Kockázatok felmérése - Dr. Berta István Zsolt

Kockázatok felmérése

2007-03-19

A biztonságot (és így az informatikai biztonságot) tekinthetjük kockázatokal történő tudatos szembenállásnak. Véges erőforrásokkal rendelkezünk, így minden veszély ellen nem tudjuk megvédeni magunkat. Ehelyett felmérjük, hogy milyen fenyetettségek leselkednek ránk, értékeljük, hogy melyik mekkora kockázatot jelent, és olyan módon védekezünk, hogy a védelem "költséghatékony" legyen. Meghatározzuk, mekkora az a kockázat, amit még el tudunk fogadni, és minden kockázatot ez alá a szint alá csökkentünk. A védelmi intézkedések meghatározásánál nemcsak azt kell figyelembe venni, hogy az adott intézkedés milyen kockázatokat csökkent, hanem azt is, hogy az mennyibe kerül. (A "költség" és az "erőforrás" szavak cégek esetén tipikusan pénzben kifejezhető, anyagi költséget jelentenek, de a vállalt kényelmetlenség, az aggódás és az erkölcsi kár is ennek tekinthető.)

Egy cég vagy szervezet informatikai rendszerének védelmét ma ilyen megközelítés szerint szokás megtervezni. Például a CobIT rendszer egy ilyen megközelítésre épül.

Gyakran - bár nem tudatosan - magánszemélyek is hasonló elvek alapján védekeznek. Igaz, néha alaposan mellényúlnak. Ez a cikk például arról szól, hogy az emberek - gyakran a média keltette tömeghisztéria hatására - bizonyos kockázatokat (amelyeknek szinte elenyészően kicsi a valószínűsége) túlértékelnek, és azokon tépelődnek, míg más kockázatokat (dohányzás, autóbaleset) szinte észre sem vesznek. Eszerint az írás szerint a terrorizmus jelent szinte elhanyagolható kockázatot, éves szinten kb. annyian halnak meg tőle (az USÁ-ban), mint pl. villámcsapástól. Igaz, gyakran más szempontok is vannak egy védelmi intézkedésről szóló döntés esetén, mint az, hogy az mennyire hatékony, ilyen például, hogy lehetőleg minél kevésbé lehessen felelősségre vonni vagy kirúgni azt, aki a döntést hozza.