Hva er sikkerhetsrisikoanalyse? - dummies

Risiko analyse (eller behandling <) er en metodisk undersøkelse som samler alle elementene i risikostyring (identifikasjon, analyse og kontroll) og er kritisk for en organisasjon for å utvikle en effektiv risikostyringsstrategi. Risikoanalyse innebærer følgende fire trinn:

Identifiser de eiendelene som skal beskyttes, inkludert deres relative verdi, følsomhet eller betydning for organisasjonen.

1. Denne komponenten av risikoidentifikasjon er verdivurdering av eiendeler.

   Definer spesifikke trusler, inkludert trusselsfrekvens og virkningsdata.

2. Denne komponenten av risikoidentifikasjon er trusselanalyse.

   Beregn årslønnsforventning (ALE).

3. ALE-beregningen er et grunnleggende konsept i risikoanalyse.

   Velg passende sikkerhetstiltak.

4. Denne prosessen er en komponent av både risikoidentifikasjon (sårbarhetsvurdering) og risikokontroll.

Den

Annualized Loss Expectancy (ALE) gir en standard, kvantifiserbar måling av virkningen som en realisert trussel har på en organisasjons eiendeler. Fordi det er det estimerte årlige tapet for en trussel eller hendelse, uttrykt i dollar, er ALE spesielt nyttig for å bestemme kostnads ​​/ ytelsesforholdet mellom en sikkerhet eller kontroll. Du bestemmer ALE ved å bruke denne formelen: SLE x ARO = ALE

Her er en forklaring på elementene i denne formelen:

Engangsforventning (SLE):

• Et mål på tapet som oppstår ved en enkelt realisert trussel eller hendelse, uttrykt i dollar. Du beregner SLE ved å bruke formelen Asset value × Eksponeringsfaktor (EF). Eksponeringsfaktor (EF)

  er et mål for den negative effekten eller virkningen som en realisert trussel eller begivenhet ville ha på en bestemt eiendel, uttrykt som prosentandel. Annualized Rate of Occurrence (ARO):

• Anslått årlig forekomst av forekomst for en trussel eller hendelse.

De to hovedtyper av risikoanalyser er kvalitative og kvantitative.

Kvalitativ risikoanalyse

Kvalitativ risikoanalyse er mer subjektiv enn en kvantitativ risikoanalyse; i motsetning til kvantitativ risikoanalyse, kan denne tilnærmingen til å analysere risiko være rent kvalitativ og unngå spesifikke tall i sin helhet. Utfordringen med en slik tilnærming er å utvikle ekte scenarier som beskriver faktiske trusler og potensielle tap for organisatoriske eiendeler.

Kvalitativ risikoanalyse har noen fordeler sammenlignet med kvantitativ risikoanalyse; Disse inkluderer

Det kreves ingen komplekse beregninger.

• Tid og arbeidsprosess involvert er relativt lav.
• Krav til inngangsdata er relativt lavt.
• Ulemper ved kvalitativ risikoanalyse, sammenlignet med kvantitativ risikoanalyse, inkluderer

Ingen økonomiske kostnader er definert; Derfor er kostnads- og kostnadsanalyse ikke mulig.

• Den kvalitative tilnærmingen bygger mer på forutsetninger og gjetning.
• Generelt kan ikke kvalitativ risikoanalyse automatiseres.
• Kvalitativ analyse blir lettere kommunisert. (Ledere ser ut til å forstå "
• Dette vil koste oss $ 3 millioner over 12 måneder" bedre enn " Dette vil føre til uspesifisert tap på en ubestemt fremtidig dato.") En kvalitativ Risikoanalyse forsøker ikke å tilordne numeriske verdier til komponentene (eiendeler og trusler) i risikoanalysen.

Kvantitativ risikoanalyse

En full kvantitativ risikoanalyse krever alle elementer i prosessen, inkludert aktiv verdi, innvirkning, trusselfrekvens, sikring av effektivitet, sikkerhetskostnader, usikkerhet og sannsynlighet for å måles og tilordnes numeriske verdier.

A

kvantitativ risikoanalyse forsøker å tildele mer objektive numeriske verdier (kostnader) til komponentene (eiendeler og trusler) i risikoanalysen. Fordeler med en kvantitativ risikoanalyse, sammenlignet med kvalitativ risikoanalyse, inkluderer følgende:

Finansielle kostnader er definert; Derfor kan kostnads- og kostnadsanalyser bestemmes.

• Mer konkret, spesifikke data støtter analyse; Derfor er færre forutsetninger og mindre gjetning nødvendig.
• Analyse og beregninger kan ofte automatiseres.
• Spesifikke, kvantifiserbare resultater er enklere å kommunisere med ledere og seniorledelse.
• Ulemper med en kvantitativ risikoanalyse, sammenlignet med kvalitativ risikoanalyse, inkluderer følgende:

Menneskelige forstyrrelser vil skje resultater.

• Mange komplekse beregninger er vanligvis påkrevd.
• Tid og arbeidsprosess involvert er relativt høy.
• Krav til inngangsdata er relativt høyt.
• Noen forutsetninger er påkrevd.
• Rent kvantitativ risikoanalyse er generelt ikke mulig eller praktisk. Dette skyldes først og fremst at det er vanskelig å fastslå en presis sannsynlighet for forekomst for et gitt trusselscenario. Av denne grunn er mange risikoanalyser en blanding av kvalitativ og kvantitativ risikoanalyse, kjent som en hybridrisikoanalyse.

Hybrid risikoanalyse

En hybridrisikoanalyse kombinerer elementer av både en kvantitativ og kvalitativ risikoanalyse. Utfordringene ved å bestemme nøyaktige sannsynligheter for forekomst, samt den virkelige effekten av en begivenhet, tvinger mange risikostyrere til å ta en midtvei. I slike tilfeller brukes enkeltbestemte kvantitative verdier (som aktivverdi) sammen med kvalitative tiltak for sannsynlighet for forekomst og risikonivå. Faktisk er mange såkalte kvantitative risikoanalyser mer nøyaktig beskrevet som hybrid.