Má vůbec smysl se zabývat něčím takovým, jako je inherentní riziko?

Inherentní riziko bývá nejčastěji definováno jako riziko bez implementace příslušných opatření.

Problém je však v tom, že v okamžiku, kdy budete výši rizika stanovovat bez ohledu na stávající opatření, tak vám zcela nesmyslně vzroste pravděpodobnost hrozby a spolu s ní i dopad.

Rubrika: Řízení rizik
celý článek

Mělo by být řízení informační bezpečnosti postavené na rizicích nebo opatřeních?

Nedávno jsem narazil na otázku, zda by měl být přístup k řízení bezpečnosti založen na rizicích nebo opatřeních.  

V zásadě se jedná o problém, který zahraniční literatura popisuje jako risk driven approach vs. control driven approach. Osobně jsem přesvědčen o tom, že pokud má být řízení informační bezpečnosti skutečně efektivní, tak je nutné zkombinovat oba tyto přístupy, neboť tyto přístupy nestojí proti sobě, ale vzájemně se doplňují.

Rubrika: Řízení rizik
celý článek

Regulatorní požadavky představují jen další riziko a tak je s nimi třeba i zacházet

S regulatorními požadavky lze v zásadě pracovat jako s jakýmkoliv jiným rizikem.

Jednoduše stačí porovnat celkové náklady na zavedení a provoz příslušného bezpečnostního opatření na jedné straně a výši případné pokuty vyplývající z jeho nedodržení na straně druhé.

Rubrika: Řízení rizik
celý článek

Vrcholoví manažeři chovající kočky jsou ochotni více riskovat

Tak tady máme opět další šokující zjištění, tentokrát z University of Colorado. Z něj vyplývá, že osoby, jejichž buňky jsou nakaženy parazitem Toxoplasma gondii, mají sklony více riskovat.

Takže nejen nadmořská výška, ale i kočky ovlivňují sklon k riziku. Tím nechci říci, že manažeři sedící ve vyšších patrech a chovající kočku jsou pro firmu pohromou.

Rubrika: Řízení rizik
celý článek

Ochota riskovat roste s nadmořskou výškou

Vrcholový management, který činí závažná strategická rozhodnutí, by neměl sedět ve vyšších patrech budovy, protože pak má tendenci více riskovat.

Údajně již od třetího patra lze pozorovat sklony jít do většího rizika, takže pozor!

Rubrika: Řízení rizik
celý článek

Hodnocení zranitelností – 5. díl

Pro hodnocení zranitelností můžete použít CVSS kalkulátor, který se nachází na stránkách organizace First.

Výhoda hodnocení zranitelností pomocí této celosvětově uznávané metodiky spočívá v tom, že hodnocení závažnosti dané zranitelnosti není založeno na nějakém subjektivním hodnocení, nýbrž na zodpovězení několika vcelku jednoduchých otázek.

Rubrika: Řízení rizik
celý článek

Enterprise risk management a agregované a kaskádové riziko

S pojmem agregované a kaskádové riziko se můžeme setkat spíše v akademické sféře než v běžné praxi.

V oblasti informační bezpečnosti pak na tyto  pojmy můžeme narazit především v materiálech od organizace ISACA, když se diskutuje o míře homogenity prostředí a z ní vyplývajících rizik.

Rubrika: Řízení rizik
celý článek

Není vyjádření nízkého rizika pomocí zelené barvy zavádějící?

Byť se při vizualizaci jednotlivých úrovní rizik běžně používá zelená pro nízké, žlutá pro střední, oranžová pro vysoké a červená pro kritické riziko, tak si kladu otázku, zda není vyjádření nízkého rizika právě pomocí zelené barvy tak trochu zavádějící.

Nemám nic proti zelené barvě, naopak. Ale nemůže v mnoha lidech zelená barva budit zdání, že tam žádné riziko není, a tudíž že s ním není třeba nic dělat? A přitom ono riziko tam pořád je, a je třeba ho minimálně monitorovat.

Rubrika: Řízení rizik
celý článek

Jakou výši rizika jste ochotni tolerovat?

information-risk-management

V minulém příspěvku jsem psal o risk appetite, dnes bych se rád krátce zmínil o risk tolerance.

Tyto pojmy se v oblasti řízení informačních rizik příliš nepoužívají a setkáme se s nimi spíše v akademické sféře a v publikacích nejrůznějších institucí. A pokud už někdo s těmito pojmy pracuje, tak je používá ve stejném kontextu, tj. špatně.

Rubrika: Řízení rizik
celý článek

Z extrému do extrému anebo jaký je aktuální trend ve vnímání rizik managementem

Zatímco v minulých letech jsme byli svědky toho, že informační rizika byla velmi často bagatelizována a management většiny organizací měl snahu tato rizika akceptovat, dnes je situace přesně opačná.

Ano, tam kde se dříve management nad vysokými riziky pozastavoval a ptal se, zda jsou opravdu tak vysoká, hledí nyní se stejnou nedůvěrou na nízká rizika. Možná že je to dáno jen nešťastným způsobem prezentace některých kybernetických útoků v bulvárních mediích, a zvýšenou pozorností, která je těmto útokům věnována.

Rubrika: Řízení rizik
celý článek