Můžete si vybrat. Rudě zářící pole risk matice, jedno číslo vyjadřující roční ztrátu v korunách anebo smyslné ladné křivky slibující vědeckou přesnost.

Asi už tušíte, že je řeč o kvalitativním, semikvantitativním a kvantitativním přístupu k analýze rizik. Rozdíl mezi jednotlivými přístupy je ale mnohem větší, než si většina lidí připouští. A bohužel právě na tom často stojí nebo padá správné rozhodnutí managementu o investicích do informační bezpečnosti.

Pokud jde o popis rizika, tak se zpravidla nikde nedočtete, jak by mělo být takové riziko vlastně popsáno.

Když nahlédneme do registrů rizik, které mnohé organizace vytváří, tak v nich najdeme rizika zapsaná mnoha různými způsoby a to často i v rámci jedné organizace.

Ty plošné samozřejmě taky, těm budete čelit i nadále, protože zde máme různé blíže exaktně nedefinované zdroje hrozeb.

Ovšem pokud jde o ty cílené, tak je třeba si uvědomit, jaké informační aktivum provozujete. A pokud přijmete za svou hypotézu, že atraktivita aktiva akceleruje hledání zranitelností a zvyšuje pravděpodobnost kybernetického útoku, tak s tím pak můžete ve svém rizikovém modelu počítat.

Řízení rizik je nikdy nekončící proces. Otázka však je, kdy a případně jak často by se měl tento cyklus spouštět.

Donedávna platilo, že v okamžiku každé významné změny a pak řekněme třeba na roční bázi, protože se mění krajina hrozeb, hodnota aktiv a rovněž se může objevit i nová zranitelnost, které by mohlo být následně zneužito.

Aneb co dělat, když vám řešení incidentu začíná přerůstat přes hlavu a z incidentu se stává havárie.

Risk management, incident management a crisis management spolu velice úzce souvisí. Incident management je v zásadě reaktivní komponenta k preventivnímu risk managementu.

Inherentní riziko bývá nejčastěji definováno jako riziko bez implementace příslušných opatření.

Problém je však v tom, že v okamžiku, kdy budete výši rizika stanovovat bez ohledu na stávající opatření, tak vám zcela nesmyslně vzroste pravděpodobnost hrozby a spolu s ní i dopad.

Nedávno jsem narazil na otázku, zda by měl být přístup k řízení bezpečnosti založen na rizicích nebo opatřeních.  

V zásadě se jedná o problém, který zahraniční literatura popisuje jako risk driven approach vs. control driven approach. Osobně jsem přesvědčen o tom, že pokud má být řízení informační bezpečnosti skutečně efektivní, tak je nutné zkombinovat oba tyto přístupy, neboť tyto přístupy nestojí proti sobě, ale vzájemně se doplňují.

S regulatorními požadavky lze v zásadě pracovat jako s jakýmkoliv jiným rizikem.

Jednoduše stačí porovnat celkové náklady na zavedení a provoz příslušného bezpečnostního opatření na jedné straně a výši případné pokuty vyplývající z jeho nedodržení na straně druhé.

Tak tady máme opět další šokující zjištění, tentokrát z University of Colorado. Z něj vyplývá, že osoby, jejichž buňky jsou nakaženy parazitem Toxoplasma gondii, mají sklony více riskovat.

Takže nejen nadmořská výška, ale i kočky ovlivňují sklon k riziku. Tím nechci říci, že manažeři sedící ve vyšších patrech a chovající kočku jsou pro firmu pohromou.

Vrcholový management, který činí závažná strategická rozhodnutí, by neměl sedět ve vyšších patrech budovy, protože pak má tendenci více riskovat.

Údajně již od třetího patra lze pozorovat sklony jít do většího rizika, takže pozor!