Risk analytik ve vaší firmě nerozhoduje o rizicích. O těch rozhodujete samozřejmě vy. Ale zpravidla rozhodujete podle podkladů, které pro vás připravil právě onen risk analytik.

Pokud dostanete špatně zpracovanou analýzu rizik, budete rozhodovat o rozpočtech, prioritách, bezpečnostních opatřeních, pojištění, technologiích nebo organizačních změnách na základě nepřesných, neúplných nebo zavádějících informací. A můžete za to nést i osobní odpovědnost.

Na první pohled vypadá všechno idylicky. Smaragdově zelené zóny risk matice připomínají klidné mořské zátoky bez vln, bez bouří, bez důvodu k obavám.

Jenže podobně jako u mořských řas stačí velice málo a moře se náhle zbarví do ruda.

V okamžiku, kdy máme k dispozici rizikové scénáře, přichází další krok: oslovíme vybrané experty, aby nám dodali své odhady jak pro frekvenci výskytu daného scénáře, tak pro škody, které z něj mohou vyplynout.

Jenže právě tady se z celé analýzy může stát fraška a zbytečná matematická ekivilbristika jen proto, že každý expert může tentýž scénář chápat trochu jinak.

Tradiční matice rizik, založené na kombinaci odhadované pravděpodobnosti a dopadu, byly v odborné literatuře opakovaně kritizovány pro metodologickou slabost, statistickou nekonzistenci a omezenou interpretační hodnotu (Cox, 2008; Aven, 2016).

Jejich slabina nespočívá pouze v ordinální povaze použitých škál, ale též v tendenci vytvářet dojem kvantitativní přesnosti tam, kde jsou vstupní pojmy samy o sobě vágní, kontextově proměnlivé a často mezi standardy odlišně vykládané.

V tomto příspěvku se dozvíte, proč byste měli kybernetická rizika kvantifikovat. A když říkám kvantifikovat, tak tím myslím skutečně kvantifikovat, ne jen mechanicky násobit ordinální hodnoty mezi sebou.

Když totiž u konkrétního typu incidentu odhadnete pravděpodobnost výskytu a finanční dopad a celé riziko vyjádříte v korunách, začnete konečně mluvit jazykem, kterému management rozumí nejlépe.

V jednom minulém příspěvku padlo, že jedním z důvodů, proč se manažeři tak drží risk matic, je, že se jim nedostane v rozumném čase zpětné vazby, zda jejich odhady pravděpodobnosti a dopadů odpovídaly realitě. Což je pravda, protože bez zpětné vazby se dá věřit téměř čemukoli.

Tedy i tomu, že jim ta jejich kvalitativní metodika hodnocení rizik funguje. Tak nějak jsou všichni přesvědčení, že zrovna ta jejich je v něčem tak výjimečná, že funguje anebo že jsou tak výjimeční oni v tom, jak ji používají. Což je samozřejmě čirá utopie.

I kdybyste měli řízení rizik hodnocené podle CMM na stupni 5, pominu, že většina firem je maximálně na 3, a  měli tak všechno dokumentované, měřené, auditovatelné a pravidelně zlepšované, budete se stejně potácet nad propastí.

Ono totiž, když je samotná metoda hodnocení rizik postavená na úrovni středověké medicíny jako je zaříkávání a pouštění žilou, tak rizika reálně neřídíte a dostáváte se na úroveň středověkého ranhojiče.

Byť je řízení rizik vyžadováno i legislativou, která na něj klade důraz a mnozí si dokonce i uvědomují jeho smysl, a leckdy se o řízení rizik i opravdu snaží, přesto dělají systematicky špatná rozhodnutí, protože se rozhodují na základě špatných vstupů.

Ve většině organizací rizika někdo identifikuje, analyzuje a posuzuje. Postupuje přitom dle schválené metodiky. Výstupy vypadají strukturovaně. Rizika jsou popsána a vyhodnocena. Jsou navrženy způsoby zvládání. Rizika mají své vlastníky a jsou zvládána i v daném termínu. Formálně se zdá, že je vše v naprostém pořádku. Problém je však někde zcela jinde.

European Cybersecurity Skills Framework, zkr. ECSF od ENISA působí na první pohled jako sympatický pokus dát do pořádku chaos v pojmech a rolích v kybernetické bezpečnosti.

Uvádí dvanáct základních rolí s jasnými popisy odpovědností, což zní velice rozumně. Jenže když se podíváme trochu blíže, přichází spíše zklamání. V sekci 2.10 totiž najdeme roli Cybersecurity Risk Manager.

Můžete si vybrat. Rudě zářící pole risk matice, jedno číslo vyjadřující roční ztrátu v korunách anebo smyslné ladné křivky slibující vědeckou přesnost.

Asi už tušíte, že je řeč o kvalitativním, semikvantitativním a kvantitativním přístupu k analýze rizik. Rozdíl mezi jednotlivými přístupy je ale mnohem větší, než si většina lidí připouští. A bohužel právě na tom často stojí nebo padá správné rozhodnutí managementu o investicích do informační bezpečnosti.