Řízení rizik: identifikace rizik – 2. díl
V minulém příspěvku jsem zmínil top-down a bottom-up přístup, a na ten se nyní zaměříme.
Top-down přístup začíná tím, že si expertní tým klade otázku, co by organizaci mohlo zabránit v dosahování mise a vize. Bottom-up přístup zase vychází z identifikace aktiv, hrozeb, zranitelností a opatření, kdy si expertní tým klade otázku, jaká hrozba by mohla zneužít určité zranitelnosti a narušit důvěrnost, integritu anebo dostupnost aktiv.
Top-down přístup
Top-down přístup v identifikaci rizik spočívá v identifikaci rizik, které by mohly ohrozit dosažení vize a mise organizace a ohrozit kritické business procesy. Business vlastník si klade otázku, na čem všem je značka, jeho dobré jméno a výroba nebo poskytovaní služeb závislé a co by mohlo způsobit přerušení nebo zhoršení kvality. Zkoumá se tzv. business dopad a týká se primárních aktiv.
Tento přístup je zpravidla prováděn ze strany managementu a businessu, kdy jsou identifikována generická rizika. Zde je třeba si dát pozor na jejich ovlivňování ze strany hromadných sdělovacích prostředků a některých médií, která mají tendenci se věnovat jen určitým, pro jejich posluchače, čtenáře a diváky mediálně atraktivním hrozbám, a prezentovat jen určité útoky.
Ty přitom mohou být stejné nebo dokonce i nižší než ostatní, kterým není věnována dostatečná mediální pozornost. Můžete ostatně sami pozorovat, že v rámci brainstormingu se budou některá rizika vyskytovat mnohem častěji než ostatní, což samozřejmě není náhoda.
Bottom-up přístup
Bottom-up přístup v identifikaci rizik spočívá v identifikaci aktiv, hrozeb a zranitelností, kdy dochází k analýze hrozeb a zranitelností např. formou skenu zranitelností či kontroly shody s cílem zjistit, která bezpečnostní opatření organizační a technické povahy nejsou zavedena anebo jsou nedostatečná. Zkoumá se tzv. technický dopad a týká se sekundárních aktiv.
U každého aktiva se pak ptáme, jakým způsobem by mohlo dojít k narušení bezpečnosti přenášených, ukládaných nebo zpracovávaných dat z pohledu důvěrnosti, integrity anebo dostupnosti dané komponenty, či jejího ovládnutí neoprávněnou osobou.
Tento přístup je zpravidla volen ze strany expertů na danou oblast, např. IT, které ale zase plně nerozumí samotnému businessu a proto tento přístup musí být zkombinován s top-down přístupem.
Shora dolů nebo zdola nahoru
V rámci obou přístupů vznikají rizikové scénáře a to jak obecné (generic risk scenario) první to případ, tak konkrétní (specific risk scenario), druhý to případ a je třeba hledat průniky, a k tomu je vhodné zahrnout mezi respondenty pracovníky tzv. první linie, neboť ti jsou zapojeni do daného procesu.
V odborné literatuře se nejspíš nedočtete, zda začít nejprve shora dolů anebo zdola nahoru, případně zda by měly oba tyto přístupy začít přibližně stejně. Osobně doporučuji začít nejprve shora dolů, tj. identifikovat kritické business procesy a co by je mohlo narušit a přístupem zdola nahoru pak tato rizika upřesnit, aby rizikové scénáře nabyly konkrétních obrysů.
Ovšem pozor, aby nedošlo k nedorozumění. V rámci bottom-up přístupu by neměly být rozpracovávána jen rizika, která vyšla přístupem top-down, protože to by mohla být některá rizika opomenuta. Nesmíme zapomínat, že top-down přístup je realizován zpravidla ze strany managementu a ten může uplatňovat značně kreativní řízení rizik, a to se všemi možnými konsekvencemi, což určitě nechcete.
Štítky: identifikace rizik
K článku “Řízení rizik: identifikace rizik – 2. díl” se zde nenachází žádný komentář - buďte první.
Diskuse na tomto webu je moderována. Pod článkem budou zobrazovány jen takové komentáře, které nebudou sloužit k propagaci konkrétní firmy, produktu nebo služby. V případě, že chcete, aby z těchto stránek vedl odkaz na váš web, kontaktujte nás, známe efektivnější způsoby propagace.