Má vůbec smysl se zabývat něčím takovým, jako je inherentní riziko?

Inherentní riziko bývá nejčastěji definováno jako riziko bez implementace příslušných opatření.

Problém je však v tom, že v okamžiku, kdy budete výši rizika stanovovat bez ohledu na stávající opatření, tak vám zcela nesmyslně vzroste pravděpodobnost hrozby a spolu s ní i dopad.

V případě úmyslných hrozeb se útočníkovi nabízí příležitost hrozbu realizovat a to bez rizika jeho odhalení. Jednoduše proto, že neuvažujeme žádná preventivní opatření, která by případného útočníka odradila, detekční, která by umožnila probíhající útok včas detekovat, ba ani reaktivní, která by umožňovala na něj adekvátně reagovat a zastavit jej ideálně již v samém počátku a minimalizovat tak dopad.

Nejinak tomu je i v případě  hrozeb vis major, jako jsou nejrůznější přírodní pohromy, jejichž pravděpodobnost výskytu sice nemůžeme ovlivnit, a kde rovněž absence bezpečnostních opatření nemá vliv na četnost jejich výskytu, nicméně to neznamená, že nemůžeme zavést opatření, která nám umožní minimalizovat jejich dopad.

V neposlední řadě pak zde máme ještě řadu technických selhání, případně chyb personálu, ke kterýmžto občas také dochází, ale které lze rovněž zcela eliminovat nebo alespoň minimalizovat zavedením vhodných preventivních, detekčních a reaktivních opatření.

Opět se dostáváme k tomu, že bezpečnostní opatření může snižovat hrozbu, zranitelnost, ale i dopad, a naopak jeho absence jej může zvyšovat. Ostatně tomuto problému jsem se poměrně detailně věnoval zde.

Otázka však je, zda má ve všech výše uvedených případech vůbec smysl ignorovat stávající opatření, která jsou tak nějak už nedílnou součástí samotného aktiva anebo jsou nasazena plošně a chrání všechna aktiva organizace.

K čemu však takové cvičení, když o volbě vhodných bezpečnostních opatření a jejich implementaci rozhodujeme stejně až na základě zhodnocení pravděpodobnosti výskytu relevantních hrozeb a jejich dopadů, které by mohly skutečně nastat. Nikoliv, které by mohly nastat, kdyby nebyla implementována opatření, které už vlastně implementována jsou.

Ad absurdum byste pak mohli uvažovat o inherentním riziku úniku citlivých informací z e-mailové schránky bez nutnosti ověření se heslem, anebo ze serveru, který bude umístěn místo v datovém centru, pod stolem v kanceláři, protože i to jsou opatření, která by podle definice inherentního rizika neměla být brána v úvahu.

Jenže takovýto pohled na inherentní riziko je pak jen takové celkem zbytečné přemítání o riziku, které vlastně ani nemůže nikdy pořádně nastat. Má potom vůbec smysl zabývat se výší nějakého inherentního rizika? Má, ale snad jen pro určení nejhoršího možného dopadu, i když i tady se dost často chybuje.

Měla by být opatření přítomná již v základu ignorována, anebo by měla být zvažována v rámci hodnocení inherentního rizika?

Pokud vás tento článek zaujal, můžete odkaz na něj sdílet.

Štítky: ,


K článku “Má vůbec smysl se zabývat něčím takovým, jako je inherentní riziko?” se zde nenachází žádný komentář - buďte první.

Diskuse na tomto webu je moderována. Pod článkem budou zobrazovány jen takové komentáře, které nebudou sloužit k propagaci konkrétní firmy, produktu nebo služby. V případě, že chcete, aby z těchto stránek vedl odkaz na váš web, kontaktujte nás, známe efektivnější způsoby propagace.

Přihlášeným uživatelům se tento formulář nezobrazuje - zaregistrujte se.

Jméno:(požadováno)
E-mail:(požadováno - nebude zobrazen)
Web:

Text vaší reakce: