V rámci analýzy rizik musíme provést zhodnocení aktiv, hrozeb a zranitelností. Pojďme se společně zamyslet nad tím, čím vlastně začít.

Teoreticky by bylo možné v rámci analýzy rizik přistoupit k hodnocení aktiv, hrozeb a zranitelností šesti různými způsoby. Pokud si aktiva označíme jako A (assets), hrozby jako T (threat) a zranitelnosti jako V (vulnerability), pak by mohly být tyto faktory vyhodnoceny v tomto pořadí: A-T-V, A-V-T, T-V-A, T-A-V, V-T-A, V-A-T, přičemž T-A-V a V-A-T je asi nejméně pravděpodobný přístup k hodnocení těchto rizikových faktorů.

Je celkem jedno, kolik úrovní rizik používáte a jak jste si je pojmenovali. I když tak úplně jedno to zase není, jak se dočtete dále.

Jistě jste si všimli, že určité kombinace hodnoty dopadu a pravděpodobnosti hrozby dávají stejnou výši rizika. To nás sice v tuto chvíli nemusí příliš trápit, nicméně měli bychom tuto skutečnost zohlednit ve fázi zvládáni rizik, protože je rozdíl, zda riziko vyšlo jako střední z důvodu vysoké pravděpodobnosti hrozby nebo vysoké hodnoty aktiva. Pojďme se nyní zamyslet nad tím, jak si rizika rozdělit.

Tento příspěvek se snaží přinést jiný pohled na kvantifikaci datových aktiv.

V okamžiku, kdy v rámci analýzy rizik provádíme kvantifikaci aktiv, klademe si obvykle otázku, jaký by byl finanční a nefinanční dopad v případě, že by došlo k narušení důvěrnosti, integrity a dostupnosti těchto aktiv.

Cílem tohoto příspěvku je zamyslet se nad tím, jaké informace a na jakém médiu mohou být uloženy.

Byť se již před mnoha lety hovořilo o tzv. paperless office (bezpapírová kancelář), tak i dnes je spousta informací, které organizace shromažďuje a zpracovává, uložena v papírové podobě. Nezapomínejte prosím na tuto skutečnost, až budete provádět identifikaci datových aktiv. Pokud jsou informace uloženy v elektronické podobě, tak se obvykle nachází na:

Cílem tohoto příspěvku je zamyslet se nad tím, jak stanovit hodnotu dopadu ve finančních jednotkách.

Chtěl bych předeslat, že hodnotu dopadu není možné stanovit přesně, protože ač jsou některé hodnoty, které do výpočtu celkové výše dopadu vstupují, dané, tak jsou zde i takové, u kterých je jejich výši nutné stanovit za použití statistických metod. První, co každého CIO napadne, je spočítat náklady na:

Cílem tohoto příspěvku je popsat základní rozdíly mezi kvalitativní a kvantitativní analýzou rizik.

Kvantitativní analýza rizik je náročnější na zdroje a její provedení trvá mnohem déle než kvalitativní analýza rizik. Je tomu tak proto, že hodnotu aktiva je nutné vyjádřit v penězích stejně jako možnou škodu v případě realizace konkrétní hrozby. Vyjádření škody ve finančních jednotkách však umožňuje jednodušší rozhodování ve fázi zvládání rizik, kdy vybíráme vhodná opatření.

Cílem tohoto příspěvku je poskytnout čtenáři jednoduchý návod, jak provést kvalitativní analýzu rizik a doplnit informace uvedené v knize „Řízení informačních rizik v praxi“.

Kvalitativní analýza rizik je založena na expertním odhadu jednotlivých aktiv, hrozeb a zranitelností a pro jejich vyjádření používá slovního nebo číselného hodnocení. Umožňuje tak poměrně snadno a rychle identifikovat ta největší rizika.

Je cloud computing něco, čím bychom se měli vážně zabývat nebo je to jen další buzzword?

Zamysleme se nejdříve nad původem tohoto slova. Vzhledem k tomu, že se internet na nejrůznějších obrázcích znázorňuje jako mrak nebo chcete-li oblak a stále více společností nabízí své služby na internetu a přes internet jsou i jejich služby dostupné, je vznik tohoto slova celkem logický. Z pohledu uživatele je vše, co se nachází mimo jeho síť, oblak (cloud).

Cílem tohoto příspěvku je stručně charakterizovat jednotlivé fáze procesu řízení rizik, které jsou detailně popsány v knize „Řízení informačních rizik v praxi“.

Řízení rizik (risk management) je komplexní proces skládající se z několika fází, které na sebe navazují a vytvářejí jakousi smyčku viz obrázek. Cílem řízení rizik je identifikace a kvantifikace rizik, kterým musí společnost čelit a především rozhodnutí o vhodném způsobu zvládání těchto rizik. Všimněte si, že píši o zvládání rizik, nikoliv o jejich snížení na přijatelnou úroveň, jak se dost často uvádí. Je tomu tak proto, že snížení rizika je jen jednou z několika nejčastěji používaných metod.

Cílem tohoto příspěvku je vysvětlit základní pojmy a stručně charakterizovat jednotlivé fáze analýzy rizik.

Analýza rizik by měla přinést odpověď na otázku, působení jakých hrozeb je společnost vystavena, jak moc jsou její aktiva vůči těmto hrozbám zranitelná, jak vysoká je pravděpodobnost, že hrozba zneužije určitou zranitelnost a jaký dopad by to na společnost mohlo mít. V analýze rizik se používají následující pojmy: