Publikováno: 20. 08. 2015, v rubrice:
Řízení rizik, autor:
Miroslav Čermák
, zobrazeno: 4 856x
S pojmem agregované a kaskádové riziko se můžeme setkat spíše v akademické sféře než v běžné praxi.
V oblasti informační bezpečnosti pak na tyto pojmy můžeme narazit především v materiálech od organizace ISACA, když se diskutuje o míře homogenity prostředí a z ní vyplývajících rizik.
Publikováno: 12. 02. 2015, v rubrice:
Řízení rizik, autor:
Miroslav Čermák
, aktualizováno: 13. 04. 2015, zobrazeno: 3 757x
Byť se při vizualizaci jednotlivých úrovní rizik běžně používá zelená pro nízké, žlutá pro střední, oranžová pro vysoké a červená pro kritické riziko, tak si kladu otázku, zda není vyjádření nízkého rizika právě pomocí zelené barvy tak trochu zavádějící.
Nemám nic proti zelené barvě, naopak. Ale nemůže v mnoha lidech zelená barva budit zdání, že tam žádné riziko není, a tudíž že s ním není třeba nic dělat? A přitom ono riziko tam pořád je, a je třeba ho minimálně monitorovat.
Publikováno: 03. 11. 2014, v rubrice:
Řízení rizik, autor:
Miroslav Čermák
, aktualizováno: 11. 02. 2021, zobrazeno: 5 700x
, 1 komentář
V minulém příspěvku jsem psal o risk appetite, dnes bych se rád krátce zmínil o risk tolerance.
Tyto pojmy se v oblasti řízení informačních rizik příliš nepoužívají a setkáme se s nimi spíše v akademické sféře a v publikacích nejrůznějších institucí. A pokud už někdo s těmito pojmy pracuje, tak je používá ve stejném kontextu, tj. špatně. Navíc zde můžeme narazit na dvě rozdílné interpretace těchto pojmů.
Publikováno: 02. 06. 2014, v rubrice:
Řízení rizik, autor:
Miroslav Čermák
, zobrazeno: 4 390x
, 2 komentáře
Zatímco v minulých letech jsme byli svědky toho, že informační rizika byla velmi často bagatelizována a management většiny organizací měl snahu tato rizika akceptovat, dnes je situace přesně opačná.
Ano, tam kde se dříve management nad vysokými riziky pozastavoval a ptal se, zda jsou opravdu tak vysoká, hledí nyní se stejnou nedůvěrou na nízká rizika. Možná že je to dáno jen nešťastným způsobem prezentace některých kybernetických útoků v bulvárních mediích, a zvýšenou pozorností, která je těmto útokům věnována.
Publikováno: 20. 05. 2014, v rubrice:
Řízení rizik, autor:
Miroslav Čermák
, aktualizováno: 21. 05. 2014, zobrazeno: 8 897x
Risk appetite je klíčový faktor v procesu řízení rizik, neboť vyjadřuje úroveň rizika, kterou je organizace ochotna akceptovat.
V mezinárodním standardu ISO 31000, Risk management – Principles and guidelines, který určuje základní rámec pro řízení rizik, je risk appetite definován jako „Amount and type of risk that an organization is prepared to pursue, retain or take“.
Publikováno: 06. 04. 2014, v rubrice:
Řízení rizik, autor:
Miroslav Čermák
, zobrazeno: 5 175x
Riziko je odvozeno z pravděpodobnosti hrozby, míry zranitelnosti a hodnoty dopadu.
Riziko můžeme definovat jako pravděpodobnost, že se vyskytne určitá hrozba, která překoná bezpečnostní opatření, zneužije nějaké zranitelnosti a způsobí škodu plynoucí z úniku citlivých informací, jejich nežádoucí změny nebo zničení. Hrozba je pak někdo/něco, kdo/co má potenciál způsobit nějakou škodu na aktivu a zranitelnost je vlastnost samotného aktiva.
Publikováno: 02. 09. 2013, v rubrice:
Řízení rizik, autor:
Miroslav Čermák
, zobrazeno: 5 949x
Tento příspěvek doplňuje informace uvedené v knize „Řízení informačních rizik v praxi“ a upozorňuje na co si dát pozor při výpočtu zbytkového rizika.
V naší úvaze budeme vycházet z předpokladu, že riziko je dáno vztahem R=A*H*Z, kde R je riziko, A je hodnota dopadu, H je pravděpodobnost hrozby a Z je míra zranitelnosti. Dále budeme předpokládat, že zbytkové riziko po implementaci opatření lze vyjádřit jako RR=R/O, přičemž RR je zbytkové riziko a O je opatření, které dané riziko R snižuje.
Publikováno: 26. 03. 2013, v rubrice:
Řízení rizik, autor:
Miroslav Čermák
, aktualizováno: 02. 08. 2014, zobrazeno: 4 255x
Zavedení určitého opatření byste měli dokumentovat proto, abyste byli schopni i po letech jeho smysluplnost obhájit a vysvětlit, proč není vhodné dané opatření kvůli snižování nákladů rušit, a že se v případě administrativních opatření dokonce nejedná ani o nějakou zbytečnou byrokracii, jak se mnozí mylně domnívají.
Vždy je nutné si uvědomit, že máme bezpečnostní opatření, která slouží k prevenci, k detekci a k reakci na incident. Zatímco u posledních dvou opatření můžeme poměrně přesně vyčíslit, kolik pokusů o průnik do systému nebo narušení bezpečnosti jsme detekovali, tak u prvně zmíněného můžeme jen hádat.
Publikováno: 29. 01. 2013, v rubrice:
Řízení rizik, autor:
Miroslav Čermák
, zobrazeno: 17 842x
Inherent risk můžeme do češtiny přeložit též jako vlastní, neodmyslitelné riziko a residual risk pak jako riziko zbytkové.
Za inherentní riziko je běžně označováno takové riziko, které nebere v úvahu již zavedená opatření snižující hrozbu, zranitelnost nebo dopad.
Publikováno: 11. 08. 2011, v rubrice:
Řízení rizik, autor:
Miroslav Čermák
, aktualizováno: 21. 11. 2012, zobrazeno: 31 050x
Je celkem jedno, kolik úrovní rizik používáte a jak jste si je pojmenovali. I když tak úplně jedno to zase není, jak se dočtete dále.
Jistě jste si všimli, že určité kombinace hodnoty dopadu a pravděpodobnosti hrozby dávají stejnou výši rizika. To nás sice v tuto chvíli nemusí příliš trápit, nicméně měli bychom tuto skutečnost zohlednit ve fázi zvládáni rizik, protože je rozdíl, zda riziko vyšlo jako střední z důvodu vysoké pravděpodobnosti hrozby nebo vysoké hodnoty aktiva. Pojďme se nyní zamyslet nad tím, jak si rizika rozdělit.