Publikováno: 26. 03. 2013, v rubrice:
Řízení rizik, autor:
Miroslav Čermák
, aktualizováno: 02. 08. 2014, zobrazeno: 4 242x
Zavedení určitého opatření byste měli dokumentovat proto, abyste byli schopni i po letech jeho smysluplnost obhájit a vysvětlit, proč není vhodné dané opatření kvůli snižování nákladů rušit, a že se v případě administrativních opatření dokonce nejedná ani o nějakou zbytečnou byrokracii, jak se mnozí mylně domnívají.
Vždy je nutné si uvědomit, že máme bezpečnostní opatření, která slouží k prevenci, k detekci a k reakci na incident. Zatímco u posledních dvou opatření můžeme poměrně přesně vyčíslit, kolik pokusů o průnik do systému nebo narušení bezpečnosti jsme detekovali, tak u prvně zmíněného můžeme jen hádat.
Publikováno: 29. 01. 2013, v rubrice:
Řízení rizik, autor:
Miroslav Čermák
, zobrazeno: 17 705x
Inherent risk můžeme do češtiny přeložit též jako vlastní, neodmyslitelné riziko a residual risk pak jako riziko zbytkové.
Za inherentní riziko je běžně označováno takové riziko, které nebere v úvahu již zavedená opatření snižující hrozbu, zranitelnost nebo dopad.
Publikováno: 18. 11. 2012, v rubrice:
Řízení rizik, autor:
Miroslav Čermák
, zobrazeno: 6 496x
Pokud zavedete ta správná opatření, mělo by to vést ke snížení rizika.
Na první pohled se zdá, že následující obrázek je srozumitelný a naprosto přesně vystihuje podstatu. Jenže opravdu se v okamžiku, kdy zavedete nějaké opatření, zmenší všechny tři hodnoty, jak se obrázek snaží naznačit? Řekl bych, že ve většině případů tomu tak není.
Publikováno: 24. 03. 2012, v rubrice:
Řízení rizik, autor:
Miroslav Čermák
, zobrazeno: 20 018x
V rámci analýzy rizik musíme provést zhodnocení aktiv, hrozeb a zranitelností. Pojďme se společně zamyslet nad tím, čím vlastně začít.
Teoreticky by bylo možné v rámci analýzy rizik přistoupit k hodnocení aktiv, hrozeb a zranitelností šesti různými způsoby. Pokud si aktiva označíme jako A (assets), hrozby jako T (threat) a zranitelnosti jako V (vulnerability), pak by mohly být tyto faktory vyhodnoceny v tomto pořadí: A-T-V, A-V-T, T-V-A, T-A-V, V-T-A, V-A-T, přičemž T-A-V a V-A-T je asi nejméně pravděpodobný přístup k hodnocení těchto rizikových faktorů.
Publikováno: 11. 08. 2011, v rubrice:
Řízení rizik, autor:
Miroslav Čermák
, aktualizováno: 21. 11. 2012, zobrazeno: 31 018x
Je celkem jedno, kolik úrovní rizik používáte a jak jste si je pojmenovali. I když tak úplně jedno to zase není, jak se dočtete dále.
Jistě jste si všimli, že určité kombinace hodnoty dopadu a pravděpodobnosti hrozby dávají stejnou výši rizika. To nás sice v tuto chvíli nemusí příliš trápit, nicméně měli bychom tuto skutečnost zohlednit ve fázi zvládáni rizik, protože je rozdíl, zda riziko vyšlo jako střední z důvodu vysoké pravděpodobnosti hrozby nebo vysoké hodnoty aktiva. Pojďme se nyní zamyslet nad tím, jak si rizika rozdělit.
Publikováno: 02. 07. 2011, v rubrice:
Řízení rizik, autor:
Miroslav Čermák
, zobrazeno: 6 926x
Tento příspěvek se snaží přinést jiný pohled na kvantifikaci datových aktiv.
V okamžiku, kdy v rámci analýzy rizik provádíme kvantifikaci aktiv, klademe si obvykle otázku, jaký by byl finanční a nefinanční dopad v případě, že by došlo k narušení důvěrnosti, integrity a dostupnosti těchto aktiv.
Publikováno: 22. 05. 2011, v rubrice:
Řízení rizik, autor:
Miroslav Čermák
, zobrazeno: 8 692x
Cílem tohoto příspěvku je zamyslet se nad tím, jaké informace a na jakém médiu mohou být uloženy.
Byť se již před mnoha lety hovořilo o tzv. paperless office (bezpapírová kancelář), tak i dnes je spousta informací, které organizace shromažďuje a zpracovává, uložena v papírové podobě. Nezapomínejte prosím na tuto skutečnost, až budete provádět identifikaci datových aktiv. Pokud jsou informace uloženy v elektronické podobě, tak se obvykle nachází na:
Publikováno: 19. 10. 2010, v rubrice:
Řízení rizik, autor:
Miroslav Čermák
, aktualizováno: 03. 11. 2010, zobrazeno: 6 940x
Cílem tohoto příspěvku je zamyslet se nad tím, jak stanovit hodnotu dopadu ve finančních jednotkách.
Chtěl bych předeslat, že hodnotu dopadu není možné stanovit přesně, protože ač jsou některé hodnoty, které do výpočtu celkové výše dopadu vstupují, dané, tak jsou zde i takové, u kterých je jejich výši nutné stanovit za použití statistických metod. První, co každého CIO napadne, je spočítat náklady na:
Publikováno: 25. 07. 2010, v rubrice:
Řízení rizik, autor:
Miroslav Čermák
, aktualizováno: 29. 03. 2011, zobrazeno: 24 154x
Cílem tohoto příspěvku je popsat základní rozdíly mezi kvalitativní a kvantitativní analýzou rizik.
Kvantitativní analýza rizik je náročnější na zdroje a její provedení trvá mnohem déle než kvalitativní analýza rizik. Je tomu tak proto, že hodnotu aktiva je nutné vyjádřit v penězích stejně jako možnou škodu v případě realizace konkrétní hrozby. Vyjádření škody ve finančních jednotkách však umožňuje jednodušší rozhodování ve fázi zvládání rizik, kdy vybíráme vhodná opatření.
Publikováno: 11. 07. 2010, v rubrice:
Řízení rizik, autor:
Miroslav Čermák
, aktualizováno: 24. 03. 2013, zobrazeno: 22 251x
Cílem tohoto příspěvku je poskytnout čtenáři jednoduchý návod, jak provést kvalitativní analýzu rizik a doplnit informace uvedené v knize „Řízení informačních rizik v praxi“.
Kvalitativní analýza rizik je založena na expertním odhadu jednotlivých aktiv, hrozeb a zranitelností a pro jejich vyjádření používá slovního nebo číselného hodnocení. Umožňuje tak poměrně snadno a rychle identifikovat ta největší rizika.