Na trhu je spousta nástrojů, které slouží k analýze rizik, a mnohé z nich jsou k dispozici i zdarma.

Neznám však bohužel takový nástroj, který by byl ihned po instalaci nebo spuštění okamžitě použitelný a umožňoval vše, co bych si představoval.

Registr rizik by měl obsahovat všechna rizika, která byla doposud ve vaší organizaci identifikována, analyzována a kvantifikována.

Samotný registr rizik může mít podobu jednoduchého spreadsheetu, ale stejně tak se může jednat o databázi, která se aktualizuje prostřednictvím webové aplikace. Dále uvádím, co by měl registr rizik obsahovat.

Ty plošné samozřejmě taky, těm budete čelit i nadále, protože zde máme různé blíže exaktně nedefinované zdroje hrozeb.

Ovšem pokud jde o ty cílené, tak je třeba si uvědomit, jaké informační aktivum provozujete. A pokud přijmete za svou hypotézu, že atraktivita aktiva akceleruje hledání zranitelností a zvyšuje pravděpodobnost kybernetického útoku, tak s tím pak můžete ve svém rizikovém modelu počítat.

Řízení rizik je nikdy nekončící proces. Otázka však je, kdy a případně jak často by se měl tento cyklus spouštět.

Donedávna platilo, že v okamžiku každé významné změny a pak řekněme třeba na roční bázi, protože se mění krajina hrozeb, hodnota aktiv a rovněž se může objevit i nová zranitelnost, které by mohlo být následně zneužito.

Aneb co dělat, když vám řešení incidentu začíná přerůstat přes hlavu a z incidentu se stává havárie.

Risk management, incident management a crisis management spolu velice úzce souvisí. Incident management je v zásadě reaktivní komponenta k preventivnímu risk managementu.

Inherentní riziko bývá nejčastěji definováno jako riziko bez implementace příslušných opatření.

Problém je však v tom, že v okamžiku, kdy budete výši rizika stanovovat bez ohledu na stávající opatření, tak vám zcela nesmyslně vzroste pravděpodobnost hrozby a spolu s ní i dopad.

Nedávno jsem narazil na otázku, zda by měl být přístup k řízení bezpečnosti založen na rizicích nebo opatřeních.  

V zásadě se jedná o problém, který zahraniční literatura popisuje jako risk driven approach vs. control driven approach. Osobně jsem přesvědčen o tom, že pokud má být řízení informační bezpečnosti skutečně efektivní, tak je nutné zkombinovat oba tyto přístupy, neboť tyto přístupy nestojí proti sobě, ale vzájemně se doplňují.

S regulatorními požadavky lze v zásadě pracovat jako s jakýmkoliv jiným rizikem.

Jednoduše stačí porovnat celkové náklady na zavedení a provoz příslušného bezpečnostního opatření na jedné straně a výši případné pokuty vyplývající z jeho nedodržení na straně druhé.

Tak tady máme opět další šokující zjištění, tentokrát z University of Colorado. Z něj vyplývá, že osoby, jejichž buňky jsou nakaženy parazitem Toxoplasma gondii, mají sklony více riskovat.

Takže nejen nadmořská výška, ale i kočky ovlivňují sklon k riziku. Tím nechci říci, že manažeři sedící ve vyšších patrech a chovající kočku jsou pro firmu pohromou.

V minulých dílech jsem se poměrně detailně věnoval metodice hodnocení zranitelností CVSS, která je de facto průmyslovým standardem pro stanovení závažnosti zranitelností.

Dnes bych se chtěl krátce zamyslet nad tím, jak postupovat v okamžiku, kdy je např. pomocí nějakého automatizovaného skeneru detekováno větší množství poměrně závažných zranitelností.