Analýza rizik: nízká pravděpodobnost hrozby a kritický dopad
Je způsob výpočtu rizika, tak jak je uveden v mezinárodních standardech, použitelný i v případech, kdy jedna hodnota nabývá svého minima a druhá naopak svého maxima?
Při analýze rizik zcela jistě narazíte jak na hrozby vyskytující se velice často, a mající na organizaci naprosto zanedbatelný dopad, tak i na hrozby, které se nevyskytují prakticky vůbec, ale přitom by jejich dopad na organizaci mohl být zdrcující. V rámci analýzy rizik vám však v obou těchto případech vyjde riziko spíše nízké nebo střední, a to bez ohledu na to, jaký použijete matematický aparát. Je to tak ale v pořádku?
Samozřejmě, že ano, nesmíte totiž zapomínat na to, že jedním ze způsobů zvládání rizik je i nepřetržitý monitoring a periodické přezkoumávání rizika. Tento mechanismus byl do řízení rizik zabudován právě kvůli těm rizikům, která vychází jako nízká z důvodů nízké četnosti výskytu určité hrozby s vysokým dopadem, případně hrozby s vysokou četnosti výskytu a nízkým dopadem.
Nepřetržitým monitoringem a periodickým přezkoumáváním těchto rizik můžeme zjistit, že se zvýšila škoda, kterou byste mohli v případě realizace dané hrozby utrpět, nebo že se daná hrozba začala objevovat častěji, anebo že se velikost dopadu ani frekvence četnosti hrozby vůbec nezměnila.
Je zřejmé, že v prvním případě se nejspíš rozhodnete pro realizaci příslušného opatření, a ve druhém pak budete zase pokračovat v nepřetržitém monitoringu nebo periodickém přezkoumávání rizika.
Vzhledem k tomu, že i nepřetržitý monitoring a periodické přezkoumávání rizika něco stojí, měli byste vždy porovnat, jaké tato činnost generuje náklady vůči nákladům na realizaci konkrétního opatření. Pokud by náklady na realizaci konkrétního opatření byly nižší, může mít smysl ho realizovat.
Rizika byste rovněž neměli posuzovat izolovaně, protože pak by vám mohla uniknout i jedna podstatná skutečnost, že se třeba týkají stejného aktiva, což by mohlo vést i akceptaci rizika, namísto jiné, pro tento účel vhodnější metody jejich zvládání. Určitě vám doporučuji jednotlivá rizika zanést do grafu, protože pak na první pohled uvidíte, kde dochází ke kumulaci rizik.
Jestliže je četnost výskytu určité hrozby skutečně nízká a není zde evidentní nějaký rostoucí trend, nezvyšujte uměle pravděpodobnost hrozby jen proto, aby vám vyšlo vyšší riziko. Opravdu, nedělejte to.
Poznámka: Jak provést komplexní analýzu rizik, je detailně popsáno v knize „Řízení informačních rizik v praxi“ a v dalších příspěvcích na tomto webu.
Štítky: analýza rizik, vyhodnocení rizik, zvládání rizik
K článku “Analýza rizik: nízká pravděpodobnost hrozby a kritický dopad” se zde nachází 1 komentář.
Diskuse na tomto webu je moderována. Pod článkem budou zobrazovány jen takové komentáře, které nebudou sloužit k propagaci konkrétní firmy, produktu nebo služby. V případě, že chcete, aby z těchto stránek vedl odkaz na váš web, kontaktujte nás, známe efektivnější způsoby propagace.
Skvělý web a články. Díky!