Proč experti při hodnocení kybernetických rizik selhávají

Dost často je hodnocení rizik založeno na pouhém subjektivním hodnocení experta, který se může mýlit a dost často se i mýlí. Ovšem zdá se, že to nikoho netrápí.

Což je velice zvláštní, protože kvalita expertů, kteří hodnotí výši kybernetického rizika, od které se pak odvíjí některá zásadní rozhodnutí, by měla být v zájmu vrcholového managementu.

Štítky:
celý článek

Řízení rizik umělé inteligence – 2. díl

Byť se teď o AI hodně mluví a najednou je na ní každý expert, tak přesto ve většině organizací není AI ani řádně definována a je za ní považováno cokoliv.

Že není sepsána politika, standardy a směrnice pro používání AI, a nejsou ani identifikována a řízena rizika AI, není snad ani potřeba dodávat. Pojďme se proto podívat na konkrétní rizika AI, která můžeme rozdělit do několika skupin.

Štítky:
celý článek

Řízení rizik umělé inteligence

Byť jsou k dispozici nejrůznější návody pro řízení rizik informačních systémů, tak AI systémy jsou v lecčems jedinečné, především ve své nepředvídatelnosti, neboť jsou trénovány nad daty, která se mohou měnit a dále se pak samy mění na základě interakce s lidmi.

NIST zveřejnil řadu dokumentů týkajících se řízení rizik umělé inteligence. Klíčový je pak rámec pro řízení rizik umělé inteligence AI RMF 1.0 z ledna 2023.

Štítky:
celý článek

Kvalitativní nebo kvantitativní analýza rizik?

Občas můžeme narazit na otázku, zda je lepší provádět analýzu rizik kvantitativní anebo kvalitativní.

Problém je, že na tuhle otázku jednoznačně nelze odpovědět, protože každý přístup je vhodné použít v trochu jiné situaci.

Štítky:
celý článek

Integrované řízení podnikových rizik – 2. díl

V rámci integrovaného řízení podnikových rizik potřebujeme vrcholovému managementu zobrazit nějaký ten dashboard, aby viděl, jak na tom je.

A zobrazovat bychom měli jak aktuální stav, tedy jaká je celková expozice rizika, tak i trend, tedy jak se riziko vyvíjí.

Štítky:
celý článek

Semikvantitativní a semikvalitativní analýza rizik

Kromě kvalitativní a kvantitativní analýzy rizik se můžeme setkat ještě se semikvalitativní nebo také semikvantitativní analýzou rizik.

V takovém případě je pro hodnocení pravděpodobnosti hrozeb a dopadů použita taková stupnice hodnocení, kdy je jednotlivým stupňům hodnocení přisouzena nějaká hodnota a výsledná hodnota rizika je pak dána matematickou operací, zpravidla součinem těchto dvou hodnot.

Štítky:
celý článek

Analýza rizik v rámci SDLC

Je určitý rozdíl, když provádíte analýzu rizik již existujícího nebo nově vyvíjeného systému.

V obou případech byste měli začít stanovením kontextu, tedy ujasněním, kdo daný systém provozuje nebo bude provozovat, k čemu daný systém slouží nebo bude sloužit, a konečně jaké služby a informace poskytuje anebo bude poskytovat a komu.

celý článek

Řízení rizik a KRI

Když přijde řeč na řízení rizik, tak nemůžeme opomenout ani indikátory klíčových rizik, někdy též klíčové indikátory rizika, v originále Key Risk Indicators, zkr. KRI.

Co je to KRI, k čemu slouží, kdo a jak jej stanovuje, o tom všem je tento příspěvek.

Štítky:
celý článek

Posuzování rizik

Vzhledem k turbulentním změnám, ke kterým v posledních letech dochází, se ukazuje, že posuzovat rizika již nestačí jen jednou ročně, ale že je nutné rizika posuzovat prakticky neustále a okamžitě na ně reagovat.

Jedině tak organizace může na trhu dlouhodobě uspět a naplnit svou misi a vizi.

celý článek

Integrované řízení podnikových rizik

O integrovaném řízení podnikových rizik se hodně mluví, ovšem málokdo jej dělá, a jen pár expertů jej skutečně ovládá.

Řízení podnikových rizik (Enterprise risk management, zkr. ERM) by mělo přinést komplexní a konsolidovaný pohled na všechna rizika napříč organizací. Někdy se proto též hovoří o integrovaném řízení rizik (Integrated Risk Management, zkr. IRM), kdy je na rizika nahlíženo z pohledu celé organizace.

celý článek