Publikováno: 04. 11. 2015, v rubrice:
Řízení rizik, autor:
Miroslav Čermák
, zobrazeno: 2 643x
V tomto příspěvku se pokusím vysvětlit, jak je možné, že kritická zranitelnost, které je možno zneužít vzdáleně, a zcela bez interakce uživatele kompletně ovládnout jeho zařízení, nemusí vůbec představovat významné riziko.
Jako příklad použijeme nedávno zveřejněnou kritickou zranitelnost v Adobe Flash Playeru.
Publikováno: 16. 04. 2015, v rubrice:
Řízení rizik, autor:
Miroslav Čermák
, aktualizováno: 04. 05. 2015, zobrazeno: 4 906x
O reputačním riziku mluvíme zpravidla v souvislosti s negativní publicitou, kdy hrozí, že zveřejnění určité informace, bez ohledu na to, zda je tato informace pravdivá či nikoliv, by mohlo způsobit ztrátu důvěry klientů, obchodních partnerů nebo akcionářů a v konečném důsledku vést k finanční ztrátě nebo i k ukončení činnosti dané společnosti na trhu.
V rámci analýzy rizik bychom se měli pokusit odhadnout, jaký dopad na business by tato negativní publicita mohla mít, a jaká je pravděpodobnost, že tato skutečnost nastane.
Publikováno: 12. 02. 2015, v rubrice:
Řízení rizik, autor:
Miroslav Čermák
, aktualizováno: 13. 04. 2015, zobrazeno: 3 491x
Byť se při vizualizaci jednotlivých úrovní rizik běžně používá zelená pro nízké, žlutá pro střední, oranžová pro vysoké a červená pro kritické riziko, tak si kladu otázku, zda není vyjádření nízkého rizika právě pomocí zelené barvy tak trochu zavádějící.
Nemám nic proti zelené barvě, naopak. Ale nemůže v mnoha lidech zelená barva budit zdání, že tam žádné riziko není, a tudíž že s ním není třeba nic dělat? A přitom ono riziko tam pořád je, a je třeba ho minimálně monitorovat.
Publikováno: 06. 04. 2014, v rubrice:
Řízení rizik, autor:
Miroslav Čermák
, zobrazeno: 4 889x
Riziko je odvozeno z pravděpodobnosti hrozby, míry zranitelnosti a hodnoty dopadu.
Riziko můžeme definovat jako pravděpodobnost, že se vyskytne určitá hrozba, která překoná bezpečnostní opatření, zneužije nějaké zranitelnosti a způsobí škodu plynoucí z úniku citlivých informací, jejich nežádoucí změny nebo zničení. Hrozba je pak někdo/něco, kdo/co má potenciál způsobit nějakou škodu na aktivu a zranitelnost je vlastnost samotného aktiva.
Publikováno: 02. 04. 2014, v rubrice:
Řízení rizik, autor:
Miroslav Čermák
, zobrazeno: 6 114x
, 1 komentář
Je způsob výpočtu rizika, tak jak je uveden v mezinárodních standardech, použitelný i v případech, kdy jedna hodnota nabývá svého minima a druhá naopak svého maxima?
Při analýze rizik zcela jistě narazíte jak na hrozby vyskytující se velice často, a mající na organizaci naprosto zanedbatelný dopad, tak i na hrozby, které se nevyskytují prakticky vůbec, ale přitom by jejich dopad na organizaci mohl být zdrcující. V rámci analýzy rizik vám však v obou těchto případech vyjde riziko spíše nízké nebo střední, a to bez ohledu na to, jaký použijete matematický aparát. Je to tak ale v pořádku?
Publikováno: 02. 09. 2013, v rubrice:
Řízení rizik, autor:
Miroslav Čermák
, zobrazeno: 5 560x
Tento příspěvek doplňuje informace uvedené v knize „Řízení informačních rizik v praxi“ a upozorňuje na co si dát pozor při výpočtu zbytkového rizika.
V naší úvaze budeme vycházet z předpokladu, že riziko je dáno vztahem R=A*H*Z, kde R je riziko, A je hodnota dopadu, H je pravděpodobnost hrozby a Z je míra zranitelnosti. Dále budeme předpokládat, že zbytkové riziko po implementaci opatření lze vyjádřit jako RR=R/O, přičemž RR je zbytkové riziko a O je opatření, které dané riziko R snižuje.
Publikováno: 18. 11. 2012, v rubrice:
Řízení rizik, autor:
Miroslav Čermák
, zobrazeno: 6 213x
Pokud zavedete ta správná opatření, mělo by to vést ke snížení rizika.
Na první pohled se zdá, že následující obrázek je srozumitelný a naprosto přesně vystihuje podstatu. Jenže opravdu se v okamžiku, kdy zavedete nějaké opatření, zmenší všechny tři hodnoty, jak se obrázek snaží naznačit? Řekl bych, že ve většině případů tomu tak není.
Publikováno: 24. 03. 2012, v rubrice:
Řízení rizik, autor:
Miroslav Čermák
, zobrazeno: 18 792x
V rámci analýzy rizik musíme provést zhodnocení aktiv, hrozeb a zranitelností. Pojďme se společně zamyslet nad tím, čím vlastně začít.
Teoreticky by bylo možné v rámci analýzy rizik přistoupit k hodnocení aktiv, hrozeb a zranitelností šesti různými způsoby. Pokud si aktiva označíme jako A (assets), hrozby jako T (threat) a zranitelnosti jako V (vulnerability), pak by mohly být tyto faktory vyhodnoceny v tomto pořadí: A-T-V, A-V-T, T-V-A, T-A-V, V-T-A, V-A-T, přičemž T-A-V a V-A-T je asi nejméně pravděpodobný přístup k hodnocení těchto rizikových faktorů.
Publikováno: 02. 07. 2011, v rubrice:
Řízení rizik, autor:
Miroslav Čermák
, zobrazeno: 6 655x
Tento příspěvek se snaží přinést jiný pohled na kvantifikaci datových aktiv.
V okamžiku, kdy v rámci analýzy rizik provádíme kvantifikaci aktiv, klademe si obvykle otázku, jaký by byl finanční a nefinanční dopad v případě, že by došlo k narušení důvěrnosti, integrity a dostupnosti těchto aktiv.
Publikováno: 22. 05. 2011, v rubrice:
Řízení rizik, autor:
Miroslav Čermák
, zobrazeno: 8 391x
Cílem tohoto příspěvku je zamyslet se nad tím, jaké informace a na jakém médiu mohou být uloženy.
Byť se již před mnoha lety hovořilo o tzv. paperless office (bezpapírová kancelář), tak i dnes je spousta informací, které organizace shromažďuje a zpracovává, uložena v papírové podobě. Nezapomínejte prosím na tuto skutečnost, až budete provádět identifikaci datových aktiv. Pokud jsou informace uloženy v elektronické podobě, tak se obvykle nachází na: