V minulém dílu jsem psal o tom, jaké techniky jsou používány v rámci kreativního řízení rizik.

Pokud jste si kladli otázku, jak jsou tyto techniky v reálné praxi používány, tak tomu se budu věnovat právě v tom příspěvku.

V minulém dílu jste měli možnost se seznámit s fenoménem kreativní řízení rizik.

Nyní se zaměříme na nejčastěji používané techniky kreativního řízení rizik a to ve všech jeho fázích. Když se podíváme na to, jak řízení rizik v organizacích probíhá a z jakých fází se celý proces řízení rizik skládá, poměrně snadno identifikujeme oblasti, kde lze vyvíjet ve větší či menší míře nějakou kreativitu, která se může projevit a zpravidla se projeví:

Analýza rizik by měla poskytnout pokud možno co nejobjektivnější pohled na rizika, kterým je organizace vystavena.

Ovšem stejně jako v oblasti účetnictví, jehož cílem je poskytnout věrný a pravdivý obraz „true and fair view“ o stavu hospodaření, se můžeme setkat s tzv. kreativním účetnictvím (creative accounting), tak i v oblasti řízení rizik se můžeme setkat s něčím, co by se dalo s jistou nadsázkou nazvat kreativním řízením rizik (creative risk management).

Na trhu je spousta nástrojů, které slouží k analýze rizik, a mnohé z nich jsou k dispozici i zdarma.

Neznám však bohužel takový nástroj, který by byl ihned po instalaci nebo spuštění okamžitě použitelný a umožňoval vše, co bych si představoval.

Registr rizik by měl obsahovat všechna rizika, která byla doposud ve vaší organizaci identifikována, analyzována a kvantifikována.

Samotný registr rizik může mít podobu jednoduchého spreadsheetu, ale stejně tak se může jednat o databázi, která se aktualizuje prostřednictvím webové aplikace. Dále uvádím, co by měl registr rizik obsahovat.

Řízení rizik je nikdy nekončící proces. Otázka však je, kdy a případně jak často by se měl tento cyklus spouštět.

Donedávna platilo, že v okamžiku každé významné změny a pak řekněme třeba na roční bázi, protože se mění krajina hrozeb, hodnota aktiv a rovněž se může objevit i nová zranitelnost, které by mohlo být následně zneužito.

Aneb co dělat, když vám řešení incidentu začíná přerůstat přes hlavu a z incidentu se stává havárie.

Risk management, incident management a crisis management spolu velice úzce souvisí. Incident management je v zásadě reaktivní komponenta k preventivnímu risk managementu.

Inherentní riziko bývá nejčastěji definováno jako riziko bez implementace příslušných opatření.

Problém je však v tom, že v okamžiku, kdy budete výši rizika stanovovat bez ohledu na stávající opatření, tak vám zcela nesmyslně vzroste pravděpodobnost hrozby a spolu s ní i dopad.

Nedávno jsem narazil na otázku, zda by měl být přístup k řízení bezpečnosti založen na rizicích nebo opatřeních.  

V zásadě se jedná o problém, který zahraniční literatura popisuje jako risk driven approach vs. control driven approach. Osobně jsem přesvědčen o tom, že pokud má být řízení informační bezpečnosti skutečně efektivní, tak je nutné zkombinovat oba tyto přístupy, neboť tyto přístupy nestojí proti sobě, ale vzájemně se doplňují.

S regulatorními požadavky lze v zásadě pracovat jako s jakýmkoliv jiným rizikem.

Jednoduše stačí porovnat celkové náklady na zavedení a provoz příslušného bezpečnostního opatření na jedné straně a výši případné pokuty vyplývající z jeho nedodržení na straně druhé.