Analiza zagrożeń a analiza podatności

0
54

Przeczytałem kilka rozdziałów z opracowania które ostatnio zdobyłem.

Na początek: „Analiza zagrożeń telekomunikacyjnych sektora publicznego. (Analiza zagrożeń – obszar publiczny)”

I dowiaduję się na stronie 44 że :
„analiza zagrożeń opiera się na wiedzy na temat problemów i zachowań ludzi, którzy je wywołują”.

Lekko zacząłem się dziwić. Bo choćby metodyka uzgadniania planów ochrony, wydana przez KGP mówi o dwóch kategoriach zagrożeń (str 21):
1. Subiektywne – wywołane przez człowieka
2. Obiektywne – spowodowane siłami przyrody.

Ale to nie koniec. Czytam dalej, ze:
„analiza zagrożeń nie pozwala przewidzieć nowych elementów, nie jest w stanie zgłębić ludzkiej pomysłowości oraz nieprzewidywalności”.

Nie wiem, jak wygląda narzędzie do analizy zagrożeń w sektorze telekomunikacyjnym, ale zwykłą i typową, realizowaną dla obiektów polega (powinna polegać) właśnie na próbie przewidzenia nieprzewidzianego, dokładając, zagrożenia obiektywne, miejsca ich występowania oraz zabezpieczenia (np odgromy). Tym bardziej mnie dziwi to stwierdzenie, ze materiał wygląda na opracowany na podstawie norm ISO/IEC 27001 (17799) z użyciem raportów technicznych – w tym tego o analizie ryzyka czyli 13335-3.

Ale czytam już mniej spokojnie dalej, a następny akapit mówi mi, że alternatywą dla analizy zagrożeń jest…. analiza podatności. Tu już jestem pewien ze to na podstawie Norm i raportów ISO/IEC.

Aż podniosłem normę do ręki, bo może ja coś przeoczyłem. I czytam:
Zagrożenie – potencjalna przyczyna niepożądanego incydentu, który może wywołać szkodę w systemie lub organizacji
Podatność – słabość aktywu lub grupy aktywów, która może być wykorzystana przez co najmniej jedno zagrożenie.

Trochę się uspokoiłem, bo myślałem, że gdzieś po drodze doświadczeń zawodowych sie zagubiłem. Ale wygląda na to ze nie.

I następne zdanie:
„Analiza podatności jest wstępem do fazy szacowania ryzyka oraz doboru środków eliminacji ryzyka”
Znowu się muszę czepić. Nie tylko eliminujemy ryzyko. Bo nie zawsze się da. Możemy je transferować (ubezpieczenia) lub redukować (wprowadzenie zabezpieczeń) albo… unikać.

Ale dla jasności i tak ja ja to rozumiem, rozpisane na etapy.
1. Analiza zagrożeń – w tym stworzenie katalogu zagrożeń jakie występują w organizacji i w jej otoczeniu. Pomocne do tego analiz PEST, 5 sił Portera, BCG i SWOT – dla bezpieczeństwa.
2. Ocena podatności aktywów na zagrożenia (przy założeniu, ze mamy je zinwentaryzowane)
3. Postępowanie z ryzykiem, czyli dobór zabezpieczeń i środków modyfikujących lub minimalizujacych ryzko
4. Akceptowanie ryzyka – czyli ocena, które sa już na poziomie akceptowalnym. W tym ważne jest wskazanie, ze dobór środków nie może być bardzie zasobochłonny niż ewentualne straty wynikające w przypadku zmaterializowania się zdarzenia lub wystąpienia incydentu
5. Informowanie o ryzyku.

2 do 5 to są etapy wchodzące do szacowania ryzyka.

I jedna uwaga na koniec. Szacowanie ryzyka to jest taki kołowrotek. Bowiem w momencie postępowania z ryzykiem, wprowadzamy zabezpieczenia. Ale wielu speców zapomina o fakcie, ze te zabezpieczenia są też podatne na zagrożenia.