В рамките на оценката на риска на дадена компания можете да изберете качествен или количествен подход. Знайте ползите от всеки.

количествена

Качествена или количествена оценка на риска?

Съответната дейност по време на извършването на оценка на риска се състои в познаването на онези заплахи, които могат да се материализират, причинявайки негативни последици от по-голям обхват и поради това трябва да се разглеждат с по-висок приоритет.

Сложността възниква, когато е необходимо да се знае кои рискове трябва да бъдат разгледани първо и преди всичко какви параметри трябва да се използват за определяне на приоритетите. В този контекст обикновено се използват два подхода за издаване на оценка: качествени или количествени елементи (или комбинация от двете), които позволяват да се определи тежестта на предварително идентифицираните и анализирани рискове.

Количествена оценка на риска

Целта на количествената оценка е да присвои парични стойности на специфични рискове, така че нейната отправна точка е определянето на потенциална загуба, свързана с материализирането на една или повече заплахи.

Като цяло е по-трудно да се извърши количествена оценка (в сравнение с качествена), наред с други причини, тъй като тя може да разгледа набор от променливи, към които данните трябва да бъдат присвоени по съзнателен начин, които позволяват да се получат резултати с по-големи прецизност и прикрепен към реалността на рисковете, свързани с информацията и другите активи на компанията.

За да се изчисли потенциалната загуба, може да се използва формулата за годишна загуба (ALE), фокусирана върху моделиране на въздействието, генерирано от риск за сигурността. Използването на математически модел добавя обективност към резултатите от оценката, тъй като при същите стойности, използвани по време на изчислението, се получават последователни резултати.

В допълнение се предлага резултат, който показва връзката разходи-ползи между необходимостта от разпределяне на ресурси, които позволяват да се избегнат или намалят загубите, произтичащи от идентифицираните рискове.

Качествена оценка на риска

За разлика от количествената оценка, това е оценка, направена чрез характеристиките, които се основават на сценарий на заплаха за активите и обикновено се свързва с рейтинг на риска, който използва като параметри качества като високо, средно или високо.

Тъй като всеки човек има представа за това какво представлява характеристика „висока, средна или ниска“ като начин на класификация, качествената оценка може да се превърне в субективен елемент, така че по отношение на информационната сигурност е от съществено значение да се определят точни критерии за това, което представлява всяка категория, с цел (отново) да се получат последователни резултати.

Вероятно е по-лесно да се установи, че рискът, класифициран като „висок“, трябва да има по-висок приоритет от този, обозначен като „нисък“. Предизвикателството е ясно да се определи кога качеството на този стил е присвоено на всеки от рисковете. Това може да бъде постигнато например чрез относителна матрица на риска, която използва въздействието и вероятността за възникване като променливи за класификация на риска и приоритизиране.

Напротив, за различни области на организацията е за предпочитане да се определи парична сума за риск, още повече, ако се добави скала, която помага да се реши кога е приемлива потенциална загуба поради рискове за сигурността. Оценката на загубите улеснява вземането на решения по отношение на количеството ресурси, отпуснати за защита на информацията.

Така че кой подход е по-удобен?

Всъщност всеки подход към оценката на риска е полезен, ако методът, избран повече от един път, позволява да се получат последователни, валидни и сравними резултати.

Основното по време на оценката е свързано с дефинирането и прилагането на критерии, специфични за всяка организация, което определя нейното отвращение към риска и правилна оценка (качествена или количествена), присвоена на всеки риск. Впоследствие, адекватен избор на възможности за лечение.

Освен това е също толкова важно да се знаят различни фактори или заплахи, които могат да повлияят на информацията (особено да се знаят сценарии, които наистина биха могли да възникнат), което води до по-голяма ефективност и получаване на реалистични резултати. Ако усилията, посветени на оценката, позволяват да се извърши комбинация от подходи, тази дейност увеличава шансовете за увеличаване на валидността и прецизността на резултатите в оценките на риска.