Ĉi tio estas maŝintradukita teksto kiu povas enhavi erarojn!
Scii, ke minacoj ekzistas estas bone, sed ĝi malhelpas se vi ne scias kiuj minacoj estas plej gravaj por via sistemo. Riskoanalizo helpas vin prioritigi: kion vi devas protekti, kio povas iri tute malbone, kaj kion vi devus fari pri tio?
Kio estas riskanalizo?
Riskanalizo estas sistema revizio, kie vi:
- Determinas kion povas malbone
- Taksas kiel verŝajne ĝi estas
- Taksas kiel grave la konsekvenco estas
- Proponas rimedojn por redukti la riskon
Vi ne bezonas esti sekureca eksperto por fari tion. Temas pri pensema sisteme.
Paŝo post paŝo
1. Valorigo: Kion ni havas?
Antaŭ ol vi povas protekti ion, ni devas scii kion ni havas. Listigu la plej gravajn valorojn en la sistemo:
| Valoro | Ekzemplo | Kial grave? |
|---|---|---|
| Datum | Uzantdatumoj, projektfajloj | Ne povas esti rekonstruita |
| Servoj | Webserver, retpoŝto, dosierstoko | Homoj dependas de ili |
| Maskinar | Serviloj, retumsaro | Kostas monon kaj tempon anstataŭigi |
| Reputacio | La fido, kiun uzantoj havas al la sistemo | Malfacile rekonstrui |
2. Riskidentigo: Kio povas malbone okazi?
Pensu pri kio povas minaci viajn valorojn:
| Risiko | Priskribo |
|---|---|
| Ransomware | Dosieroj estas ĉifritaj kaj postulas ransomware |
| Elektosvanko | Serviloj kaj retoj ĉesas funkcii |
| Diska eraro | Datumoj perdiĝas |
| Phishing | Iu donas siajn pasvortojn |
| Malĝusta agordo | Agordo, kiu haltigas servon |
| Naturalscaŭto | Bruldego, akvodaŭno, ŝtormo |
3. Taksi Probablecon kaj Konsekvencon
Por ĉiu risko, taksu du aferojn sur skalo (ekz. 1-5):
- Probableco: Kiom probable estas, ke tio okazos?
- Konsekvenco: Kiom grava estas, se tio okazos?
Riskovaloro = Probableco × Konsekvenco
| Risko | Probableco (1-5) | Konsekvenco (1-5) | Riskovaloro |
|---|---|---|---|
| Disketero | 3 | 4 | 12 |
| Ransomware | 2 | 5 | 10 |
| Phishing | 4 | 3 | 12 |
| Strominterrompo | 2 | 3 | 6 |
| Misagordigo | 3 | 3 | 9 |
Ju pli alta la riskovaloro, des pli da prioritato vi devus doni al la rimedoj.
Riskmatrico
Riskmatrico montras tion vizuele per koloroj:
- 🟢 Malalta (1-6): Akceptebla risko, sed monitoru ĝin
- 🟡 Meza (7-14): Devas havi agadojn pretaj
- 🔴 Alta (15-25): Postulas tuŝajn agadojn
4. Proponu agojn
Por ĉiu risko kun alta aŭ meza valoro, proponu agojn:
| Risko | Agado |
|---|---|
| Disket-malfunkcio | Kopiado (3-2-1-regularo), RAID sur serviloj |
| Ransomware | Ĝisdatigoj, senreta kopiado, trejnado |
| Phishing | Konsciigo, MFA, retpoŝta filtrado |
| Mis-konfiguracio | Dokumentado, ŝanĝa registro, momentfoto antaŭ ŝanĝo |
5. Dokumentu kaj sekvu
La riskanalizo ne estas unufoja ekzerco. Skribu ĝin, dividu ĝin kun la teamo, kaj reviziu ĝin regule (ekz. ĉiun duonjaron aŭ post okazaĵo).
Tasko 1 - Realigu mini-riskokvantigon
Elektu sistemon kiun vi konas (ekz. via propra komputilo, VM kiun vi starigis, aŭ la lerneja reto) kaj trairu la paŝojn:
- Listu 3-5 valorojn (kio estas grava?)
- Trovu 3-5 riskojn (kio povas iri tute malbone?)
- Donu al ĉiu punkto probablon kaj konsekvencon (1-5)
- Proponu agojn por tiuj kun la plej alta riskovaloro
Uzu tabelkalkulilon aŭ simplan tablon en Markdown.
Resumo
- Analizo de risko helpas vin prioritatigi sekurecajn mezurojn
- La paŝoj estas: valora taksado, riskoidentigo, taksado de probableco/konsekvenco, mezuroj kaj dokumentado
- Riskovaloro = probableco × konsekvenco
- Riskoanalizo ne estas unufoja ekzerco, ĝi devas esti ĝisdatigita regule
Vi povas elŝuti ŝablonon por risktaksado ĉe Datatilsynet.