Laupäev 10. detsember 2016

AS ÄRIPÄEV
Pärnu mnt 105, 19094 Tallinn
Telefon: (372) 667 0111
E-post: online@aripaev.ee

Riskianalüüs algab varade hindamisest

Erkki Leego 24. jaanuar 2006, 00:00

Riskianalüüsiga on nagu kindlustamisega - osa inimesi ei kujuta elu ilma selleta ette ja teine osa peab seda mõttetuks raha- ja energiakuluks. Kes pole kordagi kulukat õnnetust üle elanud, ei saa aru, miks peaks kindlustusfirmale kümneid tuhandeid kroone maksma. Samas on hea tunne, kui 200 000 krooni maksva auto hävimise korral piirdub teie kahju ainult 3000kroonise omavastutusega.

Riskianalüüsi ülesanne on anda hingerahu nii pessimistidele kui ka optimistidele. Analüüsi järgi saab valida jääkriski piiri, millest alates turbekulutusi ette võtta. Toon artiklis lihtsa viisi, kuidas hinnata ettevõtte turberiske.

Riskianalüüsi alustades tuleb hinnata varasid ja vajadusi konkreetse firma seisukohast. Vara väärtus omaniku jaoks sõltub ju omanikust. 20 000kroonise auto omanikule võib auto kaotus palju rohkem tähendada kui miljon krooni maksva auto omanikule.

Ühe ettevõtte jaoks on tema maine nii oluline, et selle kaitsmisse tasub palju investeerida, teise ettevõtte äritegevuse jaoks ei oma ettevõte maine mingit tähendust. Näiteks võib kliendiandmete hävimine või konkurentide kätte sattumine tähendada ühele ettevõttele tegutsemise lõpetamist.

Seega on esimene samm hinnata enda äritegevuse seisukohast kõige tähtsamad ressursid ja saada nimekiri väärtuslikematest (info)varadest, mida kaitsta tahame. Ühe väikese ettevõtte puhul võivad need näiteks olla arvutid, klientide andmebaas (mustas märkmikus), raamatupidamise dokumendid, kontorimööbel, müügimees Peeter ja ettevõtte maine.

Infovarade hulka loetakse andmed, IT-seadmed, sidekanalid, tarkvara. Mõnikord ka organisatsioon, personal, ruumid ja andmekandjad (sh paberil).

Riskianalüüsiks on erinevaid metoodikaid - etalonmetoodika, mitteformaalne metoodika, detailne riskianalüüs, segametoodika (vt tabel). Üldjuhul on otstarbekas kasutada segametoodikat - leida oma äris üles väärtuslikumad kohad ja tegeleda eelkõige nende riskide hindamisega.

Tähtsatest valdkondadest lähtudes tuleb üle vaadata, milline on ettevõtte turbealane olukord - millised on nõrgad kohad ja mis ohud pääsevad rohkem mõjule. Valitsevad ohud on kõigi ettevõtete jaoks samad. Standardi EVS-ISO/IEC TR13335 ohtude nimekirjas on välja toodud ligi 50 ohtu. Geograafilisele asukohale, kultuurile ja äri omapärale vastavalt on aga nende tähtsus ja mõju erinev.

Nõrkused on igal ettevõttel erinevad. Näiteks on nõrkused evakuatsiooniplaani puudumine, osaliselt paigaldatud tuletõrjesignalisatsioon või paroolihalduse puudulikkus. Nõrkused saab jagada kuude suuremasse gruppi: keskkond ja infrastruktuur, riistvara, tarkvara, side, dokumendid, personal.

Riskihindamine tähendab iga nõrkuste grupi puhul valitsevate ohtude mõju hindamist lähtudes kahju suurusest ja ettevõttes rakendatud kaitsemeetmetest. Tulemuseks on ohtude pingerida valdkondade kaupa konkreetse numbrilise väärtusega. Kui näiteks saame riistvara puhul kahjutule riskiks 1,625 (maksimum on 3) ja toitekõikumise riskiks 2,1875, siis on esmalt mõistlik tegeleda toitekõikumiste ja seejärel tulekahjude vältimisega.

Ohtude mõju hindamisel erinevate nõrkuste suhtes soovitan anda hinnangu kolmepunktilisel skaalal - väike, keskmine ja suur. See on piisav olulisemate valupunktide eristamiseks vähem olulistest. Et hinnangu andmine oleks konkreetsem, kasutage hindamisel nelja komponenti - hõlpsus, tõenäosus, rahaline kahju ja maine kahju. Igale komponendile tuleb anda konkreetse ohu korral hinnang kolmepallisel skaalal.

Ohu realiseerumise tõenäosuse hindamisel tuleb arvestada keskkonnaga, asutuse iseärasusega, rakendatud turvameetmetega jms. Ohu realiseerumise hõlpsuse hindamisel tuleb arvesse võtta ohu realiseerumise kergust lähtudes hetkesituatsioonist, sh rakendatud turvameetmetest, keskkonna mõjust jms. Mõlemad hinnangud on pigem tunnetuslikud kui statistikal põhinevad.

Rahalise kahju puhul tuleb silmas pidada nii otsest materiaalset kahju kui ka tööviljakuse langusest tulenevat kahju. Mainekahju ja rahalise kahju hindamisel pole vaja arvestada olemasolevate või võimalike turvameetmete kasutamist, vaid hinnata kahju ohu realiseerumisel.

Rahalise kahju hindamisel tuleb enda jaoks kindlasti määratleda, milline kahju on ettevõtte jaoks suur. Ühe ettevõtte jaoks on miljon krooni väga suur raha, teise jaoks päris väike. Kolmetasemeline skaala (väike, keskmine, suur) peab vastama teie ettevõtte väärtushinnangule. Kokku saame riski suuruse hindamise valemi: hõlpsus + tõenäosus + maine kahju + rahaline kahju = riski suurus. Jõudmaks tagasi kolmepallisele skaalale, tuleb tulemus jagada neljaga.

Tutvustatud hindamismetoodika võib tunduda juhuslik. Praktika näitab, et nelja komponendi ja kolmeväärtuselise skaala kasutamine annab päris tõepärase ohtude pingerea. Mida rohkem on hindajal turbealast teadmist ja kogemust, seda täpsem on tulemus. Tähtsad kohad leiab aga üles ka turbevaldkonnas algaja.

Kui ohtude pingerida on olemas, saab koostada andmeturbealase tegevuskava või infoturbe poliitika. Poliitika on üldisem ja seab tehnoloogiast sõltumatud nõuded. Tegevuskava on konkreetsete tegevuste teostamise ajakava nende nõuete ja reeglite täitmiseks.

Näiteks võib olla poliitikas nõue, et kõikides ruumides peab olema tuletõrjesignalisatsioon või et vaja on välja töötada ja kehtestada kasutajatunnuste haldamise kord. Tegevuskavas tuleb neile töödele määrata konkreetne vastutaja ning planeerida teostamise aeg ja eelarve.

Riskianalüüs annab pingerea ohtudest, mis võivad ettevõtte tegevust kõige rohkem kahjustada. Pingerea alusel saab planeerida tegevused ja investeeringud kõige olulisemate riskide maandamiseks.

Riskide hindamine ei ole ainul turbeasjatundjate pärusmaa. Natuke vaeva nähes ja artiklis tutvustatud metoodikat kasutades saab oma ettevõtte olulisemad ohud üles leida igaüks.

Äripäev http://www.aripaev.ee/img/id-aripaev.svg
25. November 2011, 10:09
Otsi:

Ava täpsem otsing