iT邦幫忙

第 11 屆 iT 邦幫忙鐵人賽

DAY 2
0
Security

什麼都會一點的住海邊資安證照 cissp系列 第 2

邊逛夜市邊聊風險吧

上一篇結尾聊到風險,今天就針對這個主題多講一點

我們先假設一個情境,今天會圍繞著這個情境走

你帶著錢要去逛夜市

引用 告野家 夜市緣 的MV,沒看過的可以先看一下或開著當背景音樂

逛夜市可能產生的風險有什麼呢?

馬上先引入另外一個觀念,資安一定會提的三要素 CIA (剛好跟中情局同縮寫很好記)

  • 機密性 Confidentiality
  • 可用性 Integrity
  • 完整性 Availability

上述三個要素只要有一個出事都是風險,我們開始把逛夜市情境嘗試亂掰分析風險

機密性

原本只要帶老爸去的,結果因為逛夜市的計劃外洩,老母知道也想去
這就是機密性的風險,被未經授權的人取得相關資訊,可能會衍伸其他災害

可用性

一開始打算一台機車載兩個人,但三個人硬要擠,可能機車載不動,這就是可用性風險

完整性

這邊就比較難用MV舉例了
假設去夜市前自己先在紙上寫了打算要吃的東西

* 喝珍奶
* 吃雞排

結果紙放在桌上,老母不定趁大家不注意又多寫了一些上去

* 喝珍奶
* 吃雞排和地瓜球
* 買拖把

這就是完整性風險,不論增加或減少都是完整性的風險

我們把上述的風險重新描述一次,然後進入下個接電

  • 逛夜市的計劃外洩
  • 機車無法承載超過2人
  • 購物清單未經授權異動

風險評鑑

針對風險,要更近一步列出風險會產生的影響

  • 逛夜市的計劃外洩
    要帶的人變多了
  • 機車無法承載超過2人
    可能得用徒步方式前往夜市或根本到不了夜市
  • 購物清單未經授權異動
    要花的錢變多了

風險控制

既然找出風險了,我們需要進一步進行一些控制措施和方法,來降低風險造成的影響

  • 逛夜市的計劃外洩
    原先因為直接在門口喊問老爸要不要去逛夜市,所以被老母知道了,可以改成走去老爸房間講小聲一點,減少被聽到的風險

  • 機車無法承載超過2人
    可以選擇改搭公車、騎兩台機車、走路等方式
    MV裡使用違法超載的方式,賭路上沒有警察不會抓到,把一個風險轉換成另外一種風險,這也是一種風險控制的方式

  • 購物清單未經授權異動
    可以把購物清單寫好後紙就放在口袋收好,不要輕易的讓其他人加字上去

該控制到什麼程度?

有沒有注意到上面的措施都很簡單,感覺還是很容易出問題?
我們以逛夜市計劃外洩來說好了,走去老爸房間,如果老母也在那還是會被知道,或是老爸自己把事情講出去

不過跟前一篇一樣,沒有100%的安全,做到剛剛好就好

上述這些風險,如果經過控制措施後,風險發生的機率或損失都在能接受的範圍,那就可以了

實務上的風險評鑑當然遠比這篇還要複雜,這裡也附上一份參考文件給有心想要認真學習的人
資訊系統風險評鑑介紹 - 國家資通安全會報 技術服務中心
https://download.nccst.nat.gov.tw/attachfilehandout/2010091002.pdf


上一篇
先想想,為什麼要做資安?
下一篇
如何呈現資安(自己)的價值?
系列文
什麼都會一點的住海邊資安證照 cissp11

尚未有邦友留言

立即登入留言