Proč experti při hodnocení kybernetických rizik selhávají
Dost často je hodnocení rizik založeno na pouhém subjektivním hodnocení experta, který se může mýlit a dost často se i mýlí. Ovšem zdá se, že to nikoho netrápí.
Což je velice zvláštní, protože kvalita expertů, kteří hodnotí výši kybernetického rizika, od které se pak odvíjí některá zásadní rozhodnutí, by měla být v zájmu vrcholového managementu.
Bohužel neznám mnoho firem, které by vyhodnocovaly, jak moc jsou jejich experti ve svých odhadech kybernetických hrozeb a dopadů dlouhodobě konzistentní, a zda ve svých odhadech dosahují shody i s ostatními experty anebo se výrazně liší. A nemyslím si, že by to nějak souviselo s kreativním řízením rizik.
Z dosavadních výzkumů totiž jasně vyplývá, že mnozí experti nejsou ve svých hodnoceních konzistentní a rozchází se s hodnocením ostatních expertů. Ukazuje se, že expert, kterému je předloženo k posouzení v zásadě stejné riziko, jej dost často hodnotí různě, anebo naopak zcela odlišná rizika hodnotí pořád stejně.
Obojí je samozřejmě špatně a svědčí to o tom, že byť jsou experti školeni v metodice řízení, posuzování a zvládání rizik, tak málokdy jsou trénováni ve správném odhadu pravděpodobnosti hrozby, velikosti dopadu, míry zranitelnosti či účinnosti opatření.
Ostatně přesvědčit se o tom můžete sami. Schválně si ve vaší organizaci projděte registry rizik od jednotlivých expertů a zaměřte se na to, jak hodnotili obdobná rizika, a rovněž jak obdobná rizika hodnotili ostatní experti. Možná budete velice nepříjemně překvapeni, až zjistíte, že se tento problém týká i vaší organizace.
Problém je, že máme tendenci přeceňovat naše schopnosti odhadnout pravděpodobnost výskytu určitých událostí nebo velikost škody. Rozhodujeme se dost často jen na základě toho, co si pamatujeme a špatně tak odhadujeme pravděpodobnost budoucích událostí.
Často si totiž spíše zapamatujeme významné události nebo události relativně nedávné, a ty pak vnímáme jako mnohem pravděpodobnější. Naopak hrozby, se kterými jsme se nesetkali a nedokážeme si je představit, máme snahu podhodnocovat. Většina expertů je přesto přesvědčena o přesnosti svých odhadů a má přehnanou důvěru ve své schopnosti pravděpodobnost hrozeb a dopadů odhadovat.
Dobrá zpráva nicméně je, že konzistence a přesnost odhadů vašich expertních týmů se dá zlepšit kalibračním školením a tréninkem. A dosavadní zkušenosti jednoznačně ukazují, že osoby, které prošly kalibračním školením a tréninkem, dosahují mnohem lepších výsledků pokud jde o odhady pravděpodobnosti a dopadů hrozeb.
V rámci tréninku a kalibračního školení, které je součástí školení řízení rizik, se naučíte, jak stanovit pravděpodobnost hrozby a hodnoty dopadu. Přičemž nejde o to stanovit přesné číslo, ale definovat interval, ve kterém se ona hodnota s 90% pravděpodobností nachází.
Za tímto účelem používáme dvě sady otázek. V první sadě otázek se ptáme, zda je předložené tvrzení pravdivé a jak moc si je expert se svou odpovědí jistý a ve druhé sedě otázek pak po expertovi požadujeme, aby stanovil interval, ve kterém se nachází správná odpověď.
Štítky: vyhodnocení rizik
K článku “Proč experti při hodnocení kybernetických rizik selhávají” se zde nenachází žádný komentář - buďte první.
Diskuse na tomto webu je moderována. Pod článkem budou zobrazovány jen takové komentáře, které nebudou sloužit k propagaci konkrétní firmy, produktu nebo služby. V případě, že chcete, aby z těchto stránek vedl odkaz na váš web, kontaktujte nás, známe efektivnější způsoby propagace.