Proč experti při hodnocení kybernetických rizik selhávají

Dost často je hodnocení rizik založeno na pouhém subjektivním hodnocení experta, který se může mýlit a dost často se i mýlí. Ovšem zdá se, že to nikoho netrápí.

Což je velice zvláštní, protože kvalita expertů, kteří hodnotí výši kybernetického rizika, od které se pak odvíjí některá zásadní rozhodnutí, by měla být v zájmu vrcholového managementu.

Štítky:
celý článek

Analýza rizik: nízká pravděpodobnost hrozby a kritický dopad

Je způsob výpočtu rizika, tak jak je uveden v mezinárodních standardech, použitelný i v případech, kdy jedna hodnota nabývá svého minima a druhá naopak svého maxima?

Při analýze rizik zcela jistě narazíte jak na hrozby vyskytující se velice často, a mající na organizaci naprosto zanedbatelný dopad, tak i na hrozby, které se nevyskytují prakticky vůbec, ale přitom by jejich dopad na organizaci mohl být zdrcující. V rámci analýzy rizik vám však v obou těchto případech vyjde riziko spíše nízké nebo střední, a to bez ohledu na to, jaký použijete matematický aparát. Je to tak ale v pořádku?

Štítky: , ,
celý článek

Vyhodnocení rizik: prioritizace rizik

Je celkem jedno, kolik úrovní rizik používáte a jak jste si je pojmenovali. I když tak úplně jedno to zase není, jak se dočtete dále.

Jistě jste si všimli, že určité kombinace hodnoty dopadu a pravděpodobnosti hrozby dávají stejnou výši rizika. To nás sice v tuto chvíli nemusí příliš trápit, nicméně měli bychom tuto skutečnost zohlednit ve fázi zvládáni rizik, protože je rozdíl, zda riziko vyšlo jako střední z důvodu vysoké pravděpodobnosti hrozby nebo vysoké hodnoty aktiva. Pojďme se nyní zamyslet nad tím, jak si rizika rozdělit.

Štítky: ,
celý článek

Vyhodnocení rizik: kvantifikace opatření

V tomto příspěvku se dozvíte, jakým způsobem provést vyhodnocení jednotlivých opatření a zvolit to nejefektivnější.

V okamžiku, kdy jsme provedli analýzu rizik a známe již celkovou škodu, kterou by mohly jednotlivé hrozby způsobit, měli bychom se zamyslet nad volbou vhodných opatření. Rozhodnutí, zda bude dané opatření vůbec implementováno, by měla předcházet tzv. cost/benefit analýza. V rámci této analýzy bychom měli posoudit, jaká je hodnota aktiva a jaké jsou náklady na jeho ochranu. Pro výpočet hodnoty lze použít následující vzorec:

Štítky: , ,
celý článek

Vyhodnocení rizik: identifikace opatření

Cílem tohoto příspěvku je popsat jednotlivé typy bezpečnostních opatření a doplnit tak informace uvedené v knize „Řízení informačních rizik v praxi“.

Pro termín opatření, někdy též protiopatření, se v informační bezpečnosti používají více či méně zaměnitelná synonyma security measures, countermeasures, safeguards nebo controls. Ať už je ale použit jakýkoliv termín, vždy se jedná o opatření, jehož cílem je snížit riziko na akceptovatelnou úroveň a ochránit tak cenná aktiva. Podle způsobu implementace můžeme opatření rozdělit na:

Štítky: , ,
celý článek