Ĉi tio estas maŝintradukita teksto kiu povas enhavi erarojn!
Scii, ke minacoj ekzistas estas bone, sed ĝi malhelpas se vi ne scias kiuj minacoj estas plej gravaj por via sistemo. Riskoanalizo helpas vin prioritigi: kion vi devas protekti, kio povas iri tute malbone, kaj kion vi devus fari pri tio?
Kio estas riskanalizo?
Riskanalizo estas sistematika revizio kie vi:
- Trovas kion eblas misfunkcii
- Taksas kiom probabla ĝi estas
- Taksas kiom grava la konsekvenco estas
- Proponas mezurojn por redukti la riskon
Vi ne bezonas esti sekurec-faktoro por fari tion. Temas pri sistematika pensado.
Paŝo post paŝo
1. Valorvaloro: Kion ni havas?
Antaŭ ol vi povu protekti ion, vi devas scii kion vi havas. Listigu la plej gravajn valorojn en la sistemo:
| Valoro | Ekzemplo | Kial grava? |
|---|---|---|
| Datumoj | Uzantdatumoj, projektdosieroj | Ne povas esti rekreatitaj |
| Servoj | Retservero, retpoŝto, dosierkonservado | Homoj dependas de ili |
| Aparataro | Serviloj, retlaboriloj | Kostas monon kaj tempon por anstataŭigi |
| Reputacio | La fido, kiun uzantoj havas al la sistemo | Malfacile rekonstrui |
2. Riskidentigo: Kio povas iri tute malbone?
Pripenso kio povas minaci viajn valorojn:
| Risko | Priskribo |
|---|---|
| Ransomware | Dosieroj estas ĉifritaj kaj postulas elaĉetmonon |
| Strominterrompo | Serviloj kaj reto falas |
| Diska difekto | Datumoj perdiĝas |
| Phishing | Iu donas pasvorton |
| Misagordigo | Ŝanĝo kiu faligas servon |
| Natura katastrofo | Fajro, akvodamaĝo, fulmotondro |
3. Taksi Probablecon kaj Konsekvencon
Por ĉiu risko, taksu du aferojn sur skalo (ekz. 1-5):
- Probableco: Kiom probable estas, ke tio okazos?
- Konsekvenco: Kiom grava estas, se tio okazos?
Riskovaloro = Probableco × Konsekvenco
| Risko | Probableco (1-5) | Konsekvenco (1-5) | Riskovaloro |
|---|---|---|---|
| Disketero | 3 | 4 | 12 |
| Ransomware | 2 | 5 | 10 |
| Phishing | 4 | 3 | 12 |
| Strominterrompo | 2 | 3 | 6 |
| Misagordigo | 3 | 3 | 9 |
Ju pli alta la riskovaloro, des pli da prioritato vi devus doni al la rimedoj.
Risikomatrice
Risikomatrico montras tion ĉi videble per koloroj:
- 🟢 Malalta (1-6): Akceptebla risko, sed gardu ĝin
- 🟡 Meza (7-14): Estu pretaj kun agoj
- 🔴 Alta (15-25): Postulas tujajn agojn
4. Proponu agojn
Por ĉiu risko kun alta aŭ meza valoro, proponu agojn:
| Risko | Agado |
|---|---|
| Disket-malfunkcio | Kopiado (3-2-1-regularo), RAID sur serviloj |
| Ransomware | Ĝisdatigoj, senreta kopiado, trejnado |
| Phishing | Konsciigo, MFA, retpoŝta filtrado |
| Mis-konfiguracio | Dokumentado, ŝanĝa registro, momentfoto antaŭ ŝanĝo |
5. Dokumentu kaj sekvu
La riskanalizo ne estas unufoja ekzerco. Skribu ĝin, dividu ĝin kun la teamo, kaj reviziu ĝin regule (ekz. ĉiun duonjaron aŭ post okazaĵo).
Tasko 1 - Realigu mini-riskokvantigon
Elektu sistemon kiun vi konas (ekz. via propra komputilo, VM kiun vi starigis, aŭ la lerneja reto) kaj trairu la paŝojn:
- Listu 3-5 valorojn (kio estas grava?)
- Trovu 3-5 riskojn (kio povas iri tute malbone?)
- Donu al ĉiu punkto probablon kaj konsekvencon (1-5)
- Proponu agojn por tiuj kun la plej alta riskovaloro
Uzu tabelkalkulilon aŭ simplan tablon en Markdown.
Resumo
- Analizo de risko helpas vin prioritatigi sekurecajn mezurojn
- La paŝoj estas: valora taksado, riskoidentigo, taksado de probableco/konsekvenco, mezuroj kaj dokumentado
- Riskovaloro = probableco × konsekvenco
- Riskoanalizo ne estas unufoja ekzerco, ĝi devas esti ĝisdatigita regule
Vi povas elŝuti ŝablonon por risktaksado ĉe Datatilsynet.