Analýza rizik není Excel. Je to živý proces.
Mnoho organizací považuje analýzu rizik za jednorázovou povinnost. Ve skutečnosti jde o jeden z nejdůležitějších procesů kybernetické bezpečnosti, který by měl průběžně odrážet aktuální stav organizace.
Když se řekne analýza rizik, většina lidí si představí tabulku.
Seznam hrozeb.
Hodnocení dopadu.
Výpočet rizika.
A hotovo.
Jenže takto moderní řízení rizik nefunguje.
Rizika se mění každý den
Každá nová aplikace, dodavatel, cloudová služba nebo změna infrastruktury může ovlivnit bezpečnostní situaci organizace. Pokud je analýza rizik aktualizována jednou ročně, velmi rychle přestává odpovídat realitě.
Riziko nevzniká izolovaně
Skutečný dopad incidentu často závisí na vazbách mezi aktivy. Například výpadek jedné služby může ovlivnit několik dalších systémů a procesů. Proto je důležité pracovat nejen se seznamem aktiv, ale také s jejich vzájemnými vztahy.
Od identifikace k nápravě
Kvalitní analýza rizik nekončí výpočtem.
Musí vést k:
- návrhu opatření,
- určení odpovědností,
- stanovení termínů,
- sledování účinnosti.
Teprve tehdy vzniká skutečné řízení rizik.
Jak vypadá moderní přístup
Moderní nástroje umožňují propojit aktiva, rizika, incidenty a opatření do jednoho celku. Díky tomu je možné sledovat, jak se rizika vyvíjejí, jaká opatření byla realizována a jaký mají skutečný dopad.
Závěr
Analýza rizik není dokument. Je to průběžný proces rozhodování, který pomáhá organizaci soustředit zdroje tam, kde mají největší přínos.
