Analýza rizik: Jemný úvod do analýzy rizik

Cílem tohoto příspěvku je vysvětlit základní pojmy a stručně charakterizovat jednotlivé fáze analýzy rizik.

Analýza rizik by měla přinést odpověď na otázku, působení jakých hrozeb je společnost vystavena, jak moc jsou její aktiva vůči těmto hrozbám zranitelná, jak vysoká je pravděpodobnost, že hrozba zneužije určitou zranitelnost a jaký dopad by to na společnost mohlo mít. V analýze rizik se používají následující pojmy:

Rubrika: Řízení rizik
celý článek

Zvládání rizik: Jemný úvod do zvládání rizik

Cílem tohoto příspěvku je stručně charakterizovat jednotlivé metody zvládání rizik a doplnit informace uvedené v knize „Řízení informačních rizik v praxi“.

Fáze zvládání rizik (risk treatment/handling) spočívá ve volbě vhodné metody zvládání rizik. Mezi nejběžnější metody zvládání rizik patří akceptace a redukce rizika. Ač se jedná o metody nejčastější, nejsou zdaleka jediné. Pojďme se společně podívat i na ostatní metody, stručně si je charakterizovat a zamyslet se nad tím, kdy je vhodné tu či onu metodu použít. 

Rubrika: Řízení rizik
celý článek

IT Governance

Pojem IT Governance prosazuje ISACA někdy od poloviny 90. let minulého století. Ač všichni o IT governance mluví, tak málokdo dovede vysvětlit, co to vlastně je. Je IT governance jen další buzzword?

IT governance je zaměřeno na strategické řízení IT, které by mělo vycházet ze strategických business plánů společnosti. Strategii IT definuje jeho vrcholový management, zastoupený nejčastěji CIO (Chief Information Officer), který též zajišťuje komunikaci mezi IT a obchodními útvary a odpovídá vrcholovému managementu dané společnosti. CIO definuje organizační strukturu a poslání jednotlivých útvarů, předkládá stávající možnosti a omezení IT, definuje požadavky na zdroje, pravidla, způsob měření a kontrol, např. dle COBIT.

Rubrika: Management
celý článek

Vyhodnocení rizik: kvantifikace opatření

V tomto příspěvku se dozvíte, jakým způsobem provést vyhodnocení jednotlivých opatření a zvolit to nejefektivnější.

V okamžiku, kdy jsme provedli analýzu rizik a známe již celkovou škodu, kterou by mohly jednotlivé hrozby způsobit, měli bychom se zamyslet nad volbou vhodných opatření. Rozhodnutí, zda bude dané opatření vůbec implementováno, by měla předcházet tzv. cost/benefit analýza. V rámci této analýzy bychom měli posoudit, jaká je hodnota aktiva a jaké jsou náklady na jeho ochranu. Pro výpočet hodnoty lze použít následující vzorec:

Rubrika: Řízení rizik
celý článek

COBIT tajemství zbavený

V tomto příspěvku se dozvíte, co je to COBIT, pro koho je tato metodika určena a jaký je její přínos.

Metodika CobiT (Control OBjectives for Information and related Technology) je považována za soubor těch nejlepších praktik pro řízení informatiky (IT Governance), které by měly umožnit dosažení strategických cílů organizace díky efektivnímu využití dostupných zdrojů a minimalizaci IT rizik.

Rubrika: Management
celý článek

Logická bomba

Logická bomba je samostatná aplikace, skript nebo kód vložený do jiného programu, který se spustí po splnění určitých podmínek.

Logická bomba může dělat v podstatě cokoliv. Nejčastěji ji do systému umísťuje nespokojený zaměstnanec, který ví, že bude propuštěn nebo se této situace obává a jeho motivem tak bývá pomsta nebo snaha se finančně zajistit v období, kdy bude bez práce a příjmu. O tom, že toto riziko roste např. v době krize, jsme již psali.

Rubrika: Bezpečnost
celý článek

Vyhodnocení rizik: identifikace opatření

Cílem tohoto příspěvku je popsat jednotlivé typy bezpečnostních opatření a doplnit tak informace uvedené v knize „Řízení informačních rizik v praxi“.

Pro termín opatření, někdy též protiopatření, se v informační bezpečnosti používají více či méně zaměnitelná synonyma security measures, countermeasures, safeguards nebo controls. Ať už je ale použit jakýkoliv termín, vždy se jedná o opatření, jehož cílem je snížit riziko na akceptovatelnou úroveň a ochránit tak cenná aktiva. Podle způsobu implementace můžeme opatření rozdělit na:

Rubrika: Řízení rizik
celý článek

Outsourcing ICT: uzavíráme SLA

V tomto příspěvku se dozvíte, co by měla smlouva o outsourcingu obsahovat a na co si dát pozor.

Kromě běžných náležitostí jako je identifikace smluvních stran, místo plnění smlouvy apod., by ve smlouvě o outsourcingu mělo být uvedeno, jaké služby a v jaké kvalitě se společnost zavazuje dodávat, jak bude probíhat vyhodnocování kvality těchto služeb, jaká je cena za tyto služby a jaké jsou sankce v případě neplnění.

Rubrika: Management
celý článek

Vícevrstvá architektura: popis vrstev

Vícevrstvá architektura se často označuje jako multi-tier nebo ještě častěji jako n-tier, kde n vyjadřuje počet vrstev, ze kterých se vícevrstvá architektura skládá.

Jako vícevrstvá se označuje proto, že funkčnost aplikace je rozdělena mezi několik vzájemně spolupracujících vrstev, které spolu komunikují přes definované rozhraní. Nejběžnějším příkladem vícevrstvé architektury je architektura třívrstvá, kterou používá mnoho webových aplikací. V takovém případě rozlišujeme vrstvu, která se stará o uživatelské rozhraní, vlastní logiku aplikace a databázi.

Rubrika: Vývoj SW
celý článek

Analýza rizik: kvantitativní analýza rizik

Cílem tohoto příspěvku je poskytnout čtenáři jednoduchý návod jak provést kvantitativní analýzu rizik a doplnit informace uvedené v knize „Řízení informačních rizik v praxi“.

Kvantitativní analýza rizik je založena na vyjádření hodnoty aktiva a dopadu v peněžních jednotkách. Analýza rizik probíhá v několika krocích, ve kterých se snažíme o identifikaci a kvantifikaci aktiv, hrozeb, zranitelností a stanovení celkové výše škody. Jednotlivé kroky nebo chcete-li fáze analýzy rizik, si dále stručně popíšeme.

Rubrika: Řízení rizik
celý článek