Má vůbec smysl se zabývat něčím takovým, jako je inherentní riziko?

Inherentní riziko bývá nejčastěji definováno jako riziko bez implementace příslušných opatření.

Problém je však v tom, že v okamžiku, kdy budete výši rizika stanovovat bez ohledu na stávající opatření, tak vám zcela nesmyslně vzroste pravděpodobnost hrozby a spolu s ní i dopad.

Štítky: ,
celý článek

Mělo by být řízení informační bezpečnosti postavené na rizicích nebo opatřeních?

Nedávno jsem narazil na otázku, zda by měl být přístup k řízení bezpečnosti založen na rizicích nebo opatřeních.  

V zásadě se jedná o problém, který zahraniční literatura popisuje jako risk driven approach vs. control driven approach. Osobně jsem přesvědčen o tom, že pokud má být řízení informační bezpečnosti skutečně efektivní, tak je nutné zkombinovat oba tyto přístupy, neboť tyto přístupy nestojí proti sobě, ale vzájemně se doplňují.

Štítky:
celý článek

Regulatorní požadavky představují jen další riziko a tak je s nimi třeba i zacházet

S regulatorními požadavky lze v zásadě pracovat jako s jakýmkoliv jiným rizikem.

Jednoduše stačí porovnat celkové náklady na zavedení a provoz příslušného bezpečnostního opatření na jedné straně a výši případné pokuty vyplývající z jeho nedodržení na straně druhé.

Štítky:
celý článek

Vrcholoví manažeři chovající kočky jsou ochotni více riskovat

Tak tady máme opět další šokující zjištění, tentokrát z University of Colorado. Z něj vyplývá, že osoby, jejichž buňky jsou nakaženy parazitem Toxoplasma gondii, mají sklony více riskovat.

Takže nejen nadmořská výška, ale i kočky ovlivňují sklon k riziku. Tím nechci říci, že manažeři sedící ve vyšších patrech a chovající kočku jsou pro firmu pohromou.

Štítky:
celý článek

Hodnocení zranitelností – 6. díl

minulých dílech jsem se poměrně detailně věnoval metodice hodnocení zranitelností CVSS, která je de facto průmyslovým standardem pro stanovení závažnosti zranitelností.

Dnes bych se chtěl krátce zamyslet nad tím, jak postupovat v okamžiku, kdy je např. pomocí nějakého automatizovaného skeneru detekováno větší množství poměrně závažných zranitelností.

Štítky:
celý článek

Ochota riskovat roste s nadmořskou výškou

Vrcholový management, který činí závažná strategická rozhodnutí, by neměl sedět ve vyšších patrech budovy, protože pak má tendenci více riskovat.

Údajně již od třetího patra lze pozorovat sklony jít do většího rizika, takže pozor!

Štítky:
celý článek

Jaký je přínos asistované analýzy rizik

V tomto příspěvku bych se chtěl zamyslet nad tím, jaký je přínos asistované analýzy rizik.

Pokud organizace nemá s analýzou rizik informačního systému praktické zkušenosti, tak je celkem logické, že se v této záležitosti obrací na externího konzultanta.

Štítky:
celý článek

Hodnocení zranitelností – 5. díl

Pro hodnocení zranitelností můžete použít CVSS kalkulátor, který se nachází na stránkách organizace First.

Výhoda hodnocení zranitelností pomocí této celosvětově uznávané metodiky spočívá v tom, že hodnocení závažnosti dané zranitelnosti není založeno na nějakém subjektivním hodnocení, nýbrž na zodpovězení několika vcelku jednoduchých otázek.

Štítky: ,
celý článek

M_o_R v kostce

Tento příspěvek slouží k rychlému seznámení s celosvětově uznávaným frameworkem M_o_R pro řízení rizik v organizaci.

Management of Risk framework, zkr. M_o_R, vznikl již někdy v roce 2002, tedy dávno před ISO 31000, a je použitelný jak ke strategickému řízení rizik, tak i k řízení rizik v programech, projektech, ale i v běžném provozu.

celý článek

Jak stanovit hodnotu dopadu na základě ohodnocení primárních a podpůrných aktiv

O tom, jak identifikovat primární a podpůrná aktiva a stanovit závislost mezi nimi, jsem psal posledně, nyní se zamysleme nad tím, jak určit jejich hodnotu.

Poměrně jasnou odpověď na otázku, jak stanovit hodnotu aktiva, přináší norma ČSN ISO/IEC 27005:2013, která uvádí, že bychom měli vzít v úvahu následující dvě kritéria:

Štítky:
celý článek