W dzisiejszym dynamicznym świecie, gdzie technologia przenika każdy aspekt naszego życia, bezpieczeństwo stało się kwestią priorytetową. W tym kontekście kluczowe jest zrozumienie zależności między ryzykiem, zagrożeniami, podatnościami, aktywami i zabezpieczeniami. Terminy te są ze sobą nierozerwalnie powiązane i stanowią fundament skutecznego zarządzania bezpieczeństwem. W niniejszym artykule zostanie przeanalizowane, jak te elementy współdziałają, wpływając na nasze codzienne życie i funkcjonowanie organizacji. Zrozumienie tych zależności jest kluczowe dla podejmowania świadomych decyzji dotyczących bezpieczeństwa, zarówno w życiu prywatnym, jak i zawodowym.
Skuteczne zarządzanie bezpieczeństwem
Skuteczne zarządzanie bezpieczeństwem polega na ciągłym monitorowaniu i analizowaniu ryzyka, identyfikowaniu zagrożeń i podatności, wdrażaniu odpowiednich zabezpieczeń i reagowaniu na incydenty bezpieczeństwa, w celu minimalizowania potencjalnych strat. Jest to proces, który wymaga ciągłego doskonalenia i dostosowywania do zmieniającego się krajobrazu zagrożeń. Czym zatem są te pojęcia? Jaka jest ich definicja?
Czym są aktywa, zagrożenia, podatności, zabezpieczenia i ryzyko?
- Aktywa to wszystko, co ma wartość dla Ciebie lub organizacji i wymaga ochrony. Mogą to być zatem budynki, urządzenia, dane, ludzie czy reputacja.
- Zagrożenia to potencjalne źródła szkód, które mogą wykorzystać podatności, aby wyrządzić szkodę aktywom. Zagrożenia mogą być naturalne (np. powódź, pożar, huragan), techniczne (np. awarie, usterki systemów) czy wynikające z działań człowieka (np. błąd ludzki, atak terrorystyczny, włamanie, napad rabunkowy).
- Podatności to słabe punkty, luki w systemie bezpieczeństwa, które mogą zostać wykorzystane przez zagrożenia. Do tej grupy można zaliczyć np. niedociągnięcia organizacyjne, niewłaściwe procedury, brak świadomości pracowników, błędy w oprogramowaniu, brak odpowiednich zabezpieczeń.
- Zabezpieczenia to środki, które mają na celu minimalizację ryzyka poprzez redukcję prawdopodobieństwa wystąpienia zagrożenia lub ograniczenie potencjalnych skutków jego działania. Zabezpieczenia mogą być techniczne (np. firewalle, antywirusy), organizacyjne (np. procedury bezpieczeństwa, szkolenia dla pracowników, testy) lub fizyczne (np. ochrona fizyczna, blokady i zapory antyterrorystyczne, monitoring).
- Ryzyko to prawdopodobieństwo wystąpienia zagrożenia i potencjalne skutki jego działania na aktywa. Ryzyko jest wypadkową powyżej zdefiniowanych terminów. Im większa wartość aktywów, im większe prawdopodobieństwo wystąpienia zagrożenia, im więcej podatności i mniej zabezpieczeń, tym większe ryzyko.
Zależności pomiędzy tymi elementami można przedstawić w następujący sposób:
W celu zrozumienia tych zależności posłużmy się przykładami z naszego życia:
Przykład 1: Ryzyko kradzieży samochodu
Wyobraźmy sobie rodzinę mieszkającą na obrzeżach dużego miasta, która codziennie korzysta z auta w celu dojazdu do pracy, na zakupy, zajęcia szkolne, do wykonywania zadań służbowych itp.
- Aktywem będzie w tym wypadku samochód znajdujący się w pierwszej trójce najczęściej kupowanych aut, którego ewentualna utrata sparaliżuje życie rodziny. Właściciel wykupił podstawową polisę OC
- Zagrożeniem z kolei będzie włamanie się do auta przez złodzieja w celu jego kradzieży. Podatnością będzie jedynie fabryczny system alarmowy bez dodatkowych zabezpieczeń. Dodatkowo system ten w ostatnim czasie stwarzał problemy, ale właściciel auta nie podjął działań naprawczych
- Ryzyko – a więc prawdopodobieństwo wystąpienia kradzieży – jest wysokie, a potencjalne skutki są dla tej rodziny nie do zaakceptowania.
- Zabezpieczeniem, czyli elementem zmniejszającym ryzyko, byłaby naprawa systemu alarmowego i zamontowanie dodatkowego zabezpieczenia oraz wykupienie polisy AC, która przenosi ryzyko na ubezpieczyciela
Przykład 2: Bezpieczeństwo danych w sklepie internetowym
Przyjmijmy, że prowadzimy sklep internetowy, jeden z nielicznych oferujących unikalne produkty, którego marka jest znana i doceniana przez klientów.
- Za aktywa uznamy tutaj bazę danych osobowych naszych klientów oraz nienaganną reputację i pozycję rynkową
- Zagrożeniem będzie atak hakerski i w jego konsekwencji przejęcie danych
- Za podatność przyjmujemy w tym wypadku lukę w oprogramowaniu i słabe hasło administratora. Prawdopodobieństwo wystąpienia ataku hakerskiego jest wysokie, zaś skutki dla przedsiębiorcy bardzo poważne, tj. utrata bazy danych, utrata reputacji oraz pozycji rynkowej na rzecz konkurencji, co wiąże się ze stratami finansowymi
- Za zabezpieczenie w tym wypadku należy uznać wymuszenie silnego hasło i jego regularną zmianę, a także regularne aktualizacje oprogramowania systemowego, szyfrowanie danych, czy weryfikacje narzędzi zabezpieczających
Z zaprezentowanego wykresu i przedstawionych przykładów wynika, iż wszelkiego rodzaju zagrożenia wykorzystują podatności w celu wyrządzenia szkody aktywom. Prawdopodobieństwo wystąpienia zdarzenia i jego potencjalne skutki stanowią ryzyko, którego obniżenie może nastąpić poprzez zastosowanie właściwych zabezpieczeń chroniących przez zagrożeniami.
Czy może istnieć ryzyko bez zagrożenia?
Oczywiście, że nie może. Wynika to bowiem z analizy samych definicji tych pojęć. Jeżeli nie ma zagrożenia, to nie może powstać szkoda, a to z kolei wyklucza istnienie ryzyka. Ryzyko jest zawsze konsekwencją występowania zagrożenia. Pamiętajmy również o jednej istotnej sprawie. Jeżeli zidentyfikowaliśmy już występowanie określonego ryzyka, to nie da się go całkowicie usunąć. Wszelkie podejmowane przez nas działania mogą jedynie zmierzać do zmniejszenia prawdopodobieństwa jego wystąpienia i ograniczenia jego potencjalnych skutków. Niezależnie od skuteczności podjętych metod, np. unikanie ryzyka, ograniczenie ryzyka, przeniesienia ryzyka, akceptacja ryzyka, zawsze pozostanie ryzyko szczątkowe.
Podsumowanie
Zrozumienie zależności między ryzykiem, zagrożeniami, podatnościami, aktywami i zabezpieczeniami jest kluczowe dla skutecznego zarządzania bezpieczeństwem. Osoby fizyczne, przedsiębiorcy i korporacje powinny regularnie przeprowadzać analizę ryzyka, identyfikować i klasyfikować aktywa, monitorować zagrożenia i podatności oraz wdrażać odpowiednie zabezpieczenia w celu minimalizacji ryzyka i ochrony swoich cennych zasobów.
Bibliografia
- „BCM-Zarządzanie Ciągłością Działania” materiał szkoleniowy ISecMan z 2013 r.
- „Praktyczne aspekty wdrażania SZBI ISO/IEC 27001:2005” materiał szkoleniowy BSI MST z 2010 r.
- „Bezpieczeństwo informacji – wprowadzenie” NSC 800-12 wer. 1.0 z 2023 r.
- https://www.cert.pl/
- https://www.nask.pl/
- https://www.enisa.europa.eu/
- https://www.gov.pl/
- https://www.pkn.pl/
Świetny artykuł! Bardzo dobrze wyjaśnia, jak wszystko w bezpieczeństwie IT jest ze sobą powiązane – ryzyko, podatności, zagrożenia… W końcu to nie tylko technologia, ale i podejście do zarządzania! Podoba mi się, że tekst jest konkretny i łatwy do zrozumienia, nawet dla osób, które dopiero wchodzą w ten temat. Na pewno warto go przeczytać! ????????