• Robert Tracz

Ocena Ryzyka: Security risk assessment

Dziś chcielibyśmy rozpocząć temat dotyczący oceny ryzyka dla bezpieczeństwa „Security” w organizacji.


  • Czy „Security risk assessment” jest nam potrzebny?

  • Czy nasza podstawowa ocena ryzyka jest wystarczająca?

  • Czy nasza matryca ryzyka której używamy do oceny ryzyka metodami Risk score / JSA będzie adekwatna?

W zależności od tego jaki jest typ i rodzaj organizacji, w której pracujemy zdania oraz odpowiedzi będą podzielone. Istnieje wiele opracowań oraz badań w kontekście użyteczności matryc ryzyka oraz ich adekwatności do danego tematu np.: Bezpieczeństwa w rozumieniu „Safety”, Bezpieczeństwa w rozumieniu „Security”, środowiska, zdrowia itp. Dziś jednak skupiamy się na temacie dotyczącym bezpieczeństwa w rozumieniu „Security”.

Jakie mogą być zagrożenia dotyczące stricte „Security”?

Może być to:

  • Nieautoryzowany dostęp do obiektów, do informacji,

  • Kradzież,

  • Zagrożenia dotyczące IT: wirusy/Hacking / Nieautoryzowany dostęp/Niewłaściwe użytkowanie komputerów,

  • Bezpieczeństwo peracowników: Uprowadzenie /Rabunek/ napaść, porwanie,

  • Wandalizm,

  • Bomby / atak terrorystyczny,

  • Protesty i grupy nacisku Niepokoje społeczne,

  • Oraz wiele więcej.

Istnieje wiele metod przeprowadzania ocen ryzyka dla bezpieczeństwa organizacji jednak jedno jest w nich niezmienne, jest to proces zespołowy, gdzie grupa, często ekspertów określa wiele istotnych czynników takich jak atrakcyjność „Attractiveness” wystąpienia określonego zdarzenia np. „podłożenia bomby”. Atrakcyjność często porównywana jest i wykorzystywana zamiast znanego nam prawdopodobieństwa z szeroko stosowanych ocen ryzyka.



Kolejnym mało znanym z popularnych ocen ryzyka czynnikiem jest podatność „Vulnerability” czyli słabość, którą przeciwnik może wykorzystać, aby uzyskać dostęp i uszkodzić lub ukraść zasób lub zakłócić krytyczną funkcję. Jest to zmienna, która wskazuje prawdopodobieństwo pomyślnego ataku, biorąc pod uwagę zamiar ataku na zasób.



Zarówno dla atrakcyjności jak i dla podatności wystąpienia danego zagrożenia określany jest poziom ryzyka. W dodatku poziom ryzyka pod kątem prawdopodobnych konsekwencji i prawdopodobieństwa możemy określić także dla Ludzi, środowiska, kapitału zakładowego czy ciągłości projektu.



O tym jak wyglądają przykładowe matryce dla oceny ryzyka bezpieczeństwa „security” i jak wygląda gradacja środków ostrożności czy jakie czynniki należy analizować, aby określić atrakcyjność danego celu opiszemy w kolejnych artykułach.

56 wyświetlenia0 komentarz

Ostatnie posty

Zobacz wszystkie