Kvalitativní analýza rizik:
atraktivní jednoduchost, problematické výsledky
🕒 4 min čtení
Kvalitativní analýza rizik je založena na expertním odhadu jednotlivých aktiv, hrozeb a zranitelností. Pro jejich vyjádření používá slovního či číselného hodnocení a umožňuje tak rychle identifikovat největší rizika, která mohou společnost ohrozit.
Analýza aktiv
V tomto kroku bychom měli identifikovat všechna pro společnost kritická aktiva a následně stanovit jejich hodnotu. Uvědomte si, že v případě nežádoucího zpřístupnění, změny nebo zničení informací nejenže přijdete o zisk, ale budete muset i zaplatit pokutu nebo penále, protože např. nebudete schopni poskytovat své služby v souladu s SLA. Obvykle se nejprve sepíší všechna aktiva a poté se slovně ohodnotí jejich důležitost pro společnost např. jako nízká, střední, vysoká nebo kritická. Kolik stupňů používáte pro stanovení hodnoty aktiva vy a na základě čeho tuto hodnotu stanovujete?
Nahrávání ...
Analýza hrozeb
V tomto kroku bychom měli analyzovat hrozby, kterým je společnost vystavena. U každé hrozby bychom měli stanovit pravděpodobnost jejího výskytu tzv. probability nebo likelihood. Jestliže se hrozba vyskytuje minimálně jedenkrát ročně, můžeme hovořit o tom, že pravděpodobnost výskytu hrozby je jistá. Pokud se daná hrozba prakticky nevyskytuje, můžeme hovořit o tom, že pravděpodobnost výskytu dané hroby je nízká. Kolik stupňů používáte pro stanovení pravděpodobnosti hrozby vy a na základě čeho ji stanovujete?
Nahrávání ...
Analýza zranitelností
V tomto kroku bychom se měli zamyslet nad tím, jaká je míra zranitelnost daného aktiva vůči působení dané hrozby. V okamžiku, kdy stanovujeme míru zranitelnosti, již bereme v úvahu implementovaná opatření, která účinnost hrozby snižují. V případě, že víme, že žádné opatření ke snížení zranitelnosti nasazeno není, můžeme míru zranitelnosti daného aktiva označit jako kritickou. Pokud se obáváme, že opatření spíše selže, můžeme zranitelnost označit jako vysokou. Pokud doufáme, že opatření spíše neselže, můžeme zranitelnost označit jako střední. A konečně, pokud jsme přesvědčeni, že opatření nikdy neselže, můžeme zranitelnost daného aktiva označit jako nízkou. Kolik stupňů používáte pro stanovení míry zranitelnosti vy a na základě čeho ji stanovujete?
Nahrávání ...
Stanovení výše rizika
V okamžiku, kdy známe hodnotu dopadu (A), pravděpodobnost hrozby (T) a hodnotu zranitelnosti (V), můžeme přistoupit ke stanovení rizika (R). Oproti kvantitativní analýze rizik, kde je způsob výpočtu víceméně daný a nikdo ho nezpochybňuje, tak v případě kvalitativní analýzy rizik neexistuje pouze jediná možnost, jak se dobrat výsledku. Možnost zvolit si v podstatě jakoukoliv stupnici pro stanovení hodnoty aktiv, hrozeb a zranitelností představuje sice na jednu stranu výhodu, ale na stranu druhou to komplikuje srovnávání výsledků AR provedených nejrůznějšími společnostmi.
Nahrávání ...
Na rozdíl od kvantitativní analýzy zde však není stanoven jediný postup. V mezinárodních standardech se dočtete, že jediná podmínka je, aby metodika výpočtu rizika byla uvedena, poskytovala porovnatelné a měřitelné výsledky a v případě, že dojde ke změně hodnoty aktiva, hrozby nebo zranitelnosti, tak aby došlo i ke změně hodnoty rizika. To vede k tomu, že kromě asi nejčastěji používaného vzorce, kde se riziko počítá jako součin jednotlivých veličin (R=A*T*V), je možné použít i vzorec, který stejné veličiny sčítá (R=A+T+V), neboť i ten splňuje výše uvedený požadavek. Že v obou případech dojdeme při použití stejných měřítek k rozdílnému výsledku, snad není nutné zdůrazňovat.
Závěr
V praxi je nutné rozhodnout, jakou metodiku výpočtu použít, kolik stupňů zvolit pro hodnocení aktiv, hrozeb a zranitelností a jak nastavit úrovně výsledného rizika. Tyto volby mají zásadní vliv na to, jak budou rizika prioritizována.
Přes veškerou snahu ale kvalitativní analýza naráží na zásadní slabinu a tou je matematický aparát, na kterém je založena, a který nás vede k naprosto zavádějícím výsledkům. Kombinace a násobení ordinálních hodnot sice vytváří iluzi exaktnosti, ve skutečnosti však neposkytuje spolehlivý základ pro rozhodování o alokaci zdrojů a zvládání rizik. A proto je třeba na tomto místě doporučit od kvalitativních metod ustoupit a přejít na metody semikvantitativní a kvantitativní.
Pokud se vám líbí naše články, tak zvažte podporu naši práce – Naskenujte QR kód a přispějte libovolnou částkou.
Děkujeme!
ČERMÁK, Miroslav. Kvalitativní analýza rizik:
atraktivní jednoduchost, problematické výsledky. Online. Clever and Smart. 2010. ISSN 2694-9830. Dostupné z: https://www.cleverandsmart.cz/analyza-rizik-kvalitativni-analyza-rizik/. [cit. 2025-12-15].
Štítky: analýza rizik, řízení informačních rizik
Diskuse na tomto webu je moderována. Pod článkem budou zobrazovány jen takové komentáře, které nebudou sloužit k propagaci konkrétní firmy, produktu nebo služby. V případě, že chcete, aby z těchto stránek vedl odkaz na váš web, kontaktujte nás, známe efektivnější způsoby propagace.