Pokud organizace chce na trhu uspět, musí se nějakým způsobem odlišit od konkurence.

To, v čem se pak organizace odlišují od ostatních, je způsob, jakým realizují svůj core business, jaké mají náklady, výnosy, jakého dosahují zisku a jakou vytvářejí ekonomickou hodnotu pro své vlastníky.

V minulém dílu jsem psal o tom, jaké techniky jsou používány v rámci kreativního řízení rizik.

Pokud jste si kladli otázku, jak jsou tyto techniky v reálné praxi používány, tak tomu se budu věnovat právě v tom příspěvku.

Baiting je jednoduchá technika, která spočívá v tom, že útočník nastraží přenosné paměťové médium, které představuje de facto návnadu (bait) na určitém místě, kde jej najde oběť a ta z něj pak spustí škodlivý kód.

Kreativita a drzost útočníků v tomto směru nezná mezí. Pojďme se společně podívat některé scénáře útoku.

V minulém dílu jste měli možnost se seznámit s fenoménem kreativní řízení rizik.

Nyní se zaměříme na nejčastěji používané techniky kreativního řízení rizik a to ve všech jeho fázích. Když se podíváme na to, jak řízení rizik v organizacích probíhá a z jakých fází se celý proces řízení rizik skládá, poměrně snadno identifikujeme oblasti, kde lze vyvíjet ve větší či menší míře nějakou kreativitu, která se může projevit a zpravidla se projeví:

Cloudy jsou v zásadě homogenní prostředí, které útočník může předem detailně prozkoumat, důkladně otestovat a najít v nich zranitelnosti, kterých může následně zneužít.

Jednoduše si zaplatí a dočasně se stane klientem Microsoftu, Googlu, Amazonu nebo nějaké jiné organizace provozující cloud a vyžádá si bezpečností politiky, standardy, příručky a vůbec veškerou dokumentaci a tu i dostane.

Analýza rizik by měla poskytnout pokud možno co nejobjektivnější pohled na rizika, kterým je organizace vystavena.

Ovšem stejně jako v oblasti účetnictví, jehož cílem je poskytnout věrný a pravdivý obraz „true and fair view“ o stavu hospodaření, se můžeme setkat s tzv. kreativním účetnictvím (creative accounting), tak i v oblasti řízení rizik se můžeme setkat s něčím, co by se dalo s jistou nadsázkou nazvat kreativním řízením rizik (creative risk management).

V boji s phishingem soustavně prohráváme a nic na tom nemění ani probíhající bezpečnostní osvěta zaměstnanců.

Snažíme se dostat pod kontrolu rozhodování zaměstnance, které on sám má pod kontrolou jen v jednotkách procent, protože ve většině případů jej zcela ovládají emoce.

Za správně formulovanou vizí, která má často podobu jen jedné jediné věty, jsou často desítky hodin práce.

A rozdíl mezi vhodně a nevhodně formulovanou vizí pak může činit i několik desítek procent ročního zisku, neboť bez provedení odpovídajícího výzkumu zainteresovaných stran a zhodnocení možných dopadů veřejně prezentované vize na danou organizaci není možné danou vizi formulovat.

Můžete argumentovat dosažením obchodních cílů, mandatorními požadavky anebo odstrašujícími případy.

Co to znamená a jaká jsou úskalí této argumentace, o tom si přečtete v tomto článku.

Na trhu je spousta nástrojů, které slouží k analýze rizik, a mnohé z nich jsou k dispozici i zdarma.

Neznám však bohužel takový nástroj, který by byl ihned po instalaci nebo spuštění okamžitě použitelný a umožňoval vše, co bych si představoval.