Управление риском

Потерянные контракты

Потерянные контракты - это нереализованный потенциал. Организация планирует обслуживать новых клиентов и дополнительно реализовать свою продукцию. Как измерить потери, если эта возможность не реализована? Конечно, можно продемонстрировать, что не был выполнен объем запланированных продаж, но как связать это с риском для безопасности? Влияет ли реализация угроз на потерю потенциальных возможностей?

В некоторых случаях воздействие очевидно. Например, организация выполняет продажу продукции через интернет. Веб-сайт организации не функционирует четыре дня. Он является основным каналом продаж, поэтому ясно, что на четыре дня торговля приостановится.

А если по непредвиденным обстоятельствам производитель вынужден остановить производство продукции на четыре дня? Могла ли компания продать эти товары, если бы они имелись в наличии? Нет точного способа определения таких потерь.

Методика оценки риска

Конечно, при оценке риска вопросов намного больше, чем ответов. Если весь вероятный риск можно выразить в денежной форме, то процесс намного упростится. Однако в реальной ситуации это сделать невозможно. Следовательно, мы должны воспользоваться данными, которые позволят выполнить эту оценку.

Для каждого риска необходимо установить наилучший, наихудший и наиболее вероятный план действий, затем определить величину ущерба для каждого варианта действий (денежные средства, время, ресурсы, репутация и потерянные контракты). Планы действий создаются на основе следующих критериев.

• Наилучший случай. Нарушение защиты замечено сразу же, проблема быстро устранена, и информация осталась внутри организации. Общий ущерб оказался незначительным.
• Наихудший случай. Нарушение защиты замечено клиентом, который и уведомил организацию. Проблема не была незамедлительно исправлена, информация об этом дошла до прессы. Общий ущерб оказался очень большим.
• Наиболее вероятный случай. Нарушение защиты замечено через некоторое время. Какая-то информация о событии "просочилась" к клиентам (но не вся), и организация была в состоянии контролировать большую часть информации. Общий ущерб был смягчен.

Параметры наиболее вероятного случая меняются в зависимости от реального состояния безопасности, существующей в организации. Иногда наиболее вероятный случай может оказаться самым плохим вариантом.

Теперь для каждого выявленного риска рассмотрим возможный результат.

Ответьте на следующие вопросы.

• Сколько денежных средств нужно затратить на ликвидацию последствий успешного взлома системы безопасности? Определите время работы персонала, консультантов и стоимость нового оборудования.
• Сколько времени потребуется на ликвидацию последствий успешного взлома системы безопасности? Как это повлияет на программу выпуска новой или существующей продукции?
• Какие ресурсы будут затронуты в случае взлома системы безопасности? Какие отделы вашей компании зависят от этих ресурсов?
• Как это событие повлияет на репутацию организации?
• Приведет ли это к срыву новых контрактов? Если да, то какого типа и в каких размерах?

Как только на каждый вопрос будут получены ответы, постройте таблицу, отражающую возможные последствия для каждого риска. Эта информация потребуется вам для улучшения подходов к управлению рисками.

Определение рисков, связанных с электроникой

Этот проект покажет вам способы определения рисков в вашей компании. Он не содержит методику полной оценки риска, а, скорее, является самым первым шагом. В этом задании мы рассмотрим только лишь риски, связанные с электроникой. При полной оценке риска необходимо дополнительного рассмотреть физический риск, риск, связанный с оборудованием и так далее.

Шаг за шагом

1. Определите все точки доступа к информации. Обратите внимание как на электронный, так и на физический доступ.
2. Определите возможные угрозы. Продумайте, какие уровни доступа к информации имеют сотрудники вашей организации. Предположите, какие цели могут преследовать злоумышленники по отношению к вашей организации, что они стараются здесь заполучить.
3. Определите уязвимые места, существующие в различных системах и отдельных рабочих местах с важной информацией. Помните, что уязвимые места существуют не только в структуре систем, но и в процессах и процедурах.
4. Для всех мест хранения информации определите уровень риска (высокий, средний или низкий), который обусловлен наличием уязвимых мест и угроз.
5. Проверьте контрмеры вашей организации. Определите, уменьшат ли применяемые контрмеры уровень установленных рисков.
6. Теперь рассмотрите каждый риск и определите потенциальный ущерб (деньги, время, ресурсы, репутация и потерянные контракты).

Вывод

Для крупной организации имеет смысл выполнять это задание для каждого отдела или рабочего места. Вероятно, будет обнаружено много различных угроз, и определение их точной сущности будет проблематичным. В этом случае предположите наличие общего уровня риска и переходите к уязвимым местам.

Рассматривая контрмеры, убедитесь, что они определены как для процедур, так и для технических средств.

Контрольные вопросы

1. Назовите две составляющих риска.
2. Каков уровень риска при отсутствии угроз?
3. Что такое уязвимость?
4. Назовите четыре цели для угроз.
5. Может ли угроза иметь более одной цели?
6. Какими характеристиками должен обладать агент, чтобы представлять собой угрозу?
7. Должен ли агент иметь физический доступ к системе, чтобы представлять собой угрозу?
8. Для какого типа организаций общественность рассматривается как угроза?
9. Только злонамеренные события являются угрозой?
10. После выявления уязвимых мест и угрозы что еще определяется для оценки риска в организации?
11. Назовите пять областей, которые нужно исследовать при оценке риска в организации.
12. С чего начинается определение реальных уязвимых мест?
13. Какая модель используется, если определение особых видов угроз является проблематичным?
14. Можно ли предположить, что большинство организаций в состоянии определить финансовые потери от различного рода инцидентов?
15. Какие затраты сложнее всего измерить?