SlideShare une entreprise Scribd logo
1  sur  15
Měření operačních rizik ,[object Object],29/5/2008,[object Object],Praha,[object Object],Jan Mikulecký, CISM,[object Object]
Operační rizika,[object Object],Měření operačních rizik,[object Object],2,[object Object],Banky a jiné finanční organizace:BASEL II,[object Object],Rizika ztráty vyplývajícíz nedostatečně či chybněnastavených interních procesů, z chyb způsobených lidmi, systémy nebo externími vlivy,[object Object],Ostatní organizace:PROVOZNÍ RIZIKA,[object Object],Riziko spojené s informačnímisystémy, informacemi a daty,[object Object]
Měření,[object Object],Měření velikosti operačních rizik,[object Object],Výsledek analýzy rizik,[object Object],Míra rizika,[object Object],Kvantifikace velikosti rizika,[object Object],Měření úrovně zvládání operačních rizik,[object Object],Výsledek zvládání rizik,[object Object],Stav bezpečnosti z pohledu zvládaných a akceptovaných rizik,[object Object],Kvantifikace pokrytí rizik a úrovně bezpečnosti v organizaci,[object Object],Měření přínosů bezpečnosti,[object Object],Zvýšení bezpečnosti,[object Object],Měření efektivnosti bezpečnostních opatření,[object Object],Měření operačních rizik,[object Object],3,[object Object]
Výstupy z měření,[object Object],Měření operačních rizik,[object Object],4,[object Object]
5,[object Object],Měření operačních rizik,[object Object]
Měření velikosti operačních rizik,[object Object],Měření operačních rizik,[object Object],6,[object Object]
Měření úrovně zvládání operačních rizik,[object Object],Měření operačních rizik,[object Object],7,[object Object]
Měření úrovně zvládání operačních rizik,[object Object],Měřit zvládání rizik = měřit  bezpečnostní opatření,[object Object],Měření operačních rizik,[object Object],8,[object Object]
Velikost vs. zvládání,[object Object],Měření operačních rizik,[object Object],9,[object Object],Konsolidace pohledu na rizika,[object Object],Velikost rizika vs. počty zavedených a nezavedených opatření,[object Object],Celkový pohled na rizika a úroveň jejich pokrytí,[object Object]
Velikost vs. zvládání,[object Object],Měření operačních rizik,[object Object],10,[object Object]
Metriky pro protiopatření,[object Object],Měření operačních rizik,[object Object],11,[object Object]
Měření přínosů zvládání operačních rizik,[object Object],Opatření rozdělena do skupin, oblastí, projektů…,[object Object],Case study: Implementační projekty pro:,[object Object],Log Management,[object Object],Dvoufaktorová autentizace pro VPN,[object Object],Poplachy IPS a IDS,[object Object],Havarijní plány,[object Object],Práce s médii,[object Object],Měření přínosů = měření změny v opatřeních,[object Object],Měření operačních rizik,[object Object],12,[object Object]
Měření přínosů zvládání operačních rizik,[object Object],Měření operačních rizik,[object Object],13,[object Object]
Měření operačních rizik,[object Object],Měření velikosti rizik,[object Object],Měření úrovně zvládánírizik,[object Object],Měření přínosů bezpečnosti,[object Object],Měření operačních rizik,[object Object],14,[object Object]
15,[object Object],Měření operačních rizik,[object Object],Děkuji za pozornost27@rac.cz,[object Object]

Contenu connexe

Jan Mikulecký: Měření operačních rizik (ISS 2008)

  • 1.
  • 2.
  • 3.
  • 4.
  • 5.
  • 6.
  • 7.
  • 8.
  • 9.
  • 10.
  • 11.
  • 12.
  • 13.
  • 14.
  • 15.

Notes de l'éditeur

  1. Zde představuji měření dvou veličin týkajících se operačních rizik… velikost a úroveň zvládání. Dnes již dokážeme měřit i další parametry: přínosy bezpečnosti (viz konference ISACA IT Governance) a nebo efektivnost bezp. opatření – i když to je zatím spíše teoretická záležitostRád bych se soustředil na měření úrovně zvládání rizik, protože měření velikosti je založeno na analýze rizik a tím bych zde velmi nerad zdržoval. Měření přínosů bezpečnosti je taková třešnička na dortu, kterou představím na konci příspěvku. Měřit efektivnost protiopatření považuji zatím za ne zcela prozkoumanou problematiku, tak bych si dovolil ji nechat pro ISS v roce 2009-10 ;-)Soustřeďme se tedy na měření zvládání rizik… měřit zvládání rizika je prostředkem k tomu, abychom dokázali říci, jestli jsou naše systémy a informace dostatečně chráněné… jedna věc je, říci, že máme velké riziko nebo riziko míry 10, ale musíme také dodat, že riziko zvládáme, a do jaké míry… ze 100% nebo jen z 40%... Jaké vstupy, parametry nebo veličiny použijeme k tomu, abychom byli schopni objektivně říci: „Riziko máme pokryté z 80%“??? O tom je zejména tato přednáška… o tom, jak dojít ke konkrétním číslům, která vyjadřují úroveň zvládání rizik.
  2. Co by mělo být UCHOPITELNÝM výstupem z měření operačních rizik – nebo bezpečnosti obecně???Grafy, tabulky, čísla, statistiky…
  3. Jak jsem říkal na začátku… všechno je to o číslech… ale zatím zde nezazněla ta jedna zásadní otázka: „Proč potřebujeme ta čísla?“… proč potřebujeme všechny ty veličiny kvantifikovat…………..ANO, důvodem jsou peníze… když si jdeme koupit rohlík, tak nám prodavačka řekne: „dvě padesát“ a neřekne: „dejte mi trochu peněz“… když si jdete koupit novou A4My měříme, abychom získali čísla, kterou mohou být postavena zejména proti penězům!!!s
  4. Abychom mohli měřit zvládání rizik, musíme vědět, jak jsou rizika veliká… tento graf ukazuje velikost, chcete-li míru různých bezpečnostních rizik… máme zde viry, krádeže a poškození, selhání komunikace atd.Nechme teď prosím doma svoje různé metodiky a nástroje pro hodnocení rizik a jistě se všichni shodneme, že míra rizika je složena z potenciálního dopadu a pravděpodobnosti. Tento obrázek je výstupem z analýzy rizik a ukazuje velikost rizika složenou z velikosti dopadu a dvou složek pravděpodobnosti – úrovně hrozeb a úrovně zranitelností. Věřím, že pro všechny z vás nic nového pod sluncem… Jen jsme tomu do této doby neříkali, že rizika měříme… takže můžeme prohlásit, že ten, kdo umí udělat analýzu rizik a umí rizika kvantifikovat, umí je také měřit… jednoduché, že? ;-)
  5. Co už není tak jasné, je měření toho, jak rizika zvládáme… když jsme dělali tento projekt v bance, dostali jsme od našich partnerů v projektu jednoduchou otázku: „Jaká je úroveň naší bezpečnosti?“Co by měla být odpověď? Dobrá… dostatečná… vyhovující… nebo naopak nedostatečná… slabá…??? Je vůbec vhodné používat tato adjektiva, když se bavíme o úrovni bezpečnosti? …ale ano, proč ne, nicméně není lepší říci (když používáme termín úroveň: „Jsme se na 77% požadovaného stavu“… „Bankovní systémy jsou zabezpečeny pouze na 92%“… „Pokrýváme operační rizika z 85%“… jak můžeme získat tato čísla?
  6. Pro každé riziko, které není akceptováno, musí být implementována bezpečnostní opatření… návrh opatření se provádí na základě velikosti rizika, jeho typu, způsobného následku a také podle typu hardwaru, softwaru... Uvažujeme kulturu firmy, organizační strukturu atd.Bezpečnostní opatření je možné rozdělit do svou skupin… ta, která již existují a ta, která bychom chtěli, aby byla zavedena v systému, organizaci apod.Samozřejmě, že podle různých metodik a standardů můžeme zvolit více stavů, ale důležité je, že bezpečnostní opatření pro zvládnutí rizik rozdělíme na dvě skupiny: ty co máme a ty co chceme mítCílem měření úrovně zvládání rizik je kvantifikace úrovně bezpečnosti skrze protiopatření… princip je velmi jednoduchý - pokud dokážeme spočítat, kolik opatření je v zelené množině ZAVEDENO a kolik je v červené množině CHCEME ZAVÉST, dokážeme měřit úroveň bezpečnosti.Tento graf ukazuje, jakým způsobem můžeme měřit úroveň zvládání rizik – vidíte zde znovu stejné hrozby jako v předchozím grafu, ale nyní z pohledu bezpečnostních opatřeníPokud je metodika pro hodnocení rizik dostatečně transparentní, měli bychom bez problémů získat počty protiopatření, které pokrývají konkrétní riziko (pokud jich pokrývá více, je započteno několikrát). A následně už je velmi jednoduché sestavit takovýto graf, který ukazuje, do jaké míry zvládáme konkrétní riziko.Úmyslně není uvedena škála a mohou to být např. procenta.
  7. A teď zkusíme jednotlivá měření rizik konsolidovat… vytvoříme souhrnný pohled na velikost rizik a míru jejich pokrytí – zvládáníVelikost rizika změřit dokážeme… to je výstup z hodnocení rizikA pokud tedy dokážeme změřit bezpečností opatření
  8. Vraťme se k prvnímu grafu… zde jsou změřená rizika… pokud je postavíme proti statistice protiopatření, co vidíme?Velikost rizika a úroveň jejich zvládání… toto je komplexní pohled na rizika, který musíme mít, pokud chceme říci, že rizika opravdu řídíme, pokud chceme navýšit budget atd.