Publikováno: 14. 04. 2021, v rubrice:
Řízení rizik, autor:
Miroslav Čermák
, zobrazeno: 1 706x
Pokud jde o popis rizika, tak se zpravidla nikde nedočtete, jak by mělo být takové riziko vlastně popsáno.
Když nahlédneme do registrů rizik, které mnohé organizace vytváří, tak v nich najdeme rizika zapsaná mnoha různými způsoby a to často i v rámci jedné organizace.
Publikováno: 01. 07. 2020, v rubrice:
Řízení rizik, autor:
Miroslav Čermák
, zobrazeno: 767x
Ty plošné samozřejmě taky, těm budete čelit i nadále, protože zde máme různé blíže exaktně nedefinované zdroje hrozeb.
Ovšem pokud jde o ty cílené, tak je třeba si uvědomit, jaké informační aktivum provozujete. A pokud přijmete za svou hypotézu, že atraktivita aktiva akceleruje hledání zranitelností a zvyšuje pravděpodobnost kybernetického útoku, tak s tím pak můžete ve svém rizikovém modelu počítat.
Publikováno: 25. 05. 2020, v rubrice:
Řízení rizik, autor:
Miroslav Čermák
, zobrazeno: 1 401x
Řízení rizik je nikdy nekončící proces. Otázka však je, kdy a případně jak často by se měl tento cyklus spouštět.
Donedávna platilo, že v okamžiku každé významné změny a pak řekněme třeba na roční bázi, protože se mění krajina hrozeb, hodnota aktiv a rovněž se může objevit i nová zranitelnost, které by mohlo být následně zneužito.
Publikováno: 30. 12. 2019, v rubrice:
Řízení rizik, autor:
Miroslav Čermák
, aktualizováno: 02. 07. 2020, zobrazeno: 1 417x
Aneb co dělat, když vám řešení incidentu začíná přerůstat přes hlavu a z incidentu se stává havárie.
Risk management, incident management a crisis management spolu velice úzce souvisí. Incident management je v zásadě reaktivní komponenta k preventivnímu risk managementu.
Publikováno: 09. 07. 2019, v rubrice:
Řízení rizik, autor:
Miroslav Čermák
, zobrazeno: 2 609x
Inherentní riziko bývá nejčastěji definováno jako riziko bez implementace příslušných opatření.
Problém je však v tom, že v okamžiku, kdy budete výši rizika stanovovat bez ohledu na stávající opatření, tak vám zcela nesmyslně vzroste pravděpodobnost hrozby a spolu s ní i dopad.
Publikováno: 30. 05. 2019, v rubrice:
Řízení rizik, autor:
Miroslav Čermák
, zobrazeno: 1 387x
Nedávno jsem narazil na otázku, zda by měl být přístup k řízení bezpečnosti založen na rizicích nebo opatřeních.
V zásadě se jedná o problém, který zahraniční literatura popisuje jako risk driven approach vs. control driven approach. Osobně jsem přesvědčen o tom, že pokud má být řízení informační bezpečnosti skutečně efektivní, tak je nutné zkombinovat oba tyto přístupy, neboť tyto přístupy nestojí proti sobě, ale vzájemně se doplňují.
Publikováno: 20. 10. 2018, v rubrice:
Řízení rizik, autor:
Miroslav Čermák
, aktualizováno: 09. 11. 2018, zobrazeno: 2 398x
S regulatorními požadavky lze v zásadě pracovat jako s jakýmkoliv jiným rizikem.
Jednoduše stačí porovnat celkové náklady na zavedení a provoz příslušného bezpečnostního opatření na jedné straně a výši případné pokuty vyplývající z jeho nedodržení na straně druhé.
Publikováno: 02. 08. 2018, v rubrice:
Řízení rizik, autor:
Miroslav Čermák
, zobrazeno: 2 696x
, 1 komentář
Tak tady máme opět další šokující zjištění, tentokrát z University of Colorado. Z něj vyplývá, že osoby, jejichž buňky jsou nakaženy parazitem Toxoplasma gondii, mají sklony více riskovat.
Takže nejen nadmořská výška, ale i kočky ovlivňují sklon k riziku. Tím nechci říci, že manažeři sedící ve vyšších patrech a chovající kočku jsou pro firmu pohromou.
Publikováno: 24. 04. 2018, v rubrice:
Řízení rizik, autor:
Miroslav Čermák
, zobrazeno: 1 485x
Vrcholový management, který činí závažná strategická rozhodnutí, by neměl sedět ve vyšších patrech budovy, protože pak má tendenci více riskovat.
Údajně již od třetího patra lze pozorovat sklony jít do většího rizika, takže pozor!
Publikováno: 19. 12. 2017, v rubrice:
Bezpečnost, autor:
Miroslav Čermák
, zobrazeno: 2 340x
Pro hodnocení zranitelností můžete použít CVSS kalkulátor, který se nachází na stránkách organizace First.
Výhoda hodnocení zranitelností pomocí této celosvětově uznávané metodiky spočívá v tom, že hodnocení závažnosti dané zranitelnosti není založeno na nějakém subjektivním hodnocení, nýbrž na zodpovězení několika vcelku jednoduchých otázek.