6. KOCKÁZATELEMZÉS Az információ biztonsága a rendszerek alapvető problémájává vált az utóbbi években. Az információs rendszer nem egy kiegészítő, regisztrációs jellegű tevékenység, hanem a termelő folyamat része, így fontosságát is ennek megfelelően kell meghatározni. Felmérések szerint ( Pl.: C:cure-1999, Business Information Security Survey-1998) a vállalatok 40%-a jelzett jelentős biztonsági problémát. A bejelentők fele saját értékelése szerint is megelőzhette volna a problémát.2007-re a cégek 60-a jelzett problémát. Ma gyakorlatilag minden jelentős vállalat számíthat ellene irányuló támadásokra. Az elemzés szempontjából célszerű megkülönböztetnünk a veszélyt és a kockázatot. Veszély: adott valószínűséggel bekövetkező és meghatározott veszteséget eredményező esemény. Kockázat: Bizonyos veszélyeket tudatosan vállaló, másokat pedig kiküszöbölő magatartás. Általánosságban kockázatnak tekintünk bármely olyan tényezőt, amelynek kimenetele bizonytalan és valamilyen értelemben, mértékben veszélyezteti a feladat végrehajtásának sikerét. Minden kockázat jelenlegi vagy jövőbeni események hatásával, bekövetkezésével kapcsolatos. A kockázatkezelés a feladat végrehajtásával párhuzamosan, egyidejűleg történik, a végrehajtásban résztvevők különböző szintjein, de a feladattól elválaszthatatlanul, a végrehajtás szerves részeként. A kockázat nem azonos a problémával vagy rosszabb esetben a válsággal. A kockázatok okai a tervezés fázisában jórészt felismerhetők, és hatásaik becsülhetők. Természetesen nem vehetünk számba minden lehetőséget, de törekednünk kell a teljességre. A kockázatok minőségileg is és mennyiségileg is jellemezhetőek. A kockázat problémává válását, azaz a kockázati esemény bekövetkezését, vagy lehet jelezni, vagy nem. Kockázatkezelési részfolyamatok: A kockázatkezelés elveit általánosan tekintjük át, a példáknál elsősorban számítógépes rendszerekre szűkítjük a tárgyalást. Célszerű különválasztani a rendszer létrehozásának és üzemeltetésének kockázati elemzését.
6.1 Kockázatelemzés lépései: a kockázati tényezők felismerése, egymásra és a folyamat kimenetelére vonatkozó hatások becslése, a hatás kiértékelése. 6.2 Kockázatkezelés módszere: a kezelési eljárások megtervezése, az ehhez szükséges erőforrások biztosítása, a kezelési terv végrehajtása, a végrehajtás eredményességének nyomon követése.
6.2.1 A kockázat keletkezésének forrása szerint: Gazdasági: erőforrások (pénzügyi és egyéb erőforrások kockázata), piaci feltételek. Politikai / jogi: szociálpolitikai, törvényi szabályozás kockázata. Ergonómiai: földrajzi, környezeti feltételek, dolgozók munkafeltételei változás kock. Technológiai adottságok / kötöttségek, elérhető lehetőségek. Infrastrukturális: kommunikációs adottságok, ellátási feltételek / lehetőségek. Szociális: megfelelés az értékrendnek, ellenállás a változásoknak. Szervezeti: döntési hierarchia, személyzeti politika, szervezeti kultúra. 6.2.2 Kockázat keletkezésének jellege szerint: Külső kockázatok: amik a projekt szempontjából nem befolyásolhatók. Belső kockázatok: a (projekt) végrehajtás során a végrehajtótól függenek. 6.3 Szereplők értékelése: Szereplők: A program/projekt végrehajtásához több szereplő, érdekelt fél kapcsolódik. Érdekelt félnek nevezzük azokat az embereket, akik projekt valami módon érint, és viselkedésüket valamilyen cél irányítja. Az emberi szereplők két irányból vesznek részt a kockázati folyamatokban: 1. A kockázatok előidézőjeként résztvevő szereplők. 2. A kockázatok kezelőjeként fellépő szereplők.
6.4 A kockázatok értékelési ismérvei: kik az érdekelt felek, az érdekelt felek belső vagy külső szereplők-e, az érdekelt fél mit nyerhet/veszíthet, melyek az érdekelt fél erős/gyenge pontjai, befolyásolásának lehetőségei, az érdekelt fél stratégiai célja a projekt segítése -e vagy annak akadályozása. Külső szereplők : fővállalkozó, alvállalkozó, versenytárs, beszállító, közvélemény, kormányhivatal hozzáállása Belső szereplők: felső vezetőség, programigazgató, leendő felhasználó hozzáállása. 6.5 Kockázatkezelési folyamat módszeressé tétele: A kockázat kezelési folyamat ( elemzés, kezelés) során állandóan végezni kell.: 6.5.1. ELEMZÉS: A kockázatok felismerése: Megfelelő környezet biztosítása az elemzéshez. (Amennyiben a résztvevők hajlandóak a problémákat a felszínre hozni. Anonim kérdőív.) Széleskörű információ gyűjtés. (Minél szélesebb körben.) Osztályozás. (A kockázatokat kiváltó okaik szerint.) A kockázatok becslése: Jellemzők nagyvonalú becslése : a becslésben résztvevők egyetértése szükséges a becslés módszerének elfogadásában. Pontosítás, számszerűsítés : a becslés pontos adatokat és sajátos matematikai módszereket igényel. Fontossági sorrendbe állítás : a becslés eredményeként, a kockázatok között kialakult fontossági sorrend.
A kockázat értékelése: Küszöbérték meghatározása : minden kockázatoz tartozik egy elfogadhatósági érték, egy küszöb, amely értékig a projekt megvalósítható, és amely érték felett csak rendkívüli intézkedés mellett valósítható meg a projekt. A küszöböt minden kockázati típusra meg kell határozni külön-külön. Egyedi érték és a kockázati küszöb viszonya: valamennyi kockázati tényező egyedi értékét össze kell hasonlítani a küszöb értékkel. Ha a kockázat egyedi értéke a küszöb fölött van, akkor sürgős intézkedésekre (az intézkedések végrehajtáshoz pedig akciótervre) van szükség. Kategorizálás a küszöbhöz való viszony alapján: Elkerülhetetlen: a kockázat kezelhetősége érekében változtatni kell a projekt célkitűzésein. Kezelhető, de csak bizonyos határon belül: bizonyos költségvetési, ütemezési intézkedések megtételével válik kezelhetővé a kockázat. Kezelhető: A projekt alapvető céljait ugyan nem befolyásolja, ha az intézkedéseket végrehajtják. Kockázatok végső sorrendje, javasolt kezelési eljárások: a sorrend és a kezelési eljárások meghatározásához fontos, hogy a kockázat bekövetkezésének valószínűségét és a várható hatását körültekintően és dokumentáltan kell végre hajtani, hogy elegendő információ álljon a "kezelés" rendelkezésére.
6.5.2. Előzetes kockázatkezelési terv: Az eljárási lánc részei: A kockázat okának elhárítása (megelőzése). A létező kockázat bekövetkezési valószínűségének csökkentése (megelőzése). A kockázat azonnali, közvetlen hatásainak csökkentése (megelőzés, hatás csökkentés). A kockázat későbbi, üzleti hatásainak csökkentése (megelőzés, hatáscsökkentés). A kockázat átadása más szervezetnek (például biztosítás formájában). További információk gyűjtése új vizsgálatok érdekében. A kockázat elfogadása.
A kockázatkezelés alternatív eljárásai: 6.5.3. A kockázat felismerése workshop (csoportos kiértékelési mechanizmus) Lépései: -Csoportok kiválasztása az értékelendő területet jól ismerő szakértőkből. -A becslés elvégzése.
Az esemény bekövetkezési valószínűségének és várható hatásának értékelése: Események beírása a táblázatba: 1. Az "M-M" kockába eső kockázati események kezelése rendkívül fontos ezért a kockázat kezelésére feltétlenül intézkedési tervet kell kidolgozni. 2. A K-M, K-K, M-K rubrikákban szereplő eseményeket általában gazdaságossági alapon kell megítélni. (Érdemes-e vele foglalkozni?) 3. A fennmaradt terület érdemes egyedileg elbírálni. A nem valószínű, de nagyon magas súlyosságú kategória is figyelmet érdemel. A kevéssé valószínű eseményeket nehéz számszerűsíteni, és a vezetés hajlamos arra, hogy ezekkel ne számoljon. Elképzelhető, hogy az esemény annyira fontos, hogy roppant alacsony valószínűség mellet is foglalkozunk vele. ( Vízi erőmű gátszakadása, reaktor robbanás, stb. ) Sokszor a második ("Közepesen súlyos") oszlopot ketté bontják, így négy oszlopos lesz a táblázat. A magyar ajánlás 6-6 kategóriát ír elő mindkét irányban (sor-oszlop). A hat kategória nem mindig sorolható be egyértelműen, de a lényeges tennivalók így is egyértelműen meghatározhatók.
Néhány példa: - Egy diszk hiba adatvesztéssel jár, és az okozott gazdasági kár óriási lehet (elveszítjük pl.: a megrendelések adatállományt ). Az eseményt az M-M csoportba soroljuk és intézkedéseket hozunk: Tükördiszkes rendszert használunk = csökkentjük a hiba valószínűségét. Rendszeresen mentünk = csökkentjük a bekövetkezett hiba okozta kárt. Ha az üzemkiesés, míg helyreállítjuk a rendszert, súlyos veszteségeket okoz, akkor további intézkedéseket kell hoznunk. - Egy monitor tönkremenetele általában nem súlyos hiba, és nem is túlságosan gyakori. Besorolhatjuk a közepesen gyakori, nem súlyos eseményekhez, amihez nem feltétlenül kell intézkedést hozzárendelnünk. Gazdasági megfontolásokból, hogy ne legyen munkaidő veszteség, közös tartalékot biztosítunk több munkahelyhez. Ha ugyanez a hiba egy repülőgép műszereit helyettesítő kijelzőn fordul elő, akkor az eseményt súlyosnak kell minősíteni, ami intézkedést követel. (Azonos értékű második munkahely kialakítása, nagy megbízhatóságú elemek beépítése.) A munkabiztonsági kockázatértékelésben 5 kategóriát szoktak használni az esemény bekövetkezési gyakoriságának meghatározásakor: - gyakran történik többször egy évben -megtörtént néhány évenként megtörténik -megtörténhet többször 1000 éven belül (100évenként) -valószínütlen néhány ezer évente -nagyon valószínütlen egymillió évente néhányszor A súlyosságot az emberi egészség károsodása és halálos sérülések száma alapján osztályozzák. -8 napon belül gyógyuló -8 napon túl gyógyuló -maradandó károsodást okozó -halált okozó -tömeges sérülést és halált okozó események (katasztrófák) A valós értékeléseknél meg kell találnunk az eseményekre leginkább jellemző paramétert. (A kár kategorizálhaztó pl. pénzben is.)