Často se setkáváme s otázkou, zda je lepší provádět analýzu rizik kvantitativní nebo kvalitativní.

Ve skutečnosti je tato otázka zavádějící. Praktická volba nestojí mezi kvalitativní a kvantitativní metodou, ale spíše mezi semikvantitativním a kvantitativním přístupem.

Analýza rizik bývá tradičně rozdělena na přístupy kvalitativní a kvantitativní. Vedle nich se v praxi uplatňuje i varianta semikvalitativní, respektive semikvantitativní, která kombinuje slovní hodnocení s možností číselného zpracování.

Typickým nástrojem je matice rizik, v níž se pravděpodobnost hrozeb a velikost dopadů převádějí na číselné hodnoty a jejich kombinací vzniká výsledné hodnocení rizika.

Metodika Open Factor Analysis of Information Risk, zkr. Open FAIR poskytuje návod, jak provést analýzu informačních rizik, nic víc od ní ale nečekejte.

Na řízení rizik v celém jejich životním cyklu jsou tady jiné, vhodnější metodiky, např. M_o_R, takže jestliže proces řízení rizik ve vaší organizaci zavedený ještě nemáte, začněte nejdříve s ním, než vám začne management řídit rizika kreativně.

Na trhu je spousta nástrojů, které slouží k analýze rizik, a mnohé z nich jsou k dispozici i zdarma.

Neznám však bohužel takový nástroj, který by byl ihned po instalaci nebo spuštění okamžitě použitelný a umožňoval vše, co bych si představoval.

Inherentní riziko bývá nejčastěji definováno jako riziko bez implementace příslušných opatření.

Problém je však v tom, že v okamžiku, kdy budete výši rizika stanovovat bez ohledu na stávající opatření, tak vám zcela nesmyslně vzroste pravděpodobnost hrozby a spolu s ní i dopad.

V tomto příspěvku bych se chtěl zamyslet nad tím, jaký je přínos asistované analýzy rizik.

Pokud organizace nemá s analýzou rizik informačního systému praktické zkušenosti, tak je celkem logické, že se v této záležitosti obrací na externího konzultanta.

O tom, jak identifikovat primární a podpůrná aktiva a stanovit závislost mezi nimi, jsem psal posledně, nyní se zamysleme nad tím, jak určit jejich hodnotu.

Poměrně jasnou odpověď na otázku, jak stanovit hodnotu aktiva, přináší norma ČSN ISO/IEC 27005:2013, která uvádí, že bychom měli vzít v úvahu následující dvě kritéria:

Byť lze dle ČSN ISO/IEC 27005:2013 za aktivum považovat cokoliv, co má pro organizaci nějakou hodnotu, a bezpečnostní opatření nepochybně nějakou hodnotu má, tak bych je mezi podpůrná aktiva přesto neřadil.

Pokud je totiž mezi podpůrná aktiva zařadíte, dostanete se tak trochu do schizofrenní situace, protože před vámi vyvstane otázka, jaké opatření nasadíte za účelem jejich ochrany.

Cílem tohoto příspěvku je objasnit, jaký je rozdíl mezi primárními a podpůrnými aktivy a jaký je mezi nimi vztah.

S pojmem primární a podpůrná aktiva, někdy označována též jako sekundární, se můžeme setkat v rámci analýzy rizik. Na první pohled by se mohlo zdát, že sekundární aktiva jsou méně významná, ale není tomu tak, protože primární aktiva jsou na podpůrných závislá.

Analýzu rizik je možné provést dle doporučení uvedených ve vyhlášce č. 316/2014 Sb. Problém je, že vyhláška, tak jak je napsána, neposkytuje kompletní návod, jak analýzu rizik provést, a také požadavky v ní uvedené, lze vyložit různě.

Doporučuji vám, držet se vyhlášky, co to jde, protože se tím vyhnete pozdějšímu vysvětlování, proč jste to či ono udělali jinak. I tak ale narazíte na několik zásadních problémů, které budete muset vyřešit, abyste mohli vůbec analýzu rizik provést.