Hlavní navigace

Webové aplikace s sebou přinášejí různě závažná rizika (dokončení)

Dokončení článku Webové aplikace s sebou přinášejí různě závažná rizika

4. krok: Stanovení závažnosti rizika

A teď si všechna ta čísla dáme dohromady. Konečně se dopracujeme k tomu, zda je celková závažnost rizika nízká, střední, vysoká anebo kritická.

Získané odhady pravděpodobnosti:

Útočník: 6 b.

Zranitelnost: 5,75 b.

Pravděpodobnost – průměr: (23 + 24) / (4 + 4) = 47 / 8 = 5,875 b.

Získané odhady dopadů:

Technické dopady: 6,5 b.

Business dopady: 6,5 b

Dopad – průměr: (26 + 26) / (4 + 4) = 52 / 8 = 6,5 b.

Nyní nám stačí převést čísla do slov, říci si, jaké bodové rozmezí je malé, střední a značné:

Příklad: V našem příkladu jsme si obodovali pravděpodobnost na 5,875 bodu, čímž se vlezeme na „střední pravděpodobnost“.

Pravděpodobnost

0 až < 3

Malá

3 až <6

Střední

6 až 9

Značná

Příklad: V našem příkladu jsme si obodovali dopad na 6 bodu, čímž se vlezeme na „značný dopad“.

A jaká je celková závažnost rizika? Vzpomeňme si na formuli:

RIZIKO = PRAVDĚPODOBNOST X DOPAD

Převeďme ji do tabulky:

Dopad

0 až < 3

Malý

3 až <6

Střední

6 až 9

Značný

Příklad: V našem příkladu jsme zjistili „střední pravděpodobnost“ a „značný dopad“. Celková závažnost tedy je „vysoká“.

Rozhodnete-li se zavést si podobnou metodiku ve vaší společnosti, doporučuji držet se několika bodů:

Systém hodnocení rizik má:

  • čas šetřit, ne jej ztrácet

  • eliminovat případné diskuse o prioritách

  • umožňovat soustředit se na vážnější rizika a bránit rozptylování se riziky méně závažnými

Zvažte sami, zda je pro vás lepší využívat jen velmi hrubý odhad daný tabulkou „Celková závažnost rizika“ anebo jestli chcete použít detailní rozbor jednotlivých nálezů. Mně osobně se osvědčilo používání právě tabulky „Celková závažnost rizika“, kterou si člověk snadno zapamatuje a v mžiku je schopen alespoň „od pasu zamířit“. Podrobnější rozbor mi slouží jako prevence před různými spekulacemi a také jako něco, co se dá přizpůsobovat potřebám toho či onoho projektu – lze si vymyslet různé faktory jak pro pravděpodobnost, tak pro dopady; záleží však na charakteru použití obdobné metodiky. Pro firmu je pochopitelně středobodem pro takovou metodiku podnikatelské riziko.

A co dál?

Objevili jsme spoustu rizik, dokázali jsme v jednotlivých případech určit jejich závažnost. Ale co dál?

  1. Na řadě je jejich oprava. Platí pravidlo, že bychom nejdříve měli zacelit ty nejzávažnější díry a poté postupovat k těm méně závažným. Ne každá oprava však stojí za to. Představte si, že by vás oprava přišla na 500 000 Kč. Avšak celková závažnost rizika je nízká a dopadem by byla vyčíslená ztráta 10 000 Kč. V takovém případě bych se do opravy zřejmě nepouštěl.

  2. Přizpůsobte si model hodnocení rizika podle svého hodnocení:

    1. Určete si své faktory, které nejlépe reprezentují daný projekt (anebo vaši společnost)

    2. Přizpůsobte možnosti jednotlivých faktorů (spektrum, skóre aj.);

Jaká je praxe?

Přese všechna výše uvedená povídání je třeba si přiznat, že reálná praxe je diametrálně odlišná. V „garážovkách“, bez jasně vymezených procesů se úvahy o modelování hrozeb, hodnocení míry rizikovosti či budování testovacích scénářů tříští. Mnoho malých firem nedostatky nakupené zanedbanými počátečními fázemi vývoje webové aplikace dohání v mnohdy ztrátových servisních či záručních fázích. Dokonce i v případě, že je přistoupeno k penetračnímu otestování po vyhotovení aplikace, zjistí se, že náklady na opravu bezpečnostní chyby jsou příliš vysoké a z finančního hlediska neřešitelné anebo ztrátové. Známé tvrzení „Čím později nalezená chyba, tím dražší oprava.“ platí i pro bezpečnostní chyby – navíc k tomu připočtěme možné ztráty tím či oním dopadem; oproti mnohým „krabicovým“ systémům uvedené pro webové aplikace platí několikanásobně.

Za vůbec nejzávažnější riziko mnoha vývojářských společností považuji absenci zájmu o vývoj bezpečných aplikací. Méně závažné, ale nepochybně značně rizikové pro softwarovou společnost je pouhé otestování až po vyhotovení produktu – což může vést k nereálnosti o­prav.

Důležitým aktem při vývoji webových aplikací je zahrnout téma bezpečnosti vyvíjených aplikací do celého procesu vývoje ať to je proces jakýkoliv.

Je třeba podotknout, že obdobné metodiky v každé společnosti potřebují dozrát s nabývajícími zkušenostmi a know-how.

Někdy však plně postačí, když se vývojářský tým zaměří na některá nejzásadnější bezpečnostní rizika. Např. OWASP Top Ten, to však bruslíme již do tématu našeho příštího seriálového tématu.  

Celková závažnost rizika

Dopad

Značný

Střední

Vysoká

Kritická

Střední

Nízká

Střední

Vysoká

Malý

Poznámka

Nízká

Střední

Malá

Střední

Značná

Pravděpodobnost

Podnikatel.cz: Přehledná titulka, průvodci, responzivita

Přehledná titulka, průvodci, responzivita

DigiZone.cz: NG natáčí v Praze seriál o Einsteinovi

NG natáčí v Praze seriál o Einsteinovi

DigiZone.cz: Česká televize mění schéma ČT :D

Česká televize mění schéma ČT :D

Lupa.cz: Google měl výpadek, nejel Gmail ani YouTube

Google měl výpadek, nejel Gmail ani YouTube

120na80.cz: Bojíte se encefalitidy?

Bojíte se encefalitidy?

Lupa.cz: UX přestává pro firmy být magie

UX přestává pro firmy být magie

120na80.cz: Jak oddálit Alzheimera?

Jak oddálit Alzheimera?

Podnikatel.cz: Víme první výsledky doby odezvy #EET

Víme první výsledky doby odezvy #EET

Podnikatel.cz: 1. den EET? Problémy s pokladnami

1. den EET? Problémy s pokladnami

Vitalia.cz: Baletky propagují zdravotní superpostel

Baletky propagují zdravotní superpostel

DigiZone.cz: Sony KD-55XD8005 s Android 6.0

Sony KD-55XD8005 s Android 6.0

Vitalia.cz: To není kašel! Správná diagnóza zachrání život

To není kašel! Správná diagnóza zachrání život

Vitalia.cz: Paštiky plné masa ho zatím neuživí

Paštiky plné masa ho zatím neuživí

Vitalia.cz: Tesco: Chudá rodina si koupí levné polské kuře

Tesco: Chudá rodina si koupí levné polské kuře

Vitalia.cz: Láska na vozíku: Přitažliví jsme pro tzv. pečovatelky

Láska na vozíku: Přitažliví jsme pro tzv. pečovatelky

Vitalia.cz: Jsou čajové sáčky toxické?

Jsou čajové sáčky toxické?

Vitalia.cz: Chtějí si léčit kvasinky. Lék je jen v Německu

Chtějí si léčit kvasinky. Lék je jen v Německu

Lupa.cz: Co se dá měřit přes Internet věcí

Co se dá měřit přes Internet věcí

Měšec.cz: Jak vymáhat výživné zadarmo?

Jak vymáhat výživné zadarmo?

Lupa.cz: Propustili je z Avastu, už po nich sahá ESET

Propustili je z Avastu, už po nich sahá ESET