Proč experti při hodnocení kybernetických rizik selhávají
Dost často je hodnocení rizik založeno na pouhém subjektivním hodnocení experta, který se může mýlit a dost často se i mýlí. Ovšem zdá se, že to nikoho netrápí.
Což je velice zvláštní, protože kvalita expertů, kteří hodnotí výši kybernetického rizika, od které se pak odvíjí některá zásadní rozhodnutí, by měla být v zájmu vrcholového managementu.
Bohužel neznám mnoho firem, které by vyhodnocovaly, jak moc jsou jejich experti ve svých odhadech kybernetických hrozeb a dopadů dlouhodobě konzistentní, a zda ve svých odhadech dosahují shody i s ostatními experty anebo se výrazně liší. A nemyslím si, že by to nějak souviselo s kreativním řízením rizik.
Z dosavadních výzkumů totiž jasně vyplývá, že mnozí experti nejsou ve svých hodnoceních konzistentní a rozchází se s hodnocením ostatních expertů. Ukazuje se, že expert, kterému je předloženo k posouzení v zásadě stejné riziko, jej dost často hodnotí různě, anebo naopak zcela odlišná rizika hodnotí pořád stejně.
Obojí je samozřejmě špatně a svědčí to o tom, že byť jsou experti školeni v metodice řízení, posuzování a zvládání rizik, tak málokdy jsou trénováni ve správném odhadu pravděpodobnosti hrozby, velikosti dopadu, míry zranitelnosti či účinnosti opatření.
Ostatně přesvědčit se o tom můžete sami. Schválně si ve vaší organizaci projděte registry rizik od jednotlivých expertů a zaměřte se na to, jak hodnotili obdobná rizika, a rovněž jak obdobná rizika hodnotili ostatní experti. Možná budete velice nepříjemně překvapeni, až zjistíte, že se tento problém týká i vaší organizace.
Problém je, že máme tendenci přeceňovat naše schopnosti odhadnout pravděpodobnost výskytu určitých událostí nebo velikost škody. Rozhodujeme se dost často jen na základě toho, co si pamatujeme a špatně tak odhadujeme pravděpodobnost budoucích událostí.
Často si totiž spíše zapamatujeme významné události nebo události relativně nedávné, a ty pak vnímáme jako mnohem pravděpodobnější. Naopak hrozby, se kterými jsme se nesetkali a nedokážeme si je představit, máme snahu podhodnocovat. Většina expertů je přesto přesvědčena o přesnosti svých odhadů a má přehnanou důvěru ve své schopnosti pravděpodobnost hrozeb a dopadů odhadovat.
Dobrá zpráva nicméně je, že konzistence a přesnost odhadů vašich expertních týmů se dá zlepšit kalibračním školením a tréninkem. A dosavadní zkušenosti jednoznačně ukazují, že osoby, které prošly kalibračním školením a tréninkem, dosahují mnohem lepších výsledků pokud jde o odhady pravděpodobnosti a dopadů hrozeb.
V rámci tréninku a kalibračního školení, které je součástí školení řízení rizik, se naučíte, jak stanovit pravděpodobnost hrozby a hodnoty dopadu. Přičemž nejde o to stanovit přesné číslo, ale definovat interval, ve kterém se ona hodnota s 90% pravděpodobností nachází.
Za tímto účelem používáme dvě sady otázek. V první sadě otázek se ptáme, zda je předložené tvrzení pravdivé a jak moc si je expert se svou odpovědí jistý a ve druhé sedě otázek pak po expertovi požadujeme, aby stanovil interval, ve kterém se nachází správná odpověď.
ČERMÁK, Miroslav. Proč experti při hodnocení kybernetických rizik selhávají. Online. Clever and Smart. 2024. ISSN 2694-9830. Dostupné z: https://www.cleverandsmart.cz/proc-experti-pri-hodnoceni-kybernetickych-rizik-selhavaji/. [cit. 2025-01-20].
Štítky: vyhodnocení rizik
K článku “Proč experti při hodnocení kybernetických rizik selhávají” se zde nenachází žádný komentář - buďte první.
Diskuse na tomto webu je moderována. Pod článkem budou zobrazovány jen takové komentáře, které nebudou sloužit k propagaci konkrétní firmy, produktu nebo služby. V případě, že chcete, aby z těchto stránek vedl odkaz na váš web, kontaktujte nás, známe efektivnější způsoby propagace.