Mělo by být řízení informační bezpečnosti postavené na rizicích nebo opatřeních?

Publikováno: 30. 05. 2019, v rubrice: Řízení rizik, autor: , zobrazeno: 1 150x

Nedávno jsem narazil na otázku, zda by měl být přístup k řízení bezpečnosti založen na rizicích nebo opatřeních.  

V zásadě se jedná o problém, který zahraniční literatura popisuje jako risk driven approach vs. control driven approach. Osobně jsem přesvědčen o tom, že pokud má být řízení informační bezpečnosti skutečně efektivní, tak je nutné zkombinovat oba tyto přístupy, neboť tyto přístupy nestojí proti sobě, ale vzájemně se doplňují.

Control driven approach

V tomto případě dochází k implementaci příslušných bezpečnostních opatření a jejich vyhodnocování na základě jejich pouhého uvedení v nějakém standardu, kdy musí být implementována všechna opatření, a pokud nejsou, tak musí být uvedeno, proč ne.

Risk driven approach

V tomto případě dochází k implementaci vybraných bezpečnostních opatření až na základě identifikovaných inherentních rizik a mělo by být zřejmé, jaká bude úroveň zbytkového rizika po jejich implementaci.

Kombinace obou přístupů

Oba přístupy mají samozřejmě své výhody a nevýhody, kterou jsou zachyceny v následující tabulce.

Control driven approach Risk driven approach
+Bezpečnostní opatření jsou uvedena ve standardu, takže je snadné učinit rozhodnutí, že mají být implementována. -Bezpečnostní opatření je nutné navrhnout ve vztahu k identifikovanému riziku, což nemusí být triviální.
-Mohou být implementována i opatření, která nejsou nezbytně nutná, a tudíž se zbytečně zvyšují náklady. +Jsou implementována jen opatření, která jsou nezbytně nutná, takže nedochází k neúčelnému vynaložení nákladů.
+Musí být zavedena všechna opatření uvedená ve standardu, takže by se nemělo stát, že nějaké bude scházet. -Nemusí být identifkována všechna rizika a tudíž nemusí být zavedena všechna potřebná opatření.
-Obtížně se odpovídá na otázku, proč investovat do zavedení daného opatření a jaké riziko se tím snižuje. +Každé opatření je odůvodněno nějakým rizikem, které se tímto snižuje.

Pokud soulad s normativem není vyžadován, je vždy vhodné implementovat základní sadu bezpečnostních opatření a následně provést identifikaci a analýzu rizik v oblastech uvedených ve standardu a tam rovněž vyhledat i vhodná opatření. Tím by mělo být zaručeno, že nic podstatného neopomenete.

Pokud vás tento příspěvek zaujal, sdílejte ho!
Email this to someone
email
Share on LinkedIn
Linkedin
Tweet about this on Twitter
Twitter
Share on Facebook
Facebook
Print this page
Print
Související články:
  1. Jak zavést efektivní systém řízení informační bezpečnosti
  2. Řízení informační bezpečnosti v době krize
  3. Řízení rizik: Proč dokumentovat zavedení určitého opatření
  4. GDPR: nařízení na ochranu osobních údajů deformuje trh
  5. Jaký je váš risk appetite v oblasti řízení informačních rizik?

Štítky:


K článku “Mělo by být řízení informační bezpečnosti postavené na rizicích nebo opatřeních?” se zde nenachází žádný komentář - buďte první.

Diskuse na tomto webu je moderována. Pod článkem budou zobrazovány jen takové komentáře, které nebudou sloužit k propagaci konkrétní firmy, produktu nebo služby. V případě, že chcete, aby z těchto stránek vedl odkaz na váš web, kontaktujte nás, známe efektivnější způsoby propagace.

Přihlášeným uživatelům se tento formulář nezobrazuje - zaregistrujte se.

Jméno:(požadováno)
E-mail:(požadováno - nebude zobrazen)
Web:

Text vaší reakce:

 

Řízení rizik

v této rubrice se nachází celkem 80 příspěvků

Řízení informačních rizik v praxi


Řízení informačních rizik v praxi