Desatero úspěšného řízení rizik
Zachování kontinuity podnikání a ošetření rizik bývá ve firmách často opomíjenou činností. S řádným posouzením rizik a nastavením adekvátních opatření se obvykle začíná až po nějakém významném “průšvihu”. Nečekejte na okamžik, kdy vám někdo zcizí data nebo vyhoří serverovna.
Zkuste se řídit naším desaterem a ochraňte aktiva vaší společnosti.
1. Zaveďte řízení rizik jako proces
Definujte nezbytné role, postupy a vazby, přidělte odpovědnosti a pravomoci. Stanovte, jak často a za jakých okolností se bude provádět revize rizik a celého procesu. Optimálně nastavte tento proces jako jednotný pro potřebu řešení komplexní bezpečnosti celé společnosti.
2. Určete rozsah a hranice
Určete důležité oblasti činností Vaší společnosti a zmapujte si, co všechno v těchto oblastech chcete chránit, jinými slovy udělejte si přehled aktiv. Při definování rozsahu a hranic vycházejte z obchodních cílů společnosti, struktury společnosti a geografických podmínek, právních a smluvních požadavků i obchodních procesů.
3. Vyberte vhodnou metodiku
Vyberte metodiku (nástroj) pro hodnocení rizik, aby byla vhodná a univerzálně použitelná pro všechny oblasti bezpečnosti, které chcete řešit, aby opakovaně poskytovala srovnatelné výsledky a byla přiměřeně jednoduchá a přehledná. Pokud to metodika (nástroj) umožňuje, nadefinujte si vlastní vhodnou škálu pro hodnocení vstupních parametrů (aktiva, hrozby atd.) a pro hodnocení výstupních rizik (např. nízké, střední, vysoké) včetně kritérií pro akceptaci rizik.
4. Ohodnoťte rizika a udržujte jejich přehled
Podle vybrané metodiky vyčíslete a vyhodnoťte rizika. Vytvořte si katalog (registr) rizik, který bude obsahovat přehled všech identifikovaných rizik s jejich popisem a dalšími informacemi, které se k riziku vztahují. Každé riziko by mělo mít svého vlastníka (garanta), který riziko monitoruje a při změně podmínek dává podnět k revizi rizika.
5. Volte vhodnou strategii a postup při zvládání (ošetření) rizik
Zpracujte si plán pro realizaci navržených opatření (Plán zvládání rizik), kde stanovíte priority (pořadí) opatření, termíny, odpovědnosti apod.
Při výběru vhodných protiopatření vždy zvažujte efektivitu navrhovaných opatření tak, aby cena opatření nepřevyšovala potenciální ztráty. Snažte se preferovat preventivní opatření, která vyjdou ve výsledku levněji, než řešení následků incidentů. Kde to lze, volte opatření, která mají co nejširší působnost, tj. pokrývají více rizik, případně více oblastí komplexní bezpečnosti, typicky se jedná např. o organizačně administrativní opatření. Některá rizika se vyplatí raději akceptovat, než volit nepřiměřeně drahá opatření. Další možností je přenos rizika na pojišťovnu. Realizovaná bezpečnost by měla být vždy v souladu se strategií a business plánem společnosti, ochrana života a zdraví osob je ale vždy na prvním místě.
6. Nezapomeňte na mobilní zařízení
BYOD (Bring Your Own Device) je trend moderní doby, který se nedá zakázat ani ignorovat. Udělejte si přehled, jaké informace si nosí uživatelé s sebou, a zanalyzujte si s tím související rizika. Stanovte základní pravidla pro používání firemních dat, zahrnující jak pravidla bezpečného zacházení, tak technická opatření. Lze samozřejmě nasadit i systémy centrální správy mobilních zařízení (MDM), případně systémy DLP (Data Leakage Protection) proti úniku dat. Při řešení mobilní bezpečnosti zapomeňte na klasický perimetr a volte přístup „bezpečného úniku dat“ (Secure breach).
7. Evidujte a řiďte bezpečnostní incidenty
Zaveďte centralizovaný proces hlášení a řešení bezpečnostních problémů (incidentů). Použijte vhodný systém, který bude zpracovávat nejen hlášení od automatizovaných systémů (např. typu SIEM), ale také hlášení od uživatelů. Zahrňte do procesu také postupy eskalace a případně i varování. Řešení incidentů doveďte až ke konkrétním opatřením voleným dle strategie zvládání rizik. Dle okolností revidujte výsledky hodnocení rizik (katalog rizik).
8. Vzdělávejte uživatele
Lidský faktor je nejčastější (cca 80%) a také nejhůře ovlivnitelnou příčinou bezpečnostních incidentů. Proti některým hrozbám, jako je např. metoda sociálního inženýrství, je v podstatě jedinou možnou obranou uživatel s dostatečným bezpečnostním povědomím. Nejúčinnější metodou vzdělávání je ovšem osobní zkušenost. I ta se dá ale zprostředkovat např. formou „penetračních testů“ pomocí sociálního inženýrství.
9. Veďte dokumentaci a záznamy
Mějte proces řízení rizik řádně zdokumentován (co je psáno, to je dáno) a i zde aplikujte principy řízení dokumentů (garant dokumentu, identifikace, schvalování, řízení verzí, šíření). Důležité dokumenty a záznamy, které v rámci procesu vznikají, uchovávejte po nezbytně dlouhou dobu a zpřístupněte je jen těm uživatelům, kteří je nutně potřebují ke své práci (zásada „need to know“).
10. Udržujte zpětnou vazbu
Mějte proces řízení rizik zavedený v tzv. cyklu PDCA (Plan-Do-Check-Act, tj. Demingův model). Definujte si vhodné metriky pro sledování efektivity realizovaných opatření. Provádějte kontroly a audity a dle výsledků těchto činností systematicky vylepšujte jak vlastní proces řízení rizik, tak bezpečnost v jednotlivých oblastech.
Naše společnost má s problematikou bezpečnosti informací a analýzy rizik bohaté zkušenosti z řady projektů. Pokud budete potřebovat poradit, tak nás neváhejte kontaktovat.
Další články z oboru: Bezpečnost
Rozhovor s Michalem Vaněčkem v časopise Prosperita na všemožná témata…
untitled (iprosperita.cz)
Číst víceKariérní veletrh COFIT
Fakulta informačních technologií ČVUT pořádala pro své studenty již pravidelný kariérní veletrh COFIT. Cílem bylo zprostředkovat studentům kontakt se spolupracujícími firmami fakulty. Tato setkání proběhla 17. října 2023 a i naše firma […]
Číst víceČeský rozhlas – host: Michal Vaněček, počítačový expert a spisovatel
Jeho základní profesí je vytvářet krizové scénáře pro firmy a instituce a na klíč jim navrhnout řešení. Veškeré dění kolem koronaviru pečlivě monitoruje. Jak vidí současnou situaci tento expert na krize? Jak […]
Číst víceJak přežít krizi, aneb…
Kroky zamezující totálnímu kolapsu firmy Vážení přátelé, doufáme, že Vás tento mail zastihl zatím v plném zdraví a bez výraznějších omezení Vašeho pracovního i osobního života. V současné chvíli je většina společnosti, státních […]
Číst více