Risc, probabilitate….gînduri amestecate….

După o discuţie pe marginea subiectului cu bunul meu prieten Coco, am spus că e bine să filosofez şi în public pe marginea subiectului acesta.

 

Nu voi începe cu teoria riscurilor de la Knight sau Rapaport.

Doresc doar a spune că folosirea unor templateuri, indiferent de cine este la originea acestora, fără a înţelege de fapt ce presupune managementul riscurilor, va fi doar o activitate ce aduce costuri suplimentare şi nici un fel de valoare adăugată pentru companie!

Deşi în literatura de specialitate se face de multe ori vorbire de “enterprise risk” eu unul nu prea sînt de acord. Motivul e cît se poate de simplu, pentru mine: riscurile aparţin oamenilor şi nu lucrurilor. Altfel spus: riscul este conştientizat de fiinţa umană şi nu de un obiect/lucru oarecare. Nu compania este expusă riscurilor ci oamenii ce o conduc se expun riscurilor.

Riscul este subiectiv. Riscul nu este altceva decît o cuantificare pe care încercăm să o facem la adresa incertitudinilor din viaţa noastră. Pentru a putea cuantifica cît mai corect riscurile avem nevoie de probabilităţi obiective, obţinute pe baza unor informaţii cît mai exacte. Mai mult, nu vom putea niciodată cuantifica decît riscurile pe care le percepem. Există o muţime de riscuri pe care nu le putem estima pentru simplul motiv că nu le-am conştientizat, încă.

În practică se pot întîlni două situaţii: cel care realizează estimarea riscurilor este din interiorul firmei sau este din exterior. Cînd este din interiorul firmei, va avea o anumită percepţie asupra riscurilor, obiectivitatea sa putînd fi afectată. Cînd este din exterior, percepţia sa poate fi cu totul alta.

 

Ajungem şi la metrici. Dar  dacă folosim un model sau altul şi în final metricii nu reflectă cu adevărat riscul, efortul este inutil.

În zona securităţii sistemelor informaţionale, standardele, manualele etc..spun cam aşa:

  • Riscul este probabilitatea ca ceva rău să se întîmple le nivelul sistemului şi acel “rău” afectează sub o formă sau alta sistemul
  • Vulnerabiliatatea este punctul slab din sistem ce poate fi exploatat/folosit pentru a cauza pierderi
  • Ameninţarea este orice lucru/acţiune ce are potenţial de a exploata o vulnerabilitate din sistem

Tot aici se face vorbire de impact. În cazul securităţii sistemelor informaţionale impactul trebuie analizat însă în relaţie cu C-I-A pentru că vulnerabilităţile există idependent de ameninţări! Un control poate diminua vulnerabilitatea, nu şi ameninţarea.

După cum spuneam, literatura  şi standardele prezintă cam acelaşi lucruri, cu mici variaţiuni:

Risk = threat * asset value * vulnerability severity

Risk = Threat x Vulnerability  x  Impact
            Countermeasures

Risk = Threat X vulnerability X cost.

Risk = Threat X vulnerability X cost X exposure_time

Total risk to an asset = Σ (risk from single attack)

Risk = Threat × Vulnerability × Consequence

Cum determin, practic, probabilitatea ca o vulnerabilitate să fie exploatată de o ameninţare?

În primul rînd trebuie să analizez sursa ameninţării. Pentru ameninţările naturale, probabilitatea este relativ constantă în timp, indiferent de ce voi face eu.

Altă categorie de ameninţări sînt cele ce au la origine omul. În acest caz ar trebui să cunosc existenţa, motivaţia şi capacitatea “ameninţării” de a deveni realitate. Şi în acest caz există probabilităţi constante, dar şi variabile.

În ambele cazuri este nevoie de date istorice (actuariale, cum li se spune mai corect) pentru a fundamenta în mod real o astfel de analiză.

 

În final cîteva exemple.

Cutremurul. Pentru această “ameninţare” probabilitatea va fi aceeaşi indiferent de ce controale se vor implementa.

Care este probabilitatea ca, în timp ce circul cu maşina Iaşi-Bucureşti să am parte de un accident auto? Ar trebui să mă interesez la Poliţie şi să aflu numărul şi cauza accidentelor (ameninţările) de circulaţie, pe tronsoane, din ultimii ani…..

Divulgarea de informaţii “confidenţiale”? Vulnerabilitatea există, dar un NDA poate reduce probabilitatea, nu şi ameninţarea…..

2 gânduri despre “Risc, probabilitate….gînduri amestecate….

  1. Ah… finaly, m-am prins!!! Am avut cosmaruri cu probabilitatea asta!!. Super exemplu cu mitigarea probabilitatii cu NDA. Si la exemplu al cu nr de acidente, daca merg mai incet decat media? Zic ca merge.
    Ala cu risk-ul = rau, exista mai nou o atitudine de a declara ca si ca risk pozitiv, faptul ca ceva pozitiv sa poate intampla. Am inteles de ex in proiecte ca ceva pozitiv, are sens daca de ex se intampla mai devreme, sau calitate etc etc. Am incercat sa inteleg cam cum s-ar traduce asta in materie de securitate cam cum ar suna asta? Exista o sansa ca intradevar managementul sa se comita pentru securitate?? LoL

    Apreciază

  2. Pingback: SharePoint Fundation instrument pentru ISO 27001 (ep.1) « Valy Greavu's Live Blog

Mulţumesc.

Completează mai jos detaliile despre tine sau dă clic pe un icon pentru autentificare:

Logo WordPress.com

Comentezi folosind contul tău WordPress.com. Dezautentificare / Schimbă )

Poză Twitter

Comentezi folosind contul tău Twitter. Dezautentificare / Schimbă )

Fotografie Facebook

Comentezi folosind contul tău Facebook. Dezautentificare / Schimbă )

Fotografie Google+

Comentezi folosind contul tău Google+. Dezautentificare / Schimbă )

Conectare la %s