Sigurnosna politika

Što je sigurnosna politika

Informacijski sustavi sadrže podatke kojima se služe ovlašteni korisnici i koji služe kako bi korisnicima bilo omogućeno korištenje sustavom (ime identifikacije, lozinka itd.). Budući takvi podaci ne smiju biti javno dostupni (moraju biti tajni), ne smiju biti mijenjani bez odobrenja i ne smiju biti nedostupni korisnicima, važno je provesti određene korake sigurnosti kako bi navedeni uvjeti uvijek bili zadovoljeni.

Sigurnosna politika je skup pravila, smjernica i postupaka koja definiraju na koji način informacijski sustav učiniti sigurnim i kako zaštititi njegove tehnološke i informacijske vrijednosti. Ona govori korisnicima što smiju raditi, što ne smiju raditi, što moraju raditi i koja je njihova odgovornost (određuje sankcije ukoliko se korisnik ne pridržava pravila određenih sigurnosnom politikom). Politikom ne određujemo na koji način zaštiti informacijski sustav već samo što zaštititi. Svakodnevnim razvojem tehnologija otkrivaju se i nove metode kojima je moguće ugroziti sustav. Stoga definiranje općenite sigurnosne politike za informacijske sustave nije moguće i jednom napisana politika mora se redovito pregledavati, mijenjati i nadopunjavati kada se za tim ukaže potreba.

Sigurnosnom politikom definirana su pravila koja se odnose na:

  • svu računalnu opremu institucije (hardver i softver),
  • osobe odgovorne za administraciju informacijskog sustava,
  • sve zaposlenike i korisnike sustava, odnosno osobe koje imaju pravo pristupa,
  • vanjske suradnike (npr. ovlaštene djelatnike zadužene za održavanje sustava).

Sigurnosnom politikom obuhvaćaju se široka područja sigurnosnih mjera, ali nisu svi dijelovi politike potrebni pojedinim skupinama korisnika. Na primjer, zaposlenici koji koriste sustav ne trebaju znati dio politike koji se odnosi na sigurnost tehničke opreme ili onaj dio namijenjen vanjskim suradnicima. Stoga je preporučljivo sigurnosnu politiku pisati u više dijelova.

Korisnici, kojima je sigurnosna politika namijenjena, često nemaju strpljenja čitati mnoštvo stranica teksta. Oni uglavnom imaju vrlo mala znanja o tehnologijama koje koriste pri radu i zbog toga je nužno definirati sigurnosnu politiku tako da bude kratka i jasna, napisana na način da ju korisnici mogu razumjeti. Politiku napisanu opširno i stručnim jezikom običan korisnik ne razumije i površno ju ili nikako ne analizira, pa je stoga ne može niti primijeniti.

Nakon definiranja sigurnosne politike važno je osigurati da se pravila koja su definirana sigurnosnom politikom provode i poštuju. Kako bi se to postiglo bitno je svakom korisniku sustava dati na znanje da je sigurnosna politika uvedena i upoznati ga s njegovim dužnostima. Postoji više načina kako korisnike upoznati sa sigurnosnom politikom, npr. dijeljenjem dokumenta politike ili objavljivanjem sigurnosne politike na web stranicama kompanije.

Uloga sigurnosne politike

Sigurnost informacijskih sustava bazira se na ljudima. Tehnologijom nije moguće u potpunosti osigurati sigurnost sustava i stoga je važno uvesti dodatne mjere, a prvi korak k tome je definiranje sigurnosne politike. Primarna uloga sigurnosne politike je određivanje prihvatljivog i neprihvatljivog načina ponašanja kako bi zaštitili vrijednosti informacijskog sustava, uključujući opremu (eng. hardware), programsku podršku (eng. software) i podatke.

Na temelju pravila definiranih u dokumentu, njen je zadatak osigurati tri jedinstvena svojstva informacija:

  • povjerljivost (tajnost),
  • integritet,
  • dostupnost.

Povjerljivost (eng. confidentiality)

Povjerljivost je zaštita podataka koje sadrži sustav od neovlaštenog pristupa. Iako je opće mišljenje da je ovaj tip zaštite od najveće važnosti za državne institucije i vojsku jer svoje planove i mogućnosti moraju čuvati tajno od mogućih neprijatelja, ono također može biti značajno za kompanije koje imaju potrebu zaštititi poslovne planove i informacijske vrijednosti od konkurencije ili kako bi zaštitili podatke od neovlaštenog pristupa. Problemima privatnosti, koji u zadnjih par godina privlače sve više interesa, posvećuje se sve više pažnje, kako u državnim institucijama tako i u privatnom sektoru. Ključni aspekt povjerljivosti je identifikacija korisnika i provjera autentičnosti.

Identifikacija je proces prijave korisnika na sustav, pri čemu sustav zna da takav korisnik postoji. Na primjer, korisnik A želi se prijaviti na sustav. Sustav provjeri da li je korisnik A prijavljen na sustav i ako je tada slijedi proces provjere autentičnosti. Provjera autentičnosti je proces kojim sustav želi biti siguran da je korisnik koji se prijavljuje pod imenom A upravo osoba A. Postoji više načina provjere autentičnosti. Najrašireniji je unos lozinke, ali se i sve više razvija tehnička oprema koja jedinstvene ljudske osobine, poput otiska prsta ili mrežnice oka pretvara u digitalne signale. Na primjer, kako bi sustav provjerio da li je korisnik koji se pokušava prijaviti kao osoba A upravo ta osoba, može pri prijavi tražiti od korisnika A određenu lozinku koju zna samo osoba A. Ako korisnik A pošalje upravo tu lozinku, sustav zna da je korisnik upravo osoba A. U suprotnom, korisnik nije osoba A te mu sustav ne dozvoljava korištenje sustava.

Povjerljivost može biti narušena na nekoliko načina. Navedene su najčešće prijetnje povjerljivosti:

  • hakeri,
  • lažno predstavljanje,
  • neovlaštena aktivnost,
  • nezaštićeno preuzimanje podataka,
  • trojanski konji itd.

Hakeri. Hakeri su osobe koje koriste sigurnosne slabosti sustava na način da neovlašteno koriste sustav ili ga onesposobe. Mnogi hakeri, osim sigurnosnih slabosti sustava, koriste i metode otkrivanja lozinki ovlaštenih korisnika. Naime, lozinke koje su riječi koje se nalaze u rječniku ili često korištene lozinke, iskusnijim hakerima pomoću programske podrške vrlo lako je otkriti. Otkrivanjem lozinke korisnika haker se prijavljuje na sustav kao ovlašteni korisnik i vrlo jednostavno obavlja kopiranje, brisanje ili mijenjanje podataka, ili ih kopira na lokacije s kojih su dostupni određenom krugu ljudi ili čak svim korisnicima Interneta. Iz tih razloga aktivnost hakera predstavlja veliku opasnost povjerljivosti informacija.

Lažno predstavljanje. Lažno predstavljanje je prijetnja u kojoj korisnik preko lozinke drugog korisnika dobiva mogućnost pristupa sustavu pod drugim imenom, te mu se na taj način „otvaraju vrata“ za obavljanje zlonamjernih radnji. Lažno predstavljanje je čest slučaj u kompanijama koje dozvoljavaju korisnicima da razmjenjuju lozinke.

Neovlaštena aktivnost. Ovaj tip aktivnosti događa se kad ovlašteni korisnik sustava koristi podatke za koje nema ovlasti. Nedovoljna kontrola pristupa i zaštita podataka omogućuju neovlašten pristup, što može ugroziti njihovu povjerljivost.

Kopiranje podataka na nezaštićene lokacije. Kopiranje podataka može ugroziti njihovu povjerljivost ukoliko se podaci kopiraju na sustav s nedovoljnom sigurnosnom zaštitom. Primjer ove vrste prijetnje je kopiranje podataka sustava na lokacije sustava koje nemaju adekvatnu razinu zaštite. Ukoliko do kopiranih podataka pristup imaju ostali ovlašteni korisnici sustava njihova je tajnost ugrožena.

Lokalna mreža. Lokalna mreža predstavlja prijetnju jer podaci koji putuju mrežom mogu biti dohvaćeni u svakom čvoru mreže. Kako bi se izbjegla ova vrsta prijetnje svi tajni podaci koji bi smjeli biti dostupni samo u određenim čvorovima moraju biti kriptirani kako bi njihova povjerljivost ostala neupitna.

Trojanski konji. Trojanski konj je vrsta aplikacije koja može izazvati vrlo velike štete sustavima. Primjer trojanskog konja je aplikacija instalirana na računalo sustava nakon što ga nesvjesno pokrene ovlašteni korisnik, te je tako programirana da kopira podatke na nezaštićene dijelove sustava. Jednom pokrenut, trojanski konj ostaje aktivan na sustavu i konstantno obavlja programirane zadatke.

Integritet (eng. integrity)

Integritet predstavlja zaštitu podataka od namjernog ili slučajnog neovlaštenog mijenjanja. Dodatni element integriteta jest zaštita procesa ili programa kako bi se onemogućilo neovlašteno mijenjanje podataka. Glavni zahtjev komercijalnih i državnih institucija jest osigurati integritet podataka kako bi se izbjegle zlouporabe i greške. To je imperativ kako korisnici ne bi mogli mijenjati podatke na način da ih izbrišu, promjene ili učine ključne podatke nesigurnima. Primjeri gdje je integritet podataka od ključne važnosti su sustav za kontrolu leta, sustavi u medicinskim ustanovama, sustavi u financijskim ustanovama itd.

Ključni elementi za postizanje integriteta podataka su identifikacija i provjera autentičnosti korisnika. Budući integritet ovisi o kontroli pristupa, važno je pozitivno i jedinstveno utvrditi identičnost svih korisnika prijavljenih na sustav.

Zaštita integriteta

Kao i povjerljivost, integritet može biti ugrožen od hakera, lažnog predstavljanja, neovlaštenih aktivnosti i nedozvoljenih programa (virusi, trojanski konji) jer sve navedene aktivnosti mogu dovesti do neovlaštenog mijenjanja podataka.

Osnovni principi za kontrolu integriteta:

  • dodjeljivanje pristupa na temelju potreba,
  • razdvajanje obaveza,
  • rotiranje obaveza.

Dodjeljivanje pristupa na temelju potreba. Korisnici bi trebali dobiti pristup samo onim podacima koji su im potrebni kako bi mogli obavljati zadane poslove. Korisnikov pristup ključnim podacima trebao bi biti dodatno ograničen kvalitetno definiranim transakcijama koje osiguravaju da korisnik podatke može mijenjati u strogo kontroliranim uvjetima kako bi se sačuvao integritet podataka. Bitan element kvalitetno definiranih transakcija je bilježenje podataka o mijenjanju podataka (tko, kada i koje podatke) kako bi se moglo utvrditi da li su podaci ispravno mijenjani od ovlaštene osobe. Kako bi bile djelotvorne, transakcije bi trebale dopuštati izmjenu podataka samo od unaprijed odabranih programa. Odabrani programi moraju biti ispitani kako bi se izbjegla neovlaštena aktivnost.

Kako bi korisnici mogli uspješno koristiti sustav, privilegija pristupa mora biti razumno raspodijeljena kako bi se omogućila potrebna operativna fleksibilnost. Dodjeljivanje pristupa na temelju potreba ima zadaću osigurati maksimalnu kontrolu uz minimalno ograničavanje korisnika.

Razdvajanje obaveza. Kako bi se osiguralo da niti jedan pojedinac nema kontrolu transakcije od početka do kraja, dvoje ili više ljudi moralo bi biti odgovorno za obavljanje njezinog izvršavanja. Jedan od načina razdvajanja obaveza je da se svima koji imaju dozvolu za kreiranje transakcije ukine pravo izvršavanja transakcija. Time se sprječava da se transakcije koriste za obavljanje vlastitih interesa, osim ukoliko se suglase sve odgovorne osobe.

Rotiranje obaveza. Radne obaveze pojedinih zaposlenika trebale bi se periodično mijenjati kako bi kontroliranje transakcija za osobne potrebe bilo još kompliciranije. Ovaj princip je efektivan u kombinaciji s razdvajanjem obaveza. Problem u rotiranju obaveza se obično javlja u organizacijama s ograničenim brojem kvalificiranog kadra.

Dostupnost (eng. availability)

Dostupnost je garancija ovlaštenim korisnicima sustava da će im sustav biti raspoloživ u svakom trenutku kad za njim imaju potrebu.

Dva su najčešća uzroka neraspoloživosti sustava:

  • odbijanje usluge (eng. Denial Of Service) i
  • gubitak mogućnosti obrade podataka.

Odbijanje usluge je svaki zlonamjeran napad kojem je cilj uskraćivanje legitimnim korisnicima mogućnost pristupa (Internet) uslugama (npr. web poslužitelj). Napad odbijanja usluge možemo podijeliti u dvije kategorije:

  • 1. Ranjivost poslužitelja na napade odbijanja usluge: napadi koji iskorištavaju poznate greške (propuste) u operacijskim sustavima i poslužiteljima. Ovi napadi koriste se za „rušenje“ programa. Na taj način uskraćuju se usluge (servisi) koji ti programi pružaju. Primjeri ranjivih operacijskih sustava uključuju sve sustave, kao što su na primjer Windows NT ili Linux također i različite poslužitelje kao što su DNS ili Microsoft`s IIS Server. Svi ovi programi, koji imaju važnu i korisnu funkciju, posjeduju programske propuste (eng. bug) koje hakeri koriste kako bi ih „srušili“ ili hakirali. Ovakvi tipovi napada odbijanja usluge obično dolaze s jednog računala koji traže propuste u programima kako bi obavili napad. Ukoliko je propust uočen, počinje napad odbijanja usluge s ciljem uskraćivanja usluge ovlaštenim korisnicima. Za ovakav tip napada nije potreban širokopojasni (brzi) pristup Internetu.
  • 2. Napad odbijanja usluge poplavom paketa: napadi koji iskorištavaju slabosti infrastrukture Interneta i njegovih protokola. Poplavom naizgled normalnih paketa iskorištavaju se resursi programa (poslužitelja). Na taj način uskraćuju se usluge legitimnim korisnicima. Za razliku od prve kategorije napada, u ovom slučaju napadač za uspješan napad mora imati širokopojasni pristup Internetu. Bolje od korištenja vlastite infrastrukture za počinjene napada (napad s vlastitog računala; ovakav napad je lakše detektirati), napadači preferiraju izvršavanje napada s računala posrednika (zombie računala) koje napadač već kontrolira (na zombie računala obavi se napad prije DoS napada). Napadač kontrolira zombie računala i u određenom trenutku s njih pokreće napad. Ovakav napad naziva se raspodijeljeni napad odbijanja usluge (eng. distributed DoS – DdoS). Ovakvom tipu napada naročito je teško uči u trag i teško se obraniti od ovakvog napada. Većina zombie računala su kućna računala, računala sveučilišta i sličnih ranjivih infrastruktura. Često vlasnici zombie računala nisu niti svjesni da njihova računala sudjeluju u takvim napadima. Primjer napada odbijanja usluge poplavom paketa prikazan je slikom 2.1:


Slika 2.1 – Primjer napada odbijanja usluge

Slikom 2.1 prikazan je jedan od načina napada odbijanja usluge, tzv. napad poplavom paketa. Napadač kontrolira računala za pokretanje napada koji kontroliraju računala za izvršavanje napada (zombie računala). Sa slike je vidljivo da napadač nije u direktnoj vezi sa žrtvom i stoga mu je puno teže ući u trag. Napad počinje tako da računala koja izvršavaju napad u istom trenutku počnu slati promet prema računalu žrtve. Uglavnom je to vrlo velik broj računala koja generiraju velik broj zahtjeva i žrtva nije u mogućnosti svima odgovoriti. Budući računalo žrtve ne može znati koje računalo izvršava napad a koje je stvarni korisnik, ono odbija sve novopristigle zahtjeve. U trenutku napada svi zahtjevi stvarnih korisnika se odbijaju, tj. sustav postaje nedostupan.

Gubitak mogućnosti obrade podataka može biti rezultat prirodnih katastrofa ili destruktivnog djelovanja ljudi na sustav. Prirodnim katastrofama poput potresa ili požara može doći do oštećenja opreme, pa tako i podataka pohranjenih na sustavu, pri čemu je trenutno onemogućeno funkcioniranje sustava. Čovjek može na informacijski sustav destruktivno djelovati slučajnim ili namjernim destruktivnim radnjama.

Sigurnosne mjere kojima osiguravamo dostupnost dijelimo na:

  • fizičke,
  • tehničke,
  • administrativne.

Fizičke mjere uključuju kontrolu pristupa koja sprječava neovlaštenim osobama pristup sklopovlju informacijskog sustava, protupožarnim sustavima, sustavima za kontrolu temperature prostorija itd.

Tehničke mjere sprječavaju nefunkcioniranje sustava koje uzrokuje kvar opreme raznim mjerama poput zrcaljenja diskova, tj. više diskova sadrži iste informacije – ako se jedan pokvari, njegovu funkciju preuzima drugi. Jedna od mjera je konstantna provjera rada aplikacija – ako aplikacija ne izvršava zadatke ona se automatski ponovno pokreće). Tehničke mjere također sadrže mehanizme oporavka nakon nestanka struje (automatski se pokreće sekundarno napajanje), automatsko kreiranje kopija podataka itd.

Administrativne mjere uključuju kontrolu pristupa, kontrolu izvršavanja procedura i educiranje korisnika. Odgovarajuća osposobljenost programera i sigurnosnih stručnjaka također je bitan faktor dostupnosti sustava. Na primjer, ostane li prilikom kontrole sustava baza podataka zaključana, korisnici se ne mogu koristiti podacima koje ona sadrži, tj. sustav postaje nedostupan.

2.3 Procjena rizika

Procjena rizika bitan je korak pri uspostavi sigurnosti informacijskih sustava. Iako je temeljni dio sustava upravljanja sigurnošću informacija (ISMS), procjena rizika usko je vezana s definiranjem politike sigurnosti

Proces procjene rizika nije nimalo jednostavan, ali najlakše bi se mogao opisati kao davanje odgovora (za svaku vrijednost koju organizacija posjeduje) na sljedeća četiri pitanja:

  • što se može dogoditi? (događaj prijetnje),
  • ako se dogodi, kolika šteta može nastati? (učinak prijetnje),
  • koliko često se može dogoditi? (frekvencija prijetnje)
  • koliko su točni odgovori na prva tri pitanja?

Odgovori na navedena pitanja mogu biti vrlo opsežni, lista onoga što bi se trebalo uraditi vrlo dugačka, stoga je navedena četiri pitanja često potrebno proširiti s još tri:

  • što se može učiniti?
  • koliko će učinjeno koštati?
  • da li je utrošeno isplativo?

Odgovori na ova pitanja uravnotežuju potrebe i mogućnosti organizacija za implementacijom sigurnosnih kontrola. Kako bi se postigla ravnoteža potreba i mogućnosti neke je rizike potrebno prihvatiti. Rizik je na primjer moguće prihvatiti ukoliko je on vrlo malen ili ukoliko su posljedice nezgode prihvatljive za organizaciju

Važan dio upravljanja sigurnošću predstavlja upravljanje rizikom, odnosno uspostava odnosa između ranjivosti, potencijalnih prijetnji i posljedica, to jest utjecaja na informacijski sustav

Proces upravljanja rizikom sastoji se od sljedećih koraka:

  • identifikacije resursa,
  • analize rizika,
  • tumačenja rezultata i poduzimanja odgovarajućih protumjera.

Identifikacija resursa

Jedan od uvjeta za uspješno upravljanje sigurnošću informacijskog sustava jest identifikacija resursa koji su dio tog sustava. Bez precizne identifikacije resursa nije moguće provesti njihovu kvalitetnu zaštitu

Kroz proces identifikacije resursa potrebno je prebrojati sve resurse unutar informacijskog sustava te procijeniti njihovu relativnu vrijednost za organizaciju. Kako bi se mogla odrediti vrijednost resursa za organizaciju, potrebno je poznavanje poslovnih procesa koji se odvijaju u organizaciji. Na temelju toga je kasnije u procesu upravljanja rizikom, odnosno prilikom analize rizika moguće učinkovito ocijeniti potrebnu razinu zaštite za svaki pojedini resurs bitan za funkcioniranje poslovnih procesa unutar organizacije

Kvalitetnom identifikacijom resursa nužno je postići sljedeće zahtjeve:

  • ustanoviti vlasnike poslovnih procesa, odnosno odgovorne osobe,
  • identificirati pojedine resurse bitne za funkcioniranje poslovnih procesa,
  • procijeniti vrijednost resursa,
  • ustanoviti njihovo fizičko ili logičko mjesto u sustavu,
  • napraviti odgovarajuću dokumentaciju.

U načelu, vlasnik procesa je taj koji bi morao znati procijeniti vrijednosti resursa bitnih za funkcioniranje poslovnih procesa, no u praksi to često i nije slučaj. To ukazuje na probleme u organizaciji tvrtke i u takvim slučajevima uspostava sustava za upravljanje informacijskom sigurnošću obično je jalov posao

Podjela resursa

Podjelu resursa moguće je napraviti prema raznim pravilima. U informacijskim sustavima resurse je ugrubo moguće podijeliti u sljedeće kategorije:

  • informacije (baze podataka, dokumentacija, autorska djela itd.),
  • programska podrška (aplikacije, operacijski sustavi, razvojni alati itd.),
  • oprema (računalna oprema, mrežno-komunikacijska oprema, mediji za pohranu podataka i ostala oprema nužna za rad informacijskog sustava),
  • servisi (računalni i komunikacijski te općeniti servisi kao što su, primjerice grijanje, osvjetljenje itd.).

Za svaki od identificiranih resursa potrebno je napraviti procjenu njegove relativne vrijednosti unutar sustava bez obzira u koju kategoriju pripada. Često se naglasak prilikom upravljanja sigurnošću informacijskog sustava polaže na same informacije, dok su, na primjer servisi zanemareni. No, gubitak nekog od tih resursa može dovesti do narušavanja rada sustava, pa čak i potpunog zastoja poslovnog procesa

Klasifikacija informacija

Resurse koji pripadaju različitim kategorijama moguće je klasificirati na razne načine. S obzirom na to da je u informacijskom sustavu ipak najvažnija sama informacija, potrebno je uspostaviti odgovarajući sustav klasifikacije

Unutar sustava općenito su pohranjene informacije različitih vrijednosti za organizaciju: od potpuno nevažnih do onih ključnih, pa i kritičnih. Cilj klasifikacije informacija je osiguranje njihove odgovarajuće zaštite.

Klasifikacija se obično provodi s obzirom na postavljene kriterije (vrijednost same informacije, utjecaj vremena na njenu vrijednost, povezanost s pojedinim osobama itd.). U većini organizacija općenito je prikladan sljedeći sustav klasifikacije:

  • javne,
  • osjetljive,
  • povjerljive,
  • tajne.

Javne informacije mogu se ponekad poistovjetiti i s informacijama koje ne spadaju u sustav klasifikacije, a odnose se na one informacije čije otkrivanje ne predstavlja nikakav potencijalni rizik za organizaciju. Za njih obično nije nužno postaviti sigurnosni nadzor. Osjetljive informacije zahtijevaju veću razinu nadzora jer njihovo otkrivanje ili gubitak integriteta mogu izazvati određene gubitke (koji ne moraju biti izravno materijalne prirode).

Povjerljive informacije su namijenjene samo uporabi unutar organizacije. Njihovo otkrivanje može imati negativan utjecaj na organizaciju ili njene zaposlenike, tako da je nužna implementacija odgovarajućih sigurnosnih mehanizama. Tajne informacije odnose se na najosjetljivije podatke i bilo kakve neovlaštene aktivnosti vezane uz njih mogu dovesti do vrlo ozbiljnih posljedica za organizaciju. Odgovarajuća implementacija sigurnosti za ovakve informacije je od kritične važnosti.

Uz procjenu rizika potrebno je odrediti kako postupati s rizicima. Mogući postupci uključuju:

  • ugrađivanje odgovarajućih kontrola koje smanjuju rizik,
  • svjesno i objektivno prihvaćanje rizika, udovoljavajući sigurnosnoj politici organizacije i kriterijima prihvatljivog rizika,
  • izbjegavanje rizika zabranama, tj. onemogućavanjem akcija koje uzrokuju rizik.

Za rizike čiji postupci uključuju implementiranje odgovarajućih kontrola, te kontrole moraju biti odabrane i implementirane zadovoljavajući zahtjeve definirane procjenom rizika.

Kontrole moraju osiguravati da su rizici reducirani na prihvatljiv nivo uzimajući u obzir:

  • ograničenja i zahtjeve definirane nacionalnim i internacionalnim zakonima i propisima,
  • ciljeve organizacije,
  • operativne potrebe i ograničenja,
  • cijenu implementiranja.

Analiza rizika

Analiza rizika je postupak kojem je cilj ustanoviti ranjivosti sustava, uočiti potencijalne prijetnje (rizike) te na odgovarajući način kvantificirati moguće posljedice kako bi se mogao odabrati najučinkovitiji način zaštite, odnosno procijeniti opravdanost uvođenja dodatnih protumjera

Postoje dva osnovna pristupa analizi rizika:

  • Kvantitativna analiza;
  • Kvalitativna analiza.

Kvantitativna analiza podrazumijeva iskazivanje rizika u očekivanim novčanim troškovima na godišnjoj razini, dok rezultat kvalitativne analize iskazuje samo relativan odnos vrijednosti šteta nastalih djelovanjem neke prijetnje i uvođenja protumjera. Pritom valja imati na umu da je ta procjena subjektivne naravi te je stoga podložna pogreškama

U načelu kombinacija kvantitativne i kvalitativne analize predstavlja pristup prikladan za većinu tvrtki. Čista kvantitativna analiza uglavnom se primjenjuje samo u financijskim institucijama poput banaka i osiguravajućih društava

Tumačenje rezultata

Analizom rizika moraju se utvrditi sljedeće činjenice:

  • kritični resursi i prijetnji i vjerojatnost njihove pojave,
  • potencijalni gubici koje uzrokuje ostvarenje prijetnje,
  • preporučene protumjere njihova vrijednost (relativna ili novčana),
  • popis mogućih (nadzor) i zaštita.

Na temelju dobivenih rezultata potrebno je odlučiti kakve treba poduzeti protumjere. Postoje tri mogućnosti djelovanja koje nužno nisu međusobno isključive:

  • smanjenje rizika,
  • prijenos rizika,
  • prihvaćanje rizika.

Jedini važan parametar pri odabiru načina djelovanja je isplativost za organizaciju.

Smanjenje rizika predstavlja proces u kojem se na temelju provedene analize rizika nastoje provesti odgovarajuće protumjere i uvesti sigurnosni nadzor da bi se zaštitili resursi organizacije. U tom postupku nastoji se smanjiti vjerojatnost prijetnje i(ili) njen utjecaj na organizaciju. Ukoliko se pokaže isplativijim, rizik je moguće prenijeti na treću stranu (primjerice, osiguravajuće društvo). Isto tako moguće je da implementacija protumjera ili prijenos rizika nisu isplativi. U tom slučaju organizacija može odlučiti prihvatiti rizik, odnosno troškove koji iz toga proizlaze

Jedini pristup koji u upravljanju rizikom nije prihvatljiv je ignoriranje ili zanemarivanje rizika. Treba znati da je upravljanje rizikom stalan proces te da se odnos vrijednosti resursa, ranjivosti i prijetnji s vremenom mijenja.