radar

Analiza ryzyka – metody szacowania ryzyka – cz. 2

W poprzednim poście omówione zostały podstawowe informacje i założenia związane z analizą ryzyka. Czas zatem na przedstawienie charakterystyki wybranych metod szacowania ryzyka.

Metoda jakościowa

Jakościowe szacowanie ryzyka jest indywidualną oceną opartą na dobrych praktykach i doświadczeniu.

W metodyce tej korzysta się ze zdefiniowanych już wcześniej zakresów wartości oraz z miar opisowych takich jak np.: niskie, średnie, wysokie wraz z opracowaniem rankingu zagrożeń. Metoda jakościowa wykorzystuje subiektywne miary i oceny takie jak wartości opisowe poziomów, zakresy wartości miar liczbowych oraz przyporządkowania miar podatnościom, zagrożeniom, skutkom itp. Metoda ta cechuje się są dobrą elastycznością i dostępnością na modyfikacje. W zależności od dostępnych środków przewidzianych w budżecie, zakres szacowania ryzyka może się zmieniać w czasie.
W analizie jakościowej ryzyko i potencjalne skutki jego wystąpienia są prezentowane w opisowy sposób. Do uzyskania konkretnych wartości stosuje się metody ankietowe na podstawie odpowiednio przygotowanych kwestionariuszy. Korzyści z zastosowania metody to m.in.:
• brak konieczności wyceny informacji (jej dostępności, poufności, integralności
• brak konieczności ilościowego określenia skutków i częstotliwości wystąpienia zagrożeń;
• brak konieczności szacowania kosztów rekomendowanych sposobów postępowania z ryzykiem i wyliczania potencjalny zysków/strat,
• wskazanie ogólnych obszarów ryzyka, na które konieczne jest zwrócenie uwagi,
• możliwość rozpatrywania i uwzględnienia przy szacowaniu takich aspektów, jak np. wizerunek firmy, kultura organizacyjna itp.
• możliwość zastosowania przy braku konkretnych informacji i danych ilościowych lub zasobów, które mogłyby być potrzebne przy meto-dach ilościowych.

Metoda ilościowa

W podejściu ilościowym przy szacowaniu ryzyka najważniejsze jest określenie dwóch podstawowych parametrów: wartości skutku i prawdopodobieństwa wystąpienia danego ryzyka. W ocenie ryzyka używa się metod przystosowanych do szacowania małych prawdopodobieństw – drzew zdarzeń i błędów. Zdarzenia rozkłada się na mniejsze części, które po wnikliwej analizie łączy się ponownie w celu zrozumienia całego zdarzenia oraz występujących zdarzeń składowych. Skutki mogą być określone przez ocenę wyników zdarzeń.
Konsekwencje mogą być wyrażone w różnych kategoriach (pieniężnie, technicznie, operacyjnie, zasoby ludzkie). Korzyści z użycia metod ilościowych:
• szacowanie i wyniki są obiektywne i przez to mogą być porównywalne,
• wartość informacji (dostępność, integralność, poufność) wyrażana jest w pieniądzu,
• wyniki szacowania ryzyka są określane w języku zarządu, mają swój wymiar finansowy i procentowy.

Metody mieszane
Zarówno metody ilościowe, jak i metody jakościowe mają swoje słabe strony: są zbyt ogólne, mogą niedokładnie identyfikować różne potrzeby w zakresie bezpieczeństwa informacji, nie dostarczają informacji na temat analizy kosztowej w zakresie wprowadzenia nowych zabezpieczeń. Z tego powodu większość organizacji wykorzystuje kombinację tych dwóch podejść.
Stosowane są analizy jakościowe oparte na metodach scenariuszowych do identyfikowania wszystkich obszarów ryzyka i skutków, przy równoczesnym użyciu ilościowej analizy do określenia kosztów skutków wystąpienia ryzyka.

W ostatnim wystąpieniu zostaną omówione zasady postępowania z ryzykiem i jego administrowaniem.

Zobacz również:

Analiza ryzyka – kilka uwag wstępnych – cz.1

Każde ryzyko ma swojego właściciela – analiza ryzyka cz. 3

Masz pytania dotyczące tematu artykułu? Skontaktuj się z autorem.

piotr-k

Piotr Kawczyński

Wykonanie Agencja Interaktywna Czarny Kod www.czarnykod.pl

Copyright by Lubasz i Wspólnicy

Używamy cookies i podobnych technologii. Uzyskujemy do nich dostęp w celach statystycznych i zapewnienia prawidłowego działania strony. Możesz określić w przeglądarce warunki przechowywania cookies i dostępu do nich. Więcej