Vállalati kockázatelemzési módszerek – előnyök és hátrányok

[sajtóközlemény] A cégek (szervezetek, vállalatok) üzleti és működési folyamatait elengedhetetlenül befolyásolja az informatikai háttér, hiszen szinte minden terület tevékenysége, azok eredménye számítógépre kerül. Nem mindegy, hogy az adatok tárolásának és esetleges elvesztésének, a folyamatos működésnek milyen a biztonsági foka illetve kockázata. Ezek a tények a kockázatelemzés felértékelődését és a minél pontosabb mérést lehetővé tevő kockázatelemzési módszertanok szükségességét és elterjedését eredményezték a vállalati döntések előkészítésében.

Egy döntéshozó számára létkérdés, hogy tisztában legyen a cég működését és üzleti folyamatait fenyegető általános és – ezen belül – az informatikai kockázatokkal, úgymint: az adatvesztések, vírustámadások, internetes betörések, műszaki meghibásodások veszélyével vagy az alkalmazottak, versenytársak esetleges felelőtlenségével, rosszindulatával. A döntéshozó a minél pontosabb információk ismeretében tud hatásukkal, bekövetkezésük valószínűségével számolni és kialakítani a megfelelő védelmi stratégiát, valamint meghatározni és fontosságuk szerint rangsorolni a védelmi intézkedéseket.

A versenyképesség megőrzéséért vagy fokozásáért folytatott küzdelemben ezért igen nagy jelentőségű a minél pontosabb eredményeket szolgáltató kockázatelemzés alkalmazása. Ma – első közelítésben – két módszertan ismeretes: a kvalitatív (minőségi) és a kvantitatív (mennyiségi) kockázatelemzés.

Előbbi egyszerűbb és gyorsabban megvalósítható, de sokkal durvább mérést tesz csak lehetővé. Nem számszerűsít, hanem kockázati és súlyossági szinteket állapít meg. A másik a kvantitatív, vagyis mennyiségi módszertan, amely számszerűsített kockázatelemzést jelent. Ez sokkal finomabb felbontású, komoly matematikai, statisztikai háttérrel bír, így pontosabb információkat szolgáltat, és jóval megalapozottabb döntések meghozatalát teszi lehetővé.

Bár Magyarországon még a kvalitatív informatikai kockázatelemzés az elterjedtebb, a hazai nagyvállalatoknál és intézményeknél végzett informatikai biztonsági projektek során a KÜRT Rt. a nyugat-európai és észak-amerikai tendenciát követve a kvantitatív kockázatelemzési módszertant alkalmazza (referenciáik: Generali-Providencia, Magyar Posta, Magyar Villamos Művek, Audi Hungária Motor, Pénzjegynyomda, Commerzbank, OMV Magyarország, Főpolgármesteri Hivatal stb.). Az elemzésen túl a módszer kiegészül a kockázatkezeléssel is, amelyek együttes használata a KÜRT Rt. saját fejlesztésű megoldás-csomagjában, az Informatikai Biztonsági Technológiában (IBiT) valósul meg számos más informatikai biztonsági szolgáltatással együtt.

A szakértő cégek a nyugat-európai trendek szerint mindkét módszertant alkalmazzák, de többnyire egyetlen folyamatként kezelik a kockázatelemzést, és annak mélységétől – az idő- és erőforrásbeli ráfordítástól – függ a végeredmény. A kezdeti szakaszban történik az egyszerűbb, közelítő eredményeket szolgáltató, kvalitatív elemzés, míg a további, számszerűsített végeredményt adó, mélyebb kockázatelemzés erre épül. Napjainkban egyre inkább uralkodóvá válik a mélyebb, alaposabb és számszerűsített eredményeket adó elemzések alkalmazása.