Azonban a hazai közép- és nagyvállalatok körében az elmúlt egy évben végzett felmérések azt mutatják, hogy ez a lemaradás folyamatosan csökken és egyre több cégnél, illetve intézménynél ismerik fel, hogy piaci lehetőségeik kiterjesztése és versenypozíciójuk erősítése csak megfelelően felépített, hatékony, gyors és biztonságos informatikai alapokon lehetséges. A cégek és szervezetek informatikai függősége Magyarországon is egyre nő, ami előtérbe helyezi a biztonságos informatikai rendszerek megteremtésének kérdését. Ennek egyik legfontosabb területe az informatikai kockázatelemzés.

A cégekre, illetve intézményekre és üzleti folyamataikra ható kockázati tényezők bekövetkezési valószínűsége és kárpotenciálja változó. A kockázati tényezők kiküszöbölése drága, és sokrétűségük miatt nem mindig lehetséges. Olyan megoldásra van tehát szükség, amely a kockázati tényezők azonosításával, hatásuk felmérésével adja meg a költség-hatékony megoldást. A különböző szervezeteknek saját biztonságuk érdekében tisztában kell lenniük informatikai rendszereik gyenge pont-jai-val, kockázataival, valamint azzal, hogy miként, és milyen biztonsági intézkedésekkel tud-ják mérsékelni ezeket.

Ezért van egyre nagyobb szükség megfelelő kockázatelemzési és -kezelési tevékenységek alkalmazására.
A kockázat annak veszélye, hogy egy esemény vagy intézkedés hátrányosan befolyásolja egy szervezet lehetőségeit üzleti céljainak és stratégiáinak megvalósítása során.

A kockázatkezelés célja olyan optimális kockázatkezelési szint meghatározása, amely szinten a felmért és kezelt kockázati tényezők az üzleti folyamatokat csak az előre meghatározott mértékben befolyásolják.
Általános értelemben vett kockázatkezelésről akkor beszélhetünk, ha a cég vagy intézmény tudatos erőfeszítéseket tesz az általános üzletmenetét, üzleti folyamatait fenyegető kockázatok rendszeres azonosítása és értékelése, valamint az ehhez kapcsolódó kockázatcsökkentő intézkedések kidolgozása és megvalósítása érdekében.

Az általános kockázatkezelésnek egy részterületét jelenti az informatikai kockázatkezelés, amely alatt az informatikai rendszert, az informatikai infrastruktúrát és az ezeket üzemeltető informatikai szervezetet fenyegető kockázatok rendszeres azonosítását és értékelését, valamint az ehhez kapcsolódó kockázat csökkentő intézkedések kidolgozását és megvalósítását értjük.

A megvalósítás módja és mélysége szerint – első közelítésben – ma két kockázatelemzési módszer ismeretes: a kvalitatív (minőségi) és a kvantitatív (mennyiségi) kockázatelemzés.
Ahhoz, hogy egy informatikai vezető felelősséggel dönthessen a kérdésben, érdemes tisztázni, hogy mi is a különbség a két módszer között.

A kvalitatív (minőségi) technika nem valószínűségeket, biztonsági mérőszámokat ad, hanem súlyossági és kockázati szinteket állapít meg, és ezzel viszonylag durva mérést tesz lehetővé.
A kvantitatív (mennyiségi) elemzés lényegesen finomabb felbontású, számszerűsíti a kockázati valószínűségeket, és az észlelt adatok modellezési technikák alkalmazásával történő statisztikai elemzését is tartalmazza. Beletartozik a biztonságos működést befolyásoló gyenge pontok azonosítása és ezek százalékban kifejezett részarányának megállapítása a kockázatot jelentő események bekövetkezési valószínűségében.
A megvalósítandó védelmi intézkedések meghatározásához, rangsorolásához és ütemezéséhez részletes és számszerűsített kiindulási információkra van szükség. Ezek az információk jelentik az alapját a költséghatékonyság-elemzéseknek, amelyek segítségével a felső vezetés, illetve a tulajdonosok számára indokolható egy-egy tervezett informatikai biztonsági beruházás vagy fejlesztés szükségessége.
Tény, hogy a sokkal használhatóbb eredményt adó kvantitatív elemzés bonyolultabb, emiatt több időt és ráfordítást igényel. Azonban, ahogy az informatika fejlődik, és ahogy a cégek és intézmények egyre inkább kiszolgáltatottá válnak informatikai rendszereik által, úgy fokozódik az igény is a lehetséges informatikai fenyegetettségek pontosabb mérhetősége és számszerűsíthetősége irányában.

A cégek és intézmények informatikai döntéshozóinak minden olyan esetben, amikor ez lehetséges, a kvantitatív informatikai kockázatelemzés megvalósítására kell törekedniük, még akkor is, ha a rövidtávú gazdaságossági szempontok ennek az ellenkezőjét sugallják.

Érdemes megfigyelni, hogy bár a nagy nemzetközi informatikai elemző cégek (pl.: Gartner Group, IDC stb.) felmérései azt mutatják, hogy Nyugat-Európában és Észak-Amerikában – a kockázatkezelési módszerek fejlődése és a kockázatok mind pontosabb mérésének műszaki lehetősége miatt – fokozatosan előtérbe kerül a lehetséges informatikai kockázatok számszerűsítése (azaz a kvantitatív módszertan), és ennek megvalósítása érdekében egyre jelentősebb erőfeszítéseket tesznek. Magyarországon még a kvalitatív informatikai kockázatelemzés az elterjedtebb.

Sajnos Magyarországon még nagyon kevés az olyan megfelelő szakértelemmel és tapasztalattal rendelkező szakértő, aki képes eredményesen végrehajtani egy kvantitatív informatikai kockázatelemzést. Ez pedig oda vezethet, hogy a szakértők felkészületlensége, valamint a kockázatelemzés nem megfelelő kiterjedtsége és részletezettsége miatt sikertelen kvantitatív kockázatelemzési próbálkozásokból tévesen arra következtetnek a döntéshozók, hogy a kvantitatív módszernek nincs értelme és nem is megvalósítható.
A kvantitatív kockázatelemzés a stratégiai tervezés eszköze, így ráfordításai is csak hosszabb távon térülnek meg. Azonban e módszer alkalmazása már kezdetben is olyan értékes többletinformációkhoz segíti a döntéshozókat, amelyek a kvalitatív elemzésekből nem nyerhetők ki.

Papp Attila
vezető tanácsadó
KÜRT Computer Rt.
12