Mělo by být řízení informační bezpečnosti postavené na rizicích nebo opatřeních?

Publikováno: 30. 05. 2019, v rubrice: Řízení rizik, autor: , zobrazeno: 1 251x

Nedávno jsem narazil na otázku, zda by měl být přístup k řízení bezpečnosti založen na rizicích nebo opatřeních.  

V zásadě se jedná o problém, který zahraniční literatura popisuje jako risk driven approach vs. control driven approach. Osobně jsem přesvědčen o tom, že pokud má být řízení informační bezpečnosti skutečně efektivní, tak je nutné zkombinovat oba tyto přístupy, neboť tyto přístupy nestojí proti sobě, ale vzájemně se doplňují.

Control driven approach

V tomto případě dochází k implementaci příslušných bezpečnostních opatření a jejich vyhodnocování na základě jejich pouhého uvedení v nějakém standardu, kdy musí být implementována všechna opatření, a pokud nejsou, tak musí být uvedeno, proč ne.

Risk driven approach

V tomto případě dochází k implementaci vybraných bezpečnostních opatření až na základě identifikovaných inherentních rizik a mělo by být zřejmé, jaká bude úroveň zbytkového rizika po jejich implementaci.

Kombinace obou přístupů

Oba přístupy mají samozřejmě své výhody a nevýhody, kterou jsou zachyceny v následující tabulce.

Control driven approach Risk driven approach
+Bezpečnostní opatření jsou uvedena ve standardu, takže je snadné učinit rozhodnutí, že mají být implementována. -Bezpečnostní opatření je nutné navrhnout ve vztahu k identifikovanému riziku, což nemusí být triviální.
-Mohou být implementována i opatření, která nejsou nezbytně nutná, a tudíž se zbytečně zvyšují náklady. +Jsou implementována jen opatření, která jsou nezbytně nutná, takže nedochází k neúčelnému vynaložení nákladů.
+Musí být zavedena všechna opatření uvedená ve standardu, takže by se nemělo stát, že nějaké bude scházet. -Nemusí být identifkována všechna rizika a tudíž nemusí být zavedena všechna potřebná opatření.
-Obtížně se odpovídá na otázku, proč investovat do zavedení daného opatření a jaké riziko se tím snižuje. +Každé opatření je odůvodněno nějakým rizikem, které se tímto snižuje.

Pokud soulad s normativem není vyžadován, je vždy vhodné implementovat základní sadu bezpečnostních opatření a následně provést identifikaci a analýzu rizik v oblastech uvedených ve standardu a tam rovněž vyhledat i vhodná opatření. Tím by mělo být zaručeno, že nic podstatného neopomenete.

Pokud vás tento článek zaujal, můžete odkaz na něj sdílet.
Související články:
  1. Jak zavést efektivní systém řízení informační bezpečnosti
  2. Řízení informační bezpečnosti v době krize
  3. Řízení rizik: Proč dokumentovat zavedení určitého opatření
  4. GDPR: nařízení na ochranu osobních údajů deformuje trh
  5. Jaký je váš risk appetite v oblasti řízení informačních rizik?

Štítky:


K článku “Mělo by být řízení informační bezpečnosti postavené na rizicích nebo opatřeních?” se zde nenachází žádný komentář - buďte první.

Diskuse na tomto webu je moderována. Pod článkem budou zobrazovány jen takové komentáře, které nebudou sloužit k propagaci konkrétní firmy, produktu nebo služby. V případě, že chcete, aby z těchto stránek vedl odkaz na váš web, kontaktujte nás, známe efektivnější způsoby propagace.

Přihlášeným uživatelům se tento formulář nezobrazuje - zaregistrujte se.

Jméno:(požadováno)
E-mail:(požadováno - nebude zobrazen)
Web:

Text vaší reakce:

 

Řízení rizik

v této rubrice se nachází celkem
81 příspěvků

Řízení informačních rizik v praxi


Řízení informačních rizik v praxi