Audyt bezpieczeństwa sieci IT, analiza ryzyka

Analiza ryzyka jest jednym z głównych narzędzi zarządzania ryzykiem IT i ma na celu:

– testy podatności (podstawowy test penetracyjny),

– zidentyfikować zagrożenia infrastruktury IT,

– określenie priorytetów (np. widzimy, które zagrożenia są dla nas najbardziej istotne),

– oszacować potencjalne straty związane z naruszeniem naszego bezpieczeństwa,

– zaproponować rozsądne decyzje o ryzyku (np. jego redukcję) wraz z racjonalnymi ramami budżetowymi

Poszczególne kroki do wykonania analizy ryzyka:

1/ inwentaryzacja zasobów IT (serwery, urządzenia sieciowe, aplikacje, stacje PC, pomieszczenia)

2/ określenie potencjalnych zagrożeń dla każdego zinwentaryzowanego zasobu

3/ wskazanie podatności czyli realnych słabości naszych zasobów

4/ określenie ryzyka

5/ podjęcie decyzji o ryzyku (redukcja, akceptacja, przekazanie, uniknięcie)

W wyniku realizacji analizy ryzyka IT wiemy, co grozi bezpieczeństwu naszych systemów oraz jakie mogą być konsekwencje urzeczywistnienia zagrożeń. Należy też podjąć decyzję, co zrobić ze zidentyfikowanymi ryzykami.