S regulatorními požadavky lze v zásadě pracovat jako s jakýmkoliv jiným rizikem.

Jednoduše stačí porovnat celkové náklady na zavedení a provoz příslušného bezpečnostního opatření na jedné straně a výši případné pokuty vyplývající z jeho nedodržení na straně druhé.

Tak tady máme opět další šokující zjištění, tentokrát z University of Colorado. Z něj vyplývá, že osoby, jejichž buňky jsou nakaženy parazitem Toxoplasma gondii, mají sklony více riskovat.

Takže nejen nadmořská výška, ale i kočky ovlivňují sklon k riziku. Tím nechci říci, že manažeři sedící ve vyšších patrech a chovající kočku jsou pro firmu pohromou.

V minulých dílech jsem se poměrně detailně věnoval metodice hodnocení zranitelností CVSS, která je de facto průmyslovým standardem pro stanovení závažnosti zranitelností.

Dnes bych se chtěl krátce zamyslet nad tím, jak postupovat v okamžiku, kdy je např. pomocí nějakého automatizovaného skeneru detekováno větší množství poměrně závažných zranitelností.

Vrcholový management, který činí závažná strategická rozhodnutí, by neměl sedět ve vyšších patrech budovy, protože pak má tendenci více riskovat.

Údajně již od třetího patra lze pozorovat sklony jít do většího rizika, takže pozor!

V tomto příspěvku bych se chtěl zamyslet nad tím, jaký je přínos asistované analýzy rizik.

Pokud organizace nemá s analýzou rizik informačního systému praktické zkušenosti, tak je celkem logické, že se v této záležitosti obrací na externího konzultanta.

Pro hodnocení zranitelností můžete použít CVSS kalkulátor, který se nachází na stránkách organizace First.

Výhoda hodnocení zranitelností pomocí této celosvětově uznávané metodiky spočívá v tom, že hodnocení závažnosti dané zranitelnosti není založeno na nějakém subjektivním hodnocení, nýbrž na zodpovězení několika vcelku jednoduchých otázek.

Tento příspěvek slouží k rychlému seznámení s celosvětově uznávaným frameworkem M_o_R pro řízení rizik v organizaci.

Management of Risk framework, zkr. M_o_R, vznikl již někdy v roce 2002, tedy dávno před ISO 31000, a je použitelný jak ke strategickému řízení rizik, tak i k řízení rizik v programech, projektech, ale i v běžném provozu.

O tom, jak identifikovat primární a podpůrná aktiva a stanovit závislost mezi nimi, jsem psal posledně, nyní se zamysleme nad tím, jak určit jejich hodnotu.

Poměrně jasnou odpověď na otázku, jak stanovit hodnotu aktiva, přináší norma ČSN ISO/IEC 27005:2013, která uvádí, že bychom měli vzít v úvahu následující dvě kritéria:

Byť lze dle ČSN ISO/IEC 27005:2013 za aktivum považovat cokoliv, co má pro organizaci nějakou hodnotu, a bezpečnostní opatření nepochybně nějakou hodnotu má, tak bych je mezi podpůrná aktiva přesto neřadil.

Pokud je totiž mezi podpůrná aktiva zařadíte, dostanete se tak trochu do schizofrenní situace, protože před vámi vyvstane otázka, jaké opatření nasadíte za účelem jejich ochrany.

Cílem tohoto příspěvku je objasnit, jaký je rozdíl mezi primárními a podpůrnými aktivy a jaký je mezi nimi vztah.

S pojmem primární a podpůrná aktiva, někdy označována též jako sekundární, se můžeme setkat v rámci analýzy rizik. Na první pohled by se mohlo zdát, že sekundární aktiva jsou méně významná, ale není tomu tak, protože primární aktiva jsou na podpůrných závislá.