|
Kvantitativnoj studiji isplativosti mora prethoditi detaljna analiza svih mogućih rizika. Bilo bi u svakom slučaju poželjno da se pri taksativnom određivanju rizika koriste metode odlučivanja. Iako se na prvi pogled čini kako metode odlučivanja nemaju pretjeranu povezanost s određivanjem rizika kojima je izložena neka organizacija, svaki iskusni rukovoditelj ili konzultant informacijske sigurnosti zna koliko je važna uključenost više različitih nivoa iz organizacije, ili izvan nje, u procjenu svih oblika rizika.
Pristupi
U samom početku procesa kvantifikacije rizika i procjene isplativosti ulaganja u informacijsku sigurnost, tri su osnovna pristupa koji se uspješno mogu koristiti pri izradi taksonomije rizika:
1. Brainstorming
Brainstorming je tehnologija grupne kreativnosti koja je dizajnirana kako bi se kreirao veliki broj ideja koje vode rješenju problema, no može se koristiti i pri određivanju potencijalnih rizika ili troškova uzrokovanih nastupom neželjenog sigurnosnog događaja. Zanimljivo je da su neovisna istraživanja pokazala kako je metoda brainstorminga zapravo manje efikasna od osoba koje generiraju ideje individualno, no njena dodana vrijednost je zapravo u sinergijskom efektu uzrokovanom izgradnjom interpersonalnih odnosa. Temeljna odlika brainstorminga mora biti demokratsko iznošenje stavova, te ukoliko se radi o odlučivanju, definitivni stav svih uključenih donosi se tek u zadnjem krugu odlučivanja.
2. Delphi metoda
Delphi metoda je sistematska interaktivna metoda predviđanja kojom se dobijaju predviđanja od grupe nezavisnih eksperata. Oni odgovaraju na ciljni upitnik u dva ili više krugova. Nakon svakog kruga, moderator grupe pruža svim ekspertima na uvid sažetak predviđanja drugih eksperata te razloge koji su ih doveli do određene vrijednosti. Nakon toga, učesnike se potiče da revidiraju svoje prijašnje procjene uzimajući u obzir odgovore ostalih članova grupe. Proces se prekida nakon određenog broja krugova, ukoliko je postignut dogovor ili ukoliko nezavisno dobijeni odgovori postanu konzistentni.Smatra se kako je vrijednost ovog procesa činjenica da predviđene vrijednosti na kraju procesa konvergiraju točnom odgovoru. Nezavisna istraživanja su pokazala kako Delphi metoda daje značajno točnije rezultate od individualnih predviđanja nestrukturiranih grupa.
Adaptacija ove metode za rad u grupi koju čini sam ekspert, te moderator, što može biti i naručitelj procjene ili studije isplativosti opisuje se metodologijom mini-Delphi, odnosno Estimate-Talk-Estimate.
3. Diskusijske grupe
Tehnika diskusijskih grupa može dovesti do vrlo validnih zaključaka, no njena je mana što autoritativne osobe ili one s jačim interpersonalnim sposobnostima mogu nadglasati „tihu većinu“, čime čitavom procesu daje subjektivan ton koji bi u poslu ove vrste trebalo izbjegavati.
4. Tehnika nominalnih grupa
Tehnika nominalnih grupa je zapravo podvrsta brainstorminga u kojoj se svim participantima omogućuje ravnopravno iznošenje stavova, i u kojoj se o određenom prijedlogu – npr. o tome kolika je vjerojatnost nastupa nekog sigurnosnog incidenta ili koja je šteta nanesena tim nastupom – odlučuje ravnopravnim glasanjem. U posljednjem krugu dolazi do destiliranja zajedničkog zaključka.
Rezultat pravilno provedene prve faze izrade studije isplativosti trebao bi se uklapati u okvire probabilističke procjene rizika (eng. PRA – Probabilistic Safety Assesment/Analysis) koja je primarno namijenjena procjeni rizika povezanih uz funkcioniranje kompleksnih sustava. Ukratko, u PRA rizik se definira kao nastup nepoželjnog događaja i definira se pomoću dvije kvantitativne veličine:
-
jačina pojave potencijalne negativne posljedice
- vjerojatnost pojave potencijalne negativne posljedice
Matrice rizika
Početna faza izrade tzv. matrice rizika ili matrice vjerojatnosti i utjecaja (eng. impact-probability matrix) ne mora nužno sadržavati numeričke pokazatelje. No, u kasnijim fazama, pojedinim identificiranim rizicima bit će dodijeljene vjerojatnosti njihovog nastupa i jačina utjecaja, koja se u slučaju procjene informacijskih i općih sigurnosnih rizika izražava troškom. Trošak može biti direktan ili u vidu oportunitetnog troška koji nastaje zbog izgubljene ili propuštene dobiti uslijed nastupa neželjenog događaja.
Izvor: priredio autor
Nakon što su identificirani rizici i njihov utjecaj, te nakon pridruživanja numeričkih pokazatelja, formira se detaljnija matrica. Ukupan rizik po informacijski sustav jednak je zbroju umnožaka vjerojatnosti nastupa neželjenog događaja i vjerojatnosti njihovog nastupa (frekvencije):
Izvor: priredio autor
Praktična tablica individualnih vjerojatnosti, npr. pada aviona, izgledala bi ovako:
Izvor: http://www.globalsecurity.org
Ovakva metodologija procjene rizika odgovara na tri osnovna pitanja:
- koliko jak može biti utjecaj uzroka neželjenih informacijskih ili sigurnosnih propusta na organizaciju ili poduzeće
- koja je vjerojatnost nastupa neželjenih događaja
- koji su događaji koji dovode do neželjenih posljedica i informacijsko-sigurnosnih propusta po sustav
Zanimljivo je da za razliku od ljudi, organizacije nemaju homeostatski pristup riziku. To znači da se ukupna sklonost organizacije riziku mijenja, i to zbog više razloga: organizacija raste i razvija se, u upravi se mijenjaju ljudi koji imaju različite vizije i individualne sklonosti riziku, konstantno se mijenja i postaje sve kompleksnije i okruženje poduzeća. Iz tog razloga procjena rizika poduzeća, ali i finalni rezultat našeg razmatranja, studija isplativosti ulaganja u informacijsku sigurnost, konstantno se mijenja.
Monte Carlo metode
Samu procjenu rizika i vjerojatnosti, metodološki prati odabir metode kojom će se upravi ili donosiocima odluka prezentirati kvantitativna karakteristika rizika – vjerojatnost njihovog nastupa te potencijalni trošak. Za ovu vrstu aktivnosti primjerene su Monte Carlo metode. Radi se o računskim algoritmima koji se baziraju na opetovanom slučajnom odabiru ako bi se došlo do finalnog rezultata. Pošto poslovanje poduzeća te nastup informacijskog ili općeg sigurnosnog rizika predstavljaju sustav koji nije deterministički, ovakve metoda doima se gotovo idealnom.
Tri su temeljna pristupa svake Monte Carlo metode:
1. Definiranje domene mogućih ulaznih parametara
2. Generiranje slučajnih ulaznih parametara unutar domene te vršenje determinističkih kalkulacija
3. Agregiranje rezultata pojedinih proračuna u finalni rezultat.
Prema definiciji, Monte Carlo analiza je prikladna za stohastičke sustave u kojima je moguće dobiti točan rezultat slučajnim odabirom. Iz tog razloga često se koristi pri procjeni vrijednosti tvrtki, investicija u projekte, pri određivanju vrijednosti financijskih derivata – a može se koristiti i pri procjeni isplativosti ulaganja u informacijsku sigurnost.
Rad s nekom od Monte Carlo metoda vrlo je kompleksan i oslanja se na iskustvo onoga tko vrši proračun te ispravnom postavljanju početne domene. Postoje dodaci za Excel koji efikasno primjenjuju podvrste Monte Carlo metode, te koriste zadanu distribuciju oko koje se trebaju grupirati ciljni rezultati, pri čemu treba napomenuti kako je najrasprostranjeniji operativni proizvod @RISK tvrtke Palisade. Trenutačno aktualna inačica je 5.0.
Analiza rezultata
Nakon što su određeni potencijalni informacijski incidenti, vjerojatnosti njihovog nastupa i ukupna moguća šteta po vrstama rizika, uprava u suradnji s internim ili vanjskim konzultantima može pristupiti analizi dobijenih rezultata, kako bi se donijela odluka o prihvaćanju ili neprihvaćanju rizika. U tu svrhu može se koristiti čitav niz tehnika, među kojima su vrlo prikladne GAP i SWOT analiza.
1. GAP analiza
GAP analiza predstavlja alat za procjenu poslovnih resursa kako bi se usporedila njihova trenutačna iskorištenost ili angažiranost u odnosu prema nedosegnutom potencijalu. Prema tome, odgovorom na pitanja gdje se trenutačno nalazi stanje informacijske sigurnosti tvrtke te koji nivo sigurnosti se želi postići moguće je dobiti u potpunosti ili djelomično odgovor na pitanje da li se isplati investirati u određeni segment informacijske sigurnosti. U poslovnom kontekstu, GAP analiza se koristi i u klasifikaciji funkcionalnosti određenih kontrola koje se koriste u informacijskoj znanosti, te se one klasificiraju kao odgovarajuće (eng. „good“), prosječne (eng. „average“) ili neodgovarajuće („poor“). U ovom smislu, naziv GAP se u potpunosti preklapa s terminologijom PRINCE2 vođenja projekata.
2. SWOT analiza
SWOT analiza je „dijete“ Alberta Humphreya, koji je 60-tih i 70-tih godina prošlog stoljeća na univerzitetu Stanford vodio istraživački projekt koji se bavio čimbenicima koji su djelovali poticajno ili negativno po određeni poslovni projekt ili sustav. Sam naziv SWOT je akronim stvoren od engleskih riječi Strength, Weakness, Opportunity, Threat (jakost, slabost, mogućnost, prijetnja). SWOT analiza procjenjuje jake i slabe strane poslovnog projekta, njegove ranjivosti i mogućnosti koje se otvaraju. U okviru našeg interesa, SWOT analiza se može primijeniti kako bi se procijenile prijetnje koje utječu na poslovanje poduzeća, odnosno na informacijski sustav.
Izvor: priredio autor
Interni čimbenici prikazani na ilustraciji su osobina informacijskog sustava organizacije dok su eksterni osobina okoline. Vrijednosni sud „pomažu-odmažu“ odnosi se na postizanje cjelokupnog ili zasebnih ciljeva informacijske ili opće sigurnosti.
Jakost SWOT analize je u tome što identificira jake i slabe strane sustava informacijske ili opće sigurnosti, koji su intrinzična osobina samog sustava, ali ga povezuje s vanjskim čimbenicima koji predstavljaju znatnu komponentu ukupnim prijetnjama. Iz njih proističu prijetnje, ali i mogućnosti poboljšanja, koji imaju komponentu pomoći postizanja cilja – povećanja informacijske sigurnosti uz smanjenje, odnosno minimizaciju troška, no mogu djelovati i negativno, kroz povećanje troška uz nepostizanje postavljenih ciljeva, odnosno, uz postizanje ciljeva informacijske sigurnosti, ali uz trošak koji znatno nadilazi trošak nastupa informacijskih ili općih sigurnosnih incidenata.
Treba imati na umu da je SWOT analiza orijentirana otvoreno, odnosno pozitivno: ona ne samo da identificira prijetnje, nego je u mogućnosti ponuditi i integralnu analizu dodatnih mogućnosti koje investicija u informacijsku i opću sigurnost pruža. Vratimo li se na matricu rizika, vrstan konzultant informacijske sigurnosti ponudit će u ovoj točki obogaćenu inačicu matrice rizika koja se time pretvara u matricu rizika i pozitivnih prilika, te u sebi inkorporira ne samo cijenu izbjegavanja nastupa sigurnosnog incidenta, već rezultira dodanom vrijednošću, koja se očituje u efektu prelijevanja („spillover effect“) novouvedenih mjera na čitavu organizaciju ili poslovanje.
Zaključak
Prema tome, može se zaključiti kako se u metodologiji procjene rizika, ocjenjivanja financijskog utjecaja na poslovanje poduzeća u slučaju nastupa jednog ili više sigurnosnih incidenata te konačne procjene izvođenja određenih projekata koji su namijenjeni poboljšanju informacijske sigurnosti mogu koristiti kvantitativne metode, suprotno uvriježenom mišljenju. Čak i za izračun nekih naizgled posve „nedodirljivih“ veličina, kao što je to povećana vrijednost poduzeća ili povjerenje klijenata mogu se koristiti kvantitativne metode. No, pritom se ne smije stavljati znak jednakosti između nemogućnosti korištenja tih metoda i činjenice da je takva kvantifikacija skupa, komplicirana, da se možda zaduženima za informacijsku sigurnost to ne isplati izvoditi, misle ih zamijeniti nekim drugim ad hoc metodama ili metodama direktnog marketinga, ili da uprave jednostavno ne žele platiti dovoljno da bi takve metode mogle biti korištene.
Ovo je bilo samo mali ogledni pregled nekih potencijalnih tehnika za izradu studija isplativosti ulaganja u informacijsku sigurnost. Vješt rukovoditelj informacijskim rizikom u svom praktičnom arsenalu zasigurno ima i mnoge druge metode koje opisuje metodologija vođenja projekata i ekonomske informatike. Uprave bi morale biti toliko educirane da shvate kako u najgorem slučaju materijalna cijena neuvođenja sustava informacijske i opće sigurnosti teško da može ići dalje od likvidacijske vrijednosti poduzeća, kao što je to pokazao slučaj Enrona ili Tyco-a u ne tako davnoj prošlosti.
Trackback(0)
 |
TrackBack URI for this entry
