigurnosti kao npr.:
- matrica predefiniranih vrijednosti,
- rangiranje prijetnji prema procjeni rizika i
- procjena vjerojatnosti ostvarenja i mogućih posljedica rizika.
U nastavku se daje kratki prikaz navedenih pristupa procjeni rizika informacijske sigurnosti.
Matrica predefiniranih vrijednosti
Ovaj pristup procjeni rizika za svaku imovinu promatra relevantne ranjivosti i prijetnje. Odgovarajući redovi matrice se identificiraju prema vrijednosti imovine, a odgovarajuća kolona se određuje pomoću vrijednosti prijetnje i ranjivosti. Npr., ako imamo imovinu čiju vrijednost procjenjujemo na 4, a razina prijetnje i ranjivosti je visoka, onda ukupna razina rizika iznosi 8, tablica 1. Taj rizik svojom vrijednošću ulazi u razinu neprihvatljivih rizika i svakako zahtijeva daljnje postupanje. Svaka tvrtka ovu matricu može prilagoditi svojim potrebama, izabirući željeni broj razina prijetnji, ranjivosti i vrijednosti imovine.
Tablica 1. Matrica predefiniranih vrijednosti (imovina, prijetnja, ranjivost)
Slična matrica prikazana je u tablici 2. Ona u odnos stavlja vjerojatnost pojavljivanja incidenta i utjecaj na poslovanje. Vjerojatnost incidenta se promatra kao vjerojatnost da prijetnja iskoristi postojeću ranjivost sustava. Razina rizika se mjeri na ljestvici od 0 do 8 i vrednuje se prema dogovorenim kriterijima prihvatljivosti rizika, npr: nizak rizik 0 – 2, srednji rizik 3 – 5 i visok rizik 6 – 8.
Tablica 2. Matrica predefiniranih vrijednosti (vjerojatnost incidenta, utjecaj na poslovanje)
Rangiranje prijetnji prema procjeni rizika
Ovaj tip metoda za procjenu rizika povezuje posljedice (vrijednost imovine) i vjerojatnost pojavljivanja prijetnje (uzimajući u obzir aspect ranjivosti), tablica 3. Prvo se procjenjuje posljedica potencijalne prijetnje na predefiniranoj ljestvici, npr. 1 do 5. Nakon toga se procjenjuje vjerojatnost pojavljivanja prijetnje, također na predefiniranoj ljestvici od 1 do 5, a konačna vrijednost rizika dobiva se množenjem vrijednosti pridijeljene posljedicama i vjerojatnosti pojavljivanja prijetnje. Temeljem dobivenih vrijednosti razina rizika, isti se rangiraju i određuje se prioritet njihovog tretiranja.
Tablica 3. Rangiranje prijetnji prema procjeni rizika
Procjena vjerojatnosti ostvarenja i mogućih posljedica rizika
Ovaj tip metoda za procjenu rizika naglasak stavlja na posljedice incidenata informacijske sigurnosti i određivanje koji sustavi bi trebali biti prioritetni, tablica 4. To se provodi procjenom dvije vrijednosti za svaku imovinu i rizik, čijom kombinacijom se određuje rezultat za svaku imovinu.Kad se rezultati imovine za cijeli sustav sumiraju, dobiva se razina rizika za taj sustav.
Vrijednost je dodijeljena svakoj imovini. Ova vrijednost je povezana s potencijalnim posljedicama u slučaju da je imovina ugrožena određenim prijetnjama. Za svaku primjenjivu prijetnju, imovini se pridjeljuje njena vrijednost.
Potom se procjenjuje vjerojatnost pojavljivanja. To se procjenjuje kao kombinacija vjerojatnosti da prijetnjaiskoristi određenu ranjivost I izražava se kao vjerojatnost incidenta.
Tablica 4. Procjena vjerojatnosti ostvarenja i mogućih posljedica rizika
Nadalje, rezultat imovine/prijetnje se određuje presjekom vrijednosti imovine i vjerojatnosti, kao što je prikazano u tablici 5. Rezultat imovine/prijetnje se sumira kako bi se dobio ukupni rezultat imovine. Da bi se dobio rezultat za cijeli sustav sumiraju se ukupni rezultati svih imovina. Na taj način se može vidjeti koji sustav je prioritetni koji treba adekvatno zaštititi.
Tablica 5. Presjek vrijednosti imovine i vjerojatnosti
Nakon odabira odgovarajuće metodologije procjene rizika i identifikacije najkritičnijih rizika, neophodno je obraditi/tretirati te rizike.
Obrada rizika uključuje odabir jedne ili više opcija/mogućnosti za modifikaciju rizika i provedbu tih opcija/mogućnosti. Obrada rizika uključuje ciklički proces:
- procjene obrade/postupanja s rizicima,
- odlučivanja da li je razina rezidualnog rizika dozvoljena,
- ako nije dozvoljena, treba provesti novu obradu rizikai
- procjena učinkovitosti obrade/postupanja s rizicima.
Mogućnosti obrade rizika nisu nužno međusobno isključive ili primjerene u svim okolnostima. Opcije/mogućnostipostupanja s rizicma su već obrađene u prethodnim poglavljima, a mogu se svesti na implementaciju kontrola za umanjenje rizika, izbjegavanje aktivnosti koje mogu izazvati rizik, prenošenje rizika na treću stranu te prihvaćanje rizika.
Odabir najprikladnije mogućnosti obrade rizika uključuje uravnoteženje troškova i napora provedbe u odnosu na koristi koje proizlaze, s obzirom na pravne, regulatorne i druge zahtjeve, kao što su društvena odgovornost i zaštita prirodnog okoliša. Odluka također treba uzeti u obzir rizike koji mogu opravdavati obradu rizika koji nije ekonomski opravdan, npr. ozbiljan (visoka negativna posljedica), ali rijedak (niske vjerojatnosti) rizik.
U obzir se može uzeti nekoliko mogućnosti obrade te se mogu primijeniti pojedinačno ili u kombinaciji. Organizacija može imati koristi od usvajanja kombinacije mogućnosti obrade. Prilikom odabira mogućnostiobrade rizika, organizacija treba razmotriti vrijednosti i percepcije dionika i najprikladnije načine komunikacije s njima. Mogućnost obrade rizik može utjecati na rizik na drugom mjestu u organizaciji ili na interesne skupine, što bi trebalo biti uključeno u odluku. Iako jednako učinkovite, neke mogućnosti obrade rizika mogu biti prihvatljivijejednim interesnim skupinama nego drugima.Plan obrade treba jasno identificirati prioritetni redoslijed kojim treba provoditi pojedinačnuobradu rizika.
Sam tretman rizika može otkriti nove rizike. Značajan rizik može biti neuspjeh ili neučinkovitosti mjera obrade rizika. Nadzor treba biti sastavni dio plana obrade rizik kako bi se dobilo jamstvo da su mjere i dalje na snazi.
Svrha plana obrade rizika je dokumentirati kako će se odabrane mogućnosti obrade provoditi/implementirti. Informacije sadržane u planu obrade trebaju uključivati:
- razloge odabira mogućnosti obrade, uključujući i očekivane koristi koje bi se ostvarile,
- osobe odgovorne za odobravanje iprovedbu plana,
- predložene mjere,
- zahtjeva za resursima, uključujući nepredviđene događaje,
- mjere uspješnosti i ograničenja,
- zahtjeve uzvješćivanja i praćenja te
- vrijeme i raspored.
Planovi obrade trebaju biti integrirani u procese upravljanja organizacijom i raspravljani s odgovarajućim zainteresiranim stranama. Donositelji odluka i ostali dionici trebaju biti svjesni prirode i opsega rezidualnog rizika nakon obrade rizika.Rezidualni rizik treba biti dokumentiran i podvrgnuti nadzoru, ocjeni/pregledu i po potrebi, daljnjojobradi.
Literatura
[1] S. Tomić Rotim, Upravljanje sigurnosnim rizicima u web aplikacijama, PowerPoint prezentacija, ZIH, 2013.
[2] M. Zorčec, Upravljanje sigurnosnim rizicima, diplomski rad, Sveučilište u Zagrebu, Fakultet elektrotehnike i računarstva, 2006.
[3] The Open Web Application Security Project – OWASP Top 10 – 2010 – The Ten Most Critical Web Application Security Risks, 2010.
[4] Z. Krakar i suradnici, Korporativna informacijska sigurnost, FOI i ZIH, 2014.