Hrozby (anglicky threats) jsou něco, proti čemu by měl být majetek chráněn. Je to jakákoliv událost, která může způsobit ztrátu, nedostupnost nebo poškození aktiva. Na rozdíl od zranitelností, které bývají pro organizaci, její procesy a aktiva specifické, jsou hrozby, kterým organizace čelí podobné.
- Každá oblast působení má nějaké typické hrozby, například kybernetické hrozby, hrozby v oblasti bezpečnosti práce
- Hrozby bývají napříč organizacemi velmi podobné, proto se používají katalogy hrozeb
Základní principy při identifikaci hrozeb
- vyjděte z nějakého seznamu hrozeb a ten rozšiřte pro podmínky vaší organizace
- hrozby bývají nějaké vnější faktory, jejichž výskyt nedokážete ovlivnit
- soustřeďte se na aktiva i procesy
- každý typ aktiva čelí nějakým typickým hrozbám
Základní postup při identifikaci hrozeb
Identifikace hrozeb se provádí dle kritérií stanovených názoru garanta aktiv.
- Vytvořte si úplný přehled vašich aktiv - primárních i podpůrných
- Vytvořte si úplný přehled, mapu vašich hlavních proces
- Určete možné hrozby ke každému typu aktiva (lidé, finance, infrastruktura, data, atd. )
- Vyjděte ze nějakého referenčního seznamu hrozeb a ten upřesněte pro vaši situaci
- Seznam hrozeb sepište v souvislostech na vaše aktiva a procesy
- Vše zaznamenejte pomocí katalogu hrozeb