M_o_R v kostce

Tento příspěvek slouží k rychlému seznámení s celosvětově uznávaným frameworkem M_o_R pro řízení rizik v organizaci.

Management of Risk framework, zkr. M_o_R, vznikl již někdy v roce 2002, tedy dávno před ISO 31000, a je použitelný jak ke strategickému řízení rizik, tak i k řízení rizik v programech, projektech, ale i v běžném provozu.

Rubrika: Řízení rizik
celý článek

Jak stanovit hodnotu dopadu na základě ohodnocení primárních a podpůrných aktiv

O tom, jak identifikovat primární a podpůrná aktiva a stanovit závislost mezi nimi, jsem psal posledně, nyní se zamysleme nad tím, jak určit jejich hodnotu.

Poměrně jasnou odpověď na otázku, jak stanovit hodnotu aktiva, přináší norma ČSN ISO/IEC 27005:2013, která uvádí, že bychom měli vzít v úvahu následující dvě kritéria:

Rubrika: Řízení rizik
celý článek

Je možné považovat bezpečnostní opatření za podpůrná aktiva?

Byť lze dle ČSN ISO/IEC 27005:2013 za aktivum považovat cokoliv, co má pro organizaci nějakou hodnotu, a bezpečnostní opatření nepochybně nějakou hodnotu má, tak bych je mezi podpůrná aktiva přesto neřadil.

Pokud je totiž mezi podpůrná aktiva zařadíte, dostanete se tak trochu do schizofrenní situace, protože před vámi vyvstane otázka, jaké opatření nasadíte za účelem jejich ochrany.

Rubrika: Řízení rizik
celý článek

Jak identifikovat primární a podpůrná aktiva a zachytit závislost mezi nimi

Cílem tohoto příspěvku je objasnit, jaký je rozdíl mezi primárními a podpůrnými aktivy a jaký je mezi nimi vztah.

S pojmem primární a podpůrná aktiva, někdy označována též jako sekundární, se můžeme setkat v rámci analýzy rizik. Na první pohled by se mohlo zdát, že sekundární aktiva jsou méně významná, ale není tomu tak, protože primární aktiva jsou na podpůrných závislá.

Rubrika: Řízení rizik
celý článek

Hodnocení zranitelností – 4. díl

V červnu 2015 byla uvolněna nová verze metodiky pro hodnocení zranitelností CVSS v3.0. Ta oproti předchozí verzi přináší několik změn, které mají podstatný dopad na hodnocení zranitelností.

Pojďme se společně podívat, jaké změny to jsou, a jak ovlivňují výsledek hodnocení.

Rubrika: Řízení rizik
celý článek

Proč kritická zranitelnost automaticky neznamená kritické riziko

V tomto příspěvku se pokusím vysvětlit, jak je možné, že kritická zranitelnost, které je možno zneužít vzdáleně, a zcela bez interakce uživatele kompletně ovládnout jeho zařízení, nemusí vůbec představovat významné riziko.

Jako příklad použijeme nedávno zveřejněnou kritickou zranitelnost v Adobe Flash Playeru.

Rubrika: Řízení rizik
celý článek

Enterprise risk management a agregované a kaskádové riziko

S pojmem agregované a kaskádové riziko se můžeme setkat spíše v akademické sféře než v běžné praxi.

V oblasti informační bezpečnosti pak na tyto  pojmy můžeme narazit především v materiálech od organizace ISACA, když se diskutuje o míře homogenity prostředí a z ní vyplývajících rizik.

Rubrika: Řízení rizik
celý článek

Krátké zamyšlení nad reputačním rizikem

O reputačním riziku mluvíme zpravidla v souvislosti s negativní publicitou, kdy hrozí, že zveřejnění určité informace, bez ohledu na to, zda je tato informace pravdivá či nikoliv, by mohlo způsobit ztrátu důvěry klientů, obchodních partnerů nebo akcionářů a v konečném důsledku vést k finanční ztrátě nebo i k ukončení činnosti dané společnosti na trhu.

V rámci analýzy rizik bychom se měli pokusit odhadnout, jaký dopad na business by tato negativní publicita mohla mít, a jaká je pravděpodobnost, že tato skutečnost nastane.

Rubrika: Řízení rizik
celý článek

Není vyjádření nízkého rizika pomocí zelené barvy zavádějící?

Byť se při vizualizaci jednotlivých úrovní rizik běžně používá zelená pro nízké, žlutá pro střední, oranžová pro vysoké a červená pro kritické riziko, tak si kladu otázku, zda není vyjádření nízkého rizika právě pomocí zelené barvy tak trochu zavádějící.

Nemám nic proti zelené barvě, naopak. Ale nemůže v mnoha lidech zelená barva budit zdání, že tam žádné riziko není, a tudíž že s ním není třeba nic dělat? A přitom ono riziko tam pořád je, a je třeba ho minimálně monitorovat.

Rubrika: Řízení rizik
celý článek

Jakou výši rizika jste ochotni tolerovat?

information-risk-management

V minulém příspěvku jsem psal o risk appetite, dnes bych se rád krátce zmínil o risk tolerance.

Tyto pojmy se v oblasti řízení informačních rizik příliš nepoužívají a setkáme se s nimi spíše v akademické sféře a v publikacích nejrůznějších institucí. A pokud už někdo s těmito pojmy pracuje, tak je používá ve stejném kontextu, tj. špatně.

Rubrika: Řízení rizik
celý článek