5 základních kroků analýzy rizik s pomocí aktiv
Analýza a zhodnocení rizik na základě aktiv (Asset-based Risk Assessment) je jednou z metod analýzy rizik. Provedeme vás postupem, který je založený na zhodnocení aktiv a skládá se ze sedmi základních kroků.
Vytvoření katalogu rizik ve firmě je zcela jistě výzva. Je proto důležité vědět, kde začít a jak s vytvořením pokračovat. V tomto článku se budeme zabývat jedním z nejobvyklejších způsobů vzniku katalogu rizik a to na základě registru firemních aktiv. Tento způsob je celkem široce používán a je běžný zejména v oblasti bezpečnosti informací, typicky při zavádění ISO 27000.
Dali jsme pro vás dohromady 7 základních kroků, které vás provedou zhodnocením rizik tak, abyste se v nich neutopili. Jistě existují i další postupy, toto je pouze jeden z možných přístupů.
Krok 1: Identifikujte vaše firemní aktiva
Aktiva jsou společně s procesy zdrojem rizik. Jako výchozí bod je tedy třeba mít přehled firemních aktiv, od kterých se bude vaše analýza a hodnocení rizik odvíjet. Vytvořte si přehled aktiv, o kterých víte, že mají pro firmu zásadní hodnotu nebo jejichž ohrožení může ohrozit firmu. Tím dostanete jasnou představu o prioritách a budete se soustředit na podstatná firemní aktiva - tedy taková, která jsou pro firmu hodnotná.
Využijte k tomu registr aktiv, ve kterém máte nastavené základní typy aktiv jako jsou:
- Informace
- Infrastruktura
- Lidé
- Hardware
- Software
Pro každý výše uvedený typ aktiva zadejte a pojmenujte vaše konkrétní firemní aktiva. Buďte konkrétní.
Vyberte aktiva kritická pro chod vaší organizace
- Vyjmenujte aktiva, která jsou pro chod vaší firmy nepostradatelná
- Vyjmenujte aktiva, která jsou pro chod vaší firmy klíčová a na kterých závisí jiná aktiva
Krok 2: Pojmenujte k aktivům rizika
- Na základě prvních třech kroků identifikujte rizika.
- Rizika dejte dohromady společně s vlastníky aktiv.
- Vlastníci mají odpovědnost za mitigaci rizika a mají dostatečnou pravomoc riziko řídit. Pro popis jednotlivých rizik využijte registr rizik.
Krok 3: Zhodnoťte každé jednotlivé riziko a vyberte prioritní
- Zhodnoťte rizika a přiřaďte jim pravděpodobnost výskytu a dopady.
- Každé aktivum může podlehnout nějakým hrozbám a má své zranitelnosti. To zvyšuje pravděpodobnost vzniku rizika. Pečlivě analyzujte každé aktivum a identifikujte a přiřaďte k němu potenciální hrozby a zranitelnosti.
- Dopad vyplývá z hodnoty aktiva
- Pravděpodobnost vzniku rizika souvisí se zranitelností aktiva a také vyplývá z existujících hrozeb.
- V seznamu rizik musíte vytvořit priority. Nelze řešit vše najednou. K tomu vám pomůže matice rizik, která vám vizualizuje rizika podle jejich pravděpodobnosti a dopadu. Největší prioritu mají pochopitelně rizika s vysokou mírou pravděpodobnosti a dopadu. Ta vás mohou ohrozit nejvíce, těm má cenu se přednostně věnovat.
Krok 4: Rozhodněte, jak s riziky naložíte
Na základě priorit se pustíte do posledního kroku, kterým je vytvoření sady opatření, která rizika ošetří. Z předchozího kroku vyberte nejvíce kritická rizika a rozhodněte, jak s nimi naložíte, jak jednotlivá rizika ošetříte. Rizika nelze nikdy zcela odstranit, pouze snížit jejich pravděpodobnost nebo dopad.
- Rozhodněte, jakou strategii pro každé riziko zvolíte
- Vytvořte opatření a preventivní akce k vybraným rizikům
- K jednotlivým opatřením přiřadíte vlastníky a pomocí úkolů budete řídit jejich realizaci v čase.
- Schůzky a jejich výsledky zapisujte a sdílejte pomocí zápisů.
- Soustřeďte se na 10 nejkritičtějších rizik.
- Rovněž doporučujeme vedení pravidelných schůzek s hodnocením stavu.
Krok 5: Provádějte přehodnocení
Situace se mění a vy na změny musíte reagovat. Některá rizika zanikají, mění se jejich pravděpodobnost a některá nová rizika vznikají. Je třeba v tomto smyslu udržovat také aktuální vaše aktivity, abyste neřešili opatření k rizikům která již zanikla a naopak vám neunikla nově vzniklá rizika.
- Objevují se nová rizika a stará mohou mizet nebo jejich význam může klesat
- Je důležité dělat pravidelně přehodnocení
- Roční cyklus je nejvhodnější