Ambicí analýzy rizik není předvídat budoucnost

Riziko je odvozeno z pravděpodobnosti hrozby, míry zranitelnosti a hodnoty dopadu.

Riziko můžeme definovat jako pravděpodobnost, že se vyskytne určitá hrozba, která překoná bezpečnostní opatření, zneužije nějaké zranitelnosti a způsobí škodu plynoucí z úniku citlivých informací, jejich nežádoucí změny nebo zničení. Hrozba je pak někdo/něco, kdo/co má potenciál způsobit nějakou škodu na aktivu a zranitelnost je vlastnost samotného aktiva.

Analýza rizik by se měla provádět pravidelně, a vybraná rizika by se měla soustavně monitorovat a přezkoumávat, neboť je zřejmé, že v dostatečně dlouhém časovém období dojde vždy k realizaci dané hrozby. V analýze rizik však počítáme s určitým časově omezeným obdobím (Time Frame, zkr. TF), kterým je zpravidla jeden rok, a proto hovoříme o pravděpodobnosti (probability), že dojde k realizaci určité hrozby. Ona pravděpodobnost se pak pohybuje někde mezi 0% až 100%.

Jestliže ze statistiky víme, že se určitá hrozba vyskytuje jednou za 10 let a stanovíme pravděpodobnost 10% a k realizaci hrozby dojde hned v následujícím roce, znamená to, že jsme se mýlili? Nikoliv, každé naše rozhodnutí je provázeno určitou mírou nejistoty, absolutní jistotu nemáme nikdy a nevíme, jaký bude mít naše rozhodnutí dopad na budoucnost a ani analýza rizik nemůže přinést odpověď na tuto otázku.

A ne jinak je tomu i u úmyslných hrozeb, kdy je pravděpodobnost hrozby též velice obtížné určit. Je zřejmé, že pravděpodobnost výskytu úmyslné hrozby je dána minimálně třemi základními faktory. Musí existovat motiv, ten zvyšuje především atraktivita aktiva, která může i potlačit přirozenou obavu z odhalení a následků, a dále pak příležitost, tedy možnost hrozbu vůbec realizovat a konečně schopnost, tedy mít odpovídající znalosti a prostředky.

Pokud si teď říkáte, že by vzhledem k obtížnému stanovení pravděpodobnosti hrozby a jejímu subjektivnímu vnímání možná nebylo špatné ji z výpočtu rizika úplně vypustit nebo jí přisoudit nejvyšší hodnotu, protože co kdyby se ta hrozba přeci jen vyskytla, tak uvažujete naprosto scestně. V případě, že hrozbu z výpočtu vypustíte, není již možné hovořit o riziku a pokud ji zvýšíte, uměle zvyšujete riziko a hrozí, že budete zbytečně investovat do implementace příslušných opatření.

Poznámka: Jak správně provést komplexní analýzu rizik, je detailně popsáno v knize „Řízení informačních rizik v praxi“ a v dalších příspěvcích na tomto webu.

Pokud vás tento článek zaujal, můžete odkaz na něj sdílet.

Štítky: ,


K článku “Ambicí analýzy rizik není předvídat budoucnost” se zde nenachází žádný komentář - buďte první.

Diskuse na tomto webu je moderována. Pod článkem budou zobrazovány jen takové komentáře, které nebudou sloužit k propagaci konkrétní firmy, produktu nebo služby. V případě, že chcete, aby z těchto stránek vedl odkaz na váš web, kontaktujte nás, známe efektivnější způsoby propagace.

Přihlášeným uživatelům se tento formulář nezobrazuje - zaregistrujte se.

Jméno:(požadováno)
E-mail:(požadováno - nebude zobrazen)
Web:

Text vaší reakce: