Jak by měl vypadat popis rizika
Pokud jde o popis rizika, tak se zpravidla nikde nedočtete, jak by mělo být takové riziko vlastně popsáno.
Když nahlédneme do registrů rizik, které mnohé organizace vytváří, tak v nich najdeme rizika zapsaná mnoha různými způsoby a to často i v rámci jedné organizace.
Pokud jde o riziko, tak se vždy musí jednat o nějakou nejistou událost (threat, zkr. T) zneužívající zranitelnosti (vulnerability, zkr. V) spočívající nejčastěji v absenci nebo nedostatečnosti nějakého bezpečnostního opatření, ovlivňující určité aktivum (assets, zkr. A), a mající zpravidla nějaký dopad (impact, zkr. I).
Některé organizace se však omezují na popis rizika, který je v zásadě jedna k jedné shodný s popisem hrozby, takovýto popis je však z pohledu toho, jak je riziko definováno, imperfektní. Aby byl popis rizik perfektní, stačí jej zapsat v podmíněném tvaru, jestliže T, potom I.
Popis rizika by měl v sobě obsahovat minimálně hrozbu a následek. Takový popis rizika bychom mohli označit jako dichotomický, neboť vychází z popisu hrozby a dopadu. Pak by se dalo napsat, jestliže dojde k T, tak potom následuje I.
Případně je možné tento popis rizika rozšířit o aktivum, kterého se hrozba týká. Takovýto popis pak můžeme označit jako trichotomický. A dalo by se pak napsat, jestliže dojde k T, která způsobí narušení A, tak to povede k I.
A konečně je možné tento popis rozšířit o zranitelnost, která je zneužívána hrozbou. Takovýto popis pak můžeme označit jako tetrachotomický. A dalo by se napsat, jestliže dojde k T, v důsledku zneužití V, což způsobí narušení A, tak to povede k I.
Případně se dá popis rizika otočit do tvaru A-T-V-I. Tedy A může být ohroženo T v důsledku V, což povede k I. Tento zápis pak odpovídá posloupnosti jednotlivých kroků v analýze rizik, kdy jsou zpravidla nejprve identifkována nejcennější aktiva a hrozby, kterým jsou vystavena, a dále opatření, která je chrání a škoda, která může vzniknout.
Rovněž je otázka, zda by mělo být riziko popsáno jako hypotéza a sankce, a mít podobu podmínkové věty, tedy jestliže nastane T, potom následuje I. Dále zda nevypustit slovo jestliže, protože k materializaci rizika sice nemusí dojít, ale předpokládáme, že kdyby k němu došlo, tak by škoda vznikla, a pak bychom mohli rovnou napsat, že T způsobí I, tedy nepodmíněně.
Ať už používáte ve své organizaci jakýkoliv způsob zápisu rizika, měli byste usilovat o to, aby byla rizika v registru rizik popsána naprosto jasným, srozumitelným a konzistentním způsobem, a aby byl tento způsob zápisu dodržován všemi organizačními jednotkami, protože jinak nebudete moci s riziky efektivně pracovat.
Rovněž doporučují se dohodnout na určitém slovníku, který budete v rámci popisu rizik používat, a ten kodifikovat, protože v okamžiku, kdy bude do registru rizik přispívat více expertních týmů a organizačních jednotek, tak každá z nich může používat trochu jiný žargon, což ve výsledku může vytvořit podhoubí pro kreativní řízení rizik, a to určitě nechcete.
Nahrávání ...
Štítky: řízení informačních rizik
K článku “Jak by měl vypadat popis rizika” se zde nenachází žádný komentář - buďte první.
Diskuse na tomto webu je moderována. Pod článkem budou zobrazovány jen takové komentáře, které nebudou sloužit k propagaci konkrétní firmy, produktu nebo služby. V případě, že chcete, aby z těchto stránek vedl odkaz na váš web, kontaktujte nás, známe efektivnější způsoby propagace.
