Was ist eine Sicherheitsrisikoanalyse? - Dummies

Risiko Analyse (oder Behandlung <) ist eine methodische Untersuchung, die alle Elemente des Risikomanagements (Identifikation, Analyse und Kontrolle) zusammenbringt und für eine Organisation entscheidend ist, um eine effektive Risikomanagementstrategie zu entwickeln. Die Risikoanalyse umfasst die folgenden vier Schritte:

Identifizieren Sie die zu schützenden Assets, einschließlich ihres relativen Werts, ihrer Sensitivität oder Wichtigkeit für die Organisation.

1. Diese Komponente der Risikoidentifikation ist die Vermögensbewertung.

   Definieren Sie spezifische Bedrohungen, einschließlich der Bedrohungshäufigkeit und der Auswirkungsdaten.

2. Diese Komponente der Risikoidentifikation ist eine Bedrohungsanalyse.

   Berechnen Sie die annualisierte Verlustquote (ALE).

3. Die ALE-Berechnung ist ein grundlegendes Konzept in der Risikoanalyse.

   Wählen Sie geeignete Sicherheitsmaßnahmen aus.

4. Dieser Prozess ist Bestandteil der Risikoidentifikation (Vulnerability Assessment) und der Risikokontrolle.

Die

Annualisierte Verlust- erwartung (ALE) liefert ein standardisiertes, quantifizierbares Maß für die Auswirkungen einer realisierten Bedrohung auf die Vermögenswerte einer Organisation. Da es sich um den geschätzten jährlichen Verlust für eine Bedrohung oder ein Ereignis in Dollar handelt, ist ALE besonders nützlich, um das Kosten-Nutzen-Verhältnis eines Schutzes oder einer Kontrolle zu bestimmen. Sie bestimmen ALE mit dieser Formel: SLE x ARO = ALE

Hier eine Erklärung der Elemente in dieser Formel:

Einzelverlust-Erwartung (SLE):

• Ein Maß für den Verlust einer einzelnen realisierten Bedrohung oder eines Ereignisses, ausgedrückt in Dollar. Sie berechnen den SLE mithilfe der Formel Bestandswert × Belichtungsfaktor (EF). Belichtungsfaktor (EF)

  ist ein Maß für den negativen Effekt oder die Auswirkung einer realisierten Bedrohung oder eines Ereignisses auf einen bestimmten Vermögenswert, ausgedrückt als Prozentsatz. Annualized Rate of Occurrence (ARO):

• Die geschätzte jährliche Häufigkeit des Auftretens einer Bedrohung oder eines Ereignisses.

Die beiden Hauptarten der Risikoanalyse sind qualitativ und quantitativ.

Qualitative Risikoanalyse

Die qualitative Risikoanalyse ist subjektiver als eine quantitative Risikoanalyse; Im Gegensatz zur quantitativen Risikoanalyse kann dieser Ansatz zur Risikoanalyse rein qualitativ sein und ganz bestimmte Zahlen vermeiden. Die Herausforderung eines solchen Ansatzes besteht darin, reale Szenarien zu entwickeln, die tatsächliche Bedrohungen und potenzielle Verluste für organisatorische Vermögenswerte beschreiben.

Die qualitative Risikoanalyse hat einige Vorteile gegenüber der quantitativen Risikoanalyse. Dazu gehören

. Es sind keine komplexen Berechnungen erforderlich.

• Der Zeit- und Arbeitsaufwand ist relativ gering.
• Das Volumen der erforderlichen Eingabedaten ist relativ niedrig.
• Nachteile der qualitativen Risikoanalyse im Vergleich zur quantitativen Risikoanalyse:

Es sind keine finanziellen Kosten definiert; daher ist eine Kosten-Nutzen-Analyse nicht möglich.

• Der qualitative Ansatz stützt sich mehr auf Annahmen und Vermutungen.
• Generell kann eine qualitative Risikoanalyse nicht automatisiert werden.
• Die qualitative Analyse ist weniger leicht zu vermitteln. (Führungskräfte scheinen zu verstehen "
• Das kostet uns 3 Millionen $ über 12 Monate" besser als " Dies wird einen unbestimmten Verlust zu einem unbestimmten zukünftigen Datum verursachen.") A Bei der Risikoanalyse wird nicht versucht, den Komponenten (den Vermögenswerten und Bedrohungen) der Risikoanalyse numerische Werte zuzuweisen.

Quantitative Risikoanalyse

Bei einer vollständig quantitativen Risikoanalyse müssen alle Elemente des Prozesses, einschließlich des Substanzwerts, der Auswirkungen, der Häufigkeit der Bedrohungen, der Wirksamkeit der Schutzmaßnahmen, der Kosten, der Unsicherheit und der Wahrscheinlichkeit, gemessen und numerische Werte zugewiesen werden.

Eine

quantitative Risikoanalyse versucht, den Komponenten (Assets und Threats) der Risikoanalyse objektivere numerische Werte (Kosten) zuzuordnen. Zu ​​den Vorteilen einer quantitativen Risikoanalyse im Vergleich zur qualitativen Risikoanalyse gehören:

Finanzielle Kosten werden definiert; Daher kann eine Kosten-Nutzen-Analyse bestimmt werden.

• Präzisere, spezifische Daten unterstützen die Analyse; Daher sind weniger Annahmen und weniger Mutmaßungen erforderlich.
• Analysen und Berechnungen können oft automatisiert werden.
• Bestimmte quantifizierbare Ergebnisse sind für Führungskräfte und Führungskräfte einfacher zu kommunizieren.
• Zu ​​den Nachteilen einer quantitativen Risikoanalyse im Vergleich zur qualitativen Risikoanalyse gehören:

Humane Verzerrungen verfälschen die Ergebnisse.

• Normalerweise sind viele komplexe Berechnungen erforderlich.
• Der Zeit- und Arbeitsaufwand ist relativ hoch.
• Das Volumen der erforderlichen Eingabedaten ist relativ hoch.
• Einige Annahmen sind erforderlich.
• Eine rein quantitative Risikoanalyse ist im Allgemeinen nicht möglich oder praktikabel. In erster Linie ist dies darauf zurückzuführen, dass es schwierig ist, eine genaue Eintrittswahrscheinlichkeit für ein bestimmtes Bedrohungsszenario zu bestimmen. Aus diesem Grund sind viele Risikoanalysen eine Mischung aus qualitativer und quantitativer Risikoanalyse, bekannt als hybride Risikoanalyse.

Hybride Risikoanalyse

Eine hybride Risikoanalyse kombiniert Elemente einer quantitativen und qualitativen Risikoanalyse. Die Herausforderungen, genaue Wahrscheinlichkeiten des Auftretens zu bestimmen, sowie die wahre Auswirkung eines Ereignisses, zwingen viele Risikomanager, einen Mittelweg zu gehen. In solchen Fällen werden leicht ermittelte quantitative Werte (z. B. Asset Value) in Verbindung mit qualitativen Maßnahmen zur Eintrittswahrscheinlichkeit und zum Risikoniveau verwendet. Tatsächlich werden viele so genannte quantitative Risikoanalysen genauer als Hybrid beschrieben.