A vállalat kockázatértékelésén belül választhat kvalitatív vagy kvantitatív megközelítést. Ismerje mindegyik előnyeit.

kockázatértékelés

Minőségi vagy mennyiségi kockázatértékelés?

A kockázatértékelés végrehajtása során a releváns tevékenység abból áll, hogy ismerjük azokat a fenyegetéseket, amelyek megvalósulhatnak, és nagyobb kiterjedésű negatív következményeket okozhatnak, ezért ezeket nagyobb prioritással kell kezelni.

A komplexitás akkor merül fel, ha meg kell tudni, hogy mely kockázatokkal kell először foglalkozni, és mindenekelőtt milyen paramétereket kell használni a prioritások meghatározásához. Ebben az összefüggésben általában két megközelítést alkalmaznak az értékelés kiadására: kvalitatív vagy kvantitatív elemek (vagy mindkettő kombinációja), amelyek lehetővé teszik a korábban azonosított és elemzett kockázatok súlyosságának meghatározását.

Mennyiségi kockázatértékelés

A kvantitatív értékelés célja a monetáris értékek hozzárendelése konkrét kockázatokhoz, tehát annak kiindulópontja egy vagy több fenyegetés megvalósulásával járó potenciális veszteség meghatározása.

Általában nehezebb kvantitatív értékelést végrehajtani (összehasonlítva a kvalitatívéval), többek között azért, mert figyelembe veheti azon változók halmazát, amelyekhez az adatokat tudatos módon kell hozzárendelni, amelyek lehetővé teszik nagyobb eredmények elérését pontossággal, és kapcsolódik a társaság információival és egyéb eszközeivel kapcsolatos kockázatok valóságához.

A potenciális veszteség kiszámításához az éves veszteség várakozás (ALE) képlet használható, amelynek középpontjában a biztonsági kockázat által generált hatás modellezése áll. A matematikai modell használata objektivitást ad az értékelési eredményekhez, mivel a számítás során használt ugyanazokkal az értékekkel következetes eredményeket kapunk.

Ezenkívül olyan eredményt kínálnak fel, amely megmutatja a költség-haszon viszonyt azon erőforrások elosztásának szükségessége között, amelyek lehetővé teszik az azonosított kockázatokból eredő veszteségek elkerülését vagy csökkentését.

Minőségi kockázatértékelés

A kvantitatív értékeléstől eltérően a jellemzők alapján végzett értékelés, amely az eszközök fenyegetési forgatókönyvén alapul, és általában olyan kockázati minősítéssel társul, amely paraméterekként olyan tulajdonságokat használ, mint a magas, közepes vagy magas.

Mivel minden embernek van egy koncepciója arról, hogy a „magas, közepes vagy alacsony” tulajdonság mit jelent a besorolás egyik módjaként, a kvalitatív értékelés szubjektív elemmé válhat, ezért az információbiztonság szempontjából elengedhetetlen pontos kritériumok meghatározása, hogy az egyes kategóriák mit képviselnek, azzal a céllal (ismét), hogy következetes eredményeket kapjunk.

Valószínűleg könnyebb azonosítani, hogy a „magasnak” minősített kockázatnak nagyobb prioritást kell élveznie, mint az „alacsony” címkével ellátott kockázatot. A kihívás az, hogy világosan meghatározzuk, hogy ennek a stílusnak milyen minőséget tulajdonítunk az egyes kockázatokhoz. Ez például egy relatív kockázati mátrixon keresztül érhető el, amely a kockázat hatásait és valószínűségét használja kockázat-osztályozásként és prioritás-változóként.

Épp ellenkezőleg, a szervezet különböző területeinél előnyösebb egy pénzösszeget hozzárendelni egy kockázathoz, még inkább, ha hozzáadnak egy skálát, amely segít eldönteni, hogy a biztonsági kockázatok miatti esetleges veszteség mikor elfogadható. A veszteségbecslés megkönnyíti a döntéshozatalt az információ védelmére elkülönített források mennyiségével kapcsolatban.

Tehát melyik megközelítés a kényelmesebb?

Valójában a kockázatértékelés bármely megközelítése hasznos, ha a többször választott módszer következetes, érvényes és összehasonlítható eredmények elérését teszi lehetővé.

Az értékelés során az a lényeg, hogy meghatározzuk és alkalmazzuk az egyes szervezetekre jellemző kritériumokat, amelyek meghatározzák annak kockázatkerülését és az egyes kockázatokhoz rendelt (minőségi vagy mennyiségi) helyes értékelést. Ezt követően a kezelési lehetőségek megfelelő kiválasztása.

Ezenkívül ugyanolyan fontos ismerni az információt befolyásoló tényezőket vagy fenyegetéseket (különösen a valóban felmerülő forgatókönyvek ismerete), ami nagyobb hatékonyságot és reális eredmények elérését eredményezi. Ha az értékelésre fordított erőfeszítések lehetővé teszik a megközelítések kombinációjának végrehajtását, ez a tevékenység növeli annak esélyét, hogy növeljék a kockázatértékelések eredményeinek érvényességét és pontosságát.