В рамках оцінки ризиків компанії ви можете вибрати якісний або кількісний підхід. Знати переваги кожного.

кількісна

Якісна або кількісна оцінка ризику?

Відповідна діяльність під час проведення оцінки ризику полягає у знанні тих загроз, які можуть матеріалізуватися, спричинивши негативні наслідки більшого масштабу, і тому їх слід вирішувати з вищим пріоритетом.

Складність виникає тоді, коли необхідно знати, які ризики слід розглядати в першу чергу, і перш за все, які параметри слід використовувати для визначення пріоритетів. У цьому контексті для випуску оцінки зазвичай використовують два підходи: якісні або кількісні елементи (або їх поєднання), що дозволяють визначити ступінь тяжкості попередньо виявлених та проаналізованих ризиків.

Кількісна оцінка ризику

Метою кількісної оцінки є присвоєння грошових цінностей конкретним ризикам, тому її відправною точкою є визначення потенційних збитків, пов’язаних з матеріалізацією однієї або декількох загроз.

Як правило, складніше провести кількісну оцінку (якщо порівнювати з якісною), серед інших причин, оскільки вона може розглядати набір змінних, яким дані повинні бути свідомо присвоєні, що дозволяє отримувати результати з більшими точність. і прикріплюється до реальності ризиків, пов’язаних з інформацією та іншими активами компанії.

Щоб розрахувати потенційні збитки, ви можете скористатися формулою щорічних очікуваних збитків (ALE), зосередженою на моделюванні впливу, спричиненого ризиком безпеки. Використання математичної моделі додає об'єктивності результатам оцінки, оскільки при тих самих значеннях, що використовуються під час розрахунку, отримуються послідовні результати.

Крім того, пропонується результат, який показує взаємозв'язок витрат і вигод між необхідністю розподілу ресурсів, які дозволяють уникнути або зменшити втрати, отримані внаслідок виявлених ризиків.

Якісна оцінка ризику

На відміну від кількісної оцінки, це оцінка, яка проводиться на основі характеристик, заснованих на сценарії загрози для активів, і, як правило, асоціюється з рейтингом ризику, який використовує такі якості, як високий, середній або високий як параметри.

Оскільки кожна людина має уявлення про те, що “висока, середня чи низька” характеристика представляє як спосіб класифікації, якісна оцінка може стати суб’єктивним елементом, тому з точки зору інформаційної безпеки важливо визначити точні критерії того, що представляє кожна категорія, з метою (знову ж таки) отримання стабільних результатів.

Можливо, простіше визначити, що ризик, класифікований як "високий", повинен мати вищий пріоритет, ніж той, що позначений як "низький". Завдання полягає у чіткому визначенні, коли якість цього стилю присвоюється кожному з ризиків. Цього можна досягти, наприклад, за допомогою матриці відносного ризику, яка використовує вплив та ймовірність виникнення як змінні класифікації ризиків та визначення пріоритетів.

Навпаки, для різних сфер організації переважно призначати певну суму грошей на ризик, тим більше, якщо додається шкала, яка допомагає визначити, коли потенційна втрата через ризики безпеки є прийнятною. Оцінка збитків полегшує прийняття рішень щодо обсягу ресурсів, виділених для захисту інформації.

Тож який підхід зручніший?

Насправді, будь-який підхід до оцінки ризику корисний, якщо метод, обраний неодноразово, дозволяє отримати послідовні, достовірні та порівнянні результати.

Головне під час оцінки пов'язане з визначенням та застосуванням критеріїв, характерних для кожної організації, що визначає її неприязнь до ризику та правильну оцінку (якісну чи кількісну), присвоєну кожному ризику. Згодом адекватний підбір варіантів лікування.

Крім того, не менш важливо знати різні фактори або загрози, які можуть вплинути на інформацію (особливо знати сценарії, які можуть насправді виникнути), що призводить до більшої ефективності та отримання реалістичних результатів. Якщо зусилля, спрямовані на оцінку, дозволяють застосовувати комбінацію підходів, ця діяльність збільшує шанси на підвищення достовірності та точності результатів в оцінках ризиків.