Wat is een beveiligingsrisicoanalyse? - dummies

Risico analyse (of behandeling <) is een methodisch onderzoek dat alle elementen van risicobeheer (identificatie, analyse en controle) bij elkaar brengt en van cruciaal belang is voor een organisatie voor het ontwikkelen van een effectieve strategie voor risicobeheer. Risicoanalyse omvat de volgende vier stappen:

Identificeer de te beschermen activa, inclusief hun relatieve waarde, gevoeligheid of belang voor de organisatie.

1. Dit onderdeel van risico-identificatie is asset-waardering.

   Definieer specifieke bedreigingen, inclusief dreigingsfrequentie en impactgegevens.

2. Dit onderdeel van risico-identificatie is een dreigingsanalyse.

   Berekening van de jaarlijkse verliesverwachting (ALE).

3. De ALE-berekening is een fundamenteel concept voor risicoanalyse.

   Selecteer de juiste voorzorgsmaatregelen.

4. Dit proces is een onderdeel van zowel risico-identificatie (beoordeling van de kwetsbaarheid) als risicobeheersing.

De

Annualized Loss Expectancy (ALE) biedt een standaard, meetbare maatstaf voor de impact die een gerealiseerde dreiging heeft op de activa van een organisatie. Omdat het het geschatte jaarlijkse verlies is voor een bedreiging of gebeurtenis, uitgedrukt in dollars, is ALE met name handig voor het bepalen van de kosten-batenverhouding van een beveiliging of controle. U bepaalt ALE met behulp van deze formule: SLE x ARO = ALE

Hier volgt een uitleg van de elementen in deze formule:

Single Loss Expectancy (SLE):

• Een maatstaf voor het verlies dat is opgelopen bij een enkele gerealiseerde dreiging of gebeurtenis, uitgedrukt in dollars. U berekent de SLE met behulp van de formule Activumwaarde × Blootstellingsfactor (EF). Exposure Factor (EF)

  is een maat voor het negatieve effect of effect dat een gerealiseerde bedreiging of gebeurtenis zou hebben op een specifiek activum, uitgedrukt als een percentage. Jaarlijkse frequentie van optreden (ARO):

• De geschatte jaarlijkse frequentie van optreden voor een bedreiging of gebeurtenis.

De twee belangrijkste soorten risicoanalyse zijn kwalitatief en kwantitatief.

Kwalitatieve risicoanalyse

Kwalitatieve risicoanalyse is subjectiever dan een kwantitatieve risicoanalyse; in tegenstelling tot kwantitatieve risicoanalyse, kan deze benadering voor het analyseren van risico's van louter kwalitatieve aard zijn en specifieke aantallen helemaal vermijden. De uitdaging van een dergelijke benadering is het ontwikkelen van echte scenario's die actuele dreigingen en mogelijke verliezen voor organisatorische activa beschrijven.

Kwalitatieve risicoanalyse heeft enkele voordelen ten opzichte van kwantitatieve risicoanalyse; deze omvatten

Er zijn geen complexe berekeningen vereist.

• De benodigde tijd en werkinspanning zijn relatief laag.
• Het vereiste volume aan invoergegevens is relatief laag.
• Nadelen van kwalitatieve risicoanalyse, in vergelijking met kwantitatieve risicoanalyse, zijn

Er zijn geen financiële kosten gedefinieerd; daarom is kosten-batenanalyse niet mogelijk.

• De kwalitatieve benadering is meer afhankelijk van aannames en giswerk.
• Over het algemeen kan kwalitatieve risicoanalyse niet worden geautomatiseerd.
• Kwalitatieve analyse wordt minder gemakkelijk gecommuniceerd. (Executives lijken te begrijpen "
• Dit kost ons $ 3 miljoen in 12 maanden" beter dan " Dit zal een niet-gespecificeerd verlies op een onbepaalde datum in de toekomst veroorzaken.") Een kwalitatieve risicoanalyse probeert geen numerieke waarden toe te wijzen aan de componenten (de activa en bedreigingen) van de risicoanalyse.

Kwantitatieve risicoanalyse

Een volledig kwantitatieve risicoanalyse vereist dat alle elementen van het proces, inclusief waarde van activa, impact, dreigingsfrequentie, effectiviteit van de beveiliging, kosten voor bewaking, onzekerheid en waarschijnlijkheid, worden gemeten en toegewezen numerieke waarden.

Een

kwantitatieve risicoanalyse probeert meer objectieve numerieke waarden (kosten) toe te wijzen aan de componenten (activa en bedreigingen) van de risicoanalyse. Voordelen van een kwantitatieve risicoanalyse, in vergelijking met kwalitatieve risicoanalyse, zijn de volgende:

Financiële kosten zijn gedefinieerd; daarom kan de kosten-batenanalyse worden bepaald.

• Meer beknopte, specifieke gegevens ondersteunen analyse; er zijn dus minder aannames en minder giswerk vereist.
• Analyse en berekeningen kunnen vaak worden geautomatiseerd.
• Specifieke kwantificeerbare resultaten zijn eenvoudiger te communiceren met leidinggevenden en management op hoog niveau.
• Nadelen van een kwantitatieve risicoanalyse, in vergelijking met kwalitatieve risicoanalyse, zijn:

Menselijke vooroordelen zullen de resultaten scheeftrekken.

• Meestal zijn veel complexe berekeningen vereist.
• De benodigde tijd en werkinspanning zijn relatief hoog.
• Het vereiste volume aan invoergegevens is relatief hoog.
• Sommige veronderstellingen zijn vereist.
• Louter kwantitatieve risicoanalyse is over het algemeen niet mogelijk of praktisch. In de eerste plaats is dit omdat het moeilijk is om een ​​precieze waarschijnlijkheid van voorkomen te bepalen voor elk gegeven dreigingsscenario. Om deze reden zijn veel risicoanalyses een mix van kwalitatieve en kwantitatieve risicoanalyse, ook wel een hybride risicoanalyse genoemd.

Hybride risicoanalyse

Een hybride risicoanalyse combineert elementen van zowel een kwantitatieve als een kwalitatieve risicoanalyse. De uitdagingen bij het bepalen van de precieze waarschijnlijkheid van het optreden, evenals de werkelijke impact van een evenement, dwingen veel risicomanagers tot het nemen van een middenweg. In dergelijke gevallen worden eenvoudig te bepalen kwantitatieve waarden (zoals de waarde van de activa) gebruikt in combinatie met kwalitatieve metingen van waarschijnlijkheid van optreden en risiconiveau. Inderdaad, veel zogenaamde kwantitatieve risicoanalyses worden nauwkeuriger beschreven als hybride.