Arriskuen eta mehatxuen ebaluazioa

Arriskuen analisia zeregin garrantzitsuenetako bat da enpresa baten informazioaren segurtasuna hobetzeko proiektuak eta ekimenak definitzeko orduan. Tresna teknologikoak eta informazioa edozein erakundetan funtsezkoak direnez, Segurtasun Plan Zuzentzaile (SPZ) bat martxan jartzea komeni da. Plan honek informazioaren segurtasunaren arloko proiektuak identifikatu eta lehenesteko aukera ematen du murrizteko erakundeak dituen arriskuak eta mehatxuak, erabat ezereztu arte, edo, bestela, onargarritzat jotzen den maila batera murriztu arte. Horretarako, hasierako egoeraren analisi edo ebaluazio osoa egin behar da.

Arriskuen ebaluazioak, lehenik eta behin, informaziorako arriskuak identifikatzea eskatzen du, babestu beharreko aktiboak eta balizko mehatxuak eta zaurgarritasunak zehazteko eta babes-neurriak planteatzeko.

Zenbat aktibo, mehatxu eta zaurgarritasun izan behar ditugu kontuan? Beharrezkotzat jotzen direnak. Detektatu gabeko edo garaiz ebaluatu gabeko aktibo edo mehatxu bat sistemaren puntu ahul bihur daiteke azkenean, eta lehenago edo beranduago, eraso bat jasan dezaken. Aukerarik onena azterketa sakona egitea da, eta ondoren neurriak hartzea, lehentasunak arrisku-mailaren arabera ezarriz.

Arriskuen ebaluazioa egiteko metodologia desberdinak daude, nahiz eta guztiek, oro har, fase komun batzuk planteatzen dituzten:

1. Ebaluazioaren irismenaren definizioa: Enpresaren SPZ guztia barne har dezake, hau da, erakunde osoa, edo zentra daiteke area edo sail jakin batzuetan, sistema edo prozesu batzuetan...
2. Aktiboen identifikazioa: Aktibo garrantzitsuenak zehaztu behar dira, definitutako irismenaren arabera. Aktibotzat jotzen da erakundearen informazioaren segurtasunerako balio bat duen oro: hardwarea, softwarea, datu-baseak, dokumentuak, langileak, etab.
3. Mehatxuen identifikazioa: Aktibo nagusiak identifikatutakoan, hurrengo urratsa gerta daitezkeen mehatxuak zehaztea da. Jakina, mehatxu-kopurua oso zabala eta askotarikoa izan daiteke, eta, beraz, agertokiaren ikuspegi errealista eta praktikoa hartzea komeni da. Adibidez, kanpoko disko gogor batentzako mehatxuei dagokienez, komenigarriago da urak edo suak eragindako kalteak kontuan hartzea urakan batek suntsitzeko aukera kontuan hartzea baino.
   Mehatxuak errazago identifikatzeko, erabilgarria da metodologietan sartzen diren mehatxu-katalogoak erreferentziatzat hartzea.
4. Zaurgarritasunak eta babesak identifikatzea: Detektatzea aztertutako aktiboen ahuluneak edo zaurgarritasunak (adibidez, kredentzialak sartu behar izatea talde baterako sarbidea izateko). Detektatutakoan, zaurgarritasun bakoitzak dakarren arriskua zehaztu behar da, eta erakundeak aurreikusi edo inplementatu dituen balizko segurtasun-neurriak aztertu eta dokumentatu behar dira.
5. Arriskuaren balorazioa: Bildutako informazio guztiarekin arriskua kalkula daiteke. Bi aktibo-mehatxu bakoitzerako, mehatxua gertatzeko probabilitatea eta erakundean izango lukeen eragina zenbatetsiko ditugu. Nahi beste termino edo maila kuantitatiboak erabiliz egin daiteke arriskuaren kalkulua, adibidez: txikia-ertaina-altua-kritikoa. Probabilitatea eta inpaktua baloratzean, bi parametro horiek neurtzen dituzten matrize-taulak erabil daitezke, lehentasunak zehazteko aukera emango digutenak, esate baterako:
6. Arriskuen tratamendua: Arriskuak nola tratatuko diren zehaztea, ezarri ditugun mugen arabera. Adibidez, erabaki behar da altu edo kritiko gisa katalogatutako arrisku guztiak arinduko ote diren, edo txikitzat jotakoak onartuko ote diren. Fase honetan kontuan hartu behar dira erakundeak dituen baliabideak ere, eta, beraz, arriskua hirugarren bati transferi dakioke, ezabatu daiteke (adibidez, ekipamendu zaharkitu bat ezabatuz), onar daiteke (adibidez, arrisku txikia edo kostu jasanezina duelako) edo arriskua arintzeko beharrezko neurriak ezarriko liratekeen.

Azpimarratu behar da erakundearen konplexutasunak eta tamainak eragina dutela zereginak eskatzen duen denboran eta prozesuan zehar egon daitezkeen zailtasunetan.

Halaber, interesatzen zaizu: Segurtasuneko Plan Zuzentzailea (SPZ)