S regulatorními požadavky lze v zásadě pracovat jako s jakýmkoliv jiným rizikem.

Jednoduše stačí porovnat celkové náklady na zavedení a provoz příslušného bezpečnostního opatření na jedné straně a výši případné pokuty vyplývající z jeho nedodržení na straně druhé.

Tak tady máme opět další šokující zjištění, tentokrát z University of Colorado. Z něj vyplývá, že osoby, jejichž buňky jsou nakaženy parazitem Toxoplasma gondii, mají sklony více riskovat.

Takže nejen nadmořská výška, ale i kočky ovlivňují sklon k riziku. Tím nechci říci, že manažeři sedící ve vyšších patrech a chovající kočku jsou pro firmu pohromou.

Vrcholový management, který činí závažná strategická rozhodnutí, by neměl sedět ve vyšších patrech budovy, protože pak má tendenci více riskovat.

Údajně již od třetího patra lze pozorovat sklony jít do většího rizika, takže pozor!

V tomto příspěvku bych se chtěl zamyslet nad tím, jaký je přínos asistované analýzy rizik.

Pokud organizace nemá s analýzou rizik informačního systému praktické zkušenosti, tak je celkem logické, že se v této záležitosti obrací na externího konzultanta.

Tento příspěvek slouží k rychlému seznámení s celosvětově uznávaným frameworkem M_o_R pro řízení rizik v organizaci.

Management of Risk framework, zkr. M_o_R, vznikl již někdy v roce 2002, tedy dávno před ISO 31000, a je použitelný jak ke strategickému řízení rizik, tak i k řízení rizik v programech, projektech, ale i v běžném provozu.

O tom, jak identifikovat primární a podpůrná aktiva a stanovit závislost mezi nimi, jsem psal posledně, nyní se zamysleme nad tím, jak určit jejich hodnotu.

Poměrně jasnou odpověď na otázku, jak stanovit hodnotu aktiva, přináší norma ČSN ISO/IEC 27005:2013, která uvádí, že bychom měli vzít v úvahu následující dvě kritéria:

Byť lze dle ČSN ISO/IEC 27005:2013 za aktivum považovat cokoliv, co má pro organizaci nějakou hodnotu, a bezpečnostní opatření nepochybně nějakou hodnotu má, tak bych je mezi podpůrná aktiva přesto neřadil.

Pokud je totiž mezi podpůrná aktiva zařadíte, dostanete se tak trochu do schizofrenní situace, protože před vámi vyvstane otázka, jaké opatření nasadíte za účelem jejich ochrany.

Cílem tohoto příspěvku je objasnit, jaký je rozdíl mezi primárními a podpůrnými aktivy a jaký je mezi nimi vztah.

S pojmem primární a podpůrná aktiva, někdy označována též jako sekundární, se můžeme setkat v rámci analýzy rizik. Na první pohled by se mohlo zdát, že sekundární aktiva jsou méně významná, ale není tomu tak, protože primární aktiva jsou na podpůrných závislá.

S pojmem agregované a kaskádové riziko se můžeme setkat spíše v akademické sféře než v běžné praxi.

V oblasti informační bezpečnosti pak na tyto  pojmy můžeme narazit především v materiálech od organizace ISACA, když se diskutuje o míře homogenity prostředí a z ní vyplývajících rizik.

O reputačním riziku mluvíme zpravidla v souvislosti s negativní publicitou, kdy hrozí, že zveřejnění určité informace, bez ohledu na to, zda je tato informace pravdivá či nikoliv, by mohlo způsobit ztrátu důvěry klientů, obchodních partnerů nebo akcionářů a v konečném důsledku vést k finanční ztrátě nebo i k ukončení činnosti dané společnosti na trhu.

V rámci analýzy rizik bychom se měli pokusit odhadnout, jaký dopad na business by tato negativní publicita mohla mít, a jaká je pravděpodobnost, že tato skutečnost nastane.