Inherent risk můžeme do češtiny přeložit též jako vlastní, neodmyslitelné riziko a residual risk pak jako riziko zbytkové.

Za inherentní riziko je běžně označováno takové riziko, které nebere v úvahu již zavedená opatření snižující hrozbu, zranitelnost nebo dopad.

Pokud zavedete ta správná opatření, mělo by to vést ke snížení rizika.

Na první pohled se zdá, že následující obrázek je srozumitelný a naprosto přesně vystihuje podstatu. Jenže opravdu se v okamžiku, kdy zavedete nějaké opatření, zmenší všechny tři hodnoty, jak se obrázek snaží naznačit? Řekl bych, že ve většině případů tomu tak není.

V rámci analýzy rizik musíme provést zhodnocení aktiv, hrozeb a zranitelností. Pojďme se společně zamyslet nad tím, čím vlastně začít.

Teoreticky by bylo možné v rámci analýzy rizik přistoupit k hodnocení aktiv, hrozeb a zranitelností šesti různými způsoby. Pokud si aktiva označíme jako A (assets), hrozby jako T (threat) a zranitelnosti jako V (vulnerability), pak by mohly být tyto faktory vyhodnoceny v tomto pořadí: A-T-V, A-V-T, T-V-A, T-A-V, V-T-A, V-A-T, přičemž T-A-V a V-A-T je asi nejméně pravděpodobný přístup k hodnocení těchto rizikových faktorů.

Je celkem jedno, kolik úrovní rizik používáte a jak jste si je pojmenovali. I když tak úplně jedno to zase není, jak se dočtete dále.

Jistě jste si všimli, že určité kombinace hodnoty dopadu a pravděpodobnosti hrozby dávají stejnou výši rizika. To nás sice v tuto chvíli nemusí příliš trápit, nicméně měli bychom tuto skutečnost zohlednit ve fázi zvládáni rizik, protože je rozdíl, zda riziko vyšlo jako střední z důvodu vysoké pravděpodobnosti hrozby nebo vysoké hodnoty aktiva. Pojďme se nyní zamyslet nad tím, jak si rizika rozdělit.

Tento příspěvek se snaží přinést jiný pohled na kvantifikaci datových aktiv.

V okamžiku, kdy v rámci analýzy rizik provádíme kvantifikaci aktiv, klademe si obvykle otázku, jaký by byl finanční a nefinanční dopad v případě, že by došlo k narušení důvěrnosti, integrity a dostupnosti těchto aktiv.

Cílem tohoto příspěvku je zamyslet se nad tím, jaké informace a na jakém médiu mohou být uloženy.

Byť se již před mnoha lety hovořilo o tzv. paperless office (bezpapírová kancelář), tak i dnes je spousta informací, které organizace shromažďuje a zpracovává, uložena v papírové podobě. Nezapomínejte prosím na tuto skutečnost, až budete provádět identifikaci datových aktiv. Pokud jsou informace uloženy v elektronické podobě, tak se obvykle nachází na:

Cílem tohoto příspěvku je zamyslet se nad tím, jak stanovit hodnotu dopadu ve finančních jednotkách.

Chtěl bych předeslat, že hodnotu dopadu není možné stanovit přesně, protože ač jsou některé hodnoty, které do výpočtu celkové výše dopadu vstupují, dané, tak jsou zde i takové, u kterých je jejich výši nutné stanovit za použití statistických metod. První, co každého CIO napadne, je spočítat náklady na:

Cílem tohoto příspěvku je popsat základní rozdíly mezi kvalitativní a kvantitativní analýzou rizik.

Kvantitativní analýza rizik je náročnější na zdroje a její provedení trvá mnohem déle než kvalitativní analýza rizik. Je tomu tak proto, že hodnotu aktiva je nutné vyjádřit v penězích stejně jako možnou škodu v případě realizace konkrétní hrozby. Vyjádření škody ve finančních jednotkách však umožňuje jednodušší rozhodování ve fázi zvládání rizik, kdy vybíráme vhodná opatření.

Cílem tohoto příspěvku je poskytnout čtenáři jednoduchý návod, jak provést kvalitativní analýzu rizik a doplnit informace uvedené v knize „Řízení informačních rizik v praxi“.

Kvalitativní analýza rizik je založena na expertním odhadu jednotlivých aktiv, hrozeb a zranitelností a pro jejich vyjádření používá slovního nebo číselného hodnocení. Umožňuje tak poměrně snadno a rychle identifikovat ta největší rizika.

Je cloud computing něco, čím bychom se měli vážně zabývat nebo je to jen další buzzword?

Zamysleme se nejdříve nad původem tohoto slova. Vzhledem k tomu, že se internet na nejrůznějších obrázcích znázorňuje jako mrak nebo chcete-li oblak a stále více společností nabízí své služby na internetu a přes internet jsou i jejich služby dostupné, je vznik tohoto slova celkem logický. Z pohledu uživatele je vše, co se nachází mimo jeho síť, oblak (cloud).