5 základních kroků analýzy rizik s pomocí aktiv
Analýza a zhodnocení rizik na základě aktiv (Asset-based Risk Assessment) je jedním ze způsobů identifikace rizik. Provedeme vás postupem, který je založený na zhodnocení aktiv a skládá se z pěti základních kroků.
Vytvoření katalogu rizik ve firmě je zcela jistě výzva. Je proto důležité vědět, kde začít a jak s vytvořením pokračovat. V tomto článku se budeme zabývat jedním z nejobvyklejších způsobů vzniku katalogu rizik a to na základě registru firemních aktiv. Tento způsob je celkem široce používán a je běžný zejména v oblasti bezpečnosti informací, například při zavádění ISO 27000.
Dali jsme pro vás dohromady 5 základních kroků, které vás provedou zhodnocením rizik tak, abyste se v nich neutopili. Jistě existují i další postupy, toto je pouze jeden z možných přístupů.
Krok 1: Vyjmenujte vaše firemní aktiva
Aktiva jsou společně s procesy zdrojem rizik. Jako výchozí bod je tedy třeba mít přehled firemních aktiv, od kterých se bude vaše analýza a hodnocení rizik odvíjet. Vytvořte si přehled aktiv, o kterých víte, že mají pro firmu zásadní hodnotu nebo jejichž ohrožení může ohrozit firmu. Tím dostanete jasnou představu o prioritách a budete se soustředit na podstatná firemní aktiva - tedy taková, která jsou pro firmu hodnotná.
Využijte k tomu registr aktiv, ve kterém máte nastavené základní typy aktiv jako jsou:
- Fyzická aktiva: Budovy, vybavení, stroje a infrastruktura.
- Lidská aktiva: Zaměstnanci, dodavatelé a jejich dovednosti, odbornost a zdraví.
- Informační aktiva: Data, duševní vlastnictví, obchodní tajemství a vlastnické procesy.
- Reputační aktiva: Hodnota značky, důvěra zákazníků a vnímání veřejnosti.
- Finanční aktiva: Hotovost, investice a pohledávky.
- Technologická aktiva: IT systémy, software a sítě.
- Služby: např. dodávka elektřiny, cloudové služby
Pro každý výše uvedený typ aktiva zadejte a pojmenujte vaše konkrétní firemní aktiva. Buďte konkrétní.
Vyberte aktiva kritická pro chod vaší organizace
- Vyjmenujte aktiva, která jsou pro chod vaší firmy nepostradatelná
- Vyjmenujte aktiva, která jsou pro chod vaší firmy klíčová a na kterých závisí jiná aktiva
Krok 2: Najděte a pojmenujte k aktivům rizika
- Pro každé aktivum identifikujte rizika
- Rizika dejte dohromady společně s vlastníky aktiv
- Vlastníci mají odpovědnost za ošetření rizik a mají dostatečnou pravomoc riziko řídit.
- Pro popis jednotlivých rizik využijte registr rizik.
- Každé aktivum může podlehnout nějakým hrozbám a má své zranitelnosti. To zvyšuje pravděpodobnost vzniku rizika. Pečlivě analyzujte každé aktivum a identifikujte a přiřaďte k němu potenciální hrozby a zranitelnosti
- S ohledem na třetí krok se soustřeďte na vaše kritická aktiva
Krok 3: Zhodnoťte každé jednotlivé riziko a vyberte prioritní
- V seznamu rizik z předchozího kroku musíte vytvořit priority.
- Priority jsou důležité, pomohou vám soustředit se na klíčová rizika. Nelze řešit vše najednou. K tomu vám pomůže matice rizik, která vám vizualizuje rizika podle jejich pravděpodobnosti a dopadu.
- Zhodnoťte všechna rizika z předchozího kroku, každé riziko zhodnoťte jeho dopadem a pravděpodobností vzniku
- Dopad vyplývá z hodnoty aktiva
- Pravděpodobnost vzniku rizika souvisí se zranitelností aktiva a také vyplývá z existujících hrozeb.
- Největší prioritu mají pochopitelně rizika s vysokou mírou pravděpodobnosti a dopadu. Ta vás mohou ohrozit nejvíce, těm má cenu se přednostně věnovat.
Krok 4: Rozhodněte, jak s riziky naložíte
Na základě priorit se pustíte do posledního kroku, kterým je způsob jakým každé riziko ošetříte. Z předchozího kroku vyberte nejvíce kritická rizika a rozhodněte, jak s nimi naložíte, jak jednotlivá rizika ošetříte. Rizika nelze nikdy zcela odstranit, pouze snížit jejich pravděpodobnost nebo dopad.
- Rozhodněte, jakou strategii pro každé riziko zvolíte
- Vytvořte opatření a preventivní akce k vybraným rizikům
- K jednotlivým opatřením přiřadíte vlastníky a pomocí úkolů budete řídit jejich realizaci v čase.
- Schůzky a jejich výsledky zapisujte a sdílejte pomocí zápisů.
- Soustřeďte se na 10 nejkritičtějších rizik.
- Rovněž doporučujeme vedení pravidelných schůzek s hodnocením stavu.
Krok 5: Provádějte přehodnocení
Situace se mění a vy na změny musíte reagovat. Některá rizika zanikají, mění se jejich pravděpodobnost a některá nová rizika vznikají. Je třeba v tomto smyslu udržovat také aktuální vaše aktivity, abyste neřešili opatření k rizikům která již zanikla a naopak vám neunikla nově vzniklá rizika.
- Objevují se nová rizika a stará mohou mizet nebo jejich význam může klesat
- Je důležité dělat pravidelně přehodnocení
- Roční cyklus je nejvhodnější