V tomto příspěvku se dozvíte, jakým způsobem provést vyhodnocení jednotlivých opatření a zvolit to nejefektivnější.

V okamžiku, kdy jsme provedli analýzu rizik a známe již celkovou škodu, kterou by mohly jednotlivé hrozby způsobit, měli bychom se zamyslet nad volbou vhodných opatření. Rozhodnutí, zda bude dané opatření vůbec implementováno, by měla předcházet tzv. cost/benefit analýza. V rámci této analýzy bychom měli posoudit, jaká je hodnota aktiva a jaké jsou náklady na jeho ochranu. Pro výpočet hodnoty lze použít následující vzorec:

Cílem tohoto příspěvku je popsat jednotlivé typy bezpečnostních opatření a doplnit tak informace uvedené v knize „Řízení informačních rizik v praxi“.

Pro termín opatření, někdy též protiopatření, se v informační bezpečnosti používají více či méně zaměnitelná synonyma security measures, countermeasures, safeguards nebo controls. Ať už je ale použit jakýkoliv termín, vždy se jedná o opatření, jehož cílem je snížit riziko na akceptovatelnou úroveň a ochránit tak cenná aktiva. Podle způsobu implementace můžeme opatření rozdělit na:

Cílem tohoto příspěvku je poskytnout čtenáři jednoduchý návod jak provést kvantitativní analýzu rizik a doplnit informace uvedené v knize „Řízení informačních rizik v praxi“.

Kvantitativní analýza rizik je založena na vyjádření hodnoty aktiva a dopadu v peněžních jednotkách. Analýza rizik probíhá v několika krocích, ve kterých se snažíme o identifikaci a kvantifikaci aktiv, hrozeb, zranitelností a stanovení celkové výše škody. Jednotlivé kroky nebo chcete-li fáze analýzy rizik, si dále stručně popíšeme.

Tento příspěvek doplňuje informace uvedené v knize „Řízení informačních rizik v praxi„ a přináší odpověď na otázku, jakým způsobem můžeme přistoupit v rámci analýzy rizik k hodnocení hrozeb.

V příspěvku nazvaném identifikace hrozeb jsme si hrozby rozdělili podle zdroje na interní a externí a dále podle úmyslu na náhodné a úmyslné. Kombinací jsme získali matici, která zachycovala 4 základní typy hrozeb.

Tento příspěvek doplňuje informace uvedené v knize „Řízení informačních rizik v praxi“ a přináší další pohled na kvantifikaci datových aktiv.

V okamžiku, kdy v rámci analýzy rizik provádíme kvantifikaci aktiv, klademe si obvykle otázku, jaký by byl finanční a nefinanční dopad v případě, že by došlo k narušení důvěrnosti, integrity a dostupnosti těchto aktiv.

Tento příspěvek doplňuje informace uvedené v knize „Řízení informačních rizik v praxi“ a přináší odpověď na otázku jakým způsobem můžeme hrozby v rámci analýzy rizik identifikovat.

Hrozbu můžeme definovat jako náhodnou nebo úmyslně vyvolanou událost, která může mít negativní dopad na důvěrnost, integritu a dostupnost aktiv. Každý informační systém je vystaven působení mnoha různých hrozeb a pokud chceme těmto hrozbám čelit, musíme nejprve zjistit, které to jsou.

Společnost je v období krize velice zranitelná, její informační aktiva jsou více než kdy jindy ohrožena neboť výrazně roste riziko narušení důvěrnosti, integrity a dostupnosti dat ze strany vlastních zaměstnanců i konkurenčních firem.

Vzhledem k tomu, že v období krize obecně klesá poptávka po určitých produktech a službách, snaží se společnosti nabízet jen ty produkty a služby, o které je zájem a udržují jen takový stav zaměstnanců, aby byly schopny tuto poptávku uspokojit. Vyšší než nezbytně nutný počet zaměstnanců udržují jen kapitálově silné společnosti nebo ty, co jsou ochotni se dočasně spokojit s minimálním nebo žádným ziskem. Naprostá většina společnosti však nadbytečné zaměstnance propouští.

Tento příspěvek navazuje na již publikované články na téma Rizika práce z domova. Doporučuji si nejprve přečíst 1. díl a 2. díl.

V tomto závěrečném díle bychom se měli zamyslet nad tím, jaká je pravděpodobnost, že zaměstnanec bude útočníkem donucen k činnosti, která povede k narušení důvěrnosti, integrity a dostupnosti dat.

Tento příspěvek navazuje na již publikovaný článek Rizika práce z domova.

V tomto pokračování bychom se měli zamyslet nad tím, jaká je pravděpodobnost, že zaměstnanec svojí nedbalostí způsobí narušení důvěrnosti, integrity a dostupnosti dat. Rozhodnutí o tom, zda bude umožněno danému zaměstnanci pracovat z domova a bude mu tedy povolen i vzdálený přístup do IS společnosti, by mělo být založeno na výsledcích hodnocení daného pracovníka a dalších okolnostech (např. zda nemá finanční problémy, časté absence, neuspořádaný rodinný život atd.)

Na rizika práce z domova (homeworking, teleworking) je třeba se dívat jak z pohledu zaměstnavatele, tak i z pohledu zaměstnance.

Obě strany by měly znát rizika, která podstupují. Zaměstnavatel může, pokud jeho zaměstnanci pracují z domova, výrazně ušetřit na provozních nákladech, protože nemusí hradit náklady na pracovní místo, osvětlení a klimatizaci pracoviště, el. energii potřebnou k napájení počítače a v neposlední řadě i spotřebu vody.