Jestliže už víme, v jaké dimenzi nejistoty se pohybujeme, můžeme určit, co je třeba udělat pro redukci těchto nejistot.

V případě dokonalé nejistoty však nejistotu redukovat nemůžeme. Namísto toho musíme vytvářet systémy, které jsou odolné vůči nepříznivým událostem, a které dokáží nejen přežít, ale i prosperovat v podmínkách chaosu.

Události, které se opakují několikrát za rok a po dobu několika let, mohou vyvolávat dojem jistoty.

Z hlediska rizikového managementu je však stále považujeme za riziko, a to i v případě, že je pravděpodobnost jejich výskytu velmi vysoká, tedy téměř jistá. V kontextu teorie pravděpodobnosti je zásadní rozlišovat mezi téměř jistotou (pravděpodobnost blížící se jedné) a absolutní jistotou (pravděpodobnost rovna jedné).

V minulém díle jsme si ukázali, v jakých doménách nejistoty se můžeme pohybovat.

Na první pohled se může zdát, že pokud neznáme pravděpodobnost nebo dopad, tj. máme jednostranně/částečně/neúplně definované riziko, jde jen o přechodný stav a s určitým úsilím se vždy nakonec dostaneme do prvního sektoru s plně popsaným rizikem.

V oblasti řízení informační bezpečnosti a kybernetických rizik se organizace často ocitají v situacích, kdy musí rozhodovat v podmínkách nejistoty (uncertainty).

Zatímco frameworky jako NIST CSF, FAIR nebo ISO 31000 problematiku nejistoty zcela opomíjejí, britský framework M_o_R ji zahrnuje, byť jen okrajově. Právě na tento framework navážu a pokusím se koncept nejistoty hlouběji rozpracovat.