Měření operačních rizik <br />29/5/2008<br />Praha<br />Jan Mikulecký, CISM<br />
Operační rizika<br />Měření operačních rizik<br />2<br />Banky a jiné finanční organizace:BASEL II<br />Rizika ztráty vypl...
Měření<br />Měření velikosti operačních rizik<br />Výsledek analýzy rizik<br />Míra rizika<br />Kvantifikace velikosti riz...
Výstupy z měření<br />Měření operačních rizik<br />4<br />
5<br />Měření operačních rizik<br />
Měření velikosti operačních rizik<br />Měření operačních rizik<br />6<br />
Měření úrovně zvládání operačních rizik<br />Měření operačních rizik<br />7<br />
Měření úrovně zvládání operačních rizik<br />Měřit zvládání rizik = měřit  bezpečnostní opatření<br />Měření operačních ri...
Velikost vs. zvládání<br />Měření operačních rizik<br />9<br />Konsolidace pohledu na rizika<br />Velikost rizika vs. počt...
Velikost vs. zvládání<br />Měření operačních rizik<br />10<br />
Metriky pro protiopatření<br />Měření operačních rizik<br />11<br />
Měření přínosů zvládání operačních rizik<br />Opatření rozdělena do skupin, oblastí, projektů…<br />Case study: Implementa...
Měření přínosů zvládání operačních rizik<br />Měření operačních rizik<br />13<br />
Měření operačních rizik<br />Měření velikosti rizik<br />Měření úrovně zvládánírizik<br />Měření přínosů bezpečnosti<br />...
15<br />Měření operačních rizik<br />Děkuji za pozornost27@rac.cz<br />
Upcoming SlideShare
Loading in …5
×

Jan Mikulecký: Měření operačních rizik (ISS 2008)

732 views

Published on

Published in: Technology
0 Comments
0 Likes
Statistics
Notes
  • Be the first to comment

  • Be the first to like this

No Downloads
Views
Total views
732
On SlideShare
0
From Embeds
0
Number of Embeds
5
Actions
Shares
0
Downloads
0
Comments
0
Likes
0
Embeds 0
No embeds

No notes for slide
  • Zde představuji měření dvou veličin týkajících se operačních rizik… velikost a úroveň zvládání. Dnes již dokážeme měřit i další parametry: přínosy bezpečnosti (viz konference ISACA IT Governance) a nebo efektivnost bezp. opatření – i když to je zatím spíše teoretická záležitostRád bych se soustředil na měření úrovně zvládání rizik, protože měření velikosti je založeno na analýze rizik a tím bych zde velmi nerad zdržoval. Měření přínosů bezpečnosti je taková třešnička na dortu, kterou představím na konci příspěvku. Měřit efektivnost protiopatření považuji zatím za ne zcela prozkoumanou problematiku, tak bych si dovolil ji nechat pro ISS v roce 2009-10 ;-)Soustřeďme se tedy na měření zvládání rizik… měřit zvládání rizika je prostředkem k tomu, abychom dokázali říci, jestli jsou naše systémy a informace dostatečně chráněné… jedna věc je, říci, že máme velké riziko nebo riziko míry 10, ale musíme také dodat, že riziko zvládáme, a do jaké míry… ze 100% nebo jen z 40%... Jaké vstupy, parametry nebo veličiny použijeme k tomu, abychom byli schopni objektivně říci: „Riziko máme pokryté z 80%“??? O tom je zejména tato přednáška… o tom, jak dojít ke konkrétním číslům, která vyjadřují úroveň zvládání rizik.
  • Co by mělo být UCHOPITELNÝM výstupem z měření operačních rizik – nebo bezpečnosti obecně???Grafy, tabulky, čísla, statistiky…
  • Jak jsem říkal na začátku… všechno je to o číslech… ale zatím zde nezazněla ta jedna zásadní otázka: „Proč potřebujeme ta čísla?“… proč potřebujeme všechny ty veličiny kvantifikovat…………..ANO, důvodem jsou peníze… když si jdeme koupit rohlík, tak nám prodavačka řekne: „dvě padesát“ a neřekne: „dejte mi trochu peněz“… když si jdete koupit novou A4My měříme, abychom získali čísla, kterou mohou být postavena zejména proti penězům!!!s
  • Abychom mohli měřit zvládání rizik, musíme vědět, jak jsou rizika veliká… tento graf ukazuje velikost, chcete-li míru různých bezpečnostních rizik… máme zde viry, krádeže a poškození, selhání komunikace atd.Nechme teď prosím doma svoje různé metodiky a nástroje pro hodnocení rizik a jistě se všichni shodneme, že míra rizika je složena z potenciálního dopadu a pravděpodobnosti. Tento obrázek je výstupem z analýzy rizik a ukazuje velikost rizika složenou z velikosti dopadu a dvou složek pravděpodobnosti – úrovně hrozeb a úrovně zranitelností. Věřím, že pro všechny z vás nic nového pod sluncem… Jen jsme tomu do této doby neříkali, že rizika měříme… takže můžeme prohlásit, že ten, kdo umí udělat analýzu rizik a umí rizika kvantifikovat, umí je také měřit… jednoduché, že? ;-)
  • Co už není tak jasné, je měření toho, jak rizika zvládáme… když jsme dělali tento projekt v bance, dostali jsme od našich partnerů v projektu jednoduchou otázku: „Jaká je úroveň naší bezpečnosti?“Co by měla být odpověď? Dobrá… dostatečná… vyhovující… nebo naopak nedostatečná… slabá…??? Je vůbec vhodné používat tato adjektiva, když se bavíme o úrovni bezpečnosti? …ale ano, proč ne, nicméně není lepší říci (když používáme termín úroveň: „Jsme se na 77% požadovaného stavu“… „Bankovní systémy jsou zabezpečeny pouze na 92%“… „Pokrýváme operační rizika z 85%“… jak můžeme získat tato čísla?
  • Pro každé riziko, které není akceptováno, musí být implementována bezpečnostní opatření… návrh opatření se provádí na základě velikosti rizika, jeho typu, způsobného následku a také podle typu hardwaru, softwaru... Uvažujeme kulturu firmy, organizační strukturu atd.Bezpečnostní opatření je možné rozdělit do svou skupin… ta, která již existují a ta, která bychom chtěli, aby byla zavedena v systému, organizaci apod.Samozřejmě, že podle různých metodik a standardů můžeme zvolit více stavů, ale důležité je, že bezpečnostní opatření pro zvládnutí rizik rozdělíme na dvě skupiny: ty co máme a ty co chceme mítCílem měření úrovně zvládání rizik je kvantifikace úrovně bezpečnosti skrze protiopatření… princip je velmi jednoduchý - pokud dokážeme spočítat, kolik opatření je v zelené množině ZAVEDENO a kolik je v červené množině CHCEME ZAVÉST, dokážeme měřit úroveň bezpečnosti.Tento graf ukazuje, jakým způsobem můžeme měřit úroveň zvládání rizik – vidíte zde znovu stejné hrozby jako v předchozím grafu, ale nyní z pohledu bezpečnostních opatřeníPokud je metodika pro hodnocení rizik dostatečně transparentní, měli bychom bez problémů získat počty protiopatření, které pokrývají konkrétní riziko (pokud jich pokrývá více, je započteno několikrát). A následně už je velmi jednoduché sestavit takovýto graf, který ukazuje, do jaké míry zvládáme konkrétní riziko.Úmyslně není uvedena škála a mohou to být např. procenta.
  • A teď zkusíme jednotlivá měření rizik konsolidovat… vytvoříme souhrnný pohled na velikost rizik a míru jejich pokrytí – zvládáníVelikost rizika změřit dokážeme… to je výstup z hodnocení rizikA pokud tedy dokážeme změřit bezpečností opatření
  • Vraťme se k prvnímu grafu… zde jsou změřená rizika… pokud je postavíme proti statistice protiopatření, co vidíme?Velikost rizika a úroveň jejich zvládání… toto je komplexní pohled na rizika, který musíme mít, pokud chceme říci, že rizika opravdu řídíme, pokud chceme navýšit budget atd.
  • Jan Mikulecký: Měření operačních rizik (ISS 2008)

    1. 1. Měření operačních rizik <br />29/5/2008<br />Praha<br />Jan Mikulecký, CISM<br />
    2. 2. Operační rizika<br />Měření operačních rizik<br />2<br />Banky a jiné finanční organizace:BASEL II<br />Rizika ztráty vyplývajícíz nedostatečně či chybněnastavených interních procesů, z chyb způsobených lidmi, systémy nebo externími vlivy<br />Ostatní organizace:PROVOZNÍ RIZIKA<br />Riziko spojené s informačnímisystémy, informacemi a daty<br />
    3. 3. Měření<br />Měření velikosti operačních rizik<br />Výsledek analýzy rizik<br />Míra rizika<br />Kvantifikace velikosti rizika<br />Měření úrovně zvládání operačních rizik<br />Výsledek zvládání rizik<br />Stav bezpečnosti z pohledu zvládaných a akceptovaných rizik<br />Kvantifikace pokrytí rizik a úrovně bezpečnosti v organizaci<br />Měření přínosů bezpečnosti<br />Zvýšení bezpečnosti<br />Měření efektivnosti bezpečnostních opatření<br />Měření operačních rizik<br />3<br />
    4. 4. Výstupy z měření<br />Měření operačních rizik<br />4<br />
    5. 5. 5<br />Měření operačních rizik<br />
    6. 6. Měření velikosti operačních rizik<br />Měření operačních rizik<br />6<br />
    7. 7. Měření úrovně zvládání operačních rizik<br />Měření operačních rizik<br />7<br />
    8. 8. Měření úrovně zvládání operačních rizik<br />Měřit zvládání rizik = měřit bezpečnostní opatření<br />Měření operačních rizik<br />8<br />
    9. 9. Velikost vs. zvládání<br />Měření operačních rizik<br />9<br />Konsolidace pohledu na rizika<br />Velikost rizika vs. počty zavedených a nezavedených opatření<br />Celkový pohled na rizika a úroveň jejich pokrytí<br />
    10. 10. Velikost vs. zvládání<br />Měření operačních rizik<br />10<br />
    11. 11. Metriky pro protiopatření<br />Měření operačních rizik<br />11<br />
    12. 12. Měření přínosů zvládání operačních rizik<br />Opatření rozdělena do skupin, oblastí, projektů…<br />Case study: Implementační projekty pro:<br />Log Management<br />Dvoufaktorová autentizace pro VPN<br />Poplachy IPS a IDS<br />Havarijní plány<br />Práce s médii<br />Měření přínosů = měření změny v opatřeních<br />Měření operačních rizik<br />12<br />
    13. 13. Měření přínosů zvládání operačních rizik<br />Měření operačních rizik<br />13<br />
    14. 14. Měření operačních rizik<br />Měření velikosti rizik<br />Měření úrovně zvládánírizik<br />Měření přínosů bezpečnosti<br />Měření operačních rizik<br />14<br />
    15. 15. 15<br />Měření operačních rizik<br />Děkuji za pozornost27@rac.cz<br />

    ×